Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Fiches techniques

Politiques de sécurité des systèmes d’information (PSSI)

La Politique de sécurité des systèmes d’information (PSSI) constitue le principal document de référence en matière de SSI. Elle reflète la vision stratégique de l’organisme (PME, PMI, industrie, administration…) et montre l’importance qu’accorde la direction à son système d’information.

Elle se matérialise par un document présentant, de manière ordonnée, les règles de sécurité à appliquer et à respecter dans l’organisme. Ces règles sont généralement issues d’une étude des risques SSI.

Les principes fondateurs

En 2002, le conseil de l’organisation de coopération et de développement économique (OCDE) a adopté une nouvelle version des "lignes directrices régissant la sécurité des systèmes et réseaux d’information – vers une culture de la sécurité".

Elles insistent sur la nécessité d’un cadre général pour la sécurité des systèmes d’information (SSI).

Elles prennent en compte les évolutions du contexte de la SSI tels que l’accroissement de l’interconnexion des réseaux et l’évolution des données en terme de type, volume, sensibilité, ainsi que les nouveaux enjeux liés par exemple aux projets gouvernementaux et de commerce électronique.

Elles introduisent les notions de "culture de sécurité" et de continuité de la gestion des risques SSI.

Ces nouvelles lignes directrices décrivent les neuf principes suivants :

 Sensibilisation,
 Responsabilité,
 Réaction,
 Éthique,
 Démocratie,
 Évaluation des risques,
 Conception et mise en œuvre de la sécurité,
 Gestion de la sécurité,
 Réévaluation.

Elles constituent les fondements de la politique de sécurité.

Le socle en matière de sécurité des systèmes d’information

La PSSI constitue le principal document de référence en matière de SSI. Elle en est un élément fondateur, au même titre qu’un schéma directeur, qui lui, définit les objectifs à atteindre et les moyens accordés pour y parvenir.

Ces documents sont établis en fonction de la culture et du référentiel existant.

Les orientations stratégiques

Une politique de sécurité reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité de l’information. Elle traduit la reconnaissance officielle de l’importance accordée par la direction à la SSI.

Elle informe la maîtrise d’ouvrage et la maîtrise d’œuvre des enjeux, des choix en terme de gestion des risques et suscite la confiance des utilisateurs et partenaires.

Un facteur d’économie

D’une PSSI globale, il est possible de décliner des PSSI techniques par métier, activités ou systèmes. Elle servira également de base de cohérence entre ces PSSI et entre toutes les études SSI.

Un instrument de sensibilisation et de communication

Après validation, la PSSI doit être diffusée à l’ensemble des acteurs du SI (utilisateurs, sous-traitants, prestataires…). Elle constitue alors un véritable outil de communication sur l’organisation et les responsabilités SSI, les risques SSI et les moyens disponibles pour s’en prémunir.

Un document évolutif

La PSSI est un document vivant qui doit évoluer afin de prendre en compte les transformations du contexte de l’organisme (changement d’organisation, de missions...) et des risques (réévaluation de la menace, variation des besoins de sécurité, des contraintes et des enjeux).

Une démarche basée sur l’analyse des risques SSI

L’élaboration d’une PSSI peut se décomposer en 4 phases :

 organisation du projet PSSI et constitution du référentiel,
 recueil des éléments stratégiques,
 choix des principes et déclinaison en règles adaptées au contexte (graduation des moyens),
 finalisation et validation de la PSSI et de son plan d’action.

La réalisation préalable d’une analyse des risques SSI facilite l’élaboration d’une PSSI notamment pour :

 déterminer les éléments stratégiques,
 choisir les principes à développer,
 guider l’élaboration des règles,
 assurer la cohérence avec les objectifs de sécurité identifiés pour l’organisme.

L’Agence Nationale de la sécurité des systèmes d’information (ANSSI) à rendu public sur son site (www.ssi.gouv.fr) deux documents utiles à l’élaboration d’une PSSI :
 le guide PSSI suivant la démarche présentée,
 la méthode EBIOS® pour réaliser l’analyse des risques SSI.

Organisation en projet PSSI

La démarche d’élaboration d’une PSSI prévoit une organisation sous la forme d’un véritable projet :

 un chef de projet désigné,
 des groupes de travail constitués,
 des ressources allouées,
 un calendrier fonction des étapes de la méthode,
 des livrables identifiés (notes de cadrage et de stratégie, synthèses des règles et impacts, PSSI, plan d’action).

Cette organisation facilite l’élaboration, les validations et l’implication des acteurs. Elle permet ainsi de trouver le meilleur compromis entre décideurs, responsable SSI, MOA, MOE, utilisateurs, financiers, ressources humaines dans la gestion des risques SSI…

Un référentiel de principes de sécurité

Le document PSSI doit présenter les principes de sécurité résultant de l’analyse des risques et les présenter de manière organisée.

Pour cela, les domaines suivant peuvent être utilisés :

 organisation de la sécurité,
 gestion des risques SSI,
 sécurité et cycle de vie,
 assurance et certification,
 aspects humains,
 planification de la continuité des activités,
 gestion des incidents,
 sensibilisation et formation,
 exploitation,
 aspects physiques et environnementaux,
 identification / authentification,
 contrôle d’accès logique,
 journalisation,
 infrastructures de gestion des clés cryptographiques,
 signaux compromettants.

Ces domaines de sécurité couvrent les normes ISO/IEC 13335, 15408 et 17799 (nouvellement 27002). Des règles de sécurité génériques sont également présentes dans ces documents.

Les références SSI

Les références suivantes permettent de disposer de pistes de réflexion et de ne rien omettre quant aux évolutions récentes de la réglementation et des normes :

 les réglementations nationales et internationales (atteinte aux personnes, atteinte aux biens, atteinte aux intérêts fondamentaux de la nation, terrorisme et atteinte à la confiance publique, atteintes à la propriété intellectuelle, cryptologie, signature électronique…),
 les lignes directrices de l’OCDE (SSI, cryptographie…),
 les codes d’éthique,
 les critères communs d’évaluation (ISO/IEC 15408),
 les guides méthodologiques.

Toutes ces références sont reprises dans le guide PSSI de l’ANSSI.

(1) Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information – vers une culture de la sécurité, 29 juillet 2002, Organisation de coopération et de développement économiques (OCDE).