search
Le média de ceux qui réinventent l'entreprise
Référencer un logiciel

PSSI informatique, la stratégie infaillible pour assurer la sécurité de votre système d'information

PSSI informatique, la stratégie infaillible pour assurer la sécurité de votre système d'information

Par Jennifer Montérémal

Mis à jour le 7 mai 2025, publié initialement le 23 juin 2022

Selon l'Anssi, le nombre de cyberattaques a augmenté de 15 % entre 2023 et 2024 ! Et il ne se passe pas un jour sans que la presse ne relate les enjeux liés à la sécurité informatique ou encore à la protection des données.

Bien sûr, si la menace touche beaucoup les particuliers, elle pèse aussi grandement sur les entreprises. À tel point que nombre d’entre elles font le choix de mener des actions concrètes et systématiques en ce sens.

La mise en place d’une PSSI informatique est l’une d’entre elles.

Responsables du SI, en quoi consiste concrètement une Politique de Sécurité des Systèmes d’Information ? Comment la rédiger et la déployer au sein de votre organisation ?

Cet article répond à toutes ces questions.

Définition de la PSSI informatique

La PSSI, ou Politique de Sécurité des Systèmes d’Information, désigne un document de référence :

Ces principes de cybersécurité, élaborés suite à l’analyse des risques et des spécificités de la structure, se traduisent ensuite en plan d’action, qui permettra à tous d’appliquer de bonnes pratiques.

La PSSI constitue donc une démarche à la fois :

  • stratégique, validée par la direction ;
  • et opérationnelle, qui impacte tous les acteurs des systèmes d’information en service.

💡 À savoir : cette politique s’applique à tout type d’organisation : PME, PMI, industrie, administration, organisme, etc.

« Piloter le plan d’action de votre feuille de route Sécurité PSSI » par Project Monitor

Télécharger le Livre Blanc

Quels sont les enjeux liés à la PSSI informatique ?

Les derniers mois ont été marqués par une croissance inquiétante des cyberattaques, et par leur niveau de professionnalisation de plus en plus élevé.

À titre d’illustration, comme évoqué en introduction, les experts de l’Anssi ont constaté une augmentation des attaques informatiques de 15 % entre 2023 et 2024, avec environ 3 000 signalements et 1 300 incidents recensés. Quant au baromètre Hiscox, il indique que 67 % des entreprises interrogées ont été victimes d'une cyberattaque en 2024, avec une attention particulière sur les TPE/PME. 

Cette hausse s’explique à la fois par :

  • l’évolution et l’amélioration constante des aptitudes des acteurs malveillants ;
  • l'implication d'États dans des opérations d'espionnage et de sabotage ;
  • les multiples opportunités offertes par le développement de la transformation digitale des organisations et le rôle de plus en plus important qu’y jouent les systèmes d’information. Ce qui va souvent de pair avec des pratiques (involontairement) dangereuses de la part des collaborateurs.

☝️ D’où l’intérêt de mettre en place une PSSI, tant elle offre aux entreprises les clés pour maintenir un bon niveau de sécurité pour leurs systèmes d’information.

Lire aussi

Pourquoi mettre en place une Politique de Sécurité du Système d’Information ?

Dans ce contexte de plus en plus critique, la rédaction d’une Politique de Sécurité des Systèmes d’Information est l’occasion :

  • d’évaluer les risques qui pèsent sur l’entité ;
  • de détecter les failles éventuelles ;
  • de déterminer les objectifs à atteindre en termes de SSI ;
  • de prendre en conséquence les mesures préventives et correctives nécessaires, par le biais d’un plan d’action.

En parallèle, la PSSI a pour but d’être diffusée à l’ensemble des acteurs du système d’information en service. En ce sens, elle constitue un excellent outil de communication, pour que chacun :

  • obtienne le même niveau d’information et prenne connaissance des bons usages en matière de sécurité SI ;
  • sache comment réagir en cas de problème.

Comment rédiger une PSSI informatique ? 

