PSSI - Contrainte ou opportunité ?
Par Bruno RASLE - DPO d’une branche de la Sécurité Sociale • 15 mai 2021 •
La PSSI (Politique de Sécurité du Système d’Information) reflète et externalise la vision stratégique de la direction de l’organisme en matière de sécurité des systèmes d'information et de gestion de risques. Mais trop souvent, ce document de référence est perçu comme une contrainte et sa conception aboutit à un texte désincarné, sans réelle portée et sans valeur ajoutée. Comment faire en sorte que cette politique constitue réellement l'un des documents fondateurs de la SSI ?
La PSSI est à la fois stratégique et tactique
La PSSI est un document de référence qui reflète la vision stratégique de la direction en termes de sécurité du SI. Elle décrit les enjeux, les principaux besoins de sécurité, les menaces, les objectifs à atteindre (les choix faits en regard des risques, avec leur justification).
En cela, c’est une sorte de « profession de foi » par laquelle la direction proclame toute l’attention qu’elle porte à la sécurité de son système d’information. Elle légitime l’action, garantit la cohérence de la démarche avec le contexte, responsabilise les acteurs et participe de la culture de la sécurité au sein de l’organisme.
Sur un plan plus opérationnel, la politique liste les règles de sécurité indispensables pour assurer la protection du système d'information de l'organisme, les moyens pour y parvenir et l’organisation mise en place. Fondée sur une réflexion stratégique basée sur l’analyse des risques, la PSSI doit pouvoir aussi se lire comme un plan d’action par lequel la sécurité du système informatique va être assurée.
À retenir : La formalisation d'une politique générale de sécurité permet de porter le sujet de la sécurité au niveau le plus stratégique, de mobiliser les énergies autour de buts communs et de poser un cadre relationnel avec les fournisseurs et prestataires. Une PSSI traduit la reconnaissance officielle de l'importance accordée par la direction à la sécurité des systèmes d’information.
Articulée avec des textes de niveau supérieur ou inférieur
La PSSI peut être conçue pour qu’elle se suffise à elle-même, en couvrant le sujet en partant des aspects les plus stratégiques et en allant jusqu’à la description détaillée de règles. Mais elle peut aussi se positionner dans un référentiel documentaire plus vaste et s’articuler avec une PGSSI (Politique Générale de la Sécurité du Système d’Information), un règlement d’organisation ou un schéma directeur.
Dans cette hypothèse, l’identification des risques, la description de la stratégie, du cadre règlementaire applicable, de l’organisation et des objectifs à atteindre sont présentés dans la PGSSI tandis que la PSSI vient la compléter sur les aspects plus opérationnels.
Par ailleurs la PSSI peut être enrichie d’annexes dédiées à des périmètres précis, par métier, par activité, par application ou dispositif technique (encadrement du WiFi, de la sauvegarde et de l’archivage, des matériels nomades, du télétravail, du BYOD, de la sous-traitance, de l’identification et de l’authentification, de l’exploitation de la traçabilité, de la gestion des incidents de sécurité et des violations de données personnelles, de l’anonymisation, etc.). Une telle dissociation permet plus de souplesse quant aux cycles de vie du référentiel.
Il convient enfin de veiller à la cohérence avec le Référentiel Général de Sécurité1 (RGS), les prérogatives de la Commission Nationale de l’Informatique et des Libertés (CNIL) dès qu’il s’agit de données à caractère personnel, les chartes (destinées aux utilisateurs du systèmes d’information, de ses administrateurs, aux prestataires) et les procédures à mettre en œuvre. Ainsi, il faut concevoir la Charte utilisateur qui énonce la « loi commune » comme le prolongement réglementaire et juridique de la PSSI, car elle régit l’utilisation des moyens informatiques.
À retenir : La PSSI doit être pensée comme un élément d’un référentiel documentaire global : il faut tenir compte des textes de portée supérieure et la compléter par des annexes opérationnelles.
