Comment réaliser une PSSI (Politique de Sécurité des Systèmes d'Information) ?
L'ANSSI définit la Politique de Sécurité des Systèmes d'Information comme le document qui formalise, au niveau de la direction, les règles, les responsabilités et les mesures de sécurité applicables au système d'information. Son guide PSSI insiste sur un point souvent négligé : une politique n'a de valeur que si elle reflète une réalité observée. Une PSSI recopiée d'un modèle générique, sans état des lieux préalable, ne résiste ni à un audit ni à un incident réel.
Qu'est-ce qu'une PSSI, concrètement ?
Une PSSI n'est pas un document technique isolé. C'est l'expression, au niveau de la direction, des exigences de sécurité que l'organisation s'impose, ensuite déclinées en procédures opérationnelles : gestion des accès, sauvegardes, réponse aux incidents. Elle sert de référence commune aux équipes internes, aux prestataires et, le cas échéant, aux auditeurs ou aux assureurs cyber, qui demandent de plus en plus souvent à la consulter avant de couvrir un sinistre.
Diagnostic Cybersécurité·Voir un aperçu du diagnostic
Les étapes pour rédiger une PSSI
- Réaliser un état des lieux factuel de l'existant : infrastructure, gestion des accès, sauvegardes, supervision, incidents passés.
- Identifier les actifs critiques (données, applications, infrastructures) et les risques associés à chacun.
- Définir les règles et objectifs de sécurité par domaine, en cohérence avec les risques identifiés : aucune règle ne devrait être fixée sans justification opérationnelle.
- Attribuer les responsabilités (qui décide, qui applique, qui contrôle) et faire valider la politique par la direction.
- Décliner la PSSI en procédures opérationnelles et en indicateurs de suivi.
- Réviser la PSSI à intervalle régulier et après tout changement significatif (nouvel outil, incident, croissance des effectifs).
Les domaines qu'une PSSI doit couvrir
| Domaine | Ce qu'il faut documenter |
|---|---|
| Gouvernance de la sécurité | Rôles, responsabilités, comité de pilotage sécurité |
| Gestion des identités et des accès | Attribution, revue et révocation des droits d'accès |
| Gestion des vulnérabilités | Détection, priorisation et correction des failles |
| Chiffrement et protection des données | Données au repos et en transit, gestion des clés |
| Sensibilisation | Formation des collaborateurs, phishing, bonnes pratiques |
| Supervision et journalisation | Détection des incidents, conservation des journaux |
| Continuité d'activité | Sauvegardes, plan de reprise, tests de restauration |
Erreurs fréquentes à éviter
- Rédiger la PSSI sans état des lieux préalable, en copiant un modèle trouvé en ligne.
- Fixer des règles trop strictes pour être réellement appliquées au quotidien.
- Ne jamais réviser la PSSI après sa première publication.
- Ne pas associer les équipes opérationnelles à sa rédaction, ce qui produit un document théorique déconnecté du terrain.
Une PSSI, aussi bien rédigée soit-elle, ne protège en elle-même de rien : elle fixe un cadre, pas un blindage. Sa valeur se mesure à la constance avec laquelle elle est appliquée et révisée, bien plus qu'à la qualité littéraire du document. Un état des lieux mené domaine par domaine, preuves à l'appui, reste la meilleure base de départ pour en rédiger une version réaliste et opposable, plutôt qu'un exercice de style qui ne survivra pas au premier incident.
Diagnostic associé
Prêt à évaluer votre organisation ?
Essayer gratuitement