PSSI informatique, la stratégie infaillible pour assurer la sécurité de votre système d'information

Selon le groupe Delta, depuis le début de la crise sanitaire, le nombre de cybermenaces a augmenté de… 400 % ! Et il n’y a pas un jour sans que la presse ne relate les enjeux liés à la sécurité informatique ou encore à la protection des données.

Bien sûr, si la menace touche beaucoup les particuliers, elle pèse aussi grandement sur les entreprises. À tel point que nombre d’entre elles font le choix de mener des actions concrètes et systématiques en ce sens.

La mise en place d’une PSSI informatique est l’une d’entre elles.

Responsables du SI, en quoi consiste concrètement une Politique de Sécurité des Systèmes d’Information ? Comment la rédiger et la déployer au sein de votre organisation ?

Cet article répond à toutes ces questions, avec en prime un Livre Blanc à télécharger ainsi que des exemples de Politique de Sécurité des Systèmes d’Information pour vous inspirer.

La PSSI, ou Politique de Sécurité des Systèmes d’Information, se définit comme un document de référence :

• reflétant la vision stratégique et les objectifs d’une organisation en matière de sécurité des systèmes d’information (SSI) ;
• définissant les règles de sécurité à adopter.

Ces principes de sécurité, élaborés suite à l’analyse des risques et des spécificités de la structure, se traduisent ensuite en plan d’action, qui permettra à tous d’appliquer de bonnes pratiques.

La PSSI constitue donc une démarche à la fois :

• stratégique, validée par la direction ;
• et opérationnelle, qui impacte tous les acteurs des systèmes d’information en service.

💡 À savoir : cette politique s’applique à tout type d’organisation : PME, PMI, industrie, administration, organisme, etc.

Pour vous inspirer et comprendre tout ce qu’implique la rédaction et la mise en œuvre d’une PSSI, vous trouverez de nombreux exemples sur la toile.

En voici quelques-uns :

👉  La PSSI de l’université de Poitiers (exemple PDF)

👉  La PSSI du CNRS

💡 [Bonus] : vous voulez en savoir plus sur la PSSI informatique et sur son exécution opérationnelle ? Vous souhaitez connaître les outils qui peuvent vous accompagner dans cette tâche et les bons indicateurs à suivre pour mesurer l’avancée de vos actions ?

Téléchargez gratuitement notre Livre Blanc Piloter le plan d’action de votre feuille de route Sécurité PSSI, co-écrit avec VIRAGE Group, éditeur de Project Monitor.

Les derniers mois ont été marqués par une croissance inquiétante des cyberattaques, et par leur niveau de professionnalisation de plus en plus élevé.

À titre d’illustration, des experts de l’ANSSI ont constaté que le nombre d’intrusions critiques dans les organisations françaises a augmenté de 37 % entre 2020 et 2021 (786 en 2020 contre 1082 en 2021).

Cette hausse s’explique à la fois par :

• l’évolution et l’amélioration constante des aptitudes des acteurs malveillants ;
• les multiples opportunités offertes par le développement de la transformation digitale des organisations et le rôle de plus en plus important qu’y jouent les systèmes d’information. Ce qui va souvent de pair avec des pratiques (involontairement) dangereuses de la part des collaborateurs…

D’où l’intérêt de mettre en place une PSSI, tant elle offre aux entreprises les clés pour maintenir un bon niveau de sécurité pour leurs systèmes d’information.

Dans ce contexte de plus en plus critique, la rédaction d’une Politique de Sécurité des Systèmes d’Information est l’occasion :

• d’évaluer les risques qui pèsent sur l’entité ;
• de détecter les failles éventuelles ;
• de déterminer les objectifs à atteindre en termes de SSI ;
• de prendre en conséquence les mesures préventives et correctives nécessaires, par le biais d’un plan d’action.

En parallèle, la PSSI a pour but d’être diffusée à l’ensemble des acteurs du système d’information en service. En ce sens, elle constitue un excellent outil de communication, pour que chacun :

• obtienne le même niveau d’information et prenne connaissance des bons usages en matière de sécurité SI ;
• sache comment réagir en cas de problème.

Chaque structure est différente et compose avec ses propres particularités et contraintes. La Politique SSI s’élabore alors sur mesure, et on rencontre de nombreuses variantes sur internet.

Toutefois, on détecte aussi de grandes lignes similaires, en partie issues du Guide de sécurité des systèmes d’information élaboré par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) entre 2002 et 2004.

Plus concrètement, une PSSI doit généralement contenir les 3 parties suivantes :

On y retrouve l’ensemble des éléments qui définissent les spécificités de l’entreprise et du SI concerné, à savoir :

• ses enjeux,
• ses besoins,
• ses contraintes.

En somme, cette introduction porte la vision stratégique de l’organisation.

Plus précisément, voici les différents éléments à y faire figurer :

Une PSSI informatique peut avoir des périmètres d’application variés et se rapporter, par exemple, à la totalité du système d’information ou seulement à une partie.

Il s’agit notamment de vous demander :

• Qui est en charge de la rédaction de la PSSI ?
• À qui est-elle destinée ?
• De quelle manière impactera-t-elle les collaborateurs ?

Voici le cœur du sujet.

Les enjeux de sécurité se basent sur la situation propre de l’entreprise, et en tracer les contours implique d’examiner :

• son environnement,
• le patrimoine à protéger,
• l’importance de la sécurité au regard du contexte interne et externe.

Une PSSI se construit conformément aux règles et normes qui imposent certaines pratiques en matière de gestion du système d’information. Par exemple, côté protection des données personnelles, on pense aux prescriptions du RGPD ou encore de la CNIL.

Il peut aussi s’agir des règles édictées par votre propre règlement intérieur.

