La Politique de Sécurité du Système d’Information est de mise au sein de n’importe quelle entreprise, peu importe sa taille, le nombre de collaborateurs ou encore son coeur de métier. Cette PSSI répertorie l’ensemble des mesures visant à limiter les risques qui pèsent sur la sécurité de l’entreprise et qui pourraient entraver le bon fonctionnement de son système d’information… Et par conséquent mettre en péril sa santé financière et sa pérennité !
Expert Line, spécialiste en infogérance d’infrastructure IT et cybersécurité, vous explique à travers cet article l’importance d’avoir une PSSI et ce qu’elle doit contenir.
Qu’est-ce qu’une PSSI ?
Au sein d’une entreprise, la PSSI est par définition LE document de référence en matière de sécurité informatique. À travers ce dernier, l’équipe chargée de garantir la sécurité informatique de l’entreprise doit vulgariser l’ensemble des mesures et des protocoles auxquels doivent se plier toutes les parties prenantes de l’entreprise. La PSSI ne doit en aucun cas être trop technique de façon à être comprise par tous.
Ce document vise à prévoir un plan d’action précis pour chaque situation fortuite à laquelle peut être confrontée l’entreprise au cours de sa vie : vol de matériel, piratage de données, dégâts des eaux ou incendie, panne, etc.
Les mesures prévues par la PSSI peuvent par exemple être une sauvegarde automatique et quotidienne de toutes les informations, le chiffrement des données confidentielles et sensibles ou encore la possibilité de bloquer un appareil à distance et d’effacer son contenu.
La liste de toutes les personnes à contacter et des procédures officielles à mener en cas de problème doivent aussi figurer dans ce plan d’action.
À lire : Qu’est-ce que Symantec Endpoint Protection ?
Comment concevoir une politique en matière de cybersécurité ?
Puisqu’elle est propre à chaque entreprise, ses besoins et les risques relatifs à son activité, il est difficile de standardiser une PSSI. Mais globalement, voici la marche à suivre :
- définir votre contexte : quelles sont vos missions, vos obligations, les données que vous manipulez chaque jour, le cadre législatif et réglementaire au sein duquel vous évoluez, etc. ?
- cadrer le périmètre de la sécurité de votre système d’information au niveau physique, logique et fonctionnel,
- lister vos besoins en matière de sécurité informatique : quelle est votre vision de la sécurité, quels sont vos engagements vis-à-vis de vos clients, quels types de données devez-vous protéger, etc.
- appréhender de façon la plus exhaustive possible les différents types de menaces auxquelles votre entreprise s’expose : menaces générales, spécifiques et analyse des risques.
Une fois ce premier cadre posé, vous pouvez entrer dans le vif du sujet et passer à l’élaboration de votre PSSI :
- organisation, pilotage et mise en oeuvre du document,
- création des différentes procédures à suivre selon les cas,
- rédaction des grands principes de la mise en oeuvre de cette PSSI au niveau de l’organisation, de la protection et de la sécurisation du SI et des informations,
- programmation d’audits réguliers.
À lire : Signification SIEM : Security Information and Event Management
Est-ce que la PSSI se suffit à elle-même ?
Bien évidemment, la réponse est non. Ce document indispensable ne peut pas à lui seul garantir un niveau de sécurité suffisant, même s’il a le mérite de mettre à plat de nombreux éléments indispensables et de poser la vision stratégique de l’entreprise quant à la sécurisation des systèmes d’information.
La cybersécurité et l’intégration de solutions de sécurité informatique sont des domaines qui se transforment chaque jour. Si la PSSI peut proposer un plan d’action pour chaque situation connue et / ou déjà vécue, elle ne forme pas pour autant un rempart infranchissable.
Puisqu’elle résulte d’une analyse de risques, elle peut difficilement apporter une réponse à des situations inconnues. Or, de nouvelles menaces qui prennent une forme ou utilisent une technique que personne n’avait jusqu’à présent anticipée naissent chaque jour.
Vous souhaitez mettre en place une PSSI mais vous ne savez pas par où commencer ? Vous avez du mal à identifier comment l’intégrer dans votre quotidien ? Notre équipe, experte en sécurité d’infrastructure, se tient à votre disposition pour vous éclairer.
N’hésitez pas à nous contacter pour en savoir plus.