PSSI : politique de sécurité des systèmes d'information

La Politique de Sécurité des Systèmes d’Information (PSSI) est le document de référence qui formalisé la stratégie de sécurité d’une organisation. Elle définit les principes, les règles et les objectifs de sécurité qui s’appliquent à l’ensemble du système d’information. Longtemps cantonnee aux grandes administrations et aux opérateurs d’importance vitale, la PSSI devient aujourd’hui un document incontournable pour toute organisation soumise au RGPD ou à la directive NIS2.

Définition et rôle de la PSSI

La PSSI est un document stratégique qui exprimé la vision de la direction générale en matière de sécurité des systèmes d’information. Elle constitue le socle sur lequel reposent l’ensemble des mesures techniques et organisationnelles de sécurité déployées par l’organisation.

Contrairement à une idée reçue, la PSSI n’est pas un document technique. Elle ne décrit pas les configurations de pare-feu ou les règles de détection d’intrusion. Elle fixe le cadre, les principes directeurs et les responsabilités. Les aspects techniques sont déclinés dans des documents opérationnels (procédures, standards, guides) qui s’inscrivent en dessous de la PSSI dans la hiérarchie documentaire.

La PSSI remplit plusieurs fonctions :

• Fonction stratégique : elle traduit les enjeux de sécurité en objectifs clairs et mesurables, alignes sur la stratégie globale de l’organisation.
• Fonction normative : elle pose les règles que l’ensemble des collaborateurs, prestataires et partenaires doivent respecter.
• Fonction de gouvernance : elle définit les rôles, les responsabilités et les circuits de décision en matière de sécurité.
• Fonction de conformité : elle démontre aux autorités de contrôle et aux auditeurs que l’organisation a formalisé sa démarche de sécurité.

Le cadre de référence : le guide PSSI de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un guide méthodologique pour l’élaboration d’une PSSI, largement considéré comme la référence en France. Ce guide propose une démarche structurée en quatre phases :

Phase 1 : Organisation du projet

Cette phase consiste à définir le périmètre de la PSSI, a constituer l’équipe projet et a obtenir le mandat de la direction générale. Le soutien explicité de la direction est un préalable indispensable : une PSSI qui ne bénéficie pas de l’appui de la direction générale restera lettre morte.

Phase 2 : Élaboration des éléments stratégiques

Il s’agit d’identifier les enjeux de sécurité propres à l’organisation, d’analyser le contexte réglementaire applicable, de recenser les biens essentiels du système d’information et d’évaluer les menaces et les vulnérabilités. Cette phase aboutit à la formulation des principes de sécurité qui constitueront le coeur de la PSSI.

Phase 3 : Selection des principes et rédaction des règles

À partir des principes identifiés, l’équipe projet rédigé les règles de sécurité applicables. Ces règles doivent être suffisamment précises pour être opérationnelles, mais suffisamment générales pour ne pas nécessiter une mise à jour à chaque évolution technique.

Phase 4 : Finalisation et validation

La PSSI est finalisee, soumise à la validation de la direction générale, puis diffusée à l’ensemble des parties prenantes. Un plan de communication et de sensibilisation accompagné la diffusion.

Contenu type d’une PSSI

Si le contenu exact varie selon la taille et le secteur d’activité de l’organisation, une PSSI complète comporte généralement les sections suivantes :

1. Introduction et contexte

Cette section présente l’organisation, son système d’information, les enjeux de sécurité spécifiques à son activité et le périmètre d’application de la PSSI. Elle identifie également le cadre réglementaire applicable (RGPD, NIS2, réglementations sectorielles, etc.).

2. Gouvernance de la sécurité

La PSSI doit définir clairement l’organigramme de la sécurité :

• Le responsable de la sécurité des systèmes d’information (RSSI) : son positionnement hiérarchique, ses missions, son autorité et ses moyens.
• Le comité de sécurité : sa composition, sa fréquence de réunion, son rôle dans la validation des orientations stratégiques.
• Les correspondants sécurité dans les directions métiers : leur rôle de relais opérationnel.
• Les liens avec le DPO : l’articulation entre sécurité informatique et protection des données personnelles.

3. Classification des actifs

La PSSI établit une méthode de classification des actifs informationnels selon leur sensibilité (par exemple : public, interne, confidentiel, secret). Cette classification déterminé le niveau de protection a appliquer à chaque catégorie d’actifs.

