La PSSI (Politique de sécurité du système d’information) est un élément crucial de la cybersécurité. Elle permet de poser les bonnes questions : Pour qui ou pourquoi met-on en place des actions de sécurité ? Que souhaite-t-on protéger?
Beaucoup d’organisations ou de Responsables de la Sécurité des S.I. voient la création d’une PSSI comme un exercice complexe ; nous tenterons dans cet article de vous démontrer le contraire.
Quelles sont les étapes à suivre pour mettre en place une PSSI ?
Suivez notre guide pour vous poser les bonnes questions !
Qui est concerné par la PSSI ?
Tout d’abord, il est important de déterminer qui est concerné par la PSSI. Les parties prenantes peuvent varier selon la structure de l’entreprise, mais il est généralement admis que la direction de l’entreprise est la principale concernée.
Le Comité d’hygiène, de sécurité et des conditions de travail (CHSCT) est également impliqué, car la sécurité de l’information protège les collaborateurs et l’entreprise dans son ensemble. Les référents métiers peuvent également être particulièrement concernés par les sujets de cybersécurité selon leurs fonctions, comme les RH avec les données personnelles des collaborateurs.
Quelles sont mes activités principales, et les patrimoines d’informations à protéger ?
Il est également important de connaître ses activités principales et son patrimoine d’information. Les attaques de vol d’information / prise d’otage sont très courantes, il est donc important de sécuriser ses activités principales en connaissant ses défenses et ses propres faiblesses. Cela permet de sécuriser les points les plus faibles en premier : les vulnérabilités techniques et humaines les plus importantes sont les plus grandes opportunités pour les pirates.
Quel est mon niveau de maturité cyber ?
Ensuite, il est important de déterminer son niveau de maturité cyber. Si l’entreprise ne possède pas d’hygiène informatique, il n’y a pas d’objectif de défense particulier. Une bonne hygiène permet de se consacrer aux valeurs métiers les plus fortes. Il est donc important de commencer par de petits pas pour implémenter des règles et les maintenir et il faut vérifier toutes les étapes mises en place régulièrement dans le temps.
Suis-je en connaissance des menaces et risques pesant sur mes systèmes d’information ?
Il est important de mener une analyse des risques propres à ses activités et patrimoines d’information. Une fois les activités et patrimoines d’information critiques définis, il est important de définir les évènements redoutés pouvant les atteindre.
Selon EBIOS RM 2018, le chemin stratégique correspond à une projection des rebonds qu’une menace peut utiliser pour arriver à ses fins : des prestataires, sous-traitants, éditeurs, collaborateurs soudoyés, etc.
Les chemins d’attaques, quant à eux, consistent à connaître les outils informatiques principaux par lesquels les attaquants peuvent atteindre les valeurs métiers définies. Ces informations sont essentielles pour évaluer les risques auxquels vous serez soumis.
Le mot de la fin
Les étapes de construction d’une PSSI consistent à déterminer les parties prenantes concernées, connaître son niveau de maturité cyber, de comprendre ses activités principales et son patrimoine d’information et surtout l’analyse de risques.
En effet, une PSSI efficace repose sur une réflexion essentiellement basée sur les enjeux métier et en particulier une analyse des risques pertinente.
L’analyse de risques vous permettra d’élaborer un plan d’actions sécurité adapté à vos besoins et ainsi protéger efficacement vos collaborateurs et votre entreprise contre les risques liés à la cybersécurité.
Une fois la PSSI rédigée, il est important de vérifier régulièrement et de mettre à jour les efforts entrepris et de communiquer sur les risques liés aux systèmes d’information aiu niveau de l’entreprise.
