Lors des parties précédentes, vous avez appris ce qu’est un document de PSSI, comment le rédiger et également comment mettre en place un plan d’action pour atteindre la cible souhaitée, de manière échelonnée dans le temps.
Dans cette partie, je vous propose d’aborder un dernier élément important : la vie de votre PSSI. En premier lieu, dans ce chapitre, j’aimerais vous expliquer pourquoi il est nécessaire d’améliorer et de faire vivre le document PSSI.
Assurez l’actualité de votre PSSI
Vous vous en doutez certainement, la PSSI n’est pas un document figé. Heureusement, elle suit l’évolution du contexte de l'entreprise à laquelle elle s’applique, de manière à toujours être en phase avec l’activité de la structure. Que vaudrait un document obsolète qui ne prendrait pas en compte des changements majeurs d’activité ?
Mais concrètement, quelles sont les raisons qui militent pour une revue régulière de la politique de sécurité des systèmes d'informations de mon entreprise ?
La réglementation
Le périmètre légal et réglementaire que vous avez décrit dans la PSSI peut être amené à changer au fil du temps. De nouveaux textes peuvent apparaître, et d’anciens règlements ou normes peuvent être abandonnés.
À titre d’exemple, l’arrivée du RGPD en 2018 a changé significativement la manière dont les entreprises doivent traiter les données personnelles, en imposant de nouvelles contraintes sur le SI.
Les activités de l’entreprise
Un nouveau prestataire entre en relation avec l'entreprise, la direction décide de développer une nouvelle activité qui va affecter les moyens informatiques et les personnels… Autant de changements qui ont un impact sur la sécurité du SI, et qui doivent être pris en compte.
À ce titre, certaines entreprises ont fait le choix de déplacer la fonction de RSSI, de la DSI où il est traditionnellement placé, vers des fonctions de plus haut niveau (direction de la stratégie, ou comité de direction).
Les menaces
De nouveaux risques pèsent sur le SI ? L’accroissement de la sensibilisation d'utilisateurs permet la prise en compte de mesures de sécurité plus efficaces ? Le retour d’expérience sur les incidents de sécurité permet d’envisager une adaptation des mesures de sécurité en place dans la version actuelle de la PSSI ? Dans ces cas également, la PSSI doit être mise à jour.
Bref, vous l’aurez compris, l’activité de votre entreprise évolue naturellement avec son environnement. La PSSI se doit de l’accompagner dans ces nouveaux enjeux pour toujours être en adéquation, et proposer des exigences et des mesures en cohérence permanente avec le contexte.
Améliorez l’hygiène cybernétique
Un autre élément important qui contribue à l’amélioration continue de la PSSI : l’hygiène cybernétique des utilisateurs. La sensibilisation des utilisateurs du SI autour des risques, des mauvaises habitudes et des bonnes pratiques est un enjeu majeur pour l’entreprise. Croyez-en mon expérience de directeur IT, la majorité des incidents de sécurité sur le SI est liée à une intervention humaine.
Je vous suggère la démarche suivante :
au moins une fois par an, en fonction de la taille de votre entreprise, réservez des moments privilégiés réservés, où vous aborderez lors d’une réunion les sujets majeurs en termes de SSI :
réglementation, principaux risques, bonnes pratiques, enjeux de SSI pour l’entreprise, informations sensibles de l’entreprise, politique de mot de passe ;réalisez des ateliers plus réguliers, où vous serez en mesure de faire des focus en développant un thème particulier en fonction d’une audience plus ciblée (l’intégration de la sécurité pour les chefs de projet, le développement sécurisé pour les développeurs).
De cette manière, en tant que RSSI, vous contribuez à la montée en compétences des équipes en termes de SSI et, en conséquence, à l’augmentation du niveau global de sécurisation du SI.
Organisez vos documents de travail dans le temps
La situation suivante est l’apanage quotidien de nombre de managers : le document que vous avez sous les yeux n’est pas clair ; s’agit-il d’un document de travail ou en vigueur ? Quelle est la dernière version du document ? S’il s’agit d’un document en vigueur, qui en est l’auteur et qui l’a vérifié ?
Bref, que de temps perdu à rechercher ces informations avant de mettre en œuvre une action !
Pour pallier cette situation et améliorer la gestion documentaire de manière générale et celle de la PSSI en particulier, je vous suggère de respecter une méthodologie solide basée sur mon expérience de directeur IT, que je vous propose sous le workflow suivant :
Dans ce chapitre, vous avez été sensibilisé à l’importance de la mise à jour régulière de la PSSI. Vous avez également appris que l’hygiène cybernétique des utilisateurs et les aspects méthodologiques de gestion documentaire contribuent significativement à l’amélioration continue de la sécurité.
Dans le prochain chapitre, j’aimerais vous présenter comment l’élaboration de la PSSI et son amélioration durable s’inscrivent dans une démarche plus globale de mise en place d’un système de management de la sécurité de l’information.
En résumé :
en raison de l’évolution naturelle de la PSSI avec les activités et l’environnement de l’entreprise, il est essentiel que le RSSI réalise une veille à la fois réglementaire, mais aussi en cyber sécurité ;
l’hygiène cybernétique contribue à élever le niveau des utilisateurs dans leurs connaissances des bonnes pratiques, de la réglementation et des différentes menaces. Le rôle du RSSI est d’organiser des actions de sensibilisation sur ces différents aspects ;
pour faciliter la gestion documentaire de la PSSI, il est conseillé d’adopter de bonnes pratiques méthodologiques. Cette démarche peut être avantageusement utilisée pour la PSSI.