Elaborer une PSSI avant de mettre en place son PSI
Quelques soient les environnements: Administration, Entreprise ou Centre de recherche,
il est nécessaire de définir une PSSI « Politique de Sécurité des Systèmes d’Information »
C’est un nécessaire préalable à toute déclinaison en des termes pratiques, comme par exemple sous la forme de PSI « Plan de Sécurité Informatique »
La réflexion pour mettre en place une PSSI peut être conduite à partir de différentes méthodologies, en France la DCSSI « Direction Centrale de la Sécurité des Systèmes d’Information fournit l’outil EBIOS « Expression des Besoins et Identification des Objectifs de Sécurité » (cf un de mes articles précédents) qui offre une démarche pour aborder le sujet.
Nous distinguerons 9 étapes successives , pour élaborer une PSSI:
1- La détermination du champ d’application de la PSSI
* Répertorier les activités, les domaines de regroupement, les acteurs,…
* Les services fournis, les systèmes d’informations associés,…
2- La mise en place d’un schéma de circulation des informations
* Typologie des informations, Circuits d échanges,…
3- La définition du « système cible »
* Ensemble exhaustif des constituants de la cible : infrastructures, équipements,
* Les types d’informations et les applications fonctionnelles
4- La formalisation des contraintes et des enjeux :
* Par ex : les contraintes liées à des usages externes non contrôlables à priori, des périmètres d’usages non déterminés, des utilisateurs « de passage » , l’ouverture du système « au grand public » ,etc.….
* Ls enjeux : à identifier soigneusement suivant leur nature, importance et résultante à court, moyen long terme, etc.
5- La mise en place de la grille des besoins :
* A partir des 3 exigences de sécurité qui sont à la base du raisonnement sécuritaire : Confidentialité, Intégrité et Disponibilité, on balaie l’ensemble des domaines d’activités retenus, voir en plus certains éléments sensibles, et on détermine le niveau de sécurité nécessaire (: échelle de 1 à 5)
6- L’identification des menaces et des problématiques associées :
* Création d’un référentiel de menaces
* Pour chaque menace : identifier le type, les conséquences prévisibles, les causes, le potentiel, etc.
* Report de l’impact de chaque menace identifiée sur l’environnement retenuSpécification des conséquences
7- La prise en compte des éléments légaux et réglementaires :
* Par exemple, le Plan de Sécurité négocié et conclu sous forme d’un accord collectif avec les partenaires sociaux
8- La définition des principes de sécurité applicables :
* Utilisation du référentiel EBIOS pour aborder : les principes organisationnels, les principes de mise en oeuvre, les principes techniques
* Par exemple, pour les principes techniques :
o Identification/authentification
o Contrôle des accès logiques
o Journalisation
o Infrastructures de gestion des clés cryptographiques
o Signaux compromettants
9-La définition des règles d’application :
On retrouvera nécessairement l’ensemble des règles de sécurité déclinées
sur chaque site, unité opérationnelle, etc.
L'élaboration d'un plan d’action