MDstable
NoteSnippetChecklistPlaybook

PSSI — Politique de Sécurité des Systèmes d'Information

Document stratégique définissant les règles de sécurité : gouvernance, IAM, classification, patch management, incidents, continuité

noteintermediate 2026-05-14 9 min read
grcanssiiso27001conformiterisk-managementblue-teampssismsi

Définition

La PSSI est le document de référence qui formalise les orientations stratégiques de sécurité d'une organisation. Elle traduit les résultats de l'analyse de risques (EBIOS RM) en règles applicables par tous.

Analogie : La PSSI est à la sécurité ce que la Constitution est à un État — tout découle d'elle.

Structure type d'une PSSI

1. Préambule et contexte

 Prsentation de lorganisation
 Primtre dapplication SI concerns entits filiales
 Dfinitions et glossaire
 Rfrences rglementaires applicables
 Date de rvision et cycle de mise  jour

2. Enjeux et objectifs de sécurité

Objectifs fondamentaux triade CIA 
 Confidentialit   seules les personnes autorises accdent aux donnes
 Intgrit         les donnes ne sont pas altres sans autorisation
 Disponibilit     les services sont accessibles quand ncessaire
Objectifs tendus 
 Traabilit       toute action est enregistre et auditable
 Non-répudiation   impossibilit de nier une action effectue
 Authenticit      les identits sont vrifies

3. Gouvernance et responsabilités

| Acteur | Rôle | |---|---| | Direction générale | Approuve et porte la PSSI, alloue les ressources | | RSSI | Rédige, maintient et contrôle l'application de la PSSI | | DSI | Met en œuvre les mesures techniques | | DPO | Assure la conformité RGPD | | Managers | Relais auprès des équipes | | Utilisateurs | Respectent les règles, remontent les incidents | | Prestataires | Soumis aux clauses de sécurité contractuelles |

Domaines couverts par la PSSI

Gestion des accès et des identités (IAM)

Rgles types 
 Principe du moindre privilge accs minimal ncessaire
 Sparation des tches pas de cumul admin  utilisateur
 Revue des droits daccs trimestrielle
 Suppression des comptes sous  aprs dpart dun employ
 Interdiction des comptes gnriques  partags
 MFA obligatoire sur tous les accs sensibles

Politique de mots de passe :

Longueur minimale     12 caractres 16 recommand
Complexit            Majuscule  minuscule  chiffre  spcial
Dure de validit     90 jours ou sans expiration  MFA
Historique            10 derniers mots de passe interdits
Verrouillage          5 tentatives choues  blocage 15 min
Stockage              Jamais en clair hash bcrypt/Argon2
Gestionnaire          Recommand Bitwarden KeePass

Classification des données

| Niveau | Définition | Exemples | Mesures | |---|---|---|---| | Public | Diffusion libre | Site web, plaquettes | Aucune restriction | | Interne | Usage interne uniquement | Procédures, organigramme | Authentification requise | | Confidentiel | Accès restreint | RH, financier, clients | Chiffrement + accès nominatif | | Secret | Accès très limité | Secrets industriels, R&D | Chiffrement fort + traçabilité totale |

Sécurité des équipements

Postes de travail 
 Chiffrement disque obligatoire BitLocker VeraCrypt
 Antivirus/EDR dploy et  jour
 Verrouillage automatique aprs 5 min dinactivit
 Interdiction dinstaller des logiciels non approuvs
 Inventaire des assets mis  jour mensuellement
Appareils mobiles 
 MDM Mobile Device Management obligatoire
 Chiffrement activ
 Effacement distant possible
 Interdiction de stocker des donnes confidentielles hors MDM
Supports amovibles 
 USB autoriss uniquement si chiffrs et approuvs
 Interdiction de connecter des supports personnels

Sécurité réseau

Segmentation 
 VLAN par zone de confiance LAN DMZ Invits IoT
 Flux inter-VLAN restreints par dfaut whitelist
 Zone DMZ pour tous les services exposs internet
Accs distants 
 VPN obligatoire pour tout accs au SI depuis lextrieur
 MFA sur le VPN
 Split tunneling dsactiv
 Dure de session limite  max
Wi-Fi 
 Rseau invit spar du rseau interne
 WPA3 ou WPA2-Enterprise minimum
 PSK partag interdit en entreprise
Pare-feu 
 Politique de refus par dfaut deny all
 Rgles documentes et rvises trimestriellement
 IDS/IPS activ sur les flux critiques

Gestion des correctifs (Patch Management)

Criticit CVSS  Dlai de correction 
 Critique 90-10.0)  24-48h
 leve   70-8.9)   7 jours
 Moyenne  40-6.9)   30 jours
 Faible   01-3.9)   90 jours
Processus 
1 Veille CVE ANSSI NVD diteurs
2 Test en environnement de pr-production
3 Dploiement via outil centralis WSUS Ansible SCCM
4 Vrification post-déploiement
5 Traabilit dans le CMDB

Sauvegardes

Rgle 3-2-1 
 3 copies des donnes
 2 supports diffrents disque  bande  cloud
 1 copie hors site offsite  air-gap)
Frquences types 
 Donnes critiques     sauvegarde quotidienne
 Donnes importantes   hebdomadaire
 Configurations SI     aprs chaque modification
Tests de restauration 
 Mensuel pour les sauvegardes critiques
 Trimestriel pour les autres
 Rsultats documents

