Définissez la politique de sécurité de votre entreprise

Table des matières

Table des matières

Formulez les objectifs de sécurité alignés avec la stratégie de l’entreprise

Bravo ! Si vous lisez ces lignes, c’est que vous avez survécu à la phase de diagnostic.

La PSSI n’est pas un document arbitraire : chaque règle vient d’un risque.

Votre déroulé :

Illustration en escalier montrant la hiérarchie d’un cadre de sécurité : de la matrice des risques jusqu’aux règles et exigences, en passant par les objectifs, responsabilités et la structure thématique.
La progression structurée

Rappelez-vous le chemin parcouru : dans les chapitres précédents, vous avez enfilé votre costume de stratège pour comprendre le terrain de votre PME industrielle. Vous avez ensuite défini un "socle de sécurité" pour colmater les brèches urgentes, et enfin, vous avez cartographié les menaces qui pèsent sur l'usine, comme le fameux ransomware ou l'arrêt de l'ERP.

Vous disposez désormais d'une matrice des risques claire. Mais attention, ne courez pas tout de suite voir votre direction avec une liste de catastrophes potentielles !

Dans ce chapitre, nous allons opérer ce virage crucial. Nous allons traduire vos scénarios de risques en objectifs concrets, aligner ces objectifs avec la stratégie de croissance de l'entreprise, définir comment mesurer le succès, et enfin, faire valider le tout officiellement.

Prêt à transformer l'essai ? C’est parti !

Dérivez les objectifs à partir des risques majeurs

Vous avez terminé le chapitre précédent avec une matrice des risques identifiant, par exemple, le ransomware sur la chaîne de production comme un risque "Extrême". C'est un excellent point de départ, mais ce n'est pas un objectif.

Pour formuler vos objectifs, reprenez votre matrice et appliquez une logique de maîtrise dans le temps. En effet, on ne sécurise pas tout en un jour. Il est essentiel de découper vos ambitions pour ne pas décourager les équipes ni la direction.

Illustration en escalier des objectifs de sécurité dans le temps : court terme (urgence, 0-6 mois), moyen terme (structuration, 6-18 mois), long terme (maturité et valorisation, 18 mois+), avec une flèche ascendante vers la maturité et la sécurité.
Frise chronologique en 3 temps

1. Les objectifs à court terme (0 - 6 mois) : Le socle et l'urgence

Ici, on s'attaque aux risques classés "rouges" ou "critiques". L'objectif est de réduire la probabilité immédiate d'un incident grave.

  • Risque : Phishing et vol d'identifiants.

  • Objectif dérivé : "Verrouiller les accès distants critiques avant la fin du trimestre."

  • Action concrète : Déploiement du MFA (Authentification multifacteur) et campagne de sensibilisation "flash".

2. Les objectifs à moyen terme (6 - 18 mois) : La structuration

Une fois l'incendie éteint, on construit des murs coupe-feu. Vous visez ici à réduire l'impact des incidents et à structurer les processus.

  • Risque : Ransomware bloquant la production.

  • Objectif dérivé : "Garantir la reprise d'activité industrielle en moins de 4 heures en cas de sinistre."

  • Action concrète : Segmentation du réseau (séparer l'informatique de bureau et les automates de l'usine) et industrialisation des tests de restauration de sauvegardes.

3. Les objectifs à long terme (18 mois et +) : La maturité et la valorisation

C'est ici que la sécurité devient un atout concurrentiel. On vise l'amélioration continue et la conformité avancée.

  • Risque : Perte de marchés due à une exigence client non satisfaite (ISO 27001).

  • Objectif dérivé : "Obtenir une certification de sécurité reconnue pour accéder aux marchés grands comptes."

  • Action concrète : Mise en place d'un SMSI (Système de Management de la Sécurité de l'Information) complet.

❌ Exemple : Mauvais objectif : “Installer un firewall moderne.”  => Analyse : Trop technique, pas aligné métier, pas mesurable.

✔️ Exemple : Bon objectif : “Réduire de 80 % les risques d’intrusion sur les accès sensibles d’ici 6 mois.”

En reformulant les risques sous forme d'objectifs de maîtrise, vous changez la dynamique de la discussion. Vous ne demandez plus de l'argent pour "avoir moins peur", mais pour "construire quelque chose de solide". C'est la première étape vers l'alignement stratégique.

Alignez sécurité et stratégie d’entreprise

Maintenant que vous avez vos objectifs de sécurité, il faut vérifier qu'ils "collent" avec la réalité de l'entreprise. C'est l'étape la plus souvent négligée par les techniciens, et pourtant c'est la clé du budget !