Volontariste et positive, la PSSI apporte de réels bénéfices
Trop souvent, la sécurité est perçue comme une contrainte, une sclérose. En considérant d’emblée sa PSSI comme un véritable « manifeste politique », une direction doit chercher à combattre cette idée fausse et faire évoluer les postures et les mentalités.
Il est donc utile, avant de se lancer dans la conception d’une PSSI, de s’assurer de l’état d’esprit positif des acteurs qui vont y contribuer, notamment en objectivant et en partageant les bénéfices qui en découlent.
Compte-tenu de la nature stratégique de la PSSI, ses premiers apports portent sur la maîtrise, la clarté et la confiance.
Plutôt que de se livrer aux aléas du temps, la direction qui s’investit dans la formulation d’une PSSI se pose sans fard les bonnes questions, envisage les pires scenarii, identifie ses actifs de valeur, bref, prend son destin en main.
En partageant les fruits de ses réflexions, cette même direction clarifie les règles qui doivent être suivies et intégrées par chacun (y compris des prestataires) et suscite la confiance des utilisateurs et des partenaires envers son système d'information.
Si le retour sur investissement n’est pas facile à déterminer – comme souvent en matière de gestion des risques – on conçoit bien que les bénéfices d’une PSSI efficiente résident dans la préservation des intérêts de l'organisme : on peut prévenir l’incident ou en limiter les conséquences, en indiquant clairement aux collaborateurs la marche à suivre pour une reprise rapide de l’activité rapide. Les temps d’indisponibilité seront réduits et les risques seront traités grâce à des procédures permettant de réagir rapidement.
Et la phase de conception d’une PSSI présente ses propres bénéfices, notamment grâce aux cartographies de l’infrastructure et des risques.
« La sécurité est toujours considérée comme excessive, jusqu'au jour où elle ne suffit pas » William H. Webster, ex-directeur du FBI
À retenir : Pour assurer une démarche positive et volontariste, il faut faire ressortir tous les bienfaits et valeurs ajoutées apportés par une PSSI.
Une obligation ?
Dès 1992, l'OCDE insistait dans ses lignes directrices2 sur la nécessité de définir au sein de chaque organisme un cadre général pour la sécurité des systèmes d'information afin de promouvoir la coopération entre différentes organisations en termes de sécurité, d'améliorer la sensibilisation aux risques SSI et de renforcer la confiance envers le système d'information.
En 2002, le Conseil de l'OCDE a adopté une nouvelle version de ces « lignes directrices régissant la sécurité des systèmes et réseaux d'information ». Outre l’ajout de la nécessité d’inscrire la gestion des risques SSI dans un processus d’amélioration continue, le nouveau sous-titre du document est transparent dans le nouvel objectif visé : « Vers une culture de la sécurité ».
Deux normes ISO peuvent également être mentionnées : la norme ISO 27001 :2013 mentionne dans son chapitre 5.2 Politique « La direction doit établir une politique de sécurité de l’information qui a) est adaptée à la mission de l’organisation ; b) inclut des objectifs de sécurité de l’information ou fournit un cadre pour l’établissement de ces objectifs ; c) inclut l’engagement de satisfaire aux exigences applicables en matière de sécurité de l’information ; d) inclut l’engagement d’œuvrer pour l’amélioration continue du système de management de sécurité de l’information » tandis que la norme ISO 27002 :2013 recommande, dans son article 5.1.1 Politique de sécurité de l’information de « définir un ensemble de politiques en matière de sécurité de l’information qui soit approuvé par la direction et communiqué aux salariés et aux tiers concernés. » et « Il convient que les organisations définissent, à leur plus haut niveau, une « politique de sécurité de l’information » qui soit approuvée par la direction et qui décrive l’approche adoptée pour gérer les objectifs de sécurité de l’information. ».
Un lien peut également être fait entre la PSSI et les critères communs (CC), ensemble de normes (ISO 15408) internationalement reconnu dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques.
