PSSI

La PSSI (Politique de Securité des Systèmes d’Information)

L’ANSSI recommande fortement la rédaction d’une Politique de Securité des Systèmes d’Information (PSSI) au sein de toute entreprise.

A quoi sert-elle et que doit-elle contenir ?

Qu’est-ce qu’une PSSI ?

La Politique de Sécurité des Systèmes d’Information (PSSI) reflète la vision stratégique de l’entreprise en matière de sécurité des systèmes d’information (SSI) et de gestion des risques SSI.

Elle contient entre autres les enjeux de sécurité de l’entreprise, ses besoins de sécurité, ainsi que les menaces pouvant impacter l’entreprise.

C’est le document de référence de la stratégie de sécurité de l’entreprise.

Tout projet ou action relative à la sécurité des systèmes d’informations doivent donc être en adéquation avec ce document fondateur.

Validation et révision de la PSSI

Etant un document stratégique, La PSSI doit être validée par la direction de l’entreprise afin qu’elle puisse être reconnue officiellement et appliquée par toute l’entreprise.

Une PSSI non validée perd donc une grande partie de son intérêt.

La PSSI fixant la stratégie de sécurité de l’entreprise, elle doit bien sûr être communiquée à tous les acteurs de l’entreprise intervenant sur les systèmes d’information (internes / externes).

Les risques et menaces étant en constante évolution, la PSSI est donc amenée à évoluer afin d’adapter la stratégie de sécurité de l’entreprise à ces menaces mais aussi lors de restructurations importantes en termes d’organisation ou lors d’un changement de contexte lié à la stratégie de l’entreprise.

Une entreprise qui dispose d’une PSSI validée par la direction démontre que la sécurité fait partie intégrante de sa stratégie d’entreprise.

La PSSI impactant l’entreprise, elle implique donc une approche globale de sécurisation mais aussi une organisation interne adaptée, des outils et méthodes permettant de suivre l’application de cette politique.

Le contenu de la PSSI

La PSSI doit contenir tout ce qui a trait à la sécurié des systèmes d’information, notamment :

  • son champ d’application, c’est à dire son périmètre,
  • les enjeux de la sécurité pour l’entreprise,
  • les normes et références applicables,
  • les besoins de sécurité en termes de disponibilité, d’intégrité et de confidentialité,
  • les menaces, leurs origines et les événements redoutés.

Méthodologie d’élaboration de la PSSI

L’élaboration d’une politique de sécurité varie selon la taille de l’entreprise et de ses enjeux.

Il est néanmoins conseillé de réaliser une analyse de risques en amont car elle permettra de déterminer les enjeux de sécurité, les besoins de sécurité, les menaces, etc…

Voici un exemple de méthodologie proposée par l’ANSSI :

  • Analyse du niveau de maturité SSI
  • Analyse de risques (EBIOS, Mehari, etc…)
  • Sélection des principes de sécurité
  • Rédaction des règles de sécurité
  • Rédaction, validation et diffusion de la politique de sécurité
  • Elaboration d’un plan d’actions
  • Suivi du plan d’actions
  • Révision de la PSSI dans le cadre d’un cycle d’amélioration continue

 

Vous souhaitez un accompagnement pour réaliser votre PSSI ?

N’hésitez pas à nous contacter.