Dans l'ère numérique actuelle, la protection des systèmes d'information est une priorité pour toutes les organisations, quelque soit leurs tailles (PME, ETI, GE) et leurs secteurs d'activités (banque, assurance, industrie, automobile, aviation, logistique, agroalimentaire…). La politique de sécurité des systèmes d'information (PSSI) est un des outils du RSSI pour décliner sa stratégie de cybersécurité.

Concrètement, la PSSI reflète les orientations de la direction en matière de sécurité, bien au-delà de la sécurité informatique. En effet, elle inclut aussi des aspects organisationnels et humains, définissant les objectifs, les règles et les mesures à adopter. Elle précise les responsabilités des acteurs : métier, RSSI, direction générale ainsi que la comitologie.

La PSSI est donc un document clé pour organiser la protection des processus métier contre les cybermenaces. Dans cet article, découvrez pourquoi elle est essentielle, comment la concevoir efficacement, les recommandations de lʼANSSI, et lʼaide quʼune entreprise experte en cybersécurité peut vous apporter.

Quʼest-ce quʼune PSSI ?

Une politique de sécurité des systèmes d'information est un document essentiel qui établit les objectifs, principes et règles nécessaires à la protection des systèmes d'information d'une organisation.

Son objectif est lié aux missions du RSSI (lien vers l’article), La PSSI doit définir les objectifs de sécurité ainsi que l’organisation et les responsabilités de chaque département pour y parvenir. Elle porte en elle les règles de sécurité pour sécuriser une organisation des menaces et influences extérieures. Comme le RSSI elle définit des contraintes de sécurité qui devront être respectées et qui pourront faire l’objet de dérogations pour ne pas entraver le développement de l’activité.

La PSSI sert de guide pour orienter toutes les décisions et actions liées à la sécurité. Il est essentiel de distinguer la PSSI d'autres documents de sécurité, tels que :

• La lettre d’engagement de la direction : elle définit les enjeux de sécurité et la mission du RSSI
• La charte informatique : ce document définit les règles de bonne conduite pour l'utilisation des systèmes d'information, des équipements numériques et des ressources informatiques mises à disposition des collaborateurs.
• Le plan de continuité dʼactivité “PCA” : conçu pour assurer la continuité des opérations en cas de perturbation majeure.

Toutes les organisations, quʼil s'agisse de petites et moyennes entreprises (PME), de collectivités ou de grandes entreprises, sont concernées par la mise en place dʼune PSSI. Les risques pour la sécurité des systèmes d'information sont nombreux et peuvent affecter n'importe quelle entreprise, quelque soit sa taille ou son secteur d'activité.

Les organisations se dotent d’une PSSI pour plusieurs raisons :

• définir des repères pour les métiers,

• définir des garde-fous contre le déploiement de solutions rapides, incontrôlées et qui peuvent engendrer des fuites de données,

• appuyer le discours du RSSI,

• montrer aux partenaires et fournisseurs que le sujet est bien pris en compte., Lʼabsence dʼune politique de sécurité des systèmes d'information n’est plus une option aujourd’hui. Ce document est attendu à tous les niveaux et par :

• les clients pour obtenir des gages de sécurité

• les RH pour définir des règles claires (télétravail / mesures de sécurité / responsabilités)

• les auditeurs pour analyser la maturité d’une organisation

En l’absence de PSSI, il est fréquent que des clients refusent d’avancer dans le processus de contractualisation ou que des assureurs ne proposent aucune couverture d’assurance cyber.

Dʼun point de vue réglementaire, disposer dʼune PSSI est souvent une obligation dans presque toutes les situations : pour se faire certifier ISO 27001, HDS ou SOC2, pour être conforme à NIS2, à DORA, au CRA et au RGPD.

Les enjeux dʼune PSSI sont importants pour différents acteurs au sein de l'organisation notamment :

• les responsables de la sécurité des systèmes d'information – RSSI, une PSSI constitue un cadre clair pour gérer les risques et déployer des mesures de sécurité adaptées.
• les directeurs des systèmes d'information – DSI, ils tirent parti de cette politique en alignant leurs stratégies technologiques sur les objectifs de sécurité de lʼorganisation.
• les dirigeants et membres du Comité exécutif – Comex, ils s'appuient sur la PSSI pour sʼassurer que les risques liés à la sécurité sont gérés de manière proactive et que lʼorganisation respecte les réglementations en vigueur.