Une PSSI peut également s’imposer au sein d’un organisme en fonction des lois et réglementations, normes, et recommandations issues d'instances internationales, nationales, ou professionnelles et sectorielles.
En France, la DCSSI3 a élaboré entre 2002 et 2004 un guide pour la politique de sécurité du système d'information. Ce document est une mise à jour de documents datant de 1994.
En 2014, l’État s’est doté d’une PSSI (PSSI-E), opposable. Celle-ci a ensuite été déclinée en 2015, par un décret, pour le secteur social en une « Politique de Sécurité des Systèmes d'Information pour les Ministères Chargés des Affaires Sociales » (PSSI-MCAS), d’où a été tirée une Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), publiée par l'ASIP Santé4.
La PSSI doit être portée au plus haut niveau : c’est un acte de direction
La norme ISO 27001 :2013 mentionne que « La direction doit établir une politique de sécurité de l’information » tandis que l’ISO 27002 :2013 précise de la PSSI soit définie et approuvée par le plus haut niveau de direction de l’organisme. La validation de la PSSI par la direction traduit donc la reconnaissance officielle accordée à la sécurité de son système d'information.
La réalisation d’une PSSI est donc un acte de direction : le document est approuvé par le Directeur d’une manière officielle et celui-ci s’engage à veiller à son respect.
Le « portage » au plus haut niveau de la PSSI doit être visible. Ainsi, le lancement des travaux peut être placé sous l’égide du Directeur général et l’instruction par laquelle est diffusée la politique doit être signée de sa main, voire accompagnée d’une allocution (marquée d’un « cérémonial » certain).
À retenir : Liée à l’évolution du numérique, la cybersécurité n’est plus technique, elle est stratégique : c’est un sujet de haut management et ses enjeux doivent être impulsés et portés par la direction générale.
Quelles sont les clés de la réussite ?
La plupart des premières PSSI sont sans réelle portée : de fréquents témoignages font état de l’existence de politiques de sécurité « alibi », uniquement rédigées pour se conformer à une obligation ou pour se donner bonne conscience.
Il existe de multiples écueils auxquels on peut se heurter lors de l’élaboration d’une PSSI, comme en témoigne ce RSSI, membre du CLUSIF5 :
« Que de mauvais souvenirs liés à la conception de la PSSI… La méthodologie dont nous sommes inspirés insistait sur le fait qu’il était indispensable que sa rédaction soit fortement sponsorisée par la Direction générale. Cela devait conduire à la rédaction d’un document d’orientation, expliquant l’objectif et ses motivations, ainsi que les modalités de l’élaboration (comité de pilotage au niveau DG, conseil de sécurité, commissions de travail avec les métiers), tout cela pour arriver à une PSSI adaptée à notre contexte. En pratique, le projet n’intéressait personne. Pas plus le directeur général que notre DSI. Je me suis donc lancé seul dans l’exercice, sans réel soutien. Le résultat manquait certainement d’incarnation, de légitimité, de connexion au réel. J’ai rédigé le document d’orientation, tel qu’aurait pu le signer notre directeur général, et j’ai adapté la PSSI générique à nos besoins après avoir rencontré les directions Métier. J’ai cherché surtout à leur faire dire quels traitements étaient, pour eux, importants en termes de sécurité, avec des résultats intéressants. Ainsi, il est apparu que les avis étaient très partagés concernant la messagerie électronique : essentielle pour certains, elle apparaissait comme un outil dont on peut se passer pour d’autres. Sur cette base, j’ai complété quelques annexes au fil du temps, sur la gestion des utilisateurs ou des postes de travail, les règles concernant les mots de passe ou nos sauvegardes. Et puis … rien. Je n’ai jamais pu faire valider quoi que ce soit. Tout juste ais-je pu faire accepter l’analyse des besoins de sécurité ressentis par les directeurs des principaux services. À l’arrivée de chaque nouveau DSI, j’ai tenté de revenir à la charge, sans succès. De ce fait, la tare de base est bien le manque d’implication de la direction : partir du bas est illusoire. »
Outre le portage indispensable par le plus haut niveau de l’organisme, apparaissent donc clairement quelques clés de réussite :
Tout d’abord, la PSSI doit êtreréaliste et pragmatique : les « bons équilibres » doivent être trouvés (ils résultent d’un arbitrage entre les moyens mis en œuvre et les gains de sécurité attendus - tout en restant dans les limites imposées et acceptables) et ses objectifs doivent rester cohérents avec les moyens disponibles. Pour renforcer les chances de voir la PSSI s’ancrer dans les pratiques concrètes et dans les processus de gestion de l’information, l’affichage de consignes manifestement démesurées est à proscrire.
