Définissez la politique de sécurité de votre entreprise

Table des matières

Table des matières

Rédigez une PSSI claire, structurée et accessible

Dans le chapitre précédent, vous avez réalisé un travail d'architecte formidable. Vous avez défini la structure thématique de votre Politique de Sécurité des Systèmes d'Information (PSSI) en l'alignant sur les risques majeurs de votre usine (comme le ransomware ou l'arrêt de production). Mieux encore, votre Directeur Général, Monsieur Martin, a validé ce plan.

Vous voilà maintenant face à votre écran, le curseur clignotant sur une page blanche. C'est le moment de passer de la conception à la formalisation.

Cependant, un piège vous guette : celui de rédiger un document administratif indigeste, rempli de jargon juridique et technique, que personne ne lira jamais. Si votre PSSI finit au fond d'un tiroir ou sert à caler l'écran du responsable logistique, vous aurez échoué.

Dans ce chapitre, nous allons voir comment rédiger ce document pour qu'il soit un outil vivant. Nous aborderons le style d'écriture (pédagogique et direct), la structure idéale pour accrocher le lecteur, la longueur critique à ne pas dépasser, et comment décliner ce document pour les différents métiers de votre PME.

Prêt à devenir la plume de la sécurité ? C'est parti !

Adoptez une méthode de rédaction pédagogique

La première règle pour être lu est d'être lisible. Trop souvent, les experts en cybersécurité écrivent pour d'autres experts. Mais dans votre PME, votre lecteur est un comptable, un ouvrier qualifié sur une machine-outil, ou un commercial toujours en déplacement. Ils ne parlent pas le "TCP/IP" ni le "Cryptographie RSA".

Pour rédiger votre PSSI, vous devez adopter une approche "centrée utilisateur" (User Centric).

1. Bannissez le jargon technique

Votre objectif est de faire passer un message, pas d'étaler votre science. Si un terme technique est indispensable, définissez-le. Sinon, remplacez-le par un mot du quotidien.

  • Évitez : "L'utilisateur doit implémenter des mécanismes d'obfuscation sur ses secrets d'authentification."

  • Préférez : "Ne partagez jamais votre mot de passe et ne l'écrivez pas sur un Post-it."

  • Évitez : "Assurer la disponibilité des actifs informationnels."

  • Préférez : "Garantir que les fichiers et logiciels sont accessibles quand vous en avez besoin pour travailler."

2. Utilisez un langage clair et direct

Privilégiez la voix active et les phrases courtes. Une règle doit être une instruction actionnable, pas une dissertation philosophique. Utilisez des verbes d'action : "Verrouillez", "Signalez", "Sauvegardez". Cela donne du dynamisme au texte et ne laisse pas de place à l'interprétation.

3. Pensez à la lisibilité visuelle

Un pavé de texte de 50 lignes décourage n'importe qui. Aérez votre document !

  • Utilisez des listes à puces pour énumérer les règles.

  • Mettez en gras les mots-clés importants (ex : Interdiction absolue).

  • Insérez des encadrés "Le saviez-vous ?" ou "Exemple concret" pour casser la monotonie.

En adoptant ce style, vous montrez que la sécurité n'est pas une punition administrative, mais une aide au travail quotidien. Vous respectez le temps de vos collègues en allant à l'essentiel.

Structurez le document en chapitres fonctionnels

Nous avons vu le plan théorique précédemment (Gouvernance, Actifs, etc.). Maintenant, il s'agit d'organiser ces blocs pour raconter une histoire cohérente au lecteur. Une PSSI bien structurée guide le collaborateur du "Pourquoi" vers le "Comment".

1. L'Introduction motivante (Le "Pourquoi")

Ne commencez pas directement par l'article 1. Commencez par donner du sens. La première page doit expliquer pourquoi ce document existe.

  • Rappelez les enjeux vitaux de l'usine (éviter l'arrêt de production, protéger les recettes de fabrication).

  • Mentionnez le soutien de la direction (le mandat de M. Martin).

  • Adoptez un ton bienveillant : ce document est là pour protéger l'entreprise et les emplois, pas pour fliquer.

2. Le Résumé Exécutif (Pour la direction)

Même si M. Martin a validé le principe, il ne relira pas chaque année les 20 pages de détails techniques. Il a besoin d'une synthèse. Au tout début du document, insérez un "Executive Summary" d'une page qui reprend :

  • Les objectifs stratégiques.

