Comment rédiger une PSSI, Politique de Sécurité des Systèmes d’Information

La Politique de Sécurité des Systèmes d’Information (PSSI) est un document stratégique incontournable pour toute organisation soucieuse de protéger ses données, ses infrastructures numériques et, plus largement, son patrimoine informationnel. La PSSI les règles, les principes et les procédures à suivre pour garantir la sécurité des systèmes d'information, tout en reflétant la vision et les engagements de la direction en matière de cybersécurité.

Dans cet article nous aborderons les points suivants :

• A quoi sert une PSSI ?

• Qui peut demander la copie d'une PSSI ?

• Quel est le contenu indispensable pour rédiger une PSSI ?

• Comment mettre en œuvre la PSSI ?

  
  

À quoi sert une PSSI ?

La PSSI définit les orientations et les mesures à mettre en œuvre pour sécuriser les systèmes d'information d'une organisation. Elle permet d’encadrer les comportements, d’harmoniser les pratiques et de formaliser les responsabilités en matière de sécurité.

Son objectif principal : protéger les ressources — humaines, techniques et informationnelles — contre les menaces, qu’elles soient internes (erreurs humaines, négligence, malveillance) ou externes (cyberattaques, espionnage, vols de données).

Une PSSI bien construite contribue à :

• préserver la confidentialité, l’intégrité et la disponibilité des données ;

• assurer la continuité des activités, y compris en cas d’incident ;

• renforcer la conformité réglementaire (RGPD, LPM, ISO 27001…) ;

• instaurer une relation de confiance avec les clients, les partenaires, les investisseurs et les autorités.

  
  

Qui peut demander la copie d'une PSSI ?

La PSSI est avant tout un document interne à l’organisation. Elle ne figure pas parmi les documents publics librement accessibles, car elle contient des informations potentiellement sensibles sur les dispositifs de sécurité de l’entreprise.

Cependant, certaines parties prenantes peuvent, dans des contextes bien précis, en demander une copie ou un extrait, notamment :

• Les autorités de contrôle : dans le cadre d’un audit ou d’une enquête réglementaire, des entités telles que la CNIL (en France) peuvent solliciter la PSSI pour s’assurer de la conformité

• Les clients : dans certains secteurs d'activité, les clients peuvent exiger des garanties spécifiques en matière de sécurité des données.

• Les assureurs : pour évaluer les risques et déterminer les conditions de couverture, un assureur peut demander à consulter la PSSI dans le cadre d’un contrat cyber-assurance.

• Les partenaires commerciaux : lorsqu’une collaboration implique des échanges de données sensibles ou des interconnexions entre systèmes d’information, un partenaire peut vouloir s’assurer que des mesures de sécurité adéquates sont en place.

  
  

Comment rédiger une PSSI efficace?

La rédaction d’une Politique de Sécurité des Systèmes d’Information (PSSI) repose sur une démarche structurée en plusieurs étapes :

1. Définition les objectifs et du champ d’application

Définition du contexte

La Politique de Sécurité des Systèmes d’Information doit s’inscrire dans le contexte propre à l’organisation. Il est important de présenter brièvement la structure concernée : nom, statut juridique, secteur d’activité, taille, et éventuelle présence de filiales ou de sites multiples. Cette description permet de situer l’environnement dans lequel la politique s’appliquera et d’adapter les mesures de sécurité aux spécificités de l’organisation.

Définition du champ d’application et des objectifs de sécurité

La PSSI précise à qui et à quoi elle s’applique. Elle concerne généralement l’ensemble des collaborateurs, prestataires, stagiaires et toute personne accédant au système d’information. Elle couvre les équipements informatiques, les logiciels, les réseaux, les données, les services et les locaux de l’organisation. Elle vise à protéger les actifs sensibles contre les menaces internes et externes, en garantissant la confidentialité, l’intégrité et la disponibilité des informations. Ces objectifs doivent être alignés avec les besoins métiers, les contraintes réglementaires et le niveau de risque acceptable pour l’organisation.