Et, s’il n’est pas possible d’obtenir du premier coup une PSSI « parfaite », il ne faut pas hésiter à l’affiner progressivement, par itérations, lors de ses mises à jour. Par ailleurs, elle peut présenter des paliers, avec un premier à portée immédiate et des étapes permettant de renforcer progressivement la sécurité jusqu’à une cible partagée. Une PSSI qui n’a aucune prise sur le réel n’a aucune chance d’être appliquée. Pire, elle risque de devenir un repoussoir de la sécurité. En première approche, la PSSI ne doit pas se traduire par un glissement de responsabilité en faisant peser sur les utilisateurs et les acteurs externes au SI un effort considérable. De plus, les réalités budgétaires peuvent imposer un étalement de l’effort dans le temps.
Sa conception doit être partagée - et surtout pas accaparée par la DSI (Un système d'information n'étant pas limité au système informatique, une politique de sécurité des systèmes d'information ne se limite pas à la sécurité informatique) – avec la recherche permanente du consensus. Une PSSI doit être le fruit d’une action collective, la réponse apportée doit être collégiale et solidaire afin d’assurer la protection des données et la résilience des écosystèmes numériques.
Et tous doivent s’y plier : combien de PSSI ont été « disqualifiées » du fait du manque d’exemplarité des dirigeants ou de l’encadrement ? Quand une équipe médicale se prépare à entrer en bloc opératoire, tous ses membres se lavent soigneusement les mains, y compris le chirurgien en chef.
Montrer l’exemple, être clair et pédagogique sur le respect des règles de sécurité, c’est affirmer le sens des responsabilités et augmenter sa stature de dirigeant en étant fort sur une question stratégique : « Donner l’exemple n’est pas le principal moyen d’influencer les autres, c’est le seul. » (Einstein).
Parce que le problème se situe souvent « entre la chaise et le clavier », la PSSI doit être un document pédagogique : elle vise l’évolution des mentalités et l’implantation de nouveaux réflexes plutôt que la contrainte. Cela suppose un effort quant au vocabulaire utilisé pour en chasser les termes abscons que seuls maîtrisent les experts. La partie est gagnée quand on entend un salarié synthétiser les grands principes de la PSSI à un nouvel embauché ! Il est utile, pendant sa conception, de réaliser des prétests auprès des publics visés afin de s’assurer de sa clarté (fond et forme) et de sa bonne compréhension.
Elle doit rester assez courte, avec une quinzaine de pages au maximum : au-delà, il est probable que certains contenus méritent d’être renvoyés dans les annexes.
Chaque mot doit être soigneusement pesé, notamment pour bien distinguer le « ce qu’il faut obtenir » du « comment l’obtenir ». De même il faut chasser les zones d'ombre : doivent apparaitre clairement les obligations (« Il faut »), les recommandations (« Il convient de »), les incitations et les interdictions. Il est fréquent d’entendre des utilisateurs – quand ils ont connaissance de la PSSI-, déclarer qu’il est parfois difficile de distinguer ce qui relève des bonnes pratiques, de l'opposable ou du « non-négociable ».
