penser pro

La PSSI, un outil stratégique indispensable pour la sécurité de votre entreprise

Computer Security Vulnerability concept

Dans un contexte où les cybermenaces se multiplient et se perfectionnent, la sécurité des systèmes d’information est devenue un enjeu majeur pour toutes les entreprises, quelle que soit leur taille. Les incidents de sécurité informatique peuvent en effet avoir des conséquences désastreuses : interruption d’activité, perte de données sensibles, atteinte à la réputation, sanctions réglementaires…

Pour se prémunir contre ces risques, il est essentiel de définir une stratégie de sécurité informatique à l’échelle de l’organisation. C’est tout l’objet de la Politique de Sécurité des Systèmes d’Information (PSSI). Ce document fondateur formalise la vision et les objectifs de l’entreprise en matière de protection de son système d’information. Plus qu’un simple document, c’est un véritable outil de gouvernance et de pilotage de la sécurité IT.

Nous allons voir en détail pourquoi il est crucial de mettre en place une PSSI, quel est son contenu et comment s’y prendre concrètement. Suivez le guide ! 🧭

Qu’est-ce qu’une politique de sécurité des systèmes d’information (PSSI) ? 🤔

Définition et objectifs d’une PSSI

La politique de sécurité des systèmes d’information (PSSI) est un document stratégique qui définit les principes directeurs, les objectifs et les règles que l’entreprise s’engage à appliquer pour assurer la sécurité de son système d’information.

Son but est de protéger le patrimoine informationnel de l’organisation contre les risques pouvant porter atteinte à sa confidentialité, son intégrité ou sa disponibilité. Cela recouvre notamment :

  • Les données sensibles : informations clients, données RH, secrets industriels…
  • Les matériels et équipements : ordinateurs, serveurs, réseaux…
  • Les applications et logiciels métiers

La PSSI établit la vision à long-terme de l’entreprise en matière de cybersécurité. Elle définit le niveau de protection à atteindre et maintenir. Sur cette base, elle précise les moyens humains, organisationnels, techniques et financiers à mettre en œuvre pour y parvenir.

Un document « sur-mesure » propre à chaque entreprise

Il n’existe pas de modèle type de PSSI. C’est un document unique et personnalisé qui doit être adapté au contexte et aux spécificités de chaque entreprise :

  • Son secteur d’activité et les risques cyber associés
  • La sensibilité des informations qu’elle manipule
  • Son organisation et son mode de fonctionnement
  • Ses enjeux et objectifs business
  • Son niveau de maturité et ses moyens en matière de sécurité informatique

La PSSI doit être alignée sur la stratégie globale de l’entreprise. C’est un acte fort de la Direction qui reflète l’importance accordée à la sécurité du SI au plus haut niveau. Elle démontre la volonté de l’entreprise de s’organiser face aux cybermenaces.

La PSSI s’applique à tous les utilisateurs du système d’information : salariés, prestataires, partenaires, clients… Elle les responsabilise quant aux bonnes pratiques et comportements à adopter.

Un document vivant à faire évoluer

La PSSI n’est pas gravée dans le marbre ! C’est un document vivant qui doit être révisé et adapté régulièrement, au minimum une fois par an, pour tenir compte :

  • De l’évolution de la menace et des nouvelles vulnérabilités
  • Des changements dans le SI et l’organisation : nouveaux projets, nouveaux usages…
  • Des retours d’expérience suite à des incidents
  • De l’évolution de la réglementation

À chaque mise à jour, les versions doivent être datées et les modifications tracées pour assurer un suivi dans le temps.

Quel est le contenu d’une PSSI ? 📝

Il n’y a pas de plan type pour rédiger une PSSI. Le contenu et le niveau de détail varient en fonction du contexte et des besoins de chaque entreprise. Néanmoins, certains éléments incontournables doivent y figurer :

1. Pourquoi sécuriser le SI ?

La PSSI commence par exposer le contexte et la vision de l’entreprise en matière de SSI :

  • Les enjeux liés à la sécurité du SI : conformité légale et réglementaire, préservation de l’image, relations de confiance avec les clients et partenaires…
  • Les objectifs et le niveau de sécurité visé, en fonction de la sensibilité du SI et des moyens de l’entreprise. Par exemple maintenir un taux de disponibilité de 99,9%, garantir l’intégrité des données sensibles, etc.
  • Le périmètre d’application de la PSSI : quels sont les systèmes, réseaux, sites concernés (siège, agences, filiales…), les utilisateurs visés (salariés, prestataires…). La PSSI peut être générale ou cibler un métier, un processus spécifique de l’entreprise.

2. L’évaluation des risques pesant sur le SI

Pour définir une stratégie de sécurisation efficace, il est indispensable d’identifier au préalable les risques qui menacent le système d’information. Cet inventaire permet de prioriser les actions à mener.