Chaque structure est différente et compose avec ses propres particularités et contraintes. La Politique SSI s’élabore alors sur mesure, et on rencontre de nombreuses variantes sur internet.

Toutefois, on détecte aussi de grandes lignes similaires, en partie issues du Guide de sécurité des systèmes d’information élaboré par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) entre 2002 et 2004.

Ce document se compose des 4 parties suivantes : 

  • l'introduction, qui présente le rôle de la PSSI dans le cadre normatif de la SSI et en précise les fondements légitimes ;

  • la méthodologie, décrivant les étapes de mise en place d’une PSSI et proposant des recommandations pour élaborer les règles de sécurité ;

  • le référentiel des principes de sécurité, qui explique quels sont les piliers définissant les mesures de sécurité ;

  • les documents de référence, c'est-à-dire la liste les sources utiles (textes législatifs, normes, critères d’évaluation, codes d’éthique et autres documents liés à la SSI).

👉 Revenons plus en détail sur les parties « méthodologie » et « principes de sécurité »

La méthodologie

L'objectif du document ? Fournir une méthode structurée pour élaborer une Politique de Sécurité des Systèmes d’Information adaptée aux besoins spécifiques de chaque organisme.

Cette méthode repose alors sur trois grands axes :

  • l'identification des besoins de sécurité ;
  • la définition des objectifs de sécurité ;
  • la rédaction de la politique de sécurité.

👉 Voici les grandes étapes à suivre pour mener à bien votre projet :

  • La préparation de la démarche :
    • la constitution d’un groupe projet ;
    • la définition du périmètre ;
    • la sensibilisation des acteurs ;
    • la planification.

  • L'analyse des besoins de sécurité :
    • l'identification des actifs sensibles ;
    • l'évaluation des menaces et des vulnérabilités ;
    • l'estimation des impacts potentiels.

  • La définition des objectifs de sécurité :
    • la formulation d’objectifs généraux et spécifiques ;
    • l'alignement avec les enjeux métier et réglementaires.

  • La rédaction de la PSSI :
    • la structuration en chapitres thématiques (exemple : contrôle d’accès, traçabilité, protection physique, etc.) ;
    • la clarté, l'accessibilité et la pérennité du document.

  • La validation et la diffusion :
    • la validation par la direction générale ;
    • la communication auprès de tous les acteurs concernés.

  • La mise en œuvre et le suivi :
    • l'élaboration de plans d’action ;
    • le suivi de l’application et mise à jour de la politique.

Les principes de sécurité

Ce point crucial touche à l’opérationnel, en édictant les grands principes à respecter au quotidien, déclinés en règles adaptées au contexte de sécurité.

Ces principes concernent principalement 16 domaines, regroupés en 3 champs d’action principaux :

  • Les principes organisationnels :
    • la politique de sécurité ;
    • l’organisation de la sécurité ;
    • la gestion des risques SSI ;
    • la sécurité et le cycle de vie du logiciel ;
    • l’assurance et la certification.

  • Les principes de mise en œuvre :
  • Les principes techniques :
    • l’identification et l’authentification ;
    • le contrôle d’accès logique aux biens ;
    • la journalisation ;
    • les infrastructures de gestion des clés cryptographiques ;
    • les signaux compromettants.

Vous l’aurez compris, le respect de chacun de ces principes implique la définition des règles de sécurité qui composeront la PSSI, celles que les collaborateurs seront tenus de respecter au quotidien.

💡 À savoir : d’après la DCSSI, une bonne PSSI inclut une 4e partie correspondant à la liste des documents de références de la SSI. L’occasion de joindre les règles, normes et autres textes législatifs évoqués précédemment.

Comment mettre en œuvre votre Politique de Sécurité du Système d'Information ?

On vient de voir que de nombreuses règles découlent de la vision stratégique de la PSSI, et vous pourriez être tenté de vous lancer à bras le corps dans leur mise en application.

Oui mais voilà, dans ces conditions, difficile de garantir à 100 % la maîtrise de la déclinaison de la stratégie globale, des opérations ou encore du budget.