Cela sous-entend de savoir gérer les exceptions (comme cela a été le cas dans le contexte de la pandémie et du télétravail) : Quelle que soit la PSSI adoptée, il faut savoir gérer les dérogations aux principes de sécurité, mais sans qu’elles ne deviennent la nouvelle règle. Elles doivent donc être soigneusement encadrées. Il convient d’insister lourdement sur la nature de l’exception (pour qu’elle ne soit pas interprétée à tort comme une « souplesse » qui peut perdurer) et maîtriser leur sortie à l’issue de la crise (par exemple en analysant l’intégralité du parc informatique à la recherche de maliciels).
Enfin une bonne PSSI doit être contrôlable et auditable : les objectifs de sécurité doivent être clairs, précis et justifiables, de manière que la mise en œuvre soit maîtrisable et que des indicateurs permettent de juger de son respect et de sa pertinence.
À retenir : En amont d’un projet de conception d’une PSSI, il est indispensable que l’équipe projet partage une vision commune des écueils à éviter et des critères de réussite à atteindre.
Que doit contenir une PSSI ?
Une introduction de tonalité stratégique est l’occasion de rappeler de manière succincte les enjeux et les menaces, en tenant compte des spécificités de l’organisme et de ses missions, de situer la place de la PSSI dans le référentiel normatif de la SSI au sein de l’organisme et de préciser les bases de légitimité sur lesquelles elle s’appuie et sa place dans le référentiel.
Le document peut ensuite s’ouvrir sur une description du périmètre de sécurité (ce qui est à protéger, c’est-à-dire ce sur quoi a porté l’appréciation des risques d’où ont découlé les objectifs de sécurité, l’identification des activités les plus indispensables au fonctionnement de l'organisme, pour permettre un arbitrage éclairé des risques).
L’organisation de la sécurité est ensuite décrite, en commençant par le rôle du directeur général et en veillant à détailler l’organisation interne de la SSI et les relations entre les acteurs. C’est également l’occasion de placer la PSSI dans la chaîne fonctionnelle SSI (notamment avec le FSSI dans le cadre d'une grande administration), une administration ne pouvant pas concevoir une PSSI isolée de tout contexte et de toute tutelle.
Les principes de sécurité sont ensuite listés (on pourra prendre pour référence les thèmes de SSI identifiés dans la norme ISO 27 001) : sécurité physique, charte informatique, protection des données sensibles, protection des données à caractère personnel , politique de sécurité des postes de travail, politique de sécurité des supports amovibles et des matériels nomades, politique de sécurité des serveurs , politique de sécurité des applications, politique de sauvegarde, d’archivage et de restauration, gestion des réparation, cession et mise au rebut des matériels, politiques de sécurité réseau, politique de gestion du trafic sur les réseaux internes, politique d’accès à distance aux réseaux internes, politique de sécurité des réseaux sans fil, gestion d’incidents et gestion de crise, plan de continuité, sensibilisation et formation des utilisateurs, contrôle de gestion de la SSI, etc.
La norme ISO 27001, les 42 mesures d’hygiène de l’ANSSI et le Guide Sécurité de la CNIL peuvent être utilisés comme cadre de référence.
Elles permettent aussi d’avoir un tableau de bord simple et clair.
Il est indispensable de s’adresser clairement à chaque public visé :
Aux utilisateurs, qui doivent respecter les mesures de sécurité ;
Aux cadres, qui ont la responsabilité de faire appliquer ces mesures ;
Aux informaticiens, développeurs, architectes SI, responsables d’exploitations, parce qu’ils ont la charge de la mise en œuvre des mesures.
Il peut être utile de clore le document par les aspects relatifs au contrôle audit de sa bonne application, ainsi que par son mode de d’évolution.
À retenir : Dans le fond et la forme, une PSSI doit être utile à tout utilisation du système d’information, afin de mettre celui-ci en position d’exploiter au mieux les outils mis à sa disposition sans jamais mettre l’organisme en difficulté.
