NIS2 : Comment rédiger une PSSI, Politique de Sécurité des Systèmes d’Information

Une Politique de Sécurité des Systèmes d'Information (PSSI) est un document essentiel pour toute organisation soucieuse de protéger ses données et ses systèmes. Elle définit les règles et les procédures à suivre pour assurer la sécurité de l'information.

Dans cet article nous aborderons les points suivants:

• A quoi sert une PSSI?

• Qui peut demander la copie d'une PSSI ?

• Quelles sont les étapes pour rédiger une PSSI?

• Quel est le plan type d'une PSSI?

À quoi sert une PSSI ?

Une PSSI est un document essentiel pour toute organisation, qu'elle soit grande ou petite. Elle définit un cadre clair et précis pour la sécurité de toutes les données et systèmes informatiques d'une entreprise.

En résumé, la PSSI est un document utile pour :

• Protéger les données sensibles: informations clients, données financières, propriété intellectuelle, etc.

• Prévenir les cyberattaques: en mettant en place des mesures de sécurité adaptées.

• Assurer la continuité de l'activité: en minimisant les risques de pannes ou d'interruptions de service.

• Répondre aux exigences légales et réglementaires: en matière de protection des données (RGPD, NIS2, etc.).

• Sensibiliser les employés: aux bonnes pratiques en matière de sécurité informatique.

Une PSSI joue un rôle fondamental en tant que bouclier protecteur pour votre entreprise. Elle garantit la mise en place de mesures adaptées pour anticiper les menaces, sécuriser vos données sensibles, et préserver la continuité de vos activités face aux risques numériques.

Qui peut demander la copie d'une PSSI ?

En principe, une PSSI est un document interne à une entreprise. Elle ne fait pas partie des documents publics que tout un chacun peut consulter.

Cependant, certaines parties prenantes peuvent être amenées à demander une copie de la PSSI, notamment :

• Les autorités de contrôle: en cas d'audit ou d'enquête, par exemple les autorités de protection des données (CNIL en France).

• Les clients: dans certains secteurs d'activité, les clients peuvent exiger des garanties en matière de sécurité des données.

• Les assureurs: pour évaluer les risques et déterminer les conditions d'assurance.

• Les partenaires commerciaux: dans le cadre de collaborations impliquant des échanges de données sensibles.

En règle générale, l'accès à la PSSI est restreint aux personnes directement concernées par la sécurité des systèmes d'information au sein de l'entreprise.

Quelles sont les étapes pour rédiger une PSSI?

1. Définition du périmètre et des objectifs

• Identifier les systèmes à protéger : Quels sont les équipements, les logiciels et les données concernés ?

• Définir les objectifs de sécurité : Quelle est le niveau de confidentialité, d'intégrité et de disponibilité que vous souhaitez garantir ?

• Identifier les acteurs concernés : Qui est impacté par cette politique (employés, prestataires, clients) ?

2. Analyse des risques

• Inventaire des actifs : Répertorier tous les éléments de votre système d'information.

• Identification des menaces : Quelles sont les menaces internes et externes auxquelles vous êtes exposés (virus, piratage, erreurs humaines) ?

• Évaluation des vulnérabilités : Quelles sont les faiblesses de votre système ?

• Calcul de l'impact : Quelles sont les conséquences potentielles d'un incident de sécurité ?

3. Élaboration des mesures de sécurité

• Mesures organisationnelles : Sensibilisation des utilisateurs, gestion des accès, procédures d'urgence.

• Mesures techniques : Firewalls, antivirus, chiffrement, sauvegardes.

• Mesures physiques : Contrôle des accès physiques, surveillance des locaux.

4. Rédaction de la politique

• Introduction : Présenter les enjeux de la sécurité et les objectifs de la politique.

• Champ d'application : Définir le périmètre de la politique.

• Définitions : Expliquer les termes utilisés.

• Responsabilités : Définir les rôles et responsabilités de chacun.

• Règles de sécurité : Détailler les mesures à mettre en œuvre.

• Incidents de sécurité : Définir les procédures à suivre en cas d'incident.

• Amélioration continue : Prévoir un processus de révision régulière de la politique.

5. Diffusion et mise en œuvre

• Communication : Diffuser la politique auprès de tous les acteurs concernés.

• Formation : Former les utilisateurs aux règles de sécurité.

• Suivi et évaluation : Mettre en place des indicateurs de performance pour mesurer l'efficacité de la politique.

