Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P - T é l 0 1 7 1 7 5 8 4 1 5 - F a x 0 1 7 1 7 5 8 4 0 0 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations Bureau conseil Version du 3 mars 2004 Élaboration de politiques de sécurité des systèmes d'information PSSI MÉMENTO Document édité par le bureau conseil de la DCSSI Page 2 sur 7 Introduction Dès 1992, les lignes directrices1 de l'OCDE insistaient sur la nécessité d'un cadre général pour la sécurité des systèmes d'information (SSI). En effet, ce cadre permet de promouvoir la coopération entre différentes organisations en terme de sécurité, d'améliorer la sensibilisation aux risques SSI et de renforcer la confiance envers le système d'information. C'est la raison pour laquelle le guide pour l'élaboration d'une Politique de Sécurité Interne (PSI)2 a été créé et publié par le SCSSI3 en 1994. Il présentait les fondements de la politique de sécurité interne, des principes de sécurité organisés par domaines et des références réglementaires et documentaires. Il permettait ainsi de justifier l'élaboration de politiques de sécurité et d'aider le responsable SSI à réfléchir sur l’ensemble des thèmes à aborder. Le guide PSI a rencontré un grand succès dans le secteur public et privé en tant que guide de référence (il est en effet parmi les 7 documents les plus téléchargés sur le site Internet de la DCSSI depuis 1999). En 2002, le Conseil de l'OCDE a adopté une nouvelle version des "lignes directrices régissant la sécurité des systèmes et réseaux d'information – vers une culture de la sécurité"4 afin de prendre en compte les évolutions du contexte de la SSI : l'accroissement de l'interconnexion des réseaux et l'évolution des données en terme de type, volume, sensibilité, ainsi que les nouveaux enjeux liés par exemple aux projets gouvernementaux et de commerce électronique. Les nouvelles lignes directrices introduisent les notions de "culture de sécurité" et de processus continu de gestion des risques SSI. Les nouvelles lignes directrices de l’OCDE décrivent les neuf principes issus de la recommandation5 adoptée le 25 juillet 2002 : 1. Sensibilisation 2. Responsabilité 3. Réaction 4. Éthique 5. Démocratie 6. Évaluation des risques 7. Conception et mise en œuvre de la sécurité 8. Gestion de la sécurité 9. Réévaluation 1 Recommandation du Conseil et annexe (lignes directrices régissant la sécurité des systèmes d'information), 26 novembre 1992, Organisation de Coopération et de Développement Économiques (OCDE). 2 Guide pour l'élaboration d'une Politique de Sécurité Interne (PSI) à l'usage du responsable de la sécurité du système d'information, version 1.1, 15 septembre 1994, Service Central de la Sécurité des Systèmes d'Information (SCSSI). 3 Héritière du Service central de la sécurité des systèmes d'information (SCSSI), la Direction centrale de la sécurité des systèmes d'information (DCSSI) a été instituée par décret (décret n°2001-693 du 31 juillet 2001 créant au Secrétariat général de la défense nationale une direction centrale de la sécurité des systèmes d'information). 4 Lignes directrices de l'OCDE régissant la sécurité des systèmes et réseaux d'information – vers une culture de la sécurité, 29 juillet 2002, Organisation de Coopération et de Développement Économiques (OCDE). 5 http://www.oecd.org/pdf/M00033000/M00033183.pdf Document édité par le bureau conseil de la DCSSI Page 3 sur 7 Afin de maintenir la cohérence avec ces lignes directrices, la DCSSI a mis à jour le guide PSI de 1994, qui est devenu le guide d'élaboration de Politiques de Sécurité des Systèmes d'Information (PSSI) en 2003. La révision a consisté à : ! développer l'approche méthodologique d'élaboration de PSSI, ! réorganiser et enrichir les principes de sécurité, ! étendre le champ d'application de la PSSI (politique globale déclinée en politiques spécifiques), ! mettre à jour les références. Un mémento présente ces principes sur le site web de la DCSSI (http://www.ssi.gouv.fr/OCDE-lignesdir.pdf). Qu'est-ce qu'une PSSI ? La formulation des orientations stratégiques La Politique de Sécurité des Systèmes d'Information (PSSI) reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d'information (SSI) et de gestion de risques SSI. Elle décrit en effet les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d'information de l'organisme. La validation de la PSSI par la direction traduit la reconnaissance officielle accordée à la sécurité de son système d'information. La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d'œuvre des enjeux tout en l'éclairant sur ses choix