L’élaboration d’une PSSI doit être une démarche « engageante »
La conception d’une PSSI ne doit pas être un exercice de style ou une entreprise solitaire, mais une démarche qui doit engager l’ensemble de l’organisme, à commencer par ses responsables. Mais comment mener un tel projet ?
Si la phase préparatoire peut s’étaler sur plusieurs mois, le travail collaboratif ne doit surtout pas traîner en longueur.
Sur la base des éléments collectés lors de la phase préparatoire (identification du référentiel, recueil des éléments stratégiques, parangonnage, analyse de l’historique de l’organisme sur les sujets relatifs à la sécurité de son système d’information, description de l’existant, etc.) éventuellement enrichi d’une appréciation des risques confiée à un prestataire selon la méthode EBIOS6, une équipe de projet de quelques personnes représentatives de l’ensemble des parties concernées peut conduire le travail d’élaboration de la PSSI. L’implication de la direction sera démontrée par la lettre de mission dont bénéficiera cette équipe et par une allocution marquant l’ouverture des travaux et dressant une perspective.
Si le RSSI (Responsable de la Sécurité du Système d’Information) est l’un des acteurs majeurs de cette conception, il faut se garder de laisser la DSI monopoliser débat et réflexion. Une gouvernance bicéphale (Sécurité et Métier) peut permettre d’y parvenir. Cette organisation facilite l’élaboration, les validations et l’implication des acteurs. Elle permet ainsi de trouver le meilleur compromis entre décideurs, responsable SSI, MOA, MOE, utilisateurs, financiers, ressources humaines dans la gestion des risques.
Il convient de n’oublier personne. Citons, à titre d’exemple, l’apport de la direction des Ressources humaines et des services chargés de la gestion des relations sociales sur des sujets tels que la cybersurveillance, la lutte contre la fraude interne ou la désencapsulation des flux https.
Par bons successifs, l’équipe projet veillera à valider les critères de succès évoqués supra, par exemple en associant des utilisateurs. Comme au sein des démarches marketing, il convient de ne pas hésiter à recourir aux tests préalables, afin de vérifier que le projet répond aux attentes concernant sa clarté, sa pertinence, son efficacité et son « acceptabilité ».
Une fois le consensus obtenu et les équilibres trouvés, la publication de la PSSI doit être encadrée d’un certain « cérémonial », dans lequel la direction doit apparaitre en première ligne.
À retenir : En aucun cas l’élaboration d’une PSSI doit être un exercice solitaire. Au contraire, elle doit être le fruit d’un consensus, aussi bien sur la perception des risques que sur la pertinence des règles qui doivent être respectées par tous.
Il faut en assurer l’appropriation
À quoi sert une PSSI si elle reste inconnue ou incomprise ? Le projet doit intégrer une campagne volontariste de diffusion, de présentation, de « vente », pour faire en sorte que le document soit connu de l’ensemble du personnel.
En effet, les salariés, s’ils sont les premiers acteurs de la transformation numérique en sont également les premières cibles … et les premiers remparts. Ils sont notamment plus exposés aux attaques de types phishing, d’où l’importance de les « engager » (sensibiliser, former, responsabiliser).
Le rôle de l’encadrement de proximité est ici primordial. Quand s’est-il exprimé auprès de ses équipes sur des questions de sécurité pour la dernière fois ? La cybersécurité est-elle embarquée dans sa stratégie et dans son quotidien ? Parler cyber avec les équipes, c’est parler de notions vitales pour l’organisme.
Une réflexion spécifique doit être menée concernant les nouveaux salariés (la PSSI ne doit pas être connue que du personnel présent lors de la publication), les stagiaires, les sous-traitants et prestataires qui accèdent au système d’information de l’organisme ainsi que les Membres du Conseil d’administration.
