Face à l’évolution constante des attaques malveillantes visant les entreprises (PME, PMI), il est fortement recommandé au responsable SSI d’élaborer des stratégies pour renforcer le niveau de sécurité de leur système informatique en construisant des documents et des procédures.
La Politique de Sécurité des – ou du – Systèmes d’Information (abrégée PSSI) est LE document sur-mesure clé qui va épauler tout responsable SSI. Elle regroupe l’ensemble des stratégies mises en place pour lutter et/ou prémunir des cyber-attaques : règles de sécurité, plan d’action en cas de crise… L’objectif ? Garder le cap face à une attaque et garantir le bon fonctionnement du parc informatique de votre entreprise.
Quand et pourquoi créer une Politique de Sécurité des Systèmes d’Information ?
Profitez d’un audit informatique (lors d’un changement de prestataire informatique par exemple 😉 pour commencer à élaborer votre PSSI. Pourquoi ? C’est le moment où vous allez passer en revue l’ensemble des dispositifs mis en place et de leurs possibles failles et faiblesses tant au niveau technique mais également au niveau de l’organisation globale.
Vous allez également pourvoir inclure les procédures mises en place pour corriger ces failles et les règles qui vont en découler. Vous allez donc mettre sur papier, les règles et les enjeux en matière de sécurité informatique interne ET externe, mais aussi tout ce qui concerne les situations de crise.
Une PSSI en béton ?
Pour avoir la meilleure PSSI possible :
- Délimiter le périmètre d’application de la PSSI
- Identifier les responsables de la PSSI (en interne et en externe, si prestataire externe il y a)
- Documents annexes (normes, règlements…)
- Enjeux, objectifs en interne et en externe
- Référentiels (cadres règlementaires : RGPD, ISO, PCI…)
Comment se passe sa mise en place ?
Comme vous l’aurez compris, établir une politique de sécurité du système informatique nécessite une véritable approche globale de la part de votre responsable SI : sécurité technique, sécurité réseau, sécurité informatique. Celui-ci ne va pas être en mesure de travailler seul, il va avoir besoin de travailler en collaboration étroite avec son DSI, le DPO (Directeur de la protection des données), DRH et bien d’autres responsables de services impliqués.
Cette équipe va pouvoir alors échanger et travailler ensemble sur des sujets divers qui composent la PSSI :
- La sécurité liée à l’organisation
- La sécurité physique et environnementale
- La gestion des ressources humaines et des actifs
- Les contrôles des accès logiques
- La sécurité liée à l’exploitation
- La sécurité des communications
- Les relations avec les partenaires
- La gestion des incidents de sécurité
- La continuité de service.
Si vous n’arrivez pas à faire correctement votre PSSI, n’hésitez pas à vous faire accompagner par des professionnels.