  • Les principaux risques couverts.

  • Les grandes responsabilités (Qui fait quoi). C'est souvent la seule page que les auditeurs ou les partenaires liront intégralement.

3. Les blocs thématiques cohérents (Le "Quoi")

Regroupez les règles par logique métier, et non par technologie.

  • Au lieu d'un chapitre "Firewall" et un chapitre "Active Directory", faites un chapitre "Contrôle d'accès".

  • Au lieu d'un chapitre "Veeam Backup" et "Disques USB", faites un chapitre "Sauvegarde et protection des données".

Cela permet à un utilisateur qui se pose une question ("Comment je protège mes fichiers ?") de trouver la réponse à un seul endroit, sans devoir feuilleter tout le document.

Définissez la longueur optimale de la PSSI

C'est la question que tout le monde se pose : combien de pages ? Il existe un mythe selon lequel une politique de sécurité doit être un dictionnaire pour être sérieuse. C'est faux. Plus c'est long, moins c'est lu.

1. Ciblez le juste format (10 à 20 pages)

Pour une PME industrielle comme la vôtre, une PSSI "cœur" de 10 à 20 pages est idéale.

  • En dessous de 10 pages, vous risquez d'être trop vague et de manquer de substance juridique.

  • Au-dessus de 20 pages, vous perdez l'attention du lecteur (et la vôtre lors des mises à jour !).

2. Évitez les redondances

Ne répétez pas la même règle dans trois chapitres différents. Si vous dites dans le chapitre "Accès" que le mot de passe doit faire 12 caractères, ne le redites pas dans le chapitre "Télétravail" et "Messagerie". Effectuez des renvois.

3. Privilégiez l'essentiel : Distinguez "Politique" et "Procédure"

C'est le secret pour rester concis.

  • La PSSI (Politique) : C'est la loi. Elle dit "Quoi" et "Pourquoi". Elle est stable.

    • Exemple : "Les sauvegardes des données critiques doivent être effectuées quotidiennement et externalisées."

  • La Procédure (Mode opératoire) : C'est la technique. Elle dit "Comment". Elle change souvent.

    • Exemple : "Ouvrir le logiciel Veeam, cliquer sur Job, sélectionner le serveur X..."

Ne mettez jamais les procédures techniques (captures d'écran, versions de logiciels) dans la PSSI. Mettez-les dans des documents annexes destinés aux administrateurs. Cela allège considérablement votre document maître.

Et si j'ai vraiment beaucoup de règles ?

Si votre document gonfle trop, c'est peut-être que vous essayez de traiter des cas trop spécifiques (comme la configuration des automates Siemens). Sortez ces éléments dans une "Politique spécifique industrielle" et gardez la PSSI pour les règles communes à tous.

Adaptez le contenu selon les publics lecteurs

Comme nous l'avons vu lors de la définition du périmètre, vous avez différents publics : l'opérateur d'usine, le comptable, le commercial. Ils n'ont pas la même relation au document. Vous ne pouvez pas vous contenter d'envoyer le PDF de 20 pages à tout le monde en espérant qu'ils le lisent.

Il faut faire du marketing de votre PSSI !

1. La version complète vs les extraits

  • La version complète : Elle est pour la Direction, la DSI, les Auditeurs et les Chefs de service. Elle est la référence opposable.

  • Les extraits thématiques : Pour les utilisateurs, découpez le contenu. Créez un mini-guide "Les 10 commandements de la sécurité" qui résume l'essentiel de la PSSI en une page.

2. Des supports visuels et pratiques

Adaptez le format au lieu de travail.

  • Dans les bureaux : Une "Fiche Réflexe" plastifiée sur les bureaux (Comment signaler un incident ? Comment créer un mot de passe fort ?).

  • Dans l'atelier : Des affiches visuelles près des machines ("Je ne branche pas ma clé USB perso sur l'automate", "Je ne laisse pas ma session ouverte").

  • Pour les commerciaux : Un mémo "Sécurité en voyage" (Attention aux regards indiscrets dans le train, pas de Wi-Fi public sans VPN).

3. Déclinaisons pour les projets

Lorsque l'entreprise lance un nouveau projet (ex: un nouvel outil CRM), intégrez une "Checklist PSSI" dans le dossier projet. Cela permet aux chefs de projet de vérifier qu'ils respectent les règles sans avoir à relire tout le document juridique.

