Définissez la politique de sécurité de votre entreprise

Table of contents

Table of contents

Déployez la PSSI au sein de l’organisation

Le document est signé. Et maintenant ?

Rappelez-vous : dans le chapitre précédent, vous avez réalisé un travail d'orfèvre. Vous avez rédigé une PSSI claire, structurée et bienveillante. Mieux encore, vous avez obtenu la signature officielle de Monsieur Martin, votre Directeur Général, en bas de la note de cadrage et de l'introduction de la politique.

Le fichier PDF est enregistré sur votre serveur. C'est une victoire... mais c'est aussi le moment le plus dangereux.

Pourquoi ?

Parce qu'un document de sécurité qui dort dans un tiroir (ou dans un répertoire SharePoint oublié) ne sert strictement à rien. Pire, il donne une fausse impression de sécurité.

Dans ce chapitre, nous allons voir comment donner vie à ce document. Nous allons passer de la théorie à la pratique en organisant le déploiement de la PSSI. Nous verrons comment utiliser la voix de la direction pour porter le message, comment communiquer efficacement auprès des différentes équipes (de l'atelier aux bureaux), et comment ancrer ces nouvelles règles dans le quotidien grâce à la formation.

Prêt à lancer le mouvement ? C'est parti !

Faites valider et porter la PSSI par la direction

Vous avez la signature technique, mais il vous faut maintenant le "Sponsorship" public. Le lancement de la PSSI est un acte politique au sein de l'entreprise.

Si l'annonce vient uniquement du service informatique, elle sera perçue comme une contrainte technique ("Encore l'IT qui nous embête").

Si elle vient de la Direction Générale, elle devient un enjeu d'entreprise ("C'est important pour notre avenir").

Anticipez votre plan de bataille

Ne lancez pas la PSSI un lundi matin par hasard.

Vous devez présenter à Monsieur Martin un véritable plan de déploiement. Lors de votre réunion de validation, apportez-lui non seulement le document final, mais aussi le calendrier des actions de communication :

  • Date du lancement officiel.

  • Contenu de l'email qu'il devra envoyer à tous les collaborateurs (prémâchez-lui le travail, rédigez le brouillon !).

  • Planning des réunions de sensibilisation par service.

L'exemplarité : la clé de voûte

Il y a une règle d'or : le chef doit montrer l'exemple. Si la PSSI impose le port du badge visible, Monsieur Martin doit porter son badge. Si la PSSI interdit les mots de passe sur Post-it, il ne doit pas en avoir un sous son clavier. Profitez de cette étape pour sensibiliser la direction à son devoir d'exemplarité. Si la direction s'affranchit des règles ("Moi c'est pas pareil, je suis le patron"), tout votre édifice s'effondrera par manque de crédibilité.

Le "Kick-off" officiel

Le lancement doit être un événement. L'idéal est de profiter d'une réunion plénière ou d'un séminaire d'entreprise. À défaut, un email solennel de la Direction Générale, accompagné d'une courte vidéo de 2 minutes où le DG explique les enjeux (sauver l'usine, protéger les emplois), aura bien plus d'impact qu'un long mémo technique.

Communiquez auprès des parties intéressées

Une fois le feu vert donné, vous devez diffuser l'information. Mais attention, on ne communique pas de la même manière avec un opérateur de machine-outil, un comptable et un prestataire externe. Votre plan de communication doit être segmenté.

Définissez les canaux adaptés

Multipliez les points de contact :

  • Pour les connectés (Bureaux) : Email, bannière sur l'intranet, message sur la messagerie instantanée (Teams/Slack), fond d'écran temporaire sur les PC.

  • Pour les non-connectés (Usine/Logistique) : C'est souvent le public oublié. Utilisez l'affichage physique (posters à la pointeuse, à la machine à café), et surtout, passez par les managers de proximité lors des "briefs" d'équipe du matin.

  • Pour les externes : Une communication contractuelle est nécessaire. Envoyez la PSSI (ou l'annexe sécurité) à vos sous-traitants en leur demandant une confirmation de lecture.