Il est prudent, quelques temps après cette campagne, de mesurer son efficacité et de mener des opérations régulières à l’occasion desquelles les règles seront rappelées de façon didactique.
Il faut réfléchir également en amont à son caractère opposable, en prévoyant à quoi peuvent s’exposer les personnes qui ne respecteraient pas la PSSI : Clémenceau disait « Donner un ordre n’est pas difficile, c’est le faire respecter qui l’est », et il n’est pas rare qu’une PSSI perde de son efficacité si aucune sanction n’est appliquée à chaque fois qu’elle est enfreinte.
À retenir : La PSSI est un instrument de sensibilisation et de communication Après validation, elle doit être diffusée à l'ensemble des acteurs du SI et sa bonne compréhension vérifiée et entretenue.
Faire vivre sa PSSI
À peine publiée, la pertinence d’une PSSI peut être remiseen cause en fonction de nouvelles directives de la tutelle, de modification du périmètre de sécurité, des évolutions de l’état de l’art, du fait d’incidents de sécurité, de violations de données personnelles, d’évolutions des menaces, des résultats de nouvelles analyses de risques, d’actions de contrôle, d’audit ou d’inspection.
Ainsi, dans le domaine social, une évolution de la PSSI MCAS est annoncée pour tenir compte d’évolutions majeures, comme le recours au Cloud Computing ou la généralisation du télétravail.
Les retours d’expérience réalisés après chaque incident doivent comprendre une réflexion relative à la PSSI (ce cas de figure était-il prévu et correctement couvert ?). De même, chaque infraction relevée à la PSSI doit être étudiée car elle peut être le signe d’un manque de pertinence ou de clarté de la règle énoncée.
Chaque ajout d’une annexe qui vient enrichir la PSSI sur un champ précis est une nouvelle occasion de donner un nouveau coup de projecteur sur ce document de référence, et les sessions de présentation de cette annexe seront mis à profit pour détecter toute mauvaise compréhension, ce qui pourrait déboucher sur une reformulation, voire une modification d’une règle de sécurité.
Naturellement, si une application de la PSSI par paliers a été décidée, il est indispensable de définir des jalons et de mesurer l’avancée de la mise en œuvre, avec communication vers la direction et tous les acteurs concernés.
Le projet qui a porté la PSSI lors de sa création doit également avoir balisé sa vie et son évolution, comme ont été précisées ses relations avec l’audit et les politiques de contrôle interne.
Lors de la conception d’une PSSI, il faut aussi se projeter dans l'audit, vérifier l'adhésion de la première ligne de maîtrise (les opérationnels), préciser l’apport de la 2ème ligne de maîtrise (Contrôle Interne, Qualité, Risk Manager, RSSI, Data Protection Officer) et prévoir les lignes externes (Cour des Comptes, ANSSI, CNIL, auditeurs… sans oublier les pirates !).
Il faut veiller à ce que tout cela forme un tout cohérent, sans trop de recouvrement mais sans « trous dans la raquette » non plus. On étudiera soigneusement l’apport de chaque levier : un référentiel d’audit de structure pourra être ainsi mis à profit pour vérifier qu’une instruction de sécurité a été correctement déclinée au niveau local, un Plan de Contrôle Interne donnera l’occasion de vérifier si tous les ordinateurs portables sont bien chiffrés tandis que les remontées des bonnes pratiques permettront de s’assurer de la bonne gestion des ordinateurs en fin de vie.
Enfin, une bonne PSSI « survit » au départ de ses auteurs de l’organisme : sa mise en place est un vrai plus pour le futur, car dans le cas de départ de collaborateurs, la méthodologie est bien écrite. Le passage d’information est assuré car l’ensemble des risques sont détaillés, le périmètre et l’organisation sécurité définis et les mesures de traitements (préventifs et curatifs) des risques déterminés.
À retenir : La PSSI n’est en aucun cas un document figé et doit être revue périodiquement et à diverses occasions. L’articulation avec les actions de contrôle, d’audit et d’inspection doit être prévue.
