Retour au blogCybersécurité

Comment réaliser une PSSI (Politique de Sécurité des Systèmes d'Information) ?

NRNicolas Renard·14 juillet 2026· 8 min de lecture

L'ANSSI définit la Politique de Sécurité des Systèmes d'Information comme le document qui formalise, au niveau de la direction, les règles, les responsabilités et les mesures de sécurité applicables au système d'information. Son guide PSSI insiste sur un point souvent négligé : une politique n'a de valeur que si elle reflète une réalité observée. Une PSSI recopiée d'un modèle générique, sans état des lieux préalable, ne résiste ni à un audit ni à un incident réel.

Qu'est-ce qu'une PSSI, concrètement ?

Une PSSI n'est pas un document technique isolé. C'est l'expression, au niveau de la direction, des exigences de sécurité que l'organisation s'impose, ensuite déclinées en procédures opérationnelles : gestion des accès, sauvegardes, réponse aux incidents. Elle sert de référence commune aux équipes internes, aux prestataires et, le cas échéant, aux auditeurs ou aux assureurs cyber, qui demandent de plus en plus souvent à la consulter avant de couvrir un sinistre.

Diagnostic Cybersécurité·Voir un aperçu du diagnostic

Les étapes pour rédiger une PSSI

  1. Réaliser un état des lieux factuel de l'existant : infrastructure, gestion des accès, sauvegardes, supervision, incidents passés.
  2. Identifier les actifs critiques (données, applications, infrastructures) et les risques associés à chacun.
  3. Définir les règles et objectifs de sécurité par domaine, en cohérence avec les risques identifiés : aucune règle ne devrait être fixée sans justification opérationnelle.
  4. Attribuer les responsabilités (qui décide, qui applique, qui contrôle) et faire valider la politique par la direction.
  5. Décliner la PSSI en procédures opérationnelles et en indicateurs de suivi.
  6. Réviser la PSSI à intervalle régulier et après tout changement significatif (nouvel outil, incident, croissance des effectifs).

Les domaines qu'une PSSI doit couvrir

DomaineCe qu'il faut documenter
Gouvernance de la sécuritéRôles, responsabilités, comité de pilotage sécurité
Gestion des identités et des accèsAttribution, revue et révocation des droits d'accès
Gestion des vulnérabilitésDétection, priorisation et correction des failles
Chiffrement et protection des donnéesDonnées au repos et en transit, gestion des clés
SensibilisationFormation des collaborateurs, phishing, bonnes pratiques
Supervision et journalisationDétection des incidents, conservation des journaux
Continuité d'activitéSauvegardes, plan de reprise, tests de restauration

Erreurs fréquentes à éviter

  • Rédiger la PSSI sans état des lieux préalable, en copiant un modèle trouvé en ligne.
  • Fixer des règles trop strictes pour être réellement appliquées au quotidien.
  • Ne jamais réviser la PSSI après sa première publication.
  • Ne pas associer les équipes opérationnelles à sa rédaction, ce qui produit un document théorique déconnecté du terrain.

Une PSSI, aussi bien rédigée soit-elle, ne protège en elle-même de rien : elle fixe un cadre, pas un blindage. Sa valeur se mesure à la constance avec laquelle elle est appliquée et révisée, bien plus qu'à la qualité littéraire du document. Un état des lieux mené domaine par domaine, preuves à l'appui, reste la meilleure base de départ pour en rédiger une version réaliste et opposable, plutôt qu'un exercice de style qui ne survivra pas au premier incident.

Prêt à évaluer votre organisation ?

Essayer gratuitement