Portail officiel de la sécurité informatique - ANSSI - République française

La formulation des orientations stratégiques

La politique de sécurité des systèmes d’information (PSSI) reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI) et de gestion de risques SSI.

Elle décrit en effet les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d’information de l’organisme.

La validation de la PSSI par la direction traduit la reconnaissance officielle accordée à la sécurité de son système d’information. La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d’œuvre des enjeux tout en l’éclairant sur ses choix en terme de gestion des risques et à susciter la confiance des utilisateurs et partenaires envers le système d’information.

Un socle fondateur de la SSI

D’une manière générale, il convient de disposer d’un socle fondateur de la SSI pour l’organisme. Celui-ci sera établi en fonction de sa culture et du référentiel existant. La PSSI constitue l’un de ces documents fondateurs et un élément de la culture de sécurité.

La PSSI s’inscrit dans le système de management de l’organisme, donc de la sécurité des informations et processus, puis enfin de la SSI. Elle constitue en effet le premier document à formaliser dans l’étape de planification et sera suivie des étapes de mise en œuvre, de vérification et d’amélioration du système de management de la SSI.

Dans le cas où il existe un schéma directeur du système d’information comportant un volet SSI ou un schéma directeur SSI, le rôle de la PSSI est de le traduire en règles de sécurité applicables et de contrôler que le schéma directeur SSI est conforme avec les objectifs et contraintes de l’organisme. La PSSI peut aussi servir de base à l’élaboration d’un volet SSI du schéma directeur du système d’information ou bien d’un schéma directeur SSI, décrivant alors comment devront être mises en œuvre les règles de sécurité.

Un facteur d’économie

Une PSSI globale peut être déclinée en PSSI techniques par application ou métier, en procédures à mettre en œuvre et en chartes de sécurité.

Elle servira aussi de base à la factorisation des études de sécurité portant sur le même périmètre que la PSSI afin de garantir une cohérence globale.

La PSSI permet ainsi de réaliser des économies pour tous les travaux relatifs à la SSI puisque son contenu peut être réutilisé par les maîtrises d’ouvrage et les maîtrises d’œuvre en y ajoutant les effets d’une mutualisation des mécanismes mis en place. À titre d’exemple, les analyses de risques intégreront les éléments stratégiques de la PSSI et les règles de sécurité devant être respectées. Le référentiel des audits sera également élaboré à partir de la PSSI afin de vérifier la conformité de celle-ci vis-à-vis de la réalité.

Un instrument de sensibilisation

Après validation, la PSSI doit être largement communiquée à l’ensemble des acteurs du SI, qu’ils soient utilisateurs internes, sous-traitants, prestataires ou stagiaires. La PSSI constitue alors un véritable outil de sensibilisation aux risques SSI, aux moyens disponibles pour s’en prémunir et à l’organisation SSI. Par ailleurs, elle aide l’ensemble des acteurs à prendre conscience de leurs responsabilités et participe à l’amélioration de la culture de sécurité.

Un document évolutif

La PSSI doit être régulièrement révisée afin de prendre en compte les évolutions du contexte (modifications des processus, du système d’information, des personnels, de l’organisation) et des risques (réévaluation de la menace, variation des besoins de sécurité, des contraintes et des enjeux).

Cette adaptation peut être faite systématiquement ou bien déclenchée par une évolution majeure du contexte ou la survenance d’une agression et des leçons que l’on peut en tirer.