En outre, une PSSI, accompagnée de la charte informatique, encourage la mise en place dʼune culture de la sécurité au sein de l'organisation. Elle définit pour tous les employés, les bonnes pratiques de sécurité et ainsi que les responsabilités et les rôles de chacun dans la protection des systèmes d'information. Cela permet de renforcer la résilience de lʼorganisation face aux menaces cyber et dʼaméliorer globalement la gestion des risques liés à la sécurité des informations.

7 étapes clés pour élaborer une PSSI efficace

Lʼélaboration dʼune politique de sécurité des systèmes d'information repose sur un processus structuré et méthodique. Découvrez les 7 étapes clés pour concevoir une PSSI adaptée aux besoins de votre organisation.

1. Évaluer les besoins de sécurité de l'organisation : La première étape consiste à analyser les actifs critiques de lʼorganisation, à identifier les menaces potentielles et à déterminer les niveaux de sécurité nécessaires. Cela inclut une analyse des risques SSI, comme le préconise la méthode EBIOS, pour mieux comprendre les vulnérabilités et les impacts potentiels sur les systèmes d'information.

2. Identifier les parties prenantes : Il est important de lister toutes les équipes et prestataires internes et externes impliqués dans la définition et lʼapplication de la PSSI. Cela inclut les responsables de la sécurité des systèmes d'information, les directeurs des systèmes d'information, les équipes techniques, ainsi que les partenaires et fournisseurs externes ayant accès aux systèmes d'information de lʼorganisation.

3. Définir les objectifs et le périmètre d'applicabilité de la PSSI : Il est essentiel de clarifier le périmètre dʼapplicabilité de la PSSI pour éviter toute ambiguïté et garantir que tous les aspects critiques de la sécurité soient pris en compte, notamment les services, processus et ressources concernés.

4. Choisir les référentiels et normes applicables : ISO 27001, ANSSI, NIS2, DORA... Il est recommandé de s'appuyer sur des standards reconnus pour structurer cette politique. Les référentiels de lʼAgence Nationale de la Sécurité des Systèmes d'Information (ANSSI) - souvent cités dans le cadre de la PSSI - et la norme ISO 27001, offrent des cadres solides pour élaborer une PSSI robuste et conforme aux meilleures pratiques internationales en matière de politique de sécurité des systèmes d'information.

5. Rédiger les règles de sécurité : Dans la rédaction des règles de sécurité, restez concis et fixez des objectifs réalistes et mesurables. Une sécurité « parfaite » n’existe pas, même avec les meilleurs systèmes du marché. Non seulement leur coût serait exponentiel, mais les processus qui en découleraient s’avéreraient lourds à mettre en œuvre et seraient rapidement contournés par les utilisateurs et les métiers, au détriment de l’efficacité globale. Établir des règles de sécurité concrètes adaptées aux risques et aux usages spécifiques de l'organisation est une étape essentielle. Ces règles doivent couvrir différents aspects, notamment l'accès aux systèmes, la sauvegarde des données, la mobilité et d'autres domaines clés de la sécurité des systèmes d'information.

6. Impliquer les collaborateurs et communiquer : L'implication des collaborateurs via une communication interne efficace, est essentielle pour assurer le succès de la PSSI. Il est important de sensibiliser et de former régulièrement les employés aux bonnes pratiques de sécurité. De plus, il est important de communiquer clairement les responsabilités et les rôles de chacun dans la mise en œuvre de la politique.

7. Mettre en œuvre un plan de contrôle et de mise à jour : Pour garantir la pérennité de la PSSI, il est indispensable de mettre en place des mécanismes d'audits et de révisions réguliers. Cela inclut l'élaboration dʼun plan de contrôle et de mise à jour pour sʼassurer que la politique reste adaptée aux évolutions des menaces, des technologies et des changements internes de l'organisation.

Bonus

Rédiger une PSSI est un exercice difficile et chronophage. Ce qui peut sembler intuitif et simple dans la rédaction peut s’avérer extrêmement long à mettre en place. Pensez à inclure les métiers et la DSI dans votre démarche pour comprendre comment ils travaillent et quels sont leurs enjeux de sécurité. Écrivez moins de règles, mais des règles acceptées, mesurables et applicables. Vous pourrez les faire évoluer quand vous aurez réussi à passer des paliers de maturité et de sécurité.