La cartographie des risques SSI est généralement réalisée dans le cadre d’une analyse de risques, basée sur une méthode reconnue comme EBIOS ou MEHARI. Elle décrit pour chaque risque :

  • Les sources de menace : malveillance externe ou interne, erreurs humaines, pannes…
  • Les vulnérabilités exploitables du SI : obsolescence du matériel, failles de sécurité…
  • Les impacts potentiels : indisponibilité du SI, divulgation de données, pertes financières…
  • Le niveau de criticité du risque, déterminé en croisant sa probabilité d’occurence et sa gravité

3. Les principes et mesures de sécurité à appliquer

Le cœur de la PSSI consiste à décrire les règles de sécurité et les moyens mis en œuvre pour répondre aux objectifs de protection, en fonction des risques identifiés. Cette partie détaille les mesures relatives à différents domaines :

Mesures organisationnelles :

  • Gouvernance et pilotage de la sécurité : rôles et responsabilités (RSSI, DSI, DPO…), comités, reporting…
  • Gestion des ressources : classification des actifs, gestion des accès et habilitations, procédures d’arrivée et départ des personnels…
  • Gestion de la sécurité chez les tiers : clauses de sécurité dans les contrats, audits des prestataires…
  • Conformité légale et réglementaire : protection des données personnelles (RGPD), cybersécurité des OIV…

Mesures de protections techniques :

  • Sécurisation du réseau : filtrage IP, VPN, segmentation…
  • Sécurité des postes de travail : mise à jour et durcissement OS, pare-feu, antivirus…
  • Sécurité des applications : tests d’intrusion, revue de code, chiffrement des données…
  • Sécurité des serveurs et du cloud : gestion des sauvegardes, redondance, PRA/PCA…
  • Sécurité physique : contrôle d’accès aux locaux, vidéosurveillance, protection incendie…

Mesures de détection et supervision :

  • Surveillance du SI : journalisation des événements, analyse des incidents, tableaux de bord…
  • Outils de détection des menaces : sondes de détection d’intrusion (IDS), alertes de sécurité…

Mesures de sensibilisation et formation :

  • Diffusion et promotion de la PSSI auprès de l’ensemble des utilisateurs
  • Programmes de sensibilisation aux enjeux de la sécurité informatique et aux bonnes pratiques
  • Formations techniques pour les équipes informatiques (sécurité, hacking éthique…)

4. Les référentiels applicables

La politique SSI doit dresser la liste des lois et réglementations de sécurité informatique applicables à l’entreprise, en fonction de son activité et de son secteur. Par exemple :

  • Le RGPD et la directive NIS pour toutes les entreprises européennes
  • La LPM et son arrêté pour les Opérateurs d’importance vitale (OIV) en France
  • La loi de programmation militaire pour la protection des Opérateurs de services essentiels (OSE)
  • Les normes de sécurité : ISO 27001, ISO 27002, NIST, PCI-DSS pour les acteurs du paiement…

La PSSI doit être conforme à ces exigences et servir de référentiel pour démontrer la conformité de l’entreprise lors d’audits.

5. Les modalités d’exécution et de contrôle de la PSSI

La PSSI définit enfin les conditions de son application :

  • Les indicateurs et tableaux de bord de suivi de la sécurité : taux d’incidents, délais de correction des vulnérabilités…
  • La fréquence et les modalités de révision de la politique
  • Le plan d’action et la feuille de route pour déployer les mesures
  • Les documents associés à la PSSI : chartes, guides de bonnes pratiques utilisateurs, politiques spécifiques (mots de passe, wifi, télétravail…), fiches réflexes en cas d’incident…

Pourquoi se doter d’une PSSI est-il devenu indispensable ? 🎯

Longtemps considérée comme une « bonne pratique » réservée aux grandes entreprises, la PSSI est devenue un must-have pour toutes les organisations, confrontées à une menace cyber croissante.

1. Faire face à des risques cyber qui explosent 🚨

Les incidents de cybersécurité connaissent une croissance exponentielle ces dernières années, que ce soit en nombre, sophistication ou impact. Aucune entreprise n’est à l’abri, quelle que soit sa taille ou son secteur. D’après le dernier baromètre CESIN, 80% des entreprises ont subi au moins une cyberattaque en 2021, dont 20% avec un impact grave.

Les attaques par rançongiciel sont particulièrement virulentes : +255% en 2022 selon l’ANSSI ! Leur coût moyen est estimé à 2 millions d’euros, entre les coûts de remédiation et les pertes d’exploitation, pouvant mettre en danger la survie même de l’entreprise.

Mettre en place une PSSI est un acte essentiel de prévention et de protection pour faire face aux cybermenaces.

Plus qu’un simple document, c’est un véritable programme d’actions pour renforcer la cybersécurité de l’organisation.

2. Se mettre en conformité avec les nouvelles réglementations 📜

Ces dernières années ont vu émerger un cadre réglementaire renforcé en matière de SSI, que les organisations doivent respecter sous peine de lourdes sanctions :

Le Règlement Général sur la Protection des Données (RGPD), entré en application en mai 2018, impose de mettre en œuvre les mesures de sécurité « appropriées » pour garantir la protection des données personnelles. Son non-respect expose à des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros.

La directive européenne Network and Information Security (NIS), transposée en droit français via la loi de programmation militaire en 2018, impose aux Opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques de prendre les mesures nécessaires pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d’information. Ils doivent aussi notifier les incidents ayant un impact significatif sur la continuité de leurs services essentiels.

La loi de programmation militaire (LPM) de 2013 et son arrêté d’application de 2016 fixent des règles de sécurité pour les Opérateurs d’importance vitale (OIV). Ils doivent notamment déclarer leurs systèmes d’information d’importance vitale (SIIV) à l’ANSSI, lui notifier les incidents de sécurité les affectant et réaliser des audits de sécurité réguliers.

Face à ces nouvelles obligations, la PSSI sert de preuve de la prise en compte des exigences réglementaires en matière de cybersécurité. C’est un élément clé pour démontrer la conformité de l’entreprise en cas de contrôle.

3. Protéger et pérenniser les activités de l’entreprise 🏭

Le système d’information est devenu le cœur battant des entreprises modernes. De son bon fonctionnement dépendent la plupart des processus métier et activités critiques : production, relation client, chaîne logistique, R&D… Une interruption ou un ralentissement du SI peut rapidement paralyser toute l’entreprise, engendrant des pertes considérables.

Articles relatifs:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *