Elaborer une PSSI avant de mettre en place son PSI

Publié le par service center

Quelques soient les environnements: Administration, Entreprise ou Centre de recherche,
il est nécessaire de définir une PSSI « Politique de Sécurité des Systèmes d’Information »

C’est un nécessaire préalable à toute déclinaison en des termes pratiques, comme par exemple sous la forme de PSI « Plan de Sécurité Informatique »

La réflexion pour mettre en place une PSSI peut être conduite à partir de différentes méthodologies, en France la DCSSI « Direction Centrale de la Sécurité des Systèmes d’Information fournit l’outil EBIOS « Expression des Besoins et Identification des Objectifs de Sécurité » (cf un de mes articles précédents) qui offre une démarche pour aborder le sujet.

Nous distinguerons 9 étapes successives , pour élaborer une PSSI:

 

1- La détermination du champ d’application de la PSSI
     * Répertorier les activités, les domaines de regroupement, les acteurs,…
     * Les services fournis, les systèmes d’informations associés,…

2- La mise en place d’un schéma de circulation des informations
      * Typologie des informations, Circuits d échanges,…

3- La définition du « système cible »
     * Ensemble exhaustif des constituants de la cible : infrastructures, équipements,
     * Les types d’informations et les applications fonctionnelles

4- La formalisation des contraintes et des enjeux :
     * Par ex : les contraintes liées à des usages externes non contrôlables à priori, des périmètres    d’usages non déterminés, des utilisateurs « de passage » , l’ouverture du système « au grand public » ,etc.…. 
     * Ls enjeux : à identifier soigneusement suivant leur nature, importance et résultante à court, moyen long terme, etc.

5- La mise en place de la grille des besoins :
     * A partir des 3 exigences de sécurité qui sont à la base du raisonnement sécuritaire : Confidentialité, Intégrité et Disponibilité, on balaie l’ensemble des domaines d’activités retenus, voir en plus certains éléments sensibles, et on détermine le niveau de sécurité nécessaire (: échelle de 1 à 5)

6- L’identification des menaces et des problématiques associées : 
      * Création d’un référentiel de menaces
      * Pour chaque menace : identifier le type, les conséquences prévisibles, les causes, le potentiel, etc.
      * Report de l’impact de chaque menace identifiée sur l’environnement retenuSpécification des conséquences

 

7- La prise en compte des éléments légaux et réglementaires :
       * Par exemple, le Plan de Sécurité négocié et conclu sous forme d’un accord collectif avec les partenaires sociaux

 

 8- La définition des principes de sécurité applicables :
        * Utilisation du référentiel EBIOS pour aborder : les principes organisationnels, les principes de mise en oeuvre, les principes techniques
        * Par exemple, pour les principes techniques :
                o Identification/authentification
                o Contrôle des accès logiques
                o Journalisation
                o Infrastructures de gestion des clés cryptographiques
                o Signaux compromettants

 

9-La définition des règles d’application :
             On retrouvera nécessairement l’ensemble des règles de sécurité déclinées
sur chaque site, unité opérationnelle, etc.
L'élaboration d'un plan d’action

Publié dans SECURITE

Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Le Hit des menaces de Sécurité du SI en 2009
Le Hit des menaces de Sécurité du SI en 2009
Approche opérationnelle de La gouvernance des SI
Approche opérationnelle de La gouvernance des SI
La gouvernance des SI
La gouvernance des SI
Responsable télévente
Responsable télévente
Le Hit des menaces de Sécurité du SI en 2009
Téléacteur
Commenter cet article