Rappelez-vous le contexte : vous êtes dans une PME industrielle en pleine transformation numérique. La direction veut moderniser l'outil de production, peut-être connecter les machines au Cloud pour faire de la maintenance prédictive, et conquérir de nouveaux clients exigeants.

Si votre objectif de sécurité est de "Tout verrouiller et interdire le Cloud", vous allez à l'encontre de la stratégie de l'entreprise. Vous serez vu comme un frein, le fameux "Non, on ne peut pas" de la DSI.

La sécurité comme levier de performance ("Business Enabler")

Votre rôle est de montrer les interactions positives entre sécurité et performance économique. Reprenons nos piliers DICT vus précédemment :

  • Pour la Direction Commerciale : La stratégie est de signer avec de gros donneurs d'ordre ?

    • Argument sécurité : "Nos objectifs de conformité et de confidentialité (protection des données clients) sont des prérequis pour répondre aux appels d'offres de ces grands groupes."

    • L'alignement : La sécurité fait vendre.

  • Pour la Direction de Production : La stratégie est d'augmenter la cadence et de réduire les pannes ?

    • Argument sécurité : "Notre objectif de disponibilité et d'intégrité des automates garantit que la transformation numérique n'introduira pas de nouveaux bugs qui arrêteraient la chaîne."

    • L'alignement : La sécurité protège le chiffre d'affaires.

  • Pour la Direction Financière : La stratégie est de pérenniser l'entreprise ?

    • Argument sécurité : "En traitant le risque ransomware, nous évitons des pertes d'exploitation qui pourraient nous coûter jusqu'à 15 jours de CA, sans parler de l'image."

    • L'alignement : La sécurité est une assurance-vie.

Et si la direction ne voit que le coût ?

C'est classique. Répondez par le coût de l'inaction. Demandez simplement : "Combien nous coûte une journée d'arrêt complet de l'usine ?". Comparez ce chiffre au budget de votre plan d'action. Le retour sur investissement (ROI) devient souvent évident.

Pour valider cet alignement, n'attendez pas la réunion finale. Allez voir les directeurs métiers (Production, RH, Commerce) de manière informelle. Demandez-leur : "Si je sécurise ce processus, est-ce que ça t'aide à atteindre tes objectifs annuels ?". Si la réponse est oui, vous avez gagné un allié pour la soutenance finale.

Définissez des indicateurs de suivi

Un objectif sans indicateur n'est qu'un souhait pieux. Pour piloter votre stratégie et prouver à la direction que l'argent est bien dépensé, vous devez mesurer l'avancement.

C'est comme le tableau de bord d'une voiture : vous avez besoin de savoir à quelle vitesse vous allez (opérationnel) et si vous avez assez d'essence pour arriver à destination (stratégique).

Distinguez les niveaux d'indicateurs

Il ne faut pas noyer le comité de direction sous des détails techniques. Vous devez préparer deux niveaux de lecture :

Illustration d’un iceberg représentant deux niveaux d’indicateurs : stratégiques (KRIs) visibles pour la direction générale, et opérationnels (KPIs) pour l’équipe IT, plus nombreux et situés sous la surface.
Ce qu’on voit et ce qu’on gère

1. Les Indicateurs Opérationnels (KPIs techniques) Ils sont pour vous et l'équipe IT. Ils mesurent la performance des mesures mises en place.

  • Exemple : % de postes de travail disposant de l'antivirus à jour.

  • Exemple : Nombre de vulnérabilités critiques non corrigées depuis plus de 30 jours.

  • Exemple : Taux de réussite aux tests de phishing (combien ont cliqué ?).

2. Les Indicateurs Stratégiques (KRIs - Key Risk Indicators) Ils sont pour la direction générale. Ils mesurent la réduction du risque et l'atteinte des objectifs métiers. Ils doivent être compréhensibles par un non-informaticien.

  • Au lieu de dire : "Nous avons bloqué 1500 malwares."

  • Dites : "Taux de disponibilité des services critiques (ERP, Production) : 99,9%."

  • Au lieu de dire : "Déploiement GPO terminé."

  • Dites : "Niveau de maturité de la protection contre le ransomware (Score sur 5)."

  • Indicateur business : "Délai moyen de réponse aux questionnaires sécurité des clients." (Si ce délai baisse, vous aidez les commerciaux !).

Construisez votre tableau de bord synthétique

Votre tableau de bord de direction doit tenir sur une seule page. Utilisez des codes couleurs simples (les fameux feux tricolores : Vert / Orange / Rouge) pour que l'état de santé de la sécurité soit lisible en 3 secondes.