Ce que recommande lʼANSSI pour votre PSSI

LʼAgence Nationale de la Sécurité des Systèmes d'Information propose plusieurs recommandations officielles pour l'élaboration et la mise en œuvre dʼune politique de sécurité des systèmes d'information (PSSI) efficace. Ces recommandations visent à accompagner les RSSI dans la création et le maintien dʼune politique robuste et adaptée aux besoins spécifiques de leur organisation.

LʼANSSI met à disposition des ressources gratuites et complètes pour guider les organisations dans la conception de leur PSSI. Parmi ces ressources, le guide dʼélaboration de politiques de sécurité des systèmes d'information constitue un outil précieux. Il fournit un support détaillé pour les responsables SSI, en abordant tous les aspects essentiels de la politique de sécurité, depuis l'évaluation des besoins jusqu'à la mise en œuvre et la révision régulière de la PSSI.

En outre, lʼANSSI insiste sur l'importance d'impliquer les métiers dans le processus d'élaboration de la PSSI. Cela signifie que les équipes techniques, les opérationnels, ainsi que les dirigeants et les membres du comité exécutif doivent participer activement à la définition et à la mise en œuvre de cette politique.

Cette approche garantit que la PSSI soit en parfait alignement avec les objectifs métiers et les besoins spécifiques de l'organisation. Elle permet également une application efficace par tous les acteurs concernés.

Par ailleurs, lʼANSSI recommande de sʼappuyer sur des référentiels et des normes reconnues, comme la norme ISO 27001, pour structurer la PSSI. Ces standards offrent des cadres solides et des meilleures pratiques pour la gestion de la sécurité des informations. Cela contribue à assurer la conformité avec les réglementations en vigueur tout en renforçant la sécurité globale des systèmes dʼinformation.

Enfin, lʼANSSI met en avant lʼimportance de la sensibilisation et de la formation continue des collaborateurs. Les bonnes pratiques de sécurité, telles que la gestion des mots de passe, la sauvegarde régulière des données ou encore la protection contre les virus, doivent être intégrées dans la PSSI et clairement communiquées à tous les employés. Cela favorise lʼinstauration dʼune culture de la sécurité au sein de lʼorganisation.

Comment Board of Cyber peut vous accompagner dans votre projet de politique de sécurité

Board of Cyber offre une gamme de solutions innovantes pour accompagner les organisations dans leur stratégie de sécurité des systèmes d'information. Voici comment leurs outils et services peuvent vous aider à renforcer et à optimiser votre sécurité.

Documenter et publier votre PSSI et vos risques de cybersécurité

La solution TrustHQ vous propose un module dédié à la publication de votre politique de sécurité, à son rapprochement avec des référentiels de sécurité. Cette PSSI pourra de plus être déclinée sous forme de procédures de sécurité que vous pourrez partager avec tous les collaborateurs ou des groupes restreints.

Le pilotage des évolutions de la PSSI et la communication d’une version toujours à jour sont simplifiés, ce qui permet une traçabilité des évolutions.

Déclencher les évaluations de maturité cybersécurité

La conformité sécurité (NIS2, DORA, CRA, ISO…) est une réalité pour toutes les organisations. Afin d’optimiser le processus et de réduire la charge de travail associée, la meilleure méthode est de :

• définir un plan de contrôle unique à toutes les conformités à réaliser
• documenter les contrôles
• cartographier les contrôles de votre PSSI et les référentiels
• déclencher les évaluations de conformité.

Le module de conformité de TrustHQ vous permet de piloter tous les contrôles et de déléguer les tâches de reporting à vos équipes et filiales.

La solution TrustHQ consolide toutes ces informations dans des tableaux de bord simples et intuitifs.

Piloter les audits de sécurité

Toutes les réglementations de sécurité imposent de mettre en place des vérifications de sécurité indépendantes (audit interne ou prestataires). De ces audits découlent des plans d’action pour lesquels le RSSI doit déléguer des tâches, suivre l’avancement, consolider des tableaux de bord. Une tâche particulièrement lourde, souvent traitée au travers de tableaux Excel, difficile à maintenir.

Le module de pilotage de la solution TrustHQ vous permet de personnaliser, déléguer et suivre tous les plans d’action. Les données sont automatiquement consolidées dans des tableaux de bord.

