Politiques de sécurité des systèmes d’information (PSSI)

Publié le par Mélissa A

La Politique de sécurité des systèmes d’information (PSSI) constitue l’un des principaux documents de référence en matière de SSI. Elle reflète la vision stratégique de l’organisme (PME, PMI, industrie, administration…) et montre l’importance qu’accorde la direction à son système d’information.

En 2002, le conseil de l’organisation de coopération et de développement économique (OCDE) a adopté une nouvelle version des "lignes directrices régissant la sécurité des systèmes et réseaux d’information – vers une « culture de la sécurité »

Une politique de sécurité reflète la vision stratégique de la direction de l’organisme en matière de sécurité de l’information. Elle informe la maîtrise d’ouvrage et la maîtrise d’œuvre des enjeux, des choix en terme de gestion des risques et suscite la confiance des utilisateurs et partenaires.

D’une PSSI globale, il est possible de décliner des PSSI techniques par métier, activités ou systèmes. Elle servira également de base de cohérence entre ces PSSI et entre toutes les études SSI.

Après validation, la PSSI doit être diffusée à l’ensemble des acteurs du SI (utilisateurs, sous-traitants, prestataires…). Elle constitue alors un véritable outil de communication sur l’organisation et les responsabilités SSI, les risques SSI et les moyens disponibles pour s’en prémunir.

La PSSI est un document vivant qui doit évoluer afin de prendre en compte les transformations du contexte de l’organisme (changement d’organisation, de missions...) et des risques (réévaluation de la menace, variation des besoins de sécurité, des contraintes et des enjeux).

 

 

Une démarche basée sur l’analyse des risques SSI


L’élaboration d’une PSSI peut se décomposer en 4 phases :

•    organisation du projet PSSI et constitution du référentiel,
•    recueil des éléments stratégiques,
•    choix des principes et déclinaison en règles adaptées au contexte (graduation des moyens),
•    finalisation et validation de la PSSI et de son plan d’action.

La réalisation préalable d’une analyse des risques SSI facilite l’élaboration d’une PSSI notamment pour :

L’Agence Nationale de la sécurité des systèmes d’information (ANSSI) à rendu public sur son site (www.ssi.gouv.fr) deux documents utiles à l’élaboration d’une PSSI : le guide PSSI suivant la démarche présentée et la méthode EBIOS® pour réaliser l’analyse des risques SSI.

 

 

Un référentiel de principes de sécurité

 
Le document PSSI doit présenter les principes de sécurité résultant de l’analyse des risques et les présenter de manière organisée. Certains thèmes doivent être abordés, comme par exemple : l’organisation de la sécurité, la gestion des risques SSI, la sécurité et cycle de vie, l’assurance et certification, la sensibilisation et la formation, l’identification / authentification etc…

Ces domaines de sécurité couvrent les normes ISO/IEC 13335, 15408 et 17799 (nouvellement 27002).

Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Mes sources
Mes sources
Les normes liées à la sécurité des SI
Les normes liées à la sécurité des SI
Les standards IT
Les standards IT
La norme liée à l’audit des SI
La norme liée à l’audit des SI
Les normes liées à la sécurité des SI
Mes sources
Commenter cet article