Description de la gouvernance

La gouvernance de la PSSI définit les responsabilités en matière de sécurité de l’information. Elle désigne les acteurs impliqués — tels que la direction, le RSSI, le DPO, les services informatiques ou les prestataires — et précise leur rôle dans la mise en œuvre et le suivi de la politique. Il est également essentiel de prévoir un dispositif de révision régulière de la PSSI, afin qu’elle reste cohérente avec l’évolution des menaces, des technologies et des besoins de l’organisation.

2. Analyse des risques

L’analyse des risques est une étape essentielle dans la construction d’une PSSI cohérente et efficace. Plusieurs méthodes peuvent être utilisées pour mener cette analyse, parmi lesquelles la méthode EBIOS, la norme ISO/IEC 27005 ou encore des approches personnalisées selon le niveau de maturité de l’entreprise. Quelle que soit la méthode choisie, le processus d’analyse suit généralement quatre grandes étapes :

i) Inventaire des actifs :

Il s’agit d’identifier tous les éléments du système d'information dont l’atteinte à la confidentialité, à l’intégrité ou à la disponibilité pourrait avoir un impact significatif. Ces actifs peuvent être de différentes natures. Il peut s’agir de données (par exemple, des données personnelles, des données métiers ou de la propriété intellectuelle), de ressources humaines et organisationnelles, de systèmes d'information (applications, logiciels, plateformes, systèmes d’exploitation), ou encore d’infrastructures et d’équipements techniques (matériel informatique, serveurs, réseaux, environnements cloud). Un recensement précis de ces actifs est indispensable pour évaluer les risques auxquels ils sont exposés.

ii) Identification des menaces :

Une fois les actifs recensés, il convient d’identifier les menaces potentielles, internes comme externes, susceptibles de les affecter. Ces menaces peuvent inclure des attaques informatiques (virus, ransomwares, phishing, piratage), des erreurs humaines (manipulation involontaire de données, mauvaises configurations), ou encore des actes malveillants internes. L’identification des menaces doit tenir compte du contexte spécifique de l’organisation, de son exposition au risque et de la nature de ses activités

iii) Evaluation de l'impact :

Cette étape consiste à évaluer l’impact potentiel de chaque menace sur les actifs identifiés. Il s’agit d’analyser, pour chaque scénario de risque, la gravité de ses conséquences, la vraisemblance qu’il se produise, et le niveau actuel de protection existant. Cette évaluation permet de déterminer les priorités d’action, en tenant compte de la maturité en cybersécurité de l’organisation. L’objectif est de dégager une vision claire des risques inacceptables et des mesures à mettre en place pour les réduire.

iv) Stratégie de traitement des risques

Sur la base de cette analyse, une stratégie de traitement des risques doit être définie. Cela permet de déterminer si les risques identifiés sont acceptables en l’état ou s’ils nécessitent des mesures correctives. Si un risque dépasse le seuil d’acceptabilité, des actions doivent être prévues : renforcement des contrôles de sécurité, mise à jour des systèmes, formation du personnel, ou toute autre mesure de remédiation adaptée. Ce plan d’action sert à prévoir la réduction du niveau de risque à un seuil tolérable, en alignement avec les objectifs stratégiques de l’organisation.

3. Descriptif des mesures de sécurité

La PSSI doit décrire les mesures de sécurité mises en place pour protéger le système d’information, en combinant des approches organisationnelles, techniques et physiques. Ces mesures sont définies en fonction des risques identifiés et des objectifs de sécurité fixés.

Les mesures organisationnelles visent à structurer les pratiques internes et à renforcer la culture de la sécurité. Cela inclut notamment la sensibilisation des utilisateurs, la gestion rigoureuse des accès, la définition de procédures en cas d’incident ou de crise, et la formalisation des responsabilités de chacun et l’ensemble des réglementation que l’organisation s’engage à respecter.