En adaptant le format, vous augmentez drastiquement le taux de pénétration de vos règles. L'information vient à l'utilisateur, ce n'est pas l'utilisateur qui doit aller chercher l'information.

Préparez les politiques annexes spécifiques

Pour garder votre PSSI légère et digeste (le fameux objectif des 10-20 pages), vous devez externaliser certains sujets lourds ou très spécifiques dans des documents satellites : les politiques annexes.

C'est une approche modulaire. Votre PSSI est le tronc de l'arbre, les politiques annexes sont les branches.

1. Identifiez les sujets nécessitant une annexe

Certains thèmes évoluent trop vite ou ne concernent qu'une partie des gens.

  • La Charte Télétravail : Elle contient les détails sur le VPN, les horaires de connexion, le droit à la déconnexion.

  • La Politique BYOD (Bring Your Own Device) : Si vous autorisez les téléphones persos, les règles techniques d'enrôlement doivent être dans un document à part.

  • La Politique de Classification des Données : Un guide détaillé expliquant ce qui est "Confidentiel", "Secret" ou "Public".

2. Harmonisez la structure

Attention à la cohérence ! Ces annexes doivent avoir la même "tête" que la PSSI (même charte graphique, mêmes définitions). Elles doivent faire référence à la PSSI ("Conformément à la Politique de Sécurité Globale...").

3. Facilitez la mise à jour

L'avantage immense de cette structure, c'est l'agilité. Si demain vous changez d'outil de télétravail ou si la législation sur le BYOD évolue, vous ne mettez à jour que l'annexe concernée. Vous n'avez pas besoin de faire re-signer toute la PSSI stratégique par le Directeur Général. Vous gagnez en réactivité

À vous de jouer !

Contexte

C'est le grand jour. Vous avez finalisé la structure de votre PSSI et vous êtes prêt à rédiger. Mais avant de vous lancer dans les 15 pages de contenu, Monsieur Martin (votre DG) veut valider le ton et la forme. Il vous dit :

Je ne veux pas d'un document juridique que personne ne comprend. Je veux que la première page donne envie de lire la suite. Montrez-moi l'introduction et le sommaire final tel qu'il apparaîtra dans le document.

Consignes

Rédigez la page de garde et d'introduction de votre PSSI (environ 1 page A4 virtuelle). Elle doit contenir :

  1. Le Titre officiel du document.

  2. Le Mot du Directeur Général (Introduction) : Un texte court (150-200 mots) signé par M. Martin. Ce texte doit être mobilisateur, expliquer le "Pourquoi" (protéger l'usine, les emplois) et donner le ton bienveillant mais ferme de la démarche.

  3. Le Sommaire Structuré : Reprenez les grands blocs définis précédemment, mais avec des intitulés de chapitres clairs et engageants pour le lecteur (pas de jargon !).

En résumé

  • Pour être efficace, la PSSI doit adopter un style rédactionnel pédagogique : bannissez le jargon, utilisez la voix active et des verbes d'action pour être compris de tous les métiers.

  • La structure du document doit être logique et rassurante : commencez toujours par une introduction motivante du dirigeant et un résumé exécutif, avant de dérouler les blocs thématiques.

  • Visez une longueur optimale de 10 à 20 pages pour le document maître, en vous concentrant sur les règles politiques ("Quoi/Pourquoi") et en excluant les procédures techniques ("Comment").

  • Adaptez la diffusion aux différents publics : tout le monde ne lira pas la PSSI complète. Créez des fiches réflexes, des affiches pour l'usine et des mémos pour les commerciaux afin de rendre l'information accessible.

  • Utilisez des politiques annexes (Télétravail, BYOD) pour traiter les sujets spécifiques ou évolutifs : cela permet de garder une PSSI principale stable et légère, tout en facilitant les mises à jour.

Votre PSSI est désormais rédigée, claire et prête à être diffusée. Mais un document, aussi parfait soit-il, ne vit pas tout seul. Il faut maintenant le faire vivre auprès des équipes. Dans la prochaine partie, nous aborderons la communication et la sensibilisation pour ancrer ces règles dans la culture de l'entreprise. Bravo pour le travail accompli !

Avez-vous une suggestion pour nous ?
Et si vous obteniez un diplôme OpenClassrooms ?
  • Formations jusqu’à 100 % financées
  • Date de début flexible
  • Projets professionnalisants
  • Mentorat individuel
Trouvez la formation et le financement faits pour vous
Être orientéComparez nos types de formation