Principes de sécurité d’une PSSI
Ce chapitre présente les grands principes de sécurité à considérer pour rédiger une PSSI claire, cohérente et efficace. Ces principes sont déclinés par domaines (utilisateurs, réseau, administration…).
Organisation des principes
Les principes sont classés en 5 grandes familles :
| N° | Domaine | Description synthétique |
|---|---|---|
| 01 | Organisation générale | Gouvernance, rôles SSI, responsabilité |
| 02 | Utilisateurs | Authentification, chartes, droits, sensibilisation |
| 03 | Matériel & Logiciel | Sécurisation des équipements, mises à jour |
| 04 | Réseau et communications | Cloisonnement, supervision, accès distants |
| 05 | Administration | Contrôle des comptes privilégiés, journalisation |
Exemples de principes (extraits typiques)
Organisation générale
- Une gouvernance SSI est en place avec un RSSI clairement identifié.
- Des audits SSI réguliers sont planifiés et pilotés.
Utilisateurs
- Chaque utilisateur dispose d’un identifiant unique et personnel.
- Une charte d’utilisation du SI est signée à l’arrivée et lors des changements de poste.
- Des campagnes de sensibilisation SSI sont menées régulièrement.
Matériel et logiciel
- Seuls les équipements approuvés sont autorisés sur le réseau.
- Les systèmes sont mis à jour automatiquement ou via un processus contrôlé.
Réseau & communication
- Le réseau est segmenté par zones de sécurité (DMZ, interne, admin…).
- Un outil de supervision analyse les flux réseau en continu.
Administration
- Les comptes d’administration sont nominatifs et restreints aux besoins.
- Les actions d’administration sont journalisées et revues régulièrement.
Bonnes pratiques :
- Écrire les principes sous forme claire, sans ambiguïté.
- Veiller à la cohérence entre principes, périmètre et menaces.
- Les règles concrètes (section 2) découlent directement de ces principes.
À retenir
- Ces principes sont le socle fondamental de toute politique de sécurité.
- Ils doivent être adaptés au contexte métier, à la taille et à la maturité SSI de l’organisme.
- Leur sélection se base sur le périmètre, les besoins de sécurité et les menaces identifiées.