Piloter la sécurité des fournisseurs

Toutes les normes et surtout toutes les réglementations récentes mettent en avant l’importance de maîtriser votre chaîne d’approvisionnement. Qu’il s’agisse de fournisseurs IT ou de fournisseurs métier, comment s’assurer que des centaines, voire des milliers de fournisseurs ont un niveau de sécurité adéquat par rapport à votre dépendance à leur activité ?

Board of Cyber vous aide à mettre en place une stratégie de pilotage des fournisseurs (critiques / importants / standards) et à décliner cette stratégie via :

• TrustHQ pour des questionnaires de sécurité avec dépôt de preuves
• Security Rating pour l’automatisation de l’analyse de la surface d’attaque.

Cette approche assure une maîtrise parfaite de votre chaîne d’approvisionnement et une conformité à NIS2 et DORA.

Conclusion

En conclusion, la mise en place dʼune politique de sécurité des systèmes d'information est indispensable pour définir comment protéger les actifs de votre organisation. C’est un document stratégique qui définit les enjeux, le contexte réglementaire, les objectifs, les responsabilités, les principes et les règles de sécurité à appliquer.

Lʼimplication des parties prenantes : métiers, DSI, direction générale, ainsi quʼune communication interne efficace sont des éléments fondamentaux pour garantir son adoption.

La cybersécurité exige une maintenance continue, avec des révisions régulières des politiques et des procédures afin de réaligner son contenu sur la réalité du terrain : applicabilité et nouvelles menaces. Les outils de pilotage et les services spécialisés, comme ceux proposés par Board of Cyber, peuvent jouer un rôle déterminant dans le renforcement de votre stratégie SSI.

Ne perdez pas de temps : élaborez votre PSSI, mobilisez vos équipes, et assurez-vous que vos systèmes dʼinformation restent sécurisés face aux menaces croissantes.

FAQ

Quels sont les principes organisationnels clés pour élaborer une politique de sécurité des systèmes d'information ?

Les principes organisationnels clés pour élaborer une politique de sécurité des systèmes d'information incluent :

• La définition d'une politique de sécurité claire et cohérente.
• L'organisation efficace de la sécurité.
• La gestion proactive des risques SSI.
• L'intégration de la sécurité dans le cycle de vie des systèmes.
• L'assurance et la certification des systèmes.

Ces principes garantissent une structure solide pour la gestion et la surveillance de la sécurité des systèmes d'information.

Comment identifier et protéger les actifs numériques critiques dans le cadre d'une PSSI ?

Pour identifier et protéger les actifs numériques critiques dans le cadre d'une PSSI, il est essentiel de suivre plusieurs étapes clés :

• Identifier les actifs informatiques critiques, tels que les bases de données clients, les données financières et les secrets commerciaux.
• Définir des mesures de protection adaptées, comme la mise en place de pare-feu, lʼutilisation de systèmes dʼauthentification forte et la gestion des droits dʼaccès.
• Assurer une surveillance continue des systèmes pour détecter les anomalies. Effectuer des sauvegardes régulières des données.
• Sensibiliser le personnel aux bonnes pratiques de sécurité informatique.

Quelle est l'importance de la surveillance et de la détection des anomalies dans une PSSI ?

La surveillance et la détection des anomalies dans une politique de sécurité des systèmes d'information sont essentielles pour identifier et prévenir les menaces cybernétiques. Elles permettent :

• De détecter en temps réel des comportements anormaux ou des patterns suspects. De réagir rapidement aux incidents pour minimiser les impacts.
• D'améliorer la qualité des données et la sécurité globale des systèmes.

Ces actions protègent les systèmes et les données contre les breaches et les attaques zero-day.

Pourquoi la sensibilisation et la formation du personnel sont-elles essentielles pour compléter la PSSI ?

La sensibilisation et la formation du personnel sont essentielles dans une PSSI car elles :

• Éduquent les employés sur les meilleures pratiques de sécurité,
• Sensibilisent aux menaces courantes, comme le phishing,
• Favorisent une culture de la sécurité au sein de l'organisation,
• Maintiennent un haut niveau de vigilance et de compétence,
• Renforcent la confiance envers l'organisation tout en protégeant sa réputation.

Ces programmes réguliers contribuent à prévenir les incidents de sécurité et à assurer une sécurité optimale.