Vous souhaitez vous lancer dans la rédaction de votre Politique de Sécurité des Systèmes d’information (PSSI) ? VeryFrog vous propose une série d’articles pour vous aider dans votre démarche. Aujourd’hui, voyons un exemple de plan pour votre PSSI.

PSSI exemple de plan

Exemple de plan pour votre PSSI

Sans plus attendre, voici un plan qui couvrira la plupart des items attendus dans une PSSI

  1. Éléments stratégiques

    1. Périmètre de la PSSI
    2. Enjeux et orientations stratégiques
    3. Aspects légaux et réglementaires
    4. Échelle de besoins
    5. Besoins de sécurité
    6. Origines des menaces
  2. Règles de sécurité

    1. Organisation

      1. Politique de sécurité
      2. Organisation de la sécurité
      3. Gestion des risques SSI
      4. Sécurité et cycle de vie
      5. Assurance et certification
    2. Mise en œuvre

      1. Aspects humains
      2. Planification de la continuité des activités
      3. Gestion des incidents
      4. Sensibilisation et formation
      5. Exploitation
      6. Aspects physiques et environnementaux
    3. Technique

      1. Identification /authentification
      2. Contrôle d’accès logique
      3. Journalisation
  3. Plan d’action

    1. PCA/PRA
    2. Surveillance et Alerting
    3. Sauvegardes et Environnement
    4. Gestion des Equipements
    5. Isolement des Flux
    6. Gestion des Accès
    7. Politique Antivirale
    8. Gestion des Prestataire et Charte Informatique
    9. Roadmap

Voyons un peu plus en détail les grandes lignes de ce plan

Éléments stratégiques de la PSSI

Cette section du plan permet de définir le périmètre d’application de votre PSSI. Vous devrez y définir les actifs, matériels et immatériels ainsi que les ressources humaines prenant parti à la politique. Les objectifs de la démarche devront aussi être écrits ainsi que les contraintes comme par exemple l’aspect financier. Aussi, ce chapitre doit expliciter une échelle des besoins notés de 1 à 4, exprimée à l’aulne de 3 critères : Confidentialité, Disponibilité et Intégrité. Cette échelle permettra d’établir le besoin de sécurité, qui se trouve être finalement la mise en relation entre le périmètre de la PSSI et l’échelle précédente. Par exemple, vous pouvez dessiner le tableau suivant:

Domaine Confidentialité Disponibilité Intégrité
Serveurs 4 4 4
Réseau 4 4 4
Terminaux 3 2 2

Enfin vous établirez les origines des menaces pertinentes pour votre activité. Votre PSSI, par exemple, peut considérer les catastrophes naturelles comme une menace crédible, au même titre qu’un personnel en fin de contrat ou voulant se venger.

Règles de Sécurité

Ce chapitre est découpé en 3 parties se focalisant sur l’organisation, la mise en œuvre et la technique afférantes à votre PSSI.

Organisation

Vous devrez nommer ici les intervenants dans l’élaboration de votre PSSI. Vous y définirez également les moyens de diffusion et d’acceptation de cette dernière. Par exemple, vous pouvez choisir d’intégrer votre PSSI à votre règlement intérieur ou aux contrats de travail. Aussi, vous devrez statuer sur les sanctions à prendre en cas de manque vis à vis de la PSSI.

Mise en œuvre

Cette partie décrit les items nécessaires pour assurer la sécurité du système d’information. Elle résultera la plupart du temps d’un audit de fonctionnement. Ainsi, devront être définies ici les politiques de sensibilisation des utilisateurs (par exemple, mettre en place des ateliers ludiques), d'exploitation du SI (comment contrôler les télé-maintenances ?) et de protection physique des biens.

Technique

Enfin, la dernière partie de ce chapitre traitera des techniques informatiques devant être mise en place pour garantir le respect des items précédents. On y parlera ainsi des moyens d’authentification (mots de passe ? Certificats ?), des contrôles d’accès (VLAN, 802.1X, verrouillage des sessions, …) mais aussi de la journalisation et du traçage des activités utilisateur.

Plan d’action de la PSSI

L’exemple de plan de PSSI présenté ici intègre un plan d’action qui risque de différer du vôtre. En effet, ce dernier résultera du chapitre précédant et sera donc propre à chaque entreprise. Néanmoins, ce plan d’action reprend les items les plus courants dans la mise en ouvre d’une PSSI : PRA/PCA, Monitoring, Sauvegardes, Gestions des équipements, des flux et des accès, Antivirus et enfin Chartre informatique (interne et dédiée aux prestataires).

Vous y établirez ainsi, pour chaque projet, les solutions et les outils sélectionnés pour menez à bien leurs implémentations. Le tout devra aboutir à un échéancier. On pourra également y adosser une estimation de budget pour chaque projet résultant. Ainsi, votre PSSI sera prête à être validée par les instances définies au chapitre “Organisation”.

Avec l’exemple de plan de PSSI présenté ici, vous commencerez sereinement la rédaction de votre politique de sécurité. N’hésitez pas à nous contacter si vous souhaitez être accompagné dans votre démarche.