4. Règles de sécurité

C’est le coeur du document. Les règles couvrent typiquement les domaines suivants :

• Gestion des accès : principes du moindre privilège, séparation des fonctions, gestion des comptes a privileges, authentification forte.
• Sécurité des réseaux : segmentation, filtrage, détection d’intrusion, sécurisation des accès distants.
• Sécurité des postes de travail et des terminaux mobiles : politique de mise à jour, chiffrement, gestion des périphériques amovibles.
• Gestion des vulnérabilités : veille, évaluation, correction dans des délais définis.
• Sauvegarde et continuité d’activité : fréquence des sauvegardes, tests de restauration, plan de continuité et de reprise.
• Gestion des incidents de sécurité : détection, qualification, escalade, notification, retour d’expérience.
• Sécurité des développements : principes de sécurité by design, revue de code, gestion des environnements.
• Gestion des tiers : exigences de sécurité dans les contrats avec les sous-traitants et fournisseurs.
• Chiffrement : politique d’usage de la cryptographie, gestion des clés.
• Sécurité physique : contrôle d’accès aux locaux techniques, protection des équipements.

5. Sensibilisation et formation

La PSSI définit les obligations de sensibilisation et de formation en matière de sécurité pour les différentes catégories de personnel (nouveaux arrivants, administrateurs systèmes, dirigeants, etc.).

6. Contrôle et audit

La PSSI prévoit les mécanismes de vérification de son application : audits internes, audits externes, indicateurs de suivi, tableaux de bord de sécurité.

7. Gestion des non-conformités et sanctions

La PSSI doit préciser les conséquences du non-respect des règles qu’elle édicté. Cela inclut le processus de gestion des dérogations (car certaines exceptions sont inevitables) et les sanctions disciplinaires applicables en cas de manquement délibéré.

L’articulation avec NIS2

La directive NIS2 renforcé considérablement l’exigence de formalisation de la sécurité. L’article 21 de NIS2 impose aux entités essentielles et importantes d’adopter des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information.

Plus spécifiquement, l’article 21, paragraphe 2, énumère dix catégories de mesures obligatoires qui correspondent en grande partie au contenu d’une PSSI :

• Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
• La gestion des incidents
• La continuité des activités et la gestion des crises
• La sécurité de la chaîne d’approvisionnement
• La sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information
• Les politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques
• Les pratiques de base en matière de cyber-hygiène et la formation à la sécurité
• Les politiques et procédures relatives à l’utilisation de la cryptographie
• La sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs
• L’utilisation de solutions d’authentification multi-facteurs

L’article 21 exigé par ailleurs que ces mesures soient approuvées par les organes de direction des entités concernées. Les dirigeants doivent suivre des formations en matière de sécurité et peuvent voir leur responsabilité engagée en cas de manquement. La PSSI devient ainsi un document que la direction ne peut plus ignorer.

L’alignement avec ISO 27001

La norme ISO 27001 constitue le référentiel international de référence pour les systèmes de management de la sécurité de l’information (SMSI). La PSSI s’inscrit naturellement dans ce cadre :

• L’ISO 27001 exigé l’existence d’une politique de sécurité de l’information (clause 5.2), approuvée par la direction et communiquée au sein de l’organisation.
• L’annexe A de l’ISO 27001 (issue de l’ISO 27002) fournit un catalogue de mesures de sécurité qui peut servir de base à la rédaction des règles de la PSSI.
• Le cycle PDCA (Plan-Do-Check-Act) de l’ISO 27001 fournit le cadre d’amélioration continue dans lequel la PSSI s’inscrit.

Pour les organisations certifiées ou en cours de certification ISO 27001, la PSSI constitue l’un des documents audités en priorité. Son existence, sa pertinence et son application effective sont systématiquement vérifiées.

L’articulation avec le RGPD

Le RGPD impose, à son article 32, la mise en oeuvre de mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. La PSSI constitue le cadre dans lequel ces mesures sont définies et formalisees.

L’existence d’une PSSI est un élément tangible de conformité à l’article 32. Elle démontre que l’organisation a adopté une approche structurée de la sécurité, qu’elle a identifié les risques et qu’elle a défini des règles pour y répondre. À l’inverse, l’absence de PSSI sera un élément a charge lors d’un contrôle de la CNIL ou en cas de violation de données.

Processus d’approbation et de révision

Approbation

La PSSI doit être formellement approuvée par la direction générale ou le comité de direction. Cette approbation n’est pas une simple formalité : elle engagé la direction et confère à la PSSI l’autorité nécessaire à son application. Le document doit porter la date et la signature du dirigeant compétent.

Diffusion

Après approbation, la PSSI doit être diffusée à l’ensemble des collaborateurs concernés. La diffusion peut être accompagnée d’une note explicative synthetisant les points clés. Les prestataires et sous-traitants ayant accès au système d’information doivent également en prendre connaissance.

Revision périodique

La PSSI n’est pas un document statique. Elle doit faire l’objet d’une révision périodique – annuelle dans la plupart des organisations – et être mise à jour en cas d’évolution significative :

• Changement majeur dans le système d’information (migration cloud, fusion-acquisition, etc.)
• Evolution du cadre réglementaire (entrée en vigueur de NIS2, nouvelles recommandations de la CNIL, etc.)
• Incident de sécurité majeur révélant des lacunes dans la politique existante
• Modification de l’organisation ou de la stratégie de l’entreprise

Chaque révision doit suivre un processus formalisé incluant une consultation des parties prenantes et une validation par la direction.

Modèle de structuré pour une PSSI

À titre indicatif, voici une structuré type pouvant servir de point de départ :

Section	Contenu
1. Objet et périmètre	Objectif du document, périmètre d’application, destinataires
2. References	Cadre réglementaire, normes applicables, documents connexes
3. Gouvernance	Organigramme sécurité, comites, rôles et responsabilités
4. Classification	Niveaux de classification, règles de marquage et de traitement
5. Gestion des accès	Principes d’habilitation, authentification, comptes a privileges
6. Sécurité des réseaux	Segmentation, filtrage, supervision, accès distants
7. Sécurité des systèmes	Durcissement, mises à jour, gestion des vulnérabilités
8. Chiffrement	Usage de la cryptographie, gestion des clés et certificats
9. Sauvegarde et continuité	Politique de sauvegarde, PCA/PRA, tests
10. Gestion des incidents	Détection, qualification, notification, retour d’expérience
11. Sécurité des tiers	Exigences contractuelles, audits fournisseurs
12. Sensibilisation	Programme de formation, fréquence, publics ciblés
13. Contrôle et audit	Audits internes et externes, indicateurs
14. Derogations et sanctions	Processus de dérogation, conséquences du non-respect
15. Revision du document	Fréquence de révision, processus de mise à jour, historique

Les erreurs fréquentes

Plusieurs écueils sont régulièrement observes dans la rédaction et la gestion des PSSI :

La PSSI “etagere” : un document rédigé pour satisfaire une exigence de conformité, mais qui ne reflète pas les pratiques réelles de l’organisation. Ce type de PSSI est non seulement inutile, mais potentiellement dangereux car il créé une fausse impression de sécurité.

L’excès de technicite : une PSSI trop technique, incompréhensible pour les non-spécialistes, et qui ne sera donc ni lue ni appliquée par les collaborateurs.

L’absence de mise à jour : une PSSI datant de plusieurs années, qui ne reflète plus ni l’état du système d’information ni le cadre réglementaire actuel.

Le défaut de portage par la direction : une PSSI rédigée par le RSSI seul, sans implication de la direction générale, et qui n’a donc ni l’autorité ni les moyens nécessaires à son application.

L’absence de contrôle : une PSSI dont l’application n’est jamais vérifiée, ce qui la rend rapidement obsolète dans les faits.

Conclusion

La PSSI est bien plus qu’un document de conformité. C’est l’instrument par lequel la direction d’une organisation exprimé sa volonté en matière de sécurité et donne aux équipes opérationnelles le cadre nécessaire à leur action. Avec l’entrée en application de NIS2, qui exige explicitement l’approbation des mesures de sécurité par les organes de direction et la responsabilisation des dirigeants, la PSSI prend une dimension nouvelle. Les organisations qui n’en disposent pas encore doivent en faire une priorité. Celles qui en possèdent une doivent s’assurer qu’elle est vivante, appliquée et régulièrement révisée.