Généralement la Politique de Sécurité du Système d’Information (PSSI) est présentée comme étant le document de référence en matière de cybersécurité dans l’entreprise. Malheureusement, ce document reste trop souvent inutilisé par des responsables de sécurité du système d’information qui doivent composer avec un environnement de production en perpétuelle évolution. Alors à quoi sert un tel document décrit comme indispensable mais inutilisé ? Comment élaborer une PSSI efficace et utile ? Et quelles sont les erreurs à éviter si vous devez rédiger votre propre politique de sécurité informatique ? Réponses dans cet article.

Rédiger une PSSI, est-ce encore pertinent en 2024 ?

Plus qu’un simple document, la PSSI est une démarche ayant pour but de formaliser une vision de la sécurité du système d’information de l’entreprise. C’est d’ailleurs loin d’être une nouveauté puisque l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en fait la promotion depuis près de 20 ans.

Avec l’apparition de conflits géopolitiques, de l’impact du changement climatique sur les datacenters, et de l’émergence d’intelligences artificielles comme GPT-3 qui apportent de nouvelles capacités offensives aux cybercriminels, les menaces pouvant frapper une entreprise sont aujourd’hui hétérogènes et difficilement prévisibles. Il est donc intéressant de se poser la question de la pertinence de la rédaction d’une politique de sécurité des systèmes d’information qui par définition est une vision à un temps donné, devant s’appliquer dans un environnement en perpétuel mouvement.

C’est pourquoi avant de vous lancer dans la conception d’une politique de sécurité interne, demandez-vous quel est votre objectif : 

  • Est-ce pour répondre à une obligation de conformité ou l’obtention d’une certification ? 
  • Est-ce une “profession de foi”, par acquit de bonne conscience ? 
  • Est-ce pour poser un réel cadre sécuritaire et en suivre les indicateurs de bonne application ?

Pour notre expert Baptiste David, Responsable PreSales and Delivery chez Tenacy,

« Mon premier conseil est simple : ne faites une PSSI que si vous en avez besoin ! Si vous n’avez pas d’obligation de conformité, ne vous sentez pas obligé de réinventer la roue. Reprenez les frameworks publics comme NIST ou le guide de l’ANSSI. Si toutes les entreprises appliquaient déjà les 42 règles d’hygiène numérique de l’ANSSI, ce serait déjà une victoire !  »  

Le ton est donné et vous savez dorénavant que la rédaction d’une PSSI n’est pas une fin en soi mais vient répondre à un réel besoin de mise en conformité et de sécurisation de votre organisation.

Comment rédiger une PSSI cohérente et applicable ?

La rédaction d’une politique de sécurité se doit d’intégrer l’ensemble des acteurs de votre entreprise. Il doit définir les périmètres et responsabilités de chacun, les ressources et moyens financiers dont vous avez besoin et les objectifs et jalons à respecter pour y parvenir. 

Son but est la « protection du patrimoine matériel de l’organisation (serveurs, ordinateurs, réseaux, téléphonie, applications logicielles…) mais aussi le patrimoine immatériel et intellectuel ainsi que les données personnelles », comme le rappelle l’ANSSI dans son guide de l’élaboration d’une PSSI.

Mais attention, si cette définition semble générique, dans les faits, la rédaction d’une PSSI ne peut se faire sans la connaissance du métier et des obligations de conformité de l’entreprise. Une politique qui s’appliquerait sans prendre en compte son impact sur la productivité des salariés ne serait que contournée au fil du temps. Il est donc important de contraindre le fonctionnement de l’entreprise au travers de règles et bonnes pratiques de sécurité mais dans un cadre de concertations préalable avec les équipes. 

Si un comportement est à risque pour l’entreprise mais obligatoire dans le processus de production, quelle solution pouvez-vous apporter ? Ce cas de figure est très fréquent dans les secteurs de la santé ou les équipements fonctionnent dans certains cas avec des systèmes d’exploitations qui ne sont plus supportés et donc par définition vulnérables. Leurs utilisations s’inscrivant dans des plans décennaux, il n’est tout simplement pas possible de les changer. Ce même cas de figure se retrouve dans les secteurs de l’énergie ou de l’industrie. Avant de rédiger votre vision de la sécurité pour l’entreprise, posez-vous la question : « Cette dernière est-elle réellement applicable ? » 

La PSSI ne doit donc pas être dogmatique et centrée sur elle-même. Elle se doit d’être cohérente et applicable avec les contraintes de l’entreprise.