6. Maintenance et évolution

• Révision régulière : La politique doit être mise à jour en fonction de l'évolution de l'environnement et des menaces.

• Adaptation aux changements : La politique doit être adaptée aux évolutions technologiques et réglementaires.

Quel est le plan type d'une PSSI?

Un plan type de PSSI peut varier en fonction de la taille et de la complexité de l'organisation. Cependant, il existe une structure générale qui permet de couvrir les principaux aspects de la sécurité informatique.

Voici un exemple de plan détaillé :

1. Introduction

• Objet de la politique : Définir clairement le but de la PSSI.

• Champ d'application : Délimiter le périmètre de la politique (systèmes, données, personnes concernées).

• Définitions : Expliquer les termes techniques utilisés dans la politique.

2. Cadre général

• Politique de l'organisation en matière de sécurité : Exprimer la volonté de l'organisation en matière de sécurité.

• Responsabilités : Définir les rôles et responsabilités de chaque acteur (direction, DSI, utilisateurs).

• Principes de sécurité : Énumérer les principes fondamentaux qui guident la politique (confidentialité, intégrité, disponibilité).

3. Gestion des risques

• Processus d'évaluation des risques : Décrire la méthodologie utilisée pour identifier et évaluer les risques.

• Traitement des risques : Expliquer les actions mises en œuvre pour traiter les risques (évitement, transfert, acceptation).

• Plan de continuité d'activité (PCA) : Décrire les mesures prises pour assurer la continuité des activités en cas d'incident.

4. Sécurité physique

• Accès aux locaux : Définir les règles d'accès aux locaux techniques et aux données.

• Protection des équipements : Décrire les mesures de protection des équipements informatiques.

• Gestion des supports amovibles : Définir les règles d'utilisation des clés USB, disques durs externes, etc.

5. Sécurité logique

• Gestion des identités et des accès (IAM) : Décrire les procédures d'authentification, d'autorisation et de gestion des comptes.

• Sécurité des réseaux : Définir les règles de configuration des réseaux (firewalls, VPN, etc.).

• Sécurité des systèmes d'exploitation : Décrire les mesures de sécurité à appliquer aux systèmes d'exploitation (mises à jour, antivirus, etc.).

• Sécurité des applications : Définir les règles de développement et de déploiement des applications.

• Sécurité des données : Décrire les mesures de protection des données (chiffrement, sauvegardes, etc.).

6. Gestion des incidents

• Détection des incidents : Décrire les mécanismes de détection des incidents.

• Gestion des incidents : Définir les procédures à suivre en cas d'incident (notification, analyse, résolution).

• Communication : Décrire les procédures de communication en cas d'incident.

7. Sensibilisation et formation

• Objectifs de la sensibilisation : Expliquer l'importance de la sensibilisation des utilisateurs.

• Thèmes de formation : Définir les thèmes abordés dans les formations.

• Fréquence des formations : Définir la fréquence des formations.

8. Amélioration continue

• Revue de la politique : Définir la fréquence de révision de la politique.

• Processus d'amélioration : Décrire le processus d'amélioration continue de la sécurité.

En résumé, la rédaction d’une Politique de Sécurité des Systèmes d’Information (PSSI) est un processus essentiel et évolutif qui nécessite l’implication de tous les niveaux de l’organisation. Elle ne peut se limiter à un document figé, mais doit être régulièrement actualisée pour s’adapter aux nouvelles menaces, aux avancées technologiques et aux changements internes. Une PSSI bien conçue devient ainsi un outil stratégique pour protéger les actifs numériques de l’entreprise et renforcer sa résilience face aux risques cyber.

Les internautes ont aussi consulté dans le Blog:

Comment savoir si un mail frauduleux est une arnaque ou pas ?

Comment mettre son site internet en conformité avec le RGPD?

Quelles sont les règles d'or du RGPD?

Les liens utiles en cas de cyberattaques :

www.internet-signalement.gouv.fr

cybermalveillance.gouv.fr 

Info Escroqueries 

Signal Spam

Vous êtes un professionnel ?

xDPO organise des séances de sensibilisation de vos utilisateurs à ces risques, contactez nous : nous utilisons des exemples vécus chez nos clients ou en organisant une - fausse- campagne de « phishing » pour vérifier si le message est bien passé.

Une sensibilisation concrète et toujours marquante pour vos équipes !