Ciblez les messages (Marketing de la sécurité)

Adaptez le discours aux préoccupations de chacun :

  • Au Marketing : Parlez de "Protection de l'image de marque" et de "Confiance client".

  • À la Production : Parlez de "Continuité de service" et d'"Éviter les pannes informatiques".

  • À la Finance : Parlez de "Lutte contre la fraude au virement" et de "Conformité légale".

L'objectif est que chacun comprenne en quoi la PSSI l'aide à mieux faire son travail, et non comment elle le freine.

Schéma sur la communication PSSI (Politique de Sécurité des Systèmes d’Information) présentant les cibles internes, les messages de sensibilisation adaptés par métier, ainsi que les canaux de diffusion selon les profils (connectés, non-connecté
Communiquer la PSSI selon les publics

Dois-je faire signer la PSSI par tout le monde ?

Idéalement, oui, via une charte informatique annexée au contrat de travail ou au règlement intérieur. Cela garantit que la règle est opposable juridiquement. Pour la PSSI globale, une attestation de prise de connaissance numérique (via un outil de e-learning ou l'intranet) suffit souvent pour tracer la diffusion.

Sensibilisez à la PSSI avec des actions concrètes

Communiquer ("Voici le document") ne suffit pas. Il faut sensibiliser ("Voici ce que ça change pour vous"). La sensibilisation vise à changer les comportements et à créer une culture sécurité.

Rendez la sécurité vivante et ludique

La lecture de 20 pages de règles est aride. Proposez des formats digestes :

  • Les "Cafés Sécu" : Un stand à la machine à café où vous répondez aux questions et montrez comment créer un mot de passe fort, avec des croissants offerts.

  • Les Fiches Réflexes : Distribuez des mémos plastifiés "Que faire en cas de mail suspect ?" ou "Les 10 règles d'or" à laisser sur les bureaux.

  • Vidéos courtes : Une capsule de 1 min 30 montrant une situation concrète (ex: "Je verrouille ma session") est plus efficace qu'un long texte.

Mettez en scène les risques (sans traumatiser)

Utilisez l'exemple du scénario "Ransomware" que nous avons vu dans l'analyse de risques. Expliquez simplement : "Vous voyez cette règle sur les clés USB ? C'est pour éviter que l'écran rouge n'apparaisse sur nos machines de production".

Faites vivre la cybersécurité au quotidien

La sensibilisation n'est pas un "one-shot" au lancement. C'est une petite musique de fond permanente.

  • Une affiche changée tous les mois.

  • Une news "Cyber" dans la newsletter mensuelle de l'entreprise.

  • Un fond d'écran avec la règle du mois.

Intégrez la PSSI dans les pratiques quotidiennes

Communiquer et sensibiliser, c'est bien. Mais pour que la PSSI s'ancre durablement, elle doit devenir invisible. Elle doit être intégrée "by design" dans les processus de l'entreprise.

Alignez les outils sur les règles

Ne demandez pas aux utilisateurs de faire des efforts que la technique peut faire pour eux.

  • La PSSI dit : "Mot de passe de 12 caractères".

  • L'action : Configurez l'Active Directory pour rejeter techniquement tout mot de passe inférieur à 12 caractères. L'utilisateur n'a plus le choix, la règle s'applique d'elle-même.

  • La PSSI dit : "Sauvegardes régulières".

  • L'action : Automatisez les backups. Ne comptez pas sur l'humain pour y penser.

Mettez à jour les procédures internes

La PSSI impacte les autres services. Allez voir vos collègues :

  • Avec les RH : Intégrez la signature de la Charte Informatique directement dans le kit d'arrivée des nouveaux salariés (Processus Onboarding).

  • Avec les Achats : Ajoutez une case "Validation Sécurité" dans le formulaire de demande d'achat de logiciel. Plus aucun logiciel ne doit être acheté sans que vous ayez jeté un œil (lutte contre le Shadow IT).

  • Avec le Bureau d'Études : Intégrez une revue de sécurité à chaque jalon de projet industriel.