en terme de gestion des risques et à susciter la confiance des utilisateurs et partenaires envers le système d'information. Un socle fondateur de la SSI D'une manière générale, il convient de disposer d'un socle fondateur de la SSI pour l'organisme. Celui-ci sera établi en fonction de sa culture et du référentiel existant. La PSSI constitue l'un de ces documents fondateurs et un élément de la culture de sécurité. La PSSI s’inscrit dans le système de management de l'organisme, donc de la sécurité des informations et processus, puis enfin de la SSI. Elle constitue en effet le premier document à formaliser dans l'étape de planification et sera suivie des étapes de mise en œuvre, de vérification et d'amélioration du système de management de la SSI. Dans le cas où il existe un schéma directeur du système d'information comportant un volet SSI ou un schéma directeur SSI, le rôle de la PSSI est de le traduire en règles de sécurité applicables et de contrôler que le schéma directeur SSI est conforme avec les objectifs et contraintes de l’organisme. La PSSI peut aussi servir de base à l'élaboration d'un volet SSI du schéma directeur du système d'information ou bien d'un schéma directeur SSI, décrivant alors comment devront être mises en œuvre les règles de sécurité. Document édité par le bureau conseil de la DCSSI Page 4 sur 7 Un facteur d'économie Une PSSI globale peut être déclinée en PSSI techniques par application ou métier, en procédures à mettre en œuvre et en chartes de sécurité. Elle servira aussi de base à la factorisation des études de sécurité portant sur le même périmètre que la PSSI afin de garantir une cohérence globale. La PSSI permet ainsi de réaliser des économies pour tous les travaux relatifs à la SSI puisque son contenu peut être réutilisé par les maîtrises d'ouvrage et les maîtrises d'œuvre en y ajoutant les effets d’une mutualisation des mécanismes mis en place. À titre d'exemple, les analyses de risques intégreront les éléments stratégiques de la PSSI et les règles de sécurité devant être respectées. Le référentiel des audits sera également élaboré à partir de la PSSI afin de vérifier la conformité de celle-ci vis-à-vis de la réalité. Un instrument de sensibilisation Après validation, la PSSI doit être largement communiquée à l'ensemble des acteurs du SI, qu'ils soient utilisateurs internes, sous-traitants, prestataires ou stagiaires. La PSSI constitue alors un véritable outil de sensibilisation aux risques SSI, aux moyens disponibles pour s'en prémunir et à l'organisation SSI. Par ailleurs, elle aide l'ensemble des acteurs à prendre conscience de leurs responsabilités et participe à l'amélioration de la culture de sécurité. Un document évolutif La PSSI doit être régulièrement révisée afin de prendre en compte les évolutions du contexte (modifications des processus, du système d'information, des personnels, de l'organisation) et des risques (réévaluation de la menace, variation des besoins de sécurité, des contraintes et des enjeux). Cette adaptation peut être faite systématiquement ou bien déclenchée par une évolution majeure du contexte ou la survenance d’une agression et des leçons que l’on peut en tirer. Les 5 atouts du guide PSSI 1 - Une démarche basée sur l'analyse des risques La réalisation préalable d'une analyse des risques SSI (par exemple à l’aide la méthode EBIOS®) facilite l'élaboration d'une PSSI. Elle a pour effet de déterminer plus facilement les éléments stratégiques, de déterminer les critères de sélection des principes de sécurité à développer et de guider l’élaboration des règles de sécurité. Les principes de sécurité sont l’expression des orientations de sécurité nécessaires et des caractéristiques importantes de la sécurité. Ils constituent une base de réflexion pour l’élaboration d’une politique et en particulier des règles de sécurité la composant. Les règles de sécurité définissent des exigences de sécurité pour la mise en place des moyens techniques et organisationnels, et sur les comportements par déclinaison des principes retenus. Elles sont construites par déclinaison des principes dans un environnement et un contexte donnés. La cohérence avec les objectifs de sécurité identifiés pour l'organisme est ainsi assurée. Document édité par le bureau conseil de la DCSSI Page 5 sur 7 Note de cadrage Note de cadrage Phase 0 : préalables Phase 0 : préalables Phase 1 : élaboration des éléments stratégiques Phase 1 : élaboration des éléments stratégiques Phase 2 : sélection des principes et rédaction des règles uploads/Management/ pssi-memento-2004-03-03.pdf