Gestion des incidents de sécurité

Processus ISO 27035 
1 Dtection       SIEM EDR signalement utilisateur
2 Qualification   Est-ce un incident  Quelle criticit 
3 Confinement     Isoler le systme compromis
4 radication     Supprimer la menace
5 Restauration    Remettre en service
6 Retour dexprience REX  Amliorer les dfenses
Niveaux de criticit 
P1  Critique   Impact majeur SI  donnes  continuit  rponse immdiate
P2  lev      Impact significatif  rponse sous 
P3  Modr     Impact limit  rponse sous 
P4  Faible     Incident mineur  rponse sous 
Contacts obligatoires selon le cas 
 ANSSI si OIV/OES ou incident grave
 CNIL si violation de donnes personnelles   max
 Assureur cyber
 Prestataire SOC/CERT

Continuité d'activité

PCA  Plan de Continuit dActivit
 Dfinit les processus critiques  maintenir
 RTO Recovery Time Objective  dure max dinterruption acceptable
 RPO Recovery Point Objective  perte de donnes maximale acceptable
PRA  Plan de Reprise dActivit
 Procdures techniques de reprise aprs sinistre
 Site de reprise secours froid  chaud  tide
 Tests obligatoires exercice annuel minimum
Exemples de RTO/RPO 
 SI de production e-commerce  RTO   RPO 
 Messagerie interne           RTO   RPO 
 Archivage                    RTO   RPO

Relations avec les tiers

Avant contractualisation 
 valuation scurit du prestataire questionnaire audit
 Clauses contractuelles de scurit obligatoires
Clauses contractuelles minimales 
 Engagement de confidentialit
 Respect de la PSSI de lorganisation
 Obligation de notification dincident sous 
 Droit daudit rserv
 Conditions de sous-traitance encadres
Pendant la mission 
 Accs limit au strict ncessaire
 Traabilit des accs prestataires
 Rvocation immdiate  la fin de la mission

Sensibilisation et formation

Obligatoire pour tous 
 Formation scurit  larrive onboarding
 Rappel annuel e-learning ou prsentiel
 Test de phishing simul /an minimum
Spcifique par rle 
 Administrateurs SI     formation technique avance
 Dveloppeurs          Secure coding OWASP Top 10
 Management            Sensibilisation aux risques stratgiques
 RSSI                  Veille et certifications continues

Cycle de vie de la PSSI

                 INITIALISATION          
          Analyse de risques EBIOS RM  
        
                       
        
                    RDACTION            
          RSSI  DSI  Direction  DPO   
        
                       
        
                   VALIDATION            
          Approbation Direction gnrale 
        
                       
        
                    DIFFUSION            
          Communication  formation      
        
                       
        
                 MISE EN OEUVRE          
          Application des rgles         
        
                       
        
                    CONTRLE             
          Audits tests indicateurs     
        
                       
        
                   RVISION              
          Annuelle ou aprs incident     
        
                        boucle

Indicateurs de suivi (KPI sécurité)

| Indicateur | Fréquence | Cible | |---|---|---| | Taux de postes avec EDR à jour | Mensuel | 100% | | Délai moyen de correction des vulnérabilités critiques | Mensuel | < 48h | | Taux de comptes avec MFA activé | Mensuel | 100% | | Nombre d'incidents P1/P2 | Mensuel | Tendance baissière | | Taux de succès des tests de restauration | Trimestriel | 100% | | Taux de collaborateurs formés | Annuel | > 95% | | Taux de succès phishing simulé (clics) | Semestriel | < 5% |

Articulation avec les référentiels

EBIOS RM
   identifie les risques
        PSSI rgles de scurit
             ISO 27001 certification SMSI
             ISO 27002 catalogue de mesures
             RGS administrations franaises
             NIS2 OES/OIV europens
             RGPD donnes personnelles

Vocabulaire clé

| Terme | Définition | |---|---| | RSSI | Responsable de la Sécurité des Systèmes d'Information | | DPO | Délégué à la Protection des Données | | SMSI | Système de Management de la Sécurité de l'Information | | RTO | Recovery Time Objective — durée max d'interruption tolérable | | RPO | Recovery Point Objective — perte de données maximale tolérable | | PCA | Plan de Continuité d'Activité | | PRA | Plan de Reprise d'Activité | | MDM | Mobile Device Management | | CMDB | Base de données de gestion de configuration | | OIV | Opérateur d'Importance Vitale | | OES | Opérateur de Services Essentiels (NIS2) |

Références

  • Guide PSSI — ANSSI : https://www.ssi.gouv.fr/guide/elaborer-et-mettre-en-oeuvre-une-pssi/
  • ISO/IEC 27001:2022 : https://www.iso.org/standard/27001
  • ISO/IEC 27002:2022 : https://www.iso.org/standard/75652.html
  • RGS v2.0 — ANSSI : https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/
  • Directive NIS2 : https://www.ssi.gouv.fr/nis2
  • Club EBIOS : https://www.club-ebios.org
💡 Tip —

Pour rédiger une PSSI efficace, partir des résultats EBIOS RM (ateliers 1 et 5) : les valeurs métier et événements redoutés définissent naturellement les domaines à couvrir, et le PACS (Plan d'Amélioration Continue) alimente les règles de la PSSI. La PSSI sans analyse de risques préalable reste un document générique peu adapté à la réalité de l'organisation.

OPS·BRAIN v1.075 notes · Securitylocal