Elaborer une PSSI avant de mettre en place son PSI
Mohand Imakhoukhene Mohand Imakhoukhene
Consultant en cybersécurité
Me contacter
  1. Home
  2. Blog
  3. Elaborer une PSSI avant de mettre en place son PSI

Elaborer une PSSI avant de mettre en place son PSI

Publié dans  PSSI
 •     Temps de lecture: 4 min.
Elaborer une PSSI avant de mettre en place son PSI

Sommaire

La PSSI, ou Politique de Sécurité des Systèmes d’Information, est un ensemble de règles, de normes et de procédures mis en place par une organisation pour garantir la sécurité de ses systèmes d’information. L’objectif principal de la PSSI est de protéger les informations contre diverses menaces afin de garantir leur confidentialité, leur intégrité et leur disponibilité.

La mise en œuvre d’une PSSI est un processus continu qui nécessite une évaluation régulière et des mises à jour pour s’adapter à l’évolution des menaces et des exigences réglementaires. Elle implique tous les niveaux d’une organisation, de la direction aux employés, et nécessite souvent la collaboration avec des partenaires externes et des fournisseurs de solutions de sécurité.

Dans tous types d’organisations, qu’il s’agisse d’administrations publiques, d’entreprises privées ou de centres de recherche, l’établissement d’une Politique de Sécurité des Systèmes d’Information (PSSI) constitue une étape fondamentale. Cette politique est le socle préliminaire indispensable pour l’élaboration de plans d’action concrets et un necessaire préalable pour l’elaboration d’une Politique de Sécurité de l’Information (PSI), permettant de déployer et de gérer la sécurité informatique de manière efficace et cohérente.

L’élaboration d’une Politique de Sécurité des Systèmes d’Information implique le respect de plusieurs étapes clés

La conception d’une PSSI peut s’appuyer sur diverses méthodologies. En France, la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) recommande l’utilisation de l’outil EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), qui propose une approche structurée pour aborder les problématiques de sécurité des systèmes d’information.

Thématique Objectifs Règles
Sensibilisation du personnel Faire connaître au personnel de l’organisation les règles élémentaires de sécurité et le comportement à adopter en cas d’incident. 1.1.4 ; 1.3.1 ; 1.3.2; 1.3.3; 1.3.4; 4.4.8;
Organisation de la SSI Structurer et animer la fonction sécurité de l’organisation. 1.1.1; 1.1.2; 1.1.4; 1.2.1;
Sécurité physique Assurer une protection suffisante des locaux 5.1.1; 5.1.2; 5.1.5; 5.2.1
Inventaire du SI Cartograpgier le SI 4.1.1; 4.1.2; 4.1.3

Définition du périmètre d’application de la PSSI :

Analyse des activités : Identifier et documenter les activités clés, les domaines et les acteurs impliqués.
Identification des ressources : Recenser les services et systèmes d’information essentiels à l’organisation.

Conception d’un modèle de circulation de l’information :

Classification des informations : Définir des catégories d’informations basées sur leur sensibilité et leur importance.
Gestion des flux : Établir des circuits d’échanges sécurisés et contrôlés pour la circulation des informations.

Définition du système cible :

Cartographie des composants : Réaliser un inventaire exhaustif des infrastructures, équipements, données et applications.
Analyse fonctionnelle : Évaluer les interactions entre ces composants et leur rôle dans les processus opérationnels.

Identification des contraintes et des enjeux :

Analyse des contraintes : Prendre en compte les limites opérationnelles, comme l’accès externe et les usages non prévisibles.
Évaluation des enjeux : Identifier les impacts potentiels sur l’organisation à court, moyen et long terme.

Établissement d’une matrice de besoins de sécurité :

Application des principes de sécurité : Basée sur la confidentialité, l’intégrité, et la disponibilité pour déterminer le niveau de protection nécessaire.
Évaluation sectorielle : Examiner les besoins spécifiques de sécurité pour chaque domaine d’activité.

Analyse des menaces :

Création d’un référentiel : Documenter les menaces potentielles et leurs caractéristiques.
Évaluation des risques : Analyser les impacts de chaque menace sur le système d’information.

Prise en compte des aspects légaux et réglementaires :

Conformité légale : Identifier les exigences légales et réglementaires pertinentes et les intégrer dans la stratégie de sécurité.

Élaboration des principes de sécurité :

Adoption de cadres de référence : Utiliser des méthodologies comme EBIOS pour définir des principes de sécurité organisés autour des aspects organisationnels, de mise en œuvre et techniques.
Principes techniques : Inclure des mesures telles que l’identification et l’authentification, le contrôle des accès, la journalisation, la gestion des clés cryptographiques et la protection contre les fuites d’informations.

Définition des règles d’application :

Traduction en règles opérationnelles : Décliner les principes de sécurité en directives concrètes applicables à chaque unité de l’organisation.
Plan d’action : Développer un plan d’action détaillé pour la mise en œuvre et le suivi de la PSSI.


Cette démarche permet d’assurer une approche holistique et structurée de la sécurité des systèmes d’information, adaptée aux spécificités et aux besoins de chaque organisation.