--- title: "PSSI — Politique de Sécurité des Systèmes d'Information" domain: security subdomain: ebios type: note tags: [grc, anssi, iso27001, conformite, risk-management, blue-team, pssi, smsi] difficulty: intermediate status: stable updated: "2026-05-14" --- ## Définition La PSSI est le **document de référence** qui formalise les orientations stratégiques de sécurité d'une organisation. Elle traduit les résultats de l'analyse de risques (EBIOS RM) en règles applicables par tous. **Analogie** : La PSSI est à la sécurité ce que la Constitution est à un État — tout découle d'elle. --- ## Structure type d'une PSSI ### 1. Préambule et contexte ``` - Présentation de l'organisation - Périmètre d'application (SI concernés, entités, filiales) - Définitions et glossaire - Références réglementaires applicables - Date de révision et cycle de mise à jour ``` ### 2. Enjeux et objectifs de sécurité ``` Objectifs fondamentaux (triade CIA) : ├── Confidentialité → seules les personnes autorisées accèdent aux données ├── Intégrité → les données ne sont pas altérées sans autorisation └── Disponibilité → les services sont accessibles quand nécessaire Objectifs étendus : ├── Traçabilité → toute action est enregistrée et auditable ├── Non-répudiation → impossibilité de nier une action effectuée └── Authenticité → les identités sont vérifiées ``` ### 3. Gouvernance et responsabilités | Acteur | Rôle | |---|---| | **Direction générale** | Approuve et porte la PSSI, alloue les ressources | | **RSSI** | Rédige, maintient et contrôle l'application de la PSSI | | **DSI** | Met en œuvre les mesures techniques | | **DPO** | Assure la conformité RGPD | | **Managers** | Relais auprès des équipes | | **Utilisateurs** | Respectent les règles, remontent les incidents | | **Prestataires** | Soumis aux clauses de sécurité contractuelles | --- ## Domaines couverts par la PSSI ### Gestion des accès et des identités (IAM) ``` Règles types : - Principe du moindre privilège (accès minimal nécessaire) - Séparation des tâches (pas de cumul admin + utilisateur) - Revue des droits d'accès trimestrielle - Suppression des comptes sous 24h après départ d'un employé - Interdiction des comptes génériques / partagés - MFA obligatoire sur tous les accès sensibles ``` **Politique de mots de passe :** ``` Longueur minimale : 12 caractères (16 recommandé) Complexité : Majuscule + minuscule + chiffre + spécial Durée de validité : 90 jours (ou sans expiration + MFA) Historique : 10 derniers mots de passe interdits Verrouillage : 5 tentatives échouées → blocage 15 min Stockage : Jamais en clair, hash bcrypt/Argon2 Gestionnaire : Recommandé (Bitwarden, KeePass) ``` --- ### Classification des données | Niveau | Définition | Exemples | Mesures | |---|---|---|---| | **Public** | Diffusion libre | Site web, plaquettes | Aucune restriction | | **Interne** | Usage interne uniquement | Procédures, organigramme | Authentification requise | | **Confidentiel** | Accès restreint | RH, financier, clients | Chiffrement + accès nominatif | | **Secret** | Accès très limité | Secrets industriels, R&D | Chiffrement fort + traçabilité totale | --- ### Sécurité des équipements ``` Postes de travail : - Chiffrement disque obligatoire (BitLocker, VeraCrypt) - Antivirus/EDR déployé et à jour - Verrouillage automatique après 5 min d'inactivité - Interdiction d'installer des logiciels non approuvés - Inventaire des assets mis à jour mensuellement Appareils mobiles : - MDM (Mobile Device Management) obligatoire - Chiffrement activé - Effacement distant possible - Interdiction de