PSSI
Politique de gouvernance de votre Système d'Information
Sécurité d’abord : la PSSI au cœur de votre organisation
La Politique de Sécurité des Systèmes d’Information (PSSI) est un ensemble de directives, de règles et de procédures qui vise à protéger les systèmes d’information d’une organisation contre les menaces et les risques liés à la sécurité informatique.
Compte tenu du niveau des risques liés à la pression continue de la menace, une défaillance de la sécurité du système d’information pourrait entraîner des conséquences irréversibles sur la réalisation des objectifs stratégiques de votre entreprise ou vis à vis du respect de ses obligations ou engagements.
Face aux menaces qui pèsent sur les systèmes d’information, les usagers exigent une protection adaptée des informations et des services de traitement, d’archivage et de transport de l’information. La sécurité est donc devenue l’une des dimensions essentielles de la stratégie des entreprises.
Protection accrue des données
La PSSI permet de mettre en place des mesures de sécurité robustes pour protéger les données sensibles de votre entreprise contre les cyberattaques, les fuites et les accès non autorisés.
Réduction des risques
En identifiant et en gérant les risques liés à la sécurité informatique, la PSSI contribue à minimiser les incidents de sécurité et à prévenir les perturbations dans les opérations.
Conformité réglementaire
Une PSSI bien conçue aide l’entreprise à se conformer aux lois et réglementations en matière de protection des données, ce qui évite les sanctions et renforce la confiance des clients.
Continuité des activités
La PSSI inclut des plans de continuité d’activité et de reprise après sinistre, garantissant ainsi que l’entreprise peut réagir efficacement en cas d’incident et maintenir ses opérations.
La PSSI : comment ça marche ?
Une PSSI bien pensée, des données bien protégées
La démarche, qui est menée sous la forme d’un « projet PSSI », se base sur le référentiel de l’organisme et une analyse des risques SSI.
Le référentiel SSI de l’entreprise (schéma directeur, meilleures pratiques, directives internes…) et une analyse des risques préalables fournissent en effet les éléments permettant d’effectuer et de justifier les choix, de légitimer l’action et de garantir la cohérence avec le contexte particulier de l’organisme. L’objectif de la méthode consiste à construire un document de politique comprenant des éléments stratégiques et des règles de sécurité pour un organisme ou un système d’information.
– Phase 0 : préalables
o Tâche 1 : organisation projet
o Tâche 2 : constitution du référentiel
– Phase 1 : élaboration des éléments stratégiques
o Tâche 1 : définition du périmètre de la PSSI
o Tâche 2 : détermination des enjeux et orientations stratégiques
o Tâche 3 : prise en compte des aspects légaux et réglementaires
o Tâche 4 : élaboration d’une échelle de besoins
o Tâche 5 : expression des besoins de sécurité
o Tâche 6 : identification des origines des menaces
– Phase 2 : sélection des principes et rédaction des règles
o Tâche 1 : choix des principes de sécurité
o Tâche 2 : élaboration des règles de sécurité
o Tâche 3 : élaboration des notes de synthèse
– Phase 3 : finalisation
o Tâche 1 : finalisation et validation de la PSSI
o Tâche 2 : élaboration et validation du plan d’action
L’élaboration de la PSSI doit permettre de disposer d’un cadre de référence et de cohérence pour l’ensemble des activités et des acteurs de l’entreprise.
Ce cadre de sécurité doit notamment permettre la mise en évidence des objectifs, obligations et engagements de l’entreprise vis-à-vis de ses partenaires, clients et sous-traitants, ainsi que les principes de sécurité régissant la protection de son propre patrimoine.
Ce cadre fondamental et fédérateur doit exprimer les responsabilités de l’ensemble des acteurs, ainsi que les principes et règles de sécurité minimaux à respecter pour l’ensemble des activités et des systèmes.
Il doit offrir les directives nécessaires, notamment pour tout choix technique mais aussi organisationnel ou contractuel, en matière de sécurité, et permet d’assurer la cohérence et la pérennité des actions de sécurité.