Les mesures techniques regroupent l’ensemble des dispositifs informatiques destinés à prévenir, détecter et limiter les incidents de sécurité. Parmi elles figurent l’usage de pare-feu, d’antivirus, de systèmes de chiffrement, de mécanismes d’authentification forte, ainsi que des politiques de sauvegarde et de restauration des données.

Enfin, les mesures physiques concernent la protection des infrastructures matérielles. Elles incluent le contrôle des accès aux locaux sensibles, la vidéosurveillance, les systèmes d’alarme ou encore la sécurisation des armoires réseau et des salles serveurs.

4. Gestion des incidents

Détection des incidents :

Une bonne gestion des incidents de sécurité repose d’abord sur la capacité à détecter rapidement les événements anormaux. La PSSI doit préciser les mécanismes de détection en place : systèmes de surveillance, alertes automatiques, remontées des utilisateurs ou audits réguliers.

Gestion des incidents :

La gestion opérationnelle des incidents doit être formalisée dans des procédures claires. Celles-ci définissent les étapes à suivre : signalement de l’incident, qualification, analyse de l’origine, mise en œuvre des mesures correctives, et clôture. L’objectif est de limiter les impacts, rétablir un fonctionnement normal dans les meilleurs délais et capitaliser sur les retours d’expérience.

Communication :

La communication en cas d’incident est également un point critique. Il convient d’indiquer comment les informations sont transmises aux parties prenantes concernées : direction, équipes techniques, utilisateurs, voire autorités réglementaires si nécessaire. Une bonne coordination permet de réagir efficacement, tout en maîtrisant les aspects juridiques, contractuels et réputationnels.

5. Sensibilisation et formation

La PSSI doit préciser la fréquence des actions de sensibilisation, généralement prévues une fois par an et systématiquement intégrées à l’accueil des nouveaux arrivants. Il est également utile d’y mentionner la date de la dernière session effectuée, afin de démontrer que ces actions sont bien mises en œuvre.

La méthode de sensibilisation choisie doit être adaptée au contexte de l’organisation. Elle peut prendre la forme de formations en présentiel, de modules e-learning, de campagnes internes (affichages, emails), ou encore d’ateliers pratiques. Le format dépend des profils concernés et des moyens disponibles.

Enfin, la PSSI doit lister les thématiques abordées lors de ces sessions. Parmi les sujets courants : la gestion des mots de passe, la détection des tentatives de phishing, la sécurité des outils collaboratifs, les bonnes pratiques en télétravail et la conduite à tenir en cas d’incident.

Comment mettre en œuvre la PSSI

Une fois rédigée, la Politique de Sécurité des Systèmes d’Information doit être diffusée à l’ensemble des parties prenantes concernées. Cette communication ne doit pas se limiter à un simple envoi : elle doit s’accompagner d’explications claires, d’un accès facile et d’une mise à disposition durable dans l’environnement de travail.

Par ailleurs, la PSSI s’inscrit dans une démarche d’amélioration continue. Elle doit être revue régulièrement — en général chaque année ou à l’occasion de tout changement significatif — afin de rester adaptée au contexte de l’organisation. Cette révision repose sur un processus formalisé, impliquant les acteurs clés tels que la direction, le RSSI ou le DPO. Il permet d’intégrer les retours d’expérience, les nouvelles menaces et les évolutions technologiques.

En somme, la PSSI n’est pas un simple document de conformité. C’est un outil stratégique au service de la sécurité, de la résilience et de la confiance. Bien conçue, partagée et actualisée, elle devient un véritable pilier de la gouvernance numérique de l’organisation.

Enfin, pour renforcer son efficacité opérationnelle, la PSSI peut être accompagnée de documents complémentaires, tels que :

• Annexe 1 : Charte informatique utilisateur

• Annexe 2 : Procédure de gestion des incidents

• Annexe 3 : Liste des actifs critiques

• Annexe 4 : Cartographie du réseau

• Annexe 5 : Registre des traitements