Méthodologie d’élaboration d’une PSSI
Ce chapitre détaille la démarche complète d’élaboration d’une Politique de Sécurité des Systèmes d’Information, selon le guide de l’ANSSI. La méthode repose sur 4 grandes phases :
+--------------------------+ +-------------------------------+
| Phase 0 : Préalables | -----> | Phase 1 : Élément stratégique |
+--------------------------+ +-------------------------------+
| |
v v
+--------------------------+ +------------------------------+
| Phase 2 : Règles & princ.| -----> | Phase 3 : Finalisation |
+--------------------------+ +------------------------------+Chaque phase comprend plusieurs tâches clés. Voici une synthèse :
Phase 0 – Préalables
- Tâche 1 : Organisation du projet (chef de projet, comité de pilotage, budget, calendrier…)
- Tâche 2 : Constitution du référentiel (règlements, contrats, schémas directeurs…)
Phase 1 – Élaboration stratégique
- Définition du périmètre (activités, fonctions…)
- Identification des enjeux stratégiques
- Intégration du cadre légal et réglementaire
- Création d’une échelle de besoins (confidentialité, intégrité, disponibilité…)
- Évaluation des besoins de sécurité
- Identification des menaces significatives
Phase 2 – Principes & règles
- Sélection des principes pertinents (filtrés par périmètre et menaces)
- Déclinaison en règles concrètes (applicables, cohérentes, auditées)
- Élaboration de notes de synthèse justificatives
Phase 3 – Finalisation
- Validation officielle de la PSSI par la direction
- Élaboration du plan d’action :
- Actions organisationnelles et techniques
- Délai, budget, responsables
- Sensibilisation du personnel
- Révision périodique
Résultat :
Une PSSI validée + un plan d’action maintenu dans le temps
Info
Le plan-type d’une PSSI contient des parties comme le périmètre, les enjeux, les règles de sécurité et les origines des menaces. Un bon plan est structuré, évolutif et adapté à ses destinataires.