D’où l’intérêt de déployer votre plan d’action PSSI de façon progressive, un peu à la manière d’une gestion de projet.

De la sorte, vous :

  • priorisez et planifiez les mesures à appliquer grâce à la fixation de jalons (car toutes ces mesures ne seront pas déployées de manière simultanée !) ;
  • évaluez l’avancée des opérations ;
  • communiquez sur cette avancée, notamment avec la direction.

Plusieurs étapes constituent ce plan d’action.

# 1 Gérer les responsabilités

Vous l’aurez compris, la sécurité des systèmes d’information revêt une dimension holistique.

Par conséquent, si la PSSI est impulsée par la direction et le responsable de la sécurité du système d’information, elle implique également l’intervention d’autres acteurs, à commencer par les directions métiers qui ont un important rôle opérationnel à jouer.

De ce fait, à chaque règle de sécurité, le responsable SI est tenu de déterminer toutes ces parties prenantes concernées et le patrimoine à protéger associé.

# 2 Déterminer les besoins en ressources

À l’instar de n’importe quelle gestion de projet, il convient par la suite de caractériser les ressources que l’exécution du plan d’action va mobiliser, qu’il s’agisse de ressources :

  • humaines ;
  • matérielles ;
  • ou logicielles.

# 3 Prioriser les règles de sécurité et les planifier

Comme vous ne pouvez pas tout mener de front, priorisez les règles de sécurité à mettre en œuvre, puis planifiez le tout dans le temps, notamment à l’aide de jalons.

💡 Sur quels critères hiérarchiser ces règles ? Divers éléments peuvent être pris en compte :

  • le degré d’urgence ;
  • le nombre de ressources que nécessite l’exécution de la règle ;
  • la facilité de déploiement, etc.

#4 S’améliorer en continu

Il ne s’agit pas d’une étape à proprement parler, mais votre plan opérationnel (tout comme votre PSSI d’ailleurs) doit s’inscrire dans une démarche d’amélioration continue, et ne pas rester figé dans le temps.

Afin d’accompagner au mieux l’évolution de votre organisation, mais aussi celle des risques cyber, on vous suggère de remettre régulièrement en question vos choix et dispositions, puis d’apporter des actions correctives.

PSSI informatique : que retenir ?

La Politique de Sécurité des Systèmes d’Information se définit donc à la fois comme un document de référence et une démarche globale œuvrant à la protection ainsi qu’à la performance du SI.

Elle se structure autour d’une solide vision stratégique, co-construite entre la direction et les acteurs du système d’information, et prend en compte les spécificités de l’entité ainsi que le contexte de sécurité dans lequel elle évolue.

Mais il n’est pas uniquement question de stratégie ! La force du PSSI informatique réside aussi dans sa déclinaison en plan d’action opérationnel.

Ce dernier, mené telle une gestion de projet, apporte une réponse efficiente aux enjeux de sécurité de l’entreprise. Inscrit dans une démarche d’amélioration continue, il la prépare alors à ses défis futurs.

Jennifer Montérémal

Jennifer Montérémal, Editorial Manager, Appvizer

Actuellement Editorial Manager, Jennifer Montérémal a rejoint la team Appvizer en 2019. Depuis, elle met au service de l’entreprise son expertise en rédaction web, en copywriting ainsi qu’en optimisation SEO, avec en ligne de mire la satisfaction de ses lecteurs 😀 !

Médiéviste de formation, Jennifer a quelque peu délaissé les châteaux forts et autres manuscrits pour se découvrir une passion pour le marketing de contenu. Elle a retiré de ses études les compétences attendues d’une bonne copywriter : compréhension et analyse du sujet, restitution de l’information, avec une vraie maîtrise de la plume (sans systématiquement recourir à une certaine IA 🤫).

Une anecdote sur Jennifer ? Elle s’est distinguée chez Appvizer par ses aptitudes en karaoké et sa connaissance sans limites des nanars musicaux 🎤.