Cybersécurité : comment mettre en place une PSSI ?
En entreprise, la sécurité des systèmes d’information est devenue un enjeu majeur. Les systèmes d’information mal protégés sont exposés à des cyberattaques. Pour éviter cela, les systèmes d’information doivent garantir certaines fonctions de sécurité, regroupées sous l’acronyme DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité).
Il devient donc nécessaire d’appliquer une stratégie pour se protéger contre les risques informatiques : C’est la Politique de Sécurité du Système d’Information (PSSI).
C'est quoi une PSSI ?
La Politique de Sécurité du Système d’Information définit toute la stratégie de sécurité informatique d’une entreprise. C’est un document élaboré sur mesure pour chaque organisme. Il décrit les enjeux, les besoins, les règles de sécurité et le plan d’action d’une stratégie de maintien d’un niveau satisfaisant de sécurité au sein d’une entreprise, quelle que soit sa taille.
D’après l’ANSSI :
« Une Politique de Sécurité des Systèmes d’information (PSSI) reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI) et de gestion de risques SSI. Elle décrit en effet les éléments stratégiques (enjeux, référentiels, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d’information de l’organisme.” Source l’ANSSI
L’ANSSI complète cette vision en précisant que “la PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d’œuvre des enjeux tout en les éclairant sur ses choix en termes de gestion des risques et à susciter la confiance des utilisateurs et partenaires envers le système d’information ». Source l’ANSSI
Que faire avant de mettre en place une PSSI ?
Avant de commencer à rédiger une PSSI pour une entreprise, il faut analyser le contexte professionnel :
- Discuter avec toutes les parties prenantes : managers, administrateurs, chefs de projets, etc ;
- Mener une observation approfondie des équipes de travail ;
- Analyser les modes de fonctionnement de la structure ;
- Faire un inventaire des systèmes d’information utilisés par les différentes équipes.
Après cette analyse, il faut dresser un bilan préparatoire contenant les impressions et les observations sous la forme d’un rapport d’étonnement. Nous avons définit 5 conseils pour mettre en place une bonne Politique de Sécurité du système d’information :
Préparer la sécurité informatique au préalable
: la sécurité des systèmes d’information ne s’improvise pas, suite à une cyberattaque ou par rapport à l’actualité mondiale. Elle doit être conçue tout en étant conscient des enjeux autour, pour pouvoir évaluer les menaces actuelles et leurs conséquences sur l’organisation et l’environnement. Le plan d’action doit contenir l’ensemble des thématiques relatives à la sécurité : réseaux, données, infrastructures, données, cloud, …
Définir les objectifs
: le plan d’action doit aussi définir les objectifs que l’entreprise fixe. Le but est de limiter les risques relatifs aux postes de travail des personnels, les déplacements professionnels, les documents et les fichiers sensibles ou confidentiels.
Déterminer les moyens nécessaires
: l’entreprise doit préparer tous les outils nécessaires à la prévention comme des pare-feu, VPN, des contrôles d’accès très restreints, des serveurs de sauvegarde stockés dans un endroit protégé, …
Désigner un responsable de la sécurité informatique
: il faut recruter ou désigner un responsable de sécurité informatique. Il sera chargé de veiller à la bonne application de la sécurité des systèmes d’information et la mise à jour permanente pour conserver un haut niveau de protection.
Définir les responsabilités
: il faut indiquer les responsabilités de chacun des salariés en entreprise comme l’utilisation des logiciels, l’ouverture des courriers de messagerie, la sauvegarde automatique des documents, … Aussi, chaque collaborateur saura exactement comment réagir en cas d’attaque informatique.
Que contient une PSSI ?
Pour procéder à la rédaction du PSSI, chaque entreprise suit un plan qui lui est propre tout en gardant les mêmes grandes lignes universelles d’une PSSI. Ces dernières peuvent être détaillées comme suit :
Cadre de la PSSI
: définir son rôle en entreprise et déterminer son périmètre d’application (Global, au niveau d’une activité en particulier ou d’un pays).
Enjeux et champ d’application de la PSSI
: déterminer les domaines d’activités de l’entreprise à inclure et à exclure (des activités qui ne sont pas affectées par la sécurité informatique peuvent être exclues).
Enjeux de la sécurité
: définir les contraintes et les obligations de mettre en sécurité les activités de l’entreprise. Par exemple les bénéfices/risques au regard de la criticité d’une activité commerciale.
Cadre légal
: définir les principaux textes de lois et normes qui imposent des contraintes vis-à-vis de l’usage des systèmes d’information dans l’entreprise (RGPD, CNIL, règlement intérieur, charte informatique, documents du RSSI, ISO 27001, …).
-
Risques majeurs : lister les principaux risques liés aux systèmes d’information classés par niveau de gravité pour traitement. Pour chaque risque identifié, il faut mettre en place une stratégie de traitement des risques et des scénarios envisagés de solutions. La méthode EBIOS peut aider à rédiger cette partie.
Exigences : associer à chaque risque identifié, les exigences de sécurité qui doivent être instaurées pour le réduire. Il faut ainsi prendre en compte les contraintes sur les activités de l’entreprise, pour adapter la sécurité aux métiers de l’entreprise.
La PSSI = charte informatique ?
La Politique de Sécurité du Système d’Information est totalement différente de la charte informatique. La PSSI définit le cadre et les règles de l’entreprise sur les systèmes d’information en termes de sécurité. Cependant, la charte informatique décrit les conditions générales d’utilisation des systèmes d’information, les usages qu’on peut en faire, mais également les sanctions applicables en cas du non-respect des règles.
Conclusion
La PSSI est devenue un document indispensable au sein d’une entreprise. C’est un travail d’équipe, une collaboration entre tous les acteurs qui composent la chaîne de sécurité de l’information (et pas uniquement le service informatique). Sa mise en œuvre nécessite une méthodologie particulière adaptée à chaque structure.
En tant qu’ExpertCyber labellisée par l’AFNOR, YPSI vous accompagne dans la mise en place et la mise à jour de votre PSSI. N’hésitez pas à contacter YPSI pour toute question.
Partagez cet article :