La Politique de Securite des Systemes d’Information (PSSI) est le document de reference qui formalise la strategie de securite d’une organisation. Elle definit les principes, les regles et les objectifs de securite qui s’appliquent a l’ensemble du systeme d’information. Longtemps cantonnee aux grandes administrations et aux operateurs d’importance vitale, la PSSI devient aujourd’hui un document incontournable pour toute organisation soumise au RGPD ou a la directive NIS2.

Definition et role de la PSSI

La PSSI est un document strategique qui exprime la vision de la direction generale en matiere de securite des systemes d’information. Elle constitue le socle sur lequel reposent l’ensemble des mesures techniques et organisationnelles de securite deployees par l’organisation.

Contrairement a une idee recue, la PSSI n’est pas un document technique. Elle ne decrit pas les configurations de pare-feu ou les regles de detection d’intrusion. Elle fixe le cadre, les principes directeurs et les responsabilites. Les aspects techniques sont declines dans des documents operationnels (procedures, standards, guides) qui s’inscrivent en dessous de la PSSI dans la hierarchie documentaire.

La PSSI remplit plusieurs fonctions :

• Fonction strategique : elle traduit les enjeux de securite en objectifs clairs et mesurables, alignes sur la strategie globale de l’organisation.
• Fonction normative : elle pose les regles que l’ensemble des collaborateurs, prestataires et partenaires doivent respecter.
• Fonction de gouvernance : elle definit les roles, les responsabilites et les circuits de decision en matiere de securite.
• Fonction de conformite : elle demontre aux autorites de controle et aux auditeurs que l’organisation a formalise sa demarche de securite.

Le cadre de reference : le guide PSSI de l’ANSSI

L’Agence nationale de la securite des systemes d’information (ANSSI) a publie un guide methodologique pour l’elaboration d’une PSSI, largement considere comme la reference en France. Ce guide propose une demarche structuree en quatre phases :

Phase 1 : Organisation du projet

Cette phase consiste a definir le perimetre de la PSSI, a constituer l’equipe projet et a obtenir le mandat de la direction generale. Le soutien explicite de la direction est un prealable indispensable : une PSSI qui ne beneficie pas de l’appui de la direction generale restera lettre morte.

Phase 2 : Elaboration des elements strategiques

Il s’agit d’identifier les enjeux de securite propres a l’organisation, d’analyser le contexte reglementaire applicable, de recenser les biens essentiels du systeme d’information et d’evaluer les menaces et les vulnerabilites. Cette phase aboutit a la formulation des principes de securite qui constitueront le coeur de la PSSI.

Phase 3 : Selection des principes et redaction des regles

A partir des principes identifies, l’equipe projet redige les regles de securite applicables. Ces regles doivent etre suffisamment precises pour etre operationnelles, mais suffisamment generales pour ne pas necessiter une mise a jour a chaque evolution technique.

Phase 4 : Finalisation et validation

La PSSI est finalisee, soumise a la validation de la direction generale, puis diffusee a l’ensemble des parties prenantes. Un plan de communication et de sensibilisation accompagne la diffusion.

Contenu type d’une PSSI

Si le contenu exact varie selon la taille et le secteur d’activite de l’organisation, une PSSI complete comporte generalement les sections suivantes :

1. Introduction et contexte

Cette section presente l’organisation, son systeme d’information, les enjeux de securite specifiques a son activite et le perimetre d’application de la PSSI. Elle identifie egalement le cadre reglementaire applicable (RGPD, NIS2, reglementations sectorielles, etc.).

2. Gouvernance de la securite

La PSSI doit definir clairement l’organigramme de la securite :

• Le responsable de la securite des systemes d’information (RSSI) : son positionnement hierarchique, ses missions, son autorite et ses moyens.
• Le comite de securite : sa composition, sa frequence de reunion, son role dans la validation des orientations strategiques.
• Les correspondants securite dans les directions metiers : leur role de relais operationnel.
• Les liens avec le DPO : l’articulation entre securite informatique et protection des donnees personnelles.

3. Classification des actifs

La PSSI etablit une methode de classification des actifs informationnels selon leur sensibilite (par exemple : public, interne, confidentiel, secret). Cette classification determine le niveau de protection a appliquer a chaque categorie d’actifs.

