La PSSI, une opportunité pour protéger son SI
Face à une cybercriminalité organisée et une augmentation des attaques avec demande de ransomware, la sécurité de son SI est plus que jamais un enjeu majeur pour les entreprises et les administrations. Dès 2004, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) avait alerté sur l’intérêt d’élaborer une Politique de Sécurité du Système d’Information (PSSI). Pourquoi et comment mettre en œuvre sa propre PSSI ? Éléments de réponse.
Définir la stratégie de sécurité de son système d’information
Avant de déployer la politique de sécurité de son SI, il convient d’en définir les contours. Quels sont les enjeux et le niveau d’exigence de son organisation ? Si ceux-ci varient en fonction du contexte et du secteur d’activité, les dispositifs techniques implémentés entrent aussi en ligne de compte, notamment en termes de sauvegarde, d’archivage, de sous-traitance, etc.
Enfin, il convient de considérer les exigences de sécurité informatique spécifiques à l’entreprise. Un audit de sécurité est en ce sens fortement conseillé afin d’identifier les actions stratégiques à mettre en place, pour corriger d’éventuelles failles de sécurité par exemple.
Définir la stratégie de sécurité de son SI exige une approche globale, tant d’un point de vue technique qu’humain. Portée par le RSSI, Responsable de la Sécurité du Système d’Information, l’élaboration d’une PSSI doit reposer sur une volonté commune entre la direction générale et l’ensemble des personnes concernées (du DSI à l’assistante qualité / gestion des risques, mais aussi le service RH).
Il est également important d’impliquer tous les collaborateurs dans cette démarche. Car adhérer à la PSSI de son entreprise, c’est en comprendre les enjeux au quotidien et modifier des habitudes contre-productives, comme : coller sur son écran un post-it avec son mot de passe, utiliser ses propres appareils/clés USB, se connecter sur un wifi public, ou manquer de vigilance lors de ses navigations sur le web. Une formation d’accompagnement du personnel à la compréhension et à la bonne mise en œuvre de la PSSI peut être proposée.
Comment formaliser sa PSSI ?
Première étape, un groupe de projet peut être missionné pour recueillir les informations réglementaires, les principes éthiques, les obligations contractuelles vis-à-vis des clients, prestataires et partenaires, mais aussi le schéma directeur informatique et SSI.
Parmi les 16 points concernés par la PSSI, il s’agit de prendre en compte les principes organisationnels liés à la sécurité informatique et à la gestion des risques. Les principes de mises en œuvre touchant aux aspects humains, physiques et environnementaux. Et enfin les principes techniques d’identification et de contrôle.
Se présentant sous la forme d’un guide des bonnes pratiques, la PSSI précise notamment :
- les objectifs de sécurité,
- les règles de sécurité spécifiques à l’entreprise,
- le RGPD (Règlement Général sur la Protection des Données),
- la procédure à suivre en situation de crise,
- les indicateurs permettant de s’assurer du respect des règles et de leur pertinence.
A noter que la politique de sécurité des SI s’inscrit dans une démarche répondant aux normes ISO 27001 et ISO 27002.
Faire évoluer sa PSSI et le niveau de sécurité de son entreprise
Stratégique, la PSSI permet in fine de prévenir les incidents et de limiter le temps d’indisponibilité des équipements. Si les process de sécurité informatique mis en place constituent un atout majeur pour la productivité des entreprises, il convient toutefois de les réévaluer régulièrement, afin de tenir compte : de l’évolution des menaces, d’éventuelles modifications organisationnelles, mais aussi des retours d’expériences.
Comme pour toute activité stratégique au sein de l’entreprise, maintenir le plus haut niveau de sécurité de son SI suppose d’avoir une vision globale de l’organisation et de son environnement, mais aussi d’anticiper les évolutions futures. Faire appel à des experts métiers peut aussi s’avérer une source de gain de temps et d’efficacité.