Gérez les résistances (Change Management)

Soyez à l'écoute. Lors du déploiement, vous allez entendre : "Ça me ralentit", "C'est trop compliqué". Ne les ignorez pas. Si une mesure de la PSSI bloque réellement la production (ex : le MFA ne passe pas dans l'usine car il n'y a pas de réseau mobile), vous devez être agile. Adaptez la mesure ou trouvez une solution technique compensatoire, plutôt que de laisser les gens contourner la règle.

Formez le personnel et adaptez les supports

La sensibilisation touche tout le monde pour donner une culture générale. La formation, elle, vise à monter en compétence des populations spécifiques sur des gestes techniques ou des procédures précises.

Un plan de formation progressif

Vous ne formerez pas tout le monde le même jour. Priorisez selon les risques identifiés précédemment :

  1. Les "VIP" et la Finance : Formation spécifique à la détection de la "Fraude au Président" et à l'ingénierie sociale.

  2. Les Administrateurs IT : Formation technique (SecNumAcadémy, formation Microsoft/Linux sécurité) car ils ont les clés du château.

  3. Les Développeurs (si vous en avez) : Formation au code sécurisé.

Le "Welcome Kit" Sécurité

Le meilleur moment pour former, c'est l'arrivée. Le nouvel arrivant est disponible et veut bien faire. Créez un Kit de démarrage remis par les RH ou l'IT le premier jour :

  • La synthèse de la PSSI (1 page).

  • La charte informatique.

  • Un cache-webcam (goodies utile !).

  • Le guide "Qui contacter en cas de problème".

En structurant ainsi la montée en compétences, vous transformez vos collaborateurs : ils ne sont plus le "maillon faible", mais deviennent des capteurs actifs qui vous remontront les incidents.

À vous de jouer !

Contexte

Le grand jour est arrivé. Demain, à 9h00, vous intervenez lors de la réunion mensuelle de l'entreprise, juste après Monsieur Martin. Vous avez 10 minutes pour présenter le lancement officiel de la PSSI à l'ensemble des collaborateurs (cadres, administratifs et chefs d'atelier). La direction compte sur vous pour que ce moment soit mobilisateur et non anxiogène.

Consignes

Préparez la structure de votre présentation PowerPoint (5 diapositives clés). Pour chaque diapositive, indiquez :

  1. Le Titre de la slide.

  2. Le Message clé (ce que vous dites à l'oral).

  3. Le Visuel (ce qu'on voit à l'écran).

En résumé

  • Le déploiement de la PSSI doit impérativement être porté par la Direction Générale (Sponsorship) pour avoir de la crédibilité et garantir l'exemplarité à tous les niveaux.

  • La communication doit être multicanale et segmentée : adaptez vos messages et vos supports (emails, affiches, réunions) selon que vous parlez aux équipes de bureau, d'usine ou aux prestataires.

  • La sensibilisation vise à créer une culture sécurité au quotidien via des actions ludiques et concrètes (fiches réflexes, cafés sécu, tests de phishing pédagogiques), distincte de la formation qui vise la montée en compétence technique.

  • Pour être efficace, la sécurité doit être intégrée dans les processus (Onboarding RH, Achats) et les outils (paramétrage technique) pour s'appliquer naturellement sans reposer uniquement sur la volonté des utilisateurs.

  • Le succès du déploiement repose sur l'accompagnement du changement : écoutez les résistances, expliquez le "pourquoi" et valorisez le rôle de "gardien" de chaque collaborateur.

Votre PSSI est lancée ! Les équipes sont informées, la direction est engagée. Mais attention, la sécurité est une matière vivante. Comment s'assurer que ces belles règles ne s'érodent pas avec le temps ? Comment savoir si elles sont vraiment appliquées ? C'est tout l'enjeu du prochain et dernier chapitre : garantir la pérennité et l'évolution de votre PSSI. On ne lâche rien ! 🙂

Any feedback to share with us?
Ever considered an OpenClassrooms diploma?
  • Up to 100% of your training program funded
  • Flexible start date
  • Career-focused projects
  • Individual mentoring
Find the training program and funding option that suits you best
Guide meCompare training types