Préparez ces indicateurs avant d'aller voir la direction. En proposant d'être mesuré, vous montrez votre professionnalisme et votre confiance dans votre plan d'action. Vous ne demandez pas un chèque en blanc, vous proposez un contrat de performance.

Validez les objectifs avec la direction

C'est le moment de vérité. Vous avez vos objectifs dérivés des risques, ils sont alignés avec le business, et vous avez vos indicateurs. Il faut maintenant obtenir le "Go" officiel, c'est-à-dire le budget et l'autorité politique.

Cette étape prend souvent la forme d'une réunion de cadrage ou d'un comité de direction (Codir). Ne la sous-estimez pas : une PSSI non validée par la direction est un document qui restera dans un tiroir.

Préparez une présentation pédagogique

Votre support doit être percutant. Oubliez la technique, parlez risques et opportunités. Structurez votre discours en trois temps (la méthode du "Sandwich") :

  1. Le constat (Le Pain) : "Voici les menaces réelles qui pèsent sur notre usine (Ransomware, vol de données)." Rappelez les enjeux vus précédemment.

  2. La solution (La Garniture) : "Voici les objectifs que nous nous fixons pour protéger l'activité et accompagner la transformation numérique." Présentez vos 3 objectifs phares.

  3. Le bénéfice (Le Pain) : "Grâce à ce plan, nous garantissons la production et rassurons nos clients."

Formalisez l'engagement : La Note de Cadrage

La validation orale ne suffit pas ("Oui oui, c'est bien, faites au mieux"). Vous devez obtenir une trace écrite. C'est le rôle de la Note de Cadrage de la sécurité. C'est un document court (2 à 4 pages) qui synthétise :

  • Le contexte et les enjeux.

  • Les objectifs stratégiques validés.

  • Les ressources allouées (budget, hommes).

  • La gouvernance (qui décide quoi).

Faire signer ce document par le Directeur Général est un acte symbolique fort. Cela signifie que la sécurité n'est plus "votre" problème, mais un enjeu d'entreprise porté par le plus haut niveau. Vous pourrez ensuite utiliser cette signature pour faire appliquer les règles auprès des équipes réticentes ("C'est validé par le DG").

À vous de jouer !

Contexte

Nous retrouvons notre PME industrielle. Après votre diagnostic choc (le mot de passe sur Post-it !) et votre cartographie des risques (le ransomware en tête de liste), vous avez rendez-vous avec le Directeur Général, Monsieur Martin, et la DAF, Madame Durand. Ils sont d'accord sur le principe qu'il faut agir, mais ils veulent savoir concrètement où vous les emmenez avant de signer le budget de l'année. Ils vous demandent une Note de Cadrage synthétique (1 page) pour formaliser le cap à suivre.

Consignes

Rédigez cette note de cadrage. Elle doit comporter :

  1. Le Rappel du Contexte : En une phrase, liez la sécurité à l'activité de l'usine.

  2. 3 Objectifs Stratégiques Prioritaires : Dérivés directement de vos risques (P1C4) et classés par horizon de temps (Court / Moyen / Long terme).

  3. Les Indicateurs de Réussite (KPIs) : Un indicateur clair pour chaque objectif.

  4. L'Engagement : Une phrase finale invitant à la signature pour validation.

Prenez le temps de bien formuler vos objectifs pour qu'ils soient "business-friendly". Je vous attends pour le corrigé !

En résumé

  • Les objectifs de sécurité ne sortent pas du chapeau : ils sont dérivés directement des risques majeurs identifiés (Ransomware, vol de données, etc.) pour les traiter.

  • Pour être acceptés, ces objectifs doivent être alignés avec la stratégie de l'entreprise (business enabler) et montrer qu'ils protègent la valeur (production, image, CA).

  • Il est crucial de définir des indicateurs de suivi (KPIs/KRIs) distincts : opérationnels pour l'équipe technique, et stratégiques pour le comité de direction.

  • La démarche se conclut par une validation formelle (Note de Cadrage) signée par la direction, qui donne au Responsable Sécurité le mandat et la légitimité pour agir.

Maintenant que vous avez votre mandat en poche et une direction qui vous soutient, il est temps de rentrer dans le dur du sujet. Dans le prochain chapitre, nous allons voir comment définir le périmètre et la portée de votre PSSI. On continue ! 🙂

Avez-vous une suggestion pour nous ?
Et si vous obteniez un diplôme OpenClassrooms ?
  • Formations jusqu’à 100 % financées
  • Date de début flexible
  • Projets professionnalisants
  • Mentorat individuel
Trouvez la formation et le financement faits pour vous
Être orientéComparez nos types de formation