Grâce au chapitre précédent, il est maintenant clair, s’il était toutefois nécessaire de le rappeler, que les risques qui pèsent sur le SI nécessitent de cadrer les actions mises ou à mettre en place pour en réduire les effets. Ce cadre se place au niveau stratégique dans l’entreprise, en ce sens que les dirigeants doivent y être associés. L’évolution de la place des RSSI dans l’entreprise en témoigne : tout d’abord cloisonnés au monde DSI, la tendance actuelle est soit à les placer au sein de la direction de la stratégie, ou bien encore à les attacher aux comités de direction.
Découvrez ce qu’est la politique de sécurité des systèmes d'information
Afin d’aborder la PSSI, la politique de sécurité des systèmes d'information, l’ANSSI nous livre une définition éclairante :
« Une Politique de Sécurité des Systèmes d’Information (PSSI) reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration...) en matière de sécurité des systèmes d'information (SSI) et de gestion de risques SSI. Elle décrit en effet les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d'information de l'organisme.”
L’ANSSI complète cette vision en précisant que « La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d'œuvre des enjeux tout en les éclairant sur ses choix en termes de gestion des risques et à susciter la confiance des utilisateurs et partenaires envers le système d'information. »
Cette définition regroupe plusieurs éléments importants :
la PSSI a une dimension stratégique : c’est un document qui exprime les orientations de l’équipe de direction de l’organisme. Cette approche top-down permet donc de fixer les enjeux en termes de sécurité informatique et de cadrer les actions à mettre en oeuvre pour amoindrir les risques identifiés. Retenez qu’au travers de la PSSI, c’est le dirigeant de l’entreprise qui s’exprime ;
la PSSI constitue un outil de communication : que ce soient vers les équipes métier (MOA) ou vers les équipes de conception et d’élaboration (MOE) des projets informatiques sur le SI, la PSSI informe sur les choix faits par l’entreprise en termes de SSI ;
la PSSI donne un socle commun de mesures prises face au risque pour susciter la confiance des collaborateurs et des prestataires vis-à-vis du SI. À ce titre, une PSSI favorise la création de valeur pour l’entreprise en facilitant les collaborations avec son écosystème.
Vous l’aurez compris, une PSSI est un document exposant la vision stratégique des dirigeants de l’entreprise en termes de SSI.
D'accord, mais concrètement, que peut-on s’attendre à y trouver ?
Appréhendez un plan type de PSSI
Il existe de nombreuses variantes possibles pour une PSSI. Ne soyez donc pas étonné de trouver plusieurs déclinaisons différentes dans la littérature. Pour autant, vous trouverez bien souvent les mêmes grandes lignes. Je vous propose donc un plan type que vous pourrez adapter aux besoins particuliers de votre entreprise.
Il est principalement constitué de deux grands axes :
| Titre | Objectifs | Contenu |
1 | Cadre de la PSSI | Expliciter le rôle de la PSSI pour l’entreprise Déterminer le périmètre d’application de la PSSI |
|
1.1 | Mot de la direction | Montrer l’implication du top management. Expliciter la démarche. | Texte montrant l’importance de la démarche de PSSI pour l’organisme (Proposé par le RSSI et validé par la direction) Prise de conscience des utilisateurs (phase 1) |
1.2 | Enjeux et champ d’application de la PSSI | Déterminer le champ d’application. Décliner les composants du SI à sécuriser en priorité ainsi que les risques associés. | Objet de la PSSI ;(phase 1) Activités de l’entreprise (métier et support) à intégrer et celles à exclure du périmètre de la PSSI. (phase 1) Bilan des catégories de biens à protéger (phase 2) |
| |||
2 | Contexte | Fixer le périmètre du SI auquel doit s’appliquer la PSSI. Expliciter les enjeux de sécurité de l’entreprise. Préciser le cadre légal à respecter Affirmer les risques identifiés |
|
2.1 | Enjeux de sécurité | Préciser pourquoi il est important, pour les activités de l’entreprise, de prendre en compte la sécurité. | Les contraintes liées au contexte, aux obligations de la structure, à l’environnement, etc. peuvent également être mentionnées ici si elles sont susceptibles de conditionner les attentes en termes de SSI. (phase 1) |
2.2 | Cadre légal, réglementaire et obligations contractuelles | Identifier les principaux textes, lois et règlements qui imposent des contraintes vis-à-vis de l’usage du Si de l’entreprise. | Textes législatifs majeurs :
Normes particulières :
Les obligations contractuelles de l’entreprise vis-à-vis de ses clients ou partenaires (RSE par exemple) (phase 1) |
2.3 | Principaux risques | Lister les principaux risques pesant sur le SI, hiérarchisés par niveau de risque, afin de définir les priorités de mise en place des mesure de sécurité. | Origine des risques : En s’appuyant sur la méthodologie EBIOS (https://www.ssi.gouv.fr/guide/la-methode-ebios-risk-manager-le-guide/),vous y listerez les origines humaines délibérées, accidentelles et non humaines. Principaux risques identifiés : Issus d’une analyse de risque et proposée sous forme tabulaire, vous devrez aborder les événement redoutés, les scénarios envisagés le cas échéant, les niveaux de gravité et de vraisemblance. Stratégie de traitement des risques : Pour chaque risque identifié, vous devrez préciser l’option de stratégie macroscopique choisi (réduction, transfert, évitement, maintien). Tout cela s’effectue en phase 3. |
| |||
3 | Exigences et règles de sécurité | Énoncer les exigences et mesures prises en compte pour limiter les risques | Regroupées par thématiques (au sens ISO 27002 du terme que l’on verra), les exigences de sécurité applicables au périmètre de l’entreprise et les mesures mises en oeuvre pour les amoindrir. |
| |||
4 | Annexes | Attacher au document des éléments particuliers | Responsable sécurité de l’entreprise Glossaire Matrice de la couverture exigences / risques Phase 4 |
Ce chapitre vous a permis de comprendre ce qu’est une PSSI et quels enjeux elle permet de cadrer. Je vous ai également proposé un plan type qui permet de fixer le contenu du document et que l’on remplira au fur et à mesure.
À la lecture de ce chapitre, vous avez également compris entre les lignes que la rédaction d’une PSSI s’appuie aussi sur l’utilisation de normes du domaine de la sécurité de l'information : la famille des normes 2700x. Pour compléter votre vision de la PSSI, je vous propose donc, dans le chapitre suivant d’aborder ces normes et de voir leurs liens avec la PSSI.
En résumé :
une politique de sécurité des systèmes d’information (PSSI) reflète la vision stratégique de la direction de l’organisme en matière de sécurité des systèmes d'information (SSI) et de gestion de risques SSI. Elle décrit en effet les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d'information de l'organisme ;
Concrètement, on y trouve :
la définition des enjeux d’une PSSI au regard de l’entreprise, son champ d'application et un inventaire des biens (physiques mais aussi organisationnels) à protéger,
une analyse du contexte réglementaire de l’entreprise et des risques qui pèsent sur le SI,
la déclinaison des enjeux précédents en exigences et mesures de sécurité.