Enfin, mentionnons les nombreux référentiels qui fournissent un cadre aux actions de sécurité. Quelques exemples :

👉  PSSI et ISO 27001 : la norme ISO 27001 accompagne l’élaboration d’une Politique de Sécurité du Système d’Information, notamment l’identification des bonnes mesures de sécurité, en faisant état des exigences pour mettre en place une SMSI (Système de Management de la Sécurité de l’Information) efficace.

👉  PSSI et ANSSI : l’ANSSI, qui fait office d’autorité nationale de sécurité et de défense des systèmes d’information, présente sur son site de nombreux textes réglementaires ainsi que des conseils autour des grandes thématiques du domaine.

Une PSSI informatique induit de dresser un état des lieux des risques qui planent sur l’organisation. Le document doit donc faire mention :

• de ces différentes menaces,
• de leur degré de criticité,
• du patrimoine qu’elles peuvent impacter,
• des divers scénarios envisagés,
• des actions à mener pour réduire ou éviter ces risques.

Il convient ensuite de mettre en place une hiérarchisation, dans l’objectif de prioriser les opérations au moment de passer au plan d’action.

Toujours selon le Guide de sécurité des systèmes d’information, vient ensuite une deuxième partie relative à la méthodologie.

Plus précisément, elle consiste à présenter vos dispositions pour conduire votre projet PSSI et élaborer les différentes règles de sécurité qui en découleront.

Ce dernier point se révèle crucial, car il touche à l’opérationnel en édictant les grands principes à respecter au quotidien, déclinés en règles adaptées au contexte de sécurité.

Ces principes concernent principalement 16 domaines, regroupés en 3 champs d’action principaux :

• Les principes organisationnels :
  • La politique de sécurité,
  • L’organisation de la sécurité,
  • La gestion des risques SSI,
  • La sécurité et le cycle de vie du logiciel,
  • L’assurance et la certification.
• Les principes de mise en œuvre :
  • Les aspects humains,
  • La planification de la continuité des activités,
  • La gestion des incidents,
  • La sensibilisation et la formation,
  • L’exploitation,
  • Les aspects physiques et environnementaux.
• Les principes techniques :
  • L’identification et l’authentification,
  • Le contrôle d’accès logique aux biens,
  • La journalisation,
  • Les infrastructures de gestion des clés cryptographiques,
  • Les signaux compromettants.

Vous l’aurez compris, le respect de chacun de ces principes implique la définition des règles de sécurité qui composeront la PSSI, celles que les collaborateurs seront tenus de respecter au quotidien.

💡 À savoir : d’après la DCSSI, une PSSI inclut une 4e partie correspondant à la liste des documents de références de la SSI. L’occasion de joindre les règles, normes et autres textes législatifs évoqués précédemment.

On vient de voir que de nombreuses règles découlent de la vision stratégique de la PSSI, et vous pourriez être tenté de vous lancer à bras le corps dans leur mise en application.

Oui mais voilà, dans ces conditions, difficile de garantir à 100 % la maîtrise de la déclinaison de la stratégie globale, des opérations ou encore du budget.

D’où l’intérêt de déployer votre plan d’action PSSI de façon progressive, un peu à la manière d’une gestion de projet.

De la sorte, vous :

• priorisez et planifiez les mesures à appliquer grâce à la fixation de jalons (car toutes ces mesures ne seront pas déployées de manière simultanée !) ;
• évaluez l’avancée des opérations ;
• communiquez sur cette avancée, notamment avec la direction.

Plusieurs étapes constituent ce plan d’action.

Vous l’aurez compris, la sécurité des systèmes d’information revêt une dimension holistique.

Par conséquent, si la PSSI est impulsée par la direction et le responsable de la sécurité du système d’information, elle implique également l’intervention d’autres acteurs, à commencer par les directions métiers qui ont un important rôle opérationnel à jouer.

De ce fait, à chaque règle de sécurité, le responsable SI est tenu de déterminer toutes ces parties prenantes concernées et le patrimoine à protéger associé.

À l’instar de n’importe quelle gestion de projet, il convient par la suite de caractériser les ressources que l’exécution du plan d’action va mobiliser, qu’il s’agisse de ressources :

• humaines,
• matérielles,
• ou logicielles.

Comme vous ne pouvez pas tout mener de front, priorisez les règles de sécurité à mettre en œuvre, puis planifiez le tout dans le temps, notamment à l’aide de jalons.

💡 Sur quels critères hiérarchiser ces règles ? Divers éléments peuvent être pris en compte :

• le degré d’urgence,
• le nombre de ressources que nécessite l’exécution de la règle,`
• la facilité de déploiement, etc.

Il ne s’agit pas d’une étape à proprement parler, mais votre plan opérationnel (tout comme votre PSSI d’ailleurs) doit s’inscrire dans une démarche d’amélioration continue, et ne pas rester figé dans le temps.

Afin d’accompagner au mieux l’évolution de votre organisation, mais aussi celle des risques cyber, on vous suggère de remettre régulièrement en question vos choix et dispositions, puis d’apporter des actions correctives.

La Politique de Sécurité des Systèmes d’Information se définit donc à la fois comme un document de référence et une démarche globale œuvrant à la protection ainsi qu’à la performance du SI.

Elle se structure autour d’une solide vision stratégique, co-construite entre la direction et les acteurs du système d’information, et prend en compte les spécificités de l’entité ainsi que le contexte de sécurité dans lequel elle évolue.

Mais il n’est pas uniquement question de stratégie ! La force du PSSI informatique réside aussi dans sa déclinaison en plan d’action opérationnel.

Ce dernier, mené telle une gestion de projet, apporte une réponse efficiente aux enjeux de sécurité de l’entreprise. Inscrit dans une démarche d’amélioration continue, il la prépare alors à ses défis futurs.