Pour ce faire, elle se doit d’intégrer : 

  • Les bonnes pratiques en matière de sécurité du système d’information.
  • Les mesures, protocoles et règles de sécurité déjà en place, à appliquer et à respecter en prenant en compte le fonctionnement intrinsèque de l’entreprise.
  • Les vulnérabilités et failles de sécurité des actifs à risque ne pouvant être modifié, en se basant sur les résultats d’une analyse de risques du système d’information
  • L’organisation de la mise en œuvre de cette politique interne.
  • La méthode pour assurer le suivi et les modifications à venir.

6 erreurs fréquentes à ne pas commettre dans la rédaction de votre PSSI.

Pour que votre politique de sécurité soit utile et applicable, nous vous dressons une liste des erreurs fréquentes à éviter. 

1. Considérer que la PSSI n’implique que le RSSI

La PSSI se doit d’être le reflet de la stratégie de sécurité des systèmes d’information (SSI) de l’entreprise et non pas de la vision du RSSI. Pour qu’une politique interne soit appliquée par toute l’entreprise, elle doit émaner de la direction. Baptiste David souligne alors que : « La Direction Générale doit s’engager sur le fait que les règles émises dans la PSSI soient des règles applicables pour toute l’entreprise. De cette manière, les règles de sécurité du système d’information deviennent un ordre de la hiérarchie et non plus une demande du DSI ou du RSSI. » Et ça change tout ! 

 

2. Ne s’adresser qu’aux initiés de la cybersécurité

Ne rédigez pas votre PSSI dans un jargon technique. Au contraire ! Ce document doit être abordable et intelligible afin que tous les acteurs concernés dans l’entreprise puissent en comprendre les tenants et aboutissants. Plus votre message sera clair, plus vous obtiendrez l’adhésion de tous pour protéger collectivement l’organisation.

 

3. Oublier de définir les processus 

Qui valide la conformité de la P.S.S.I ? Qu’est-ce qui se passe en cas de non-conformité ? Qu’est-ce qui peut être imposé au sein des services ? Autant de questions qui nécessitent de définir des processus internes pour vous assurer de sa bonne application. 

 

4. Ne pas faire évoluer sa PSSI

Au même titre que votre système d’information évolue, la politique de sécurité doit, elle aussi, être mise à jour. Votre PSSI prend-elle en compte les nouvelles menaces cyber comme les attaques par supply chain ? L’authentification  multifacteur (MFA) est-elle rendue obligatoire pour la connexion aux applications de votre entreprise ? Quelles sont les mesures pour la sécurité des objets connectés (IoT) ? Avez-vous pris en compte le phénomène du Shadow IT et de l’utilisation de services tiers non autorisés par la DSI ? Autorisez-vous l’usage d’équipements personnels (téléphone portable, tablette, ordinateur personnel) pour accéder au SI de l’entreprise ? Votre PSSI se doit donc d’être cohérente avec les usages réels de l’entreprise. Remettez-la à jour fréquemment et a minima une fois par an afin de ne pas se faire dépasser par les nouveaux usages.

 

5. Oublier de nommer des responsables de l’application de la PSSI

« Responsable mais non coupable ! », c’est ainsi que Baptiste David résume le rôle du RSSI. En effet, le RSSI a un engagement de moyen mais pas de résultat. Il ne peut être tenu pour responsable de l’application des règles de sécurité décrites dans le plan de sécurité informatique au sein de l’entreprise. Son rôle est de lever les non-conformités et d’informer pour envisager la rectification. C’est à chaque service ou business unit d’être responsabilisé sur la bonne application de la PSSI. 

 

6. Ne pas mesurer l’application de la PSSI

En tant que RSSI, vous devez mesurer l’écart entre votre niveau de sécurité actuel et l’objectif à atteindre. Mais quels sont vos indicateurs de suivi ? Avez-vous le bon outil de reporting ? Comment et sur quelle base effectuez-vous les arbitrages à faire ? C’est dans la mesure de ces performances que l’application de votre PSSI sera réellement efficace pour la sécurité de votre organisation ! Parlons-en.