4. Regles de securite

C’est le coeur du document. Les regles couvrent typiquement les domaines suivants :

• Gestion des acces : principes du moindre privilege, separation des fonctions, gestion des comptes a privileges, authentification forte.
• Securite des reseaux : segmentation, filtrage, detection d’intrusion, securisation des acces distants.
• Securite des postes de travail et des terminaux mobiles : politique de mise a jour, chiffrement, gestion des peripheriques amovibles.
• Gestion des vulnerabilites : veille, evaluation, correction dans des delais definis.
• Sauvegarde et continuite d’activite : frequence des sauvegardes, tests de restauration, plan de continuite et de reprise.
• Gestion des incidents de securite : detection, qualification, escalade, notification, retour d’experience.
• Securite des developpements : principes de securite by design, revue de code, gestion des environnements.
• Gestion des tiers : exigences de securite dans les contrats avec les sous-traitants et fournisseurs.
• Chiffrement : politique d’usage de la cryptographie, gestion des cles.
• Securite physique : controle d’acces aux locaux techniques, protection des equipements.

5. Sensibilisation et formation

La PSSI definit les obligations de sensibilisation et de formation en matiere de securite pour les differentes categories de personnel (nouveaux arrivants, administrateurs systemes, dirigeants, etc.).

6. Controle et audit

La PSSI prevoit les mecanismes de verification de son application : audits internes, audits externes, indicateurs de suivi, tableaux de bord de securite.

7. Gestion des non-conformites et sanctions

La PSSI doit preciser les consequences du non-respect des regles qu’elle edicte. Cela inclut le processus de gestion des derogations (car certaines exceptions sont inevitables) et les sanctions disciplinaires applicables en cas de manquement delibere.

L’articulation avec NIS2

La directive NIS2 renforce considerablement l’exigence de formalisation de la securite. L’article 21 de NIS2 impose aux entites essentielles et importantes d’adopter des mesures techniques, operationnelles et organisationnelles appropriees et proportionnees pour gerer les risques qui menacent la securite de leurs reseaux et systemes d’information.

Plus specifiquement, l’article 21, paragraphe 2, enumere dix categories de mesures obligatoires qui correspondent en grande partie au contenu d’une PSSI :

• Les politiques relatives a l’analyse des risques et a la securite des systemes d’information
• La gestion des incidents
• La continuite des activites et la gestion des crises
• La securite de la chaine d’approvisionnement
• La securite dans l’acquisition, le developpement et la maintenance des reseaux et systemes d’information
• Les politiques et procedures pour evaluer l’efficacite des mesures de gestion des risques
• Les pratiques de base en matiere de cyber-hygiene et la formation a la securite
• Les politiques et procedures relatives a l’utilisation de la cryptographie
• La securite des ressources humaines, les politiques de controle d’acces et la gestion des actifs
• L’utilisation de solutions d’authentification multi-facteurs

L’article 21 exige par ailleurs que ces mesures soient approuvees par les organes de direction des entites concernees. Les dirigeants doivent suivre des formations en matiere de securite et peuvent voir leur responsabilite engagee en cas de manquement. La PSSI devient ainsi un document que la direction ne peut plus ignorer.

L’alignement avec ISO 27001

La norme ISO 27001 constitue le referentiel international de reference pour les systemes de management de la securite de l’information (SMSI). La PSSI s’inscrit naturellement dans ce cadre :

• L’ISO 27001 exige l’existence d’une politique de securite de l’information (clause 5.2), approuvee par la direction et communiquee au sein de l’organisation.
• L’annexe A de l’ISO 27001 (issue de l’ISO 27002) fournit un catalogue de mesures de securite qui peut servir de base a la redaction des regles de la PSSI.
• Le cycle PDCA (Plan-Do-Check-Act) de l’ISO 27001 fournit le cadre d’amelioration continue dans lequel la PSSI s’inscrit.

Pour les organisations certifiees ou en cours de certification ISO 27001, la PSSI constitue l’un des documents audites en priorite. Son existence, sa pertinence et son application effective sont systematiquement verifiees.

L’articulation avec le RGPD

Le RGPD impose, a son article 32, la mise en oeuvre de mesures techniques et organisationnelles appropriees pour assurer un niveau de securite adapte au risque. La PSSI constitue le cadre dans lequel ces mesures sont definies et formalisees.