Ressources utiles
Référentiel Général de Sécurité (RGS) : le RGS est prévu par l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives. Ses conditions d’élaboration, d’approbation, de modification et de publication sont fixées par le décret no 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance citée relatifs à la sécurité des informations échangées par voie électronique.
Lignes directrices régissant la sécurité des systèmes d'information du Conseil de l'OCDE, 26 novembre 1992 (révisées en 2002).
Norme ISO 27001 :2013 : L'ISO/CEI 27001 est une norme internationale de sécurité des systèmes d'information de l'ISO et la CEI. Publiée en octobre 2005 et révisée en 2013, son titre est « Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information – Exigences ». Elle fait partie de la suite ISO/CEI 27000 et permet de certifier des organisations. Cf. son chapitre 5.2 Politique « La direction doit établir une politique de sécurité de l’information
Norme ISO 27002:2013 : la norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée conjointement en 2005 par l'Organisation internationale de normalisation ISO et la Commission Electrotechnique Internationale IEC, révisée en 2013, dont le titre en français est Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information. Elle fait partie de la suite ISO/CEI 27000. Cf. son article 5.1.1 Politique de sécurité de l’information. L'ISO/CEI 27002 est un ensemble de 114 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ». Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.
Critères communs (CC) : les critères communs sont un ensemble de normes (ISO 15408) internationalement reconnu dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Également dénommés Common Criteria, ce référentiel est né d'un partenariat entre le Canada, les États-Unis et l'Europe. Grâce au cadre offert, les utilisateurs de technologies de l’information vont pouvoir utiliser des profils de protection pour spécifier les exigences fonctionnelles de sécurité attendues et les évaluateurs pourront vérifier que les produits sont bien conformes au niveau d’assurance requis
Norme ISO/IEC 15408-1:2009 : Technologies de l'information — Techniques de sécurité — Critères d'évaluation pour la sécurité TI — Partie 1: Introduction et modèle général
PSSI-E (Politique de Sécurité des Systèmes d’Information de l’État) : la PSSIE s’applique à tous les systèmes d’information des administrations de l’État : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’État et autorités administratives indépendantes. La PSSIE s’inscrit dans le cadre des mesures annoncées en Conseil des ministres le 25 mai 2011 pour faire face à la montée des cyber-attaques. La première version a été publiée par circulaire le 17 juillet 2014.
PSSI-MCAS (Politique de Sécurité des Systèmes d'Information pour les Ministères Chargés des Affaires Sociales) : ma politique de sécurité des systèmes d’information des ministères sociaux repose sur la politique de sécurité des systèmes d’information de l’État du 17 juillet 2014 (PSSI-E), dont elle constitue la déclinaison sectorielle.
PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé) : Cet espace présente les documents de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) mis à disposition par l’Agence du numérique en santé.
Guide « 42 mesures d’hygiène » de l’ANSSI : le guide présente les 42 mesures d’hygiène informatique essentielles pour assurer la sécurité de votre système d’information et les moyens de les mettre en œuvre, outils pratiques à l’appui.
Guide Sécurité de la CNIL : Le document rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique d’après l’autorité de contrôle.
(1) publié par l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI)
(2) Recommandation du Conseil et annexe (lignes directrices régissant la sécurité des systèmes d'information), 26 novembre 1992
(3) La Direction Centrale de la Sécurité des Systèmes d'Information était l'organisme interministériel officiel définissant les normes de la sécurité des systèmes d'information en particulier les normes sur l'évaluation et la certification des systèmes d'information (remplacée par l’ANSSI)
(4) L’Agence des Systèmes d'Information Partagés de santé est devenue en 2019 l'Agence Numérique en Santé.
(5) CLUb de la Sécurité de l’Information Français
(6) Renommée en EBIOS Risk Manager en 2010, la méthode EBIOS est une méthode d'évaluation des risques en informatique, maintenue par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)