stocker des données confidentielles hors MDM Supports amovibles : - USB autorisés uniquement si chiffrés et approuvés - Interdiction de connecter des supports personnels ``` --- ### Sécurité réseau ``` Segmentation : - VLAN par zone de confiance (LAN, DMZ, Invités, IoT) - Flux inter-VLAN restreints par défaut (whitelist) - Zone DMZ pour tous les services exposés internet Accès distants : - VPN obligatoire pour tout accès au SI depuis l'extérieur - MFA sur le VPN - Split tunneling désactivé - Durée de session limitée (8h max) Wi-Fi : - Réseau invité séparé du réseau interne - WPA3 ou WPA2-Enterprise minimum - PSK partagé interdit en entreprise Pare-feu : - Politique de refus par défaut (deny all) - Règles documentées et révisées trimestriellement - IDS/IPS activé sur les flux critiques ``` --- ### Gestion des correctifs (Patch Management) ``` Criticité CVSS → Délai de correction : ├── Critique (9.0-10.0) → 24-48h ├── Élevée (7.0-8.9) → 7 jours ├── Moyenne (4.0-6.9) → 30 jours └── Faible (0.1-3.9) → 90 jours Processus : 1. Veille CVE (ANSSI, NVD, éditeurs) 2. Test en environnement de pré-production 3. Déploiement via outil centralisé (WSUS, Ansible, SCCM) 4. Vérification post-déploiement 5. Traçabilité dans le CMDB ``` --- ### Sauvegardes ``` Règle 3-2-1 : - 3 copies des données - 2 supports différents (disque + bande / cloud) - 1 copie hors site (offsite / air-gap) Fréquences types : - Données critiques : sauvegarde quotidienne - Données importantes : hebdomadaire - Configurations SI : après chaque modification Tests de restauration : - Mensuel pour les sauvegardes critiques - Trimestriel pour les autres - Résultats documentés ``` --- ### Gestion des incidents de sécurité ``` Processus (ISO 27035) : 1. Détection → SIEM, EDR, signalement utilisateur 2. Qualification → Est-ce un incident ? Quelle criticité ? 3. Confinement → Isoler le système compromis 4. Éradication → Supprimer la menace 5. Restauration → Remettre en service 6. Retour d'expérience (REX) → Améliorer les défenses Niveaux de criticité : P1 — Critique : Impact majeur SI / données / continuité → réponse immédiate P2 — Élevé : Impact significatif → réponse sous 4h P3 — Modéré : Impact limité → réponse sous 24h P4 — Faible : Incident mineur → réponse sous 72h Contacts obligatoires selon le cas : - ANSSI (si OIV/OES ou incident grave) - CNIL (si violation de données personnelles → 72h max) - Assureur cyber - Prestataire SOC/CERT ``` --- ### Continuité d'activité ``` PCA — Plan de Continuité d'Activité ├── Définit les processus critiques à maintenir ├── RTO (Recovery Time Objective) : durée max d'interruption acceptable └── RPO (Recovery Point Objective) : perte de données maximale acceptable PRA — Plan de Reprise d'Activité ├── Procédures techniques de reprise après sinistre ├── Site de reprise (secours froid / chaud / tiède) └── Tests obligatoires (exercice annuel minimum) Exemples de RTO/RPO : - SI de production e-commerce : RTO 4h / RPO 1h - Messagerie interne : RTO 24h / RPO 4h - Archivage : RTO 72h / RPO 24h ``` --- ### Relations avec les tiers ``` Avant contractualisation : - Évaluation sécurité du prestataire (questionnaire, audit) - Clauses contractuelles de sécurité obligatoires Clauses contractuelles minimales : - Engagement de confidentialité - Respect de la PSSI de l'organisation - Obligation de notification d'incident sous 24h - Droit d'audit réservé - Conditions de sous-traitance encadrées Pendant la mission : - Accès limité au strict nécessaire - Traçabilité des accès prestataires - Révocation immédiate à la fin de la mission ``` --- ### Sensibilisation et formation ``` Obligatoire pour tous : - Formation sécurité à l'arrivée (onboarding) - Rappel annuel (e-learning ou présentiel) - Test de phishing simulé (2x/an minimum) Spécifique par rôle : - Administrateurs SI : formation technique avancée - Développeurs : Secure coding (OWASP Top 10) - Management : Sensibilisation aux risques stratégiques - RSSI : Veille et certifications continues ``` --- ## Cycle de vie de la PSSI ``` ┌─────────────────────────────────┐ │ INITIALISATION │ │ Analyse de risques (EBIOS RM) │ └──────────────┬──────────────────┘ ↓ ┌─────────────────────────────────┐ │ RÉDACTION │ │ RSSI + DSI + Direction + DPO │ └──────────────┬──────────────────┘ ↓ ┌─────────────────────────────────┐ │ VALIDATION │ │ Approbation Direction générale │ └──────────────┬──────────────────┘ ↓ ┌─────────────────────────────────┐ │ DIFFUSION │ │ Communication + formation │ └──────────────┬──────────────────┘ ↓ ┌─────────────────────────────────┐ │ MISE EN OEUVRE │ │ Application des règles │ └──────────────┬──────────────────┘ ↓ ┌─────────────────────────────────┐ │ CONTRÔLE │ │ Audits, tests, indicateurs │ └──────────────┬──────────────────┘ ↓ ┌─────────────────────────────────┐ │ RÉVISION │ │ Annuelle ou après incident │ └──────────────┴──────────────────┘ ↑ (boucle) ``` --- ## Indicateurs de suivi (KPI sécurité) | Indicateur | Fréquence | Cible | |---|---|---| | Taux de postes avec EDR à jour | Mensuel | 100% | | Délai moyen de correction des vulnérabilités critiques | Mensuel | < 48h | | Taux de comptes avec MFA activé | Mensuel | 100% | | Nombre d'incidents P1/P2 | Mensuel | Tendance baissière | | Taux de succès des tests de restauration | Trimestriel | 100% | | Taux de collaborateurs formés | Annuel | > 95% | | Taux de succès phishing simulé (clics) | Semestriel | < 5% | --- ## Articulation avec les référentiels ``` EBIOS RM └→ identifie les risques └→ PSSI (règles de sécurité) ├→ ISO 27001 (certification SMSI) ├→ ISO 27002 (catalogue de mesures) ├→ RGS (administrations françaises) ├→ NIS2 (OES/OIV européens) └→ RGPD (données personnelles) ``` --- ## Vocabulaire clé | Terme | Définition | |---|---| | **RSSI** | Responsable de la Sécurité des Systèmes d'Information | | **DPO** | Délégué à la Protection des Données | | **SMSI** | Système de Management de la Sécurité de l'Information | | **RTO** | Recovery Time Objective — durée max d'interruption tolérable | | **RPO** | Recovery Point Objective — perte de données maximale tolérable | | **PCA** | Plan de Continuité d'Activité | | **PRA** | Plan de Reprise d'Activité | | **MDM** | Mobile Device Management | | **CMDB** | Base de données de gestion de configuration | | **OIV** | Opérateur d'Importance Vitale | | **OES** | Opérateur de Services Essentiels (NIS2) | --- ## Références - Guide PSSI — ANSSI : `https://www.ssi.gouv.fr/guide/elaborer-et-mettre-en-oeuvre-une-pssi/` - ISO/IEC 27001:2022 : `https://www.iso.org/standard/27001` - ISO/IEC 27002:2022 : `https://www.iso.org/standard/75652.html` - RGS v2.0 — ANSSI : `https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/` - Directive NIS2 : `https://www.ssi.gouv.fr/nis2` - Club EBIOS : `https://www.club-ebios.org` Pour rédiger une PSSI efficace, partir des résultats EBIOS RM (ateliers 1 et 5) : les valeurs métier et événements redoutés définissent naturellement les domaines à couvrir, et le PACS (Plan d'Amélioration Continue) alimente les règles de la PSSI. La PSSI sans analyse de risques préalable reste un document générique peu adapté à la réalité de l'organisation.