L’existence d’une PSSI est un element tangible de conformite a l’article 32. Elle demontre que l’organisation a adopte une approche structuree de la securite, qu’elle a identifie les risques et qu’elle a defini des regles pour y repondre. A l’inverse, l’absence de PSSI sera un element a charge lors d’un controle de la CNIL ou en cas de violation de donnees.

Processus d’approbation et de revision

Approbation

La PSSI doit etre formellement approuvee par la direction generale ou le comite de direction. Cette approbation n’est pas une simple formalite : elle engage la direction et confere a la PSSI l’autorite necessaire a son application. Le document doit porter la date et la signature du dirigeant competent.

Diffusion

Apres approbation, la PSSI doit etre diffusee a l’ensemble des collaborateurs concernes. La diffusion peut etre accompagnee d’une note explicative synthetisant les points cles. Les prestataires et sous-traitants ayant acces au systeme d’information doivent egalement en prendre connaissance.

Revision periodique

La PSSI n’est pas un document statique. Elle doit faire l’objet d’une revision periodique – annuelle dans la plupart des organisations – et etre mise a jour en cas d’evolution significative :

• Changement majeur dans le systeme d’information (migration cloud, fusion-acquisition, etc.)
• Evolution du cadre reglementaire (entree en vigueur de NIS2, nouvelles recommandations de la CNIL, etc.)
• Incident de securite majeur revelant des lacunes dans la politique existante
• Modification de l’organisation ou de la strategie de l’entreprise

Chaque revision doit suivre un processus formalise incluant une consultation des parties prenantes et une validation par la direction.

Modele de structure pour une PSSI

A titre indicatif, voici une structure type pouvant servir de point de depart :

Section	Contenu
1. Objet et perimetre	Objectif du document, perimetre d’application, destinataires
2. References	Cadre reglementaire, normes applicables, documents connexes
3. Gouvernance	Organigramme securite, comites, roles et responsabilites
4. Classification	Niveaux de classification, regles de marquage et de traitement
5. Gestion des acces	Principes d’habilitation, authentification, comptes a privileges
6. Securite des reseaux	Segmentation, filtrage, supervision, acces distants
7. Securite des systemes	Durcissement, mises a jour, gestion des vulnerabilites
8. Chiffrement	Usage de la cryptographie, gestion des cles et certificats
9. Sauvegarde et continuite	Politique de sauvegarde, PCA/PRA, tests
10. Gestion des incidents	Detection, qualification, notification, retour d’experience
11. Securite des tiers	Exigences contractuelles, audits fournisseurs
12. Sensibilisation	Programme de formation, frequence, publics cibles
13. Controle et audit	Audits internes et externes, indicateurs
14. Derogations et sanctions	Processus de derogation, consequences du non-respect
15. Revision du document	Frequence de revision, processus de mise a jour, historique

Les erreurs frequentes

Plusieurs ecueils sont regulierement observes dans la redaction et la gestion des PSSI :

La PSSI “etagere” : un document redige pour satisfaire une exigence de conformite, mais qui ne reflete pas les pratiques reelles de l’organisation. Ce type de PSSI est non seulement inutile, mais potentiellement dangereux car il cree une fausse impression de securite.

L’exces de technicite : une PSSI trop technique, incomprehensible pour les non-specialistes, et qui ne sera donc ni lue ni appliquee par les collaborateurs.

L’absence de mise a jour : une PSSI datant de plusieurs annees, qui ne reflete plus ni l’etat du systeme d’information ni le cadre reglementaire actuel.

Le defaut de portage par la direction : une PSSI redigee par le RSSI seul, sans implication de la direction generale, et qui n’a donc ni l’autorite ni les moyens necessaires a son application.

L’absence de controle : une PSSI dont l’application n’est jamais verifiee, ce qui la rend rapidement obsolete dans les faits.

Conclusion

La PSSI est bien plus qu’un document de conformite. C’est l’instrument par lequel la direction d’une organisation exprime sa volonte en matiere de securite et donne aux equipes operationnelles le cadre necessaire a leur action. Avec l’entree en application de NIS2, qui exige explicitement l’approbation des mesures de securite par les organes de direction et la responsabilisation des dirigeants, la PSSI prend une dimension nouvelle. Les organisations qui n’en disposent pas encore doivent en faire une priorite. Celles qui en possedent une doivent s’assurer qu’elle est vivante, appliquee et regulierement revisee.