> Tech > Plan modèle de la documentation d’une PSSI

Plan modèle de la documentation d’une PSSI

Tech - Par iTPro - Publié le 07 janvier 2014
email

À quoi ressemblera le document une fois rempli ?

Bien entendu, chaque société aura sa façon de vouloir concevoir le document de PSSI qu’il faudra remettre régulièrement à jour, mais afin de vous guider dans cette tâche, l’exemple ci-dessous vous permettra de disposer d’un modèle standard que vous pourrez adapter à votre situation.

 

Partie I : Contexte et objectifs

 

1)     Le contexte

a.     Description de ses missions et de son organisation (nature, individus impliqués directement ou indirectement)

b.     Présentation de sa structure (fonctionnement, localisation)

c.     Description des niveaux de sensibilité

d.     Moyens techniques et financiers

e.     Typologie des données

f.      Contexte législatif et réglementaire

 

2)     Définition du périmètre de la SSI* 

SSI= Sécurité des systèmes d’information

a.     Périmètre physique (nature, RACI)

b.     Périmètre logique (numérique, nature, RACI)

c.     Périmètre fonctionnel (administrateurs, utilisateurs, etc.)

d.     Description des usages et des méthodes

e.     Liaisons externes

f.      Entités non intégrées

 

3)     Les besoins de sécurité

Objectifs généraux : Protéger l’outil de travail (disponibilité), les données (confidentialité, protection des secrets, disponibilité, intégrité), le personnel des entités et l’organisation

a.     Définition des critères de sécurité

b.     Certifications des critères de sécurité

c.     Tableau : Echelle des niveaux de criticité

                                          i.    Perte de confidentialité sans conséquence

Sinistre ne risquant pas de provoquer une gêne notable dans le fonctionnement ou les capacités de l’organisme (ex : données publiques, visibles par tous)

                                         ii.    Perte de confidentialité entraînant des gênes de délai ou de fonctionnement

Susceptible de provoquer une diminution des capacités de l’organisme. (ex : données liées aux compétences ou savoir-faire internes, dans un contexte de groupe de confiance, dont vous protégez toutes les traces écrites.)

                                        iii.    Perte de confidentialité entraînant des conséquences dommageables

Susceptible d’amoindrir les capacités de l’organisme, sans conséquence vitale, avec des conséquences telles que des pertes financières, sanctions administratives ou réorganisation. (Exemple : données liées à un engagement de confidentialité dans un contrat)

                                        iv.    Perte de confidentialité entraînant des conséquences graves

1.     Susceptible de provoquer une modification importante dans les structures et la capacité de l’organisme comme la révocation de dirigeants, la restructuration de l’organisme, des pertes financières sévères)

d.     Définition des besoins de sécurité

                                          i.    Concernant la protection de l’outil de travail

                                         ii.    Concernant la protection des données

1.     Données métiers

2.     Données de gestion

3.     Donnés nominatives

4.     Données stratégiques

                                        iii.    Concernant la protection juridique

1.     Propriété intellectuelle du patrimoine

2.     Protection de la vie privée

3.     Documents juridiques (charte informatique, CGU – conditions générales d’utilisation, etc.)

4.     Contexte international

 

4)     Menaces et impacts (méthode EBIOS)

a.     Identification des menaces générales

b.     Identifications des menaces spécifiques

c.     Tableau : Critères / Attaques / Impacts

d.     Analyse des risques (devra être réalisée ultérieurement, hors PSSI)

 

Partie II : Principes d’organisation et de mise en œuvre

 

1)     Organisation de la SSI

a.     Pilotage

b.     Mise en œuvre

                                          i.    Chaîne organique

                                         ii.    Chaîne fonctionnelle spécialisée de la SSI

1.     Au niveau international

2.     Au niveau national

3.     Au niveau sous-national (à adapter)

4.     Au niveau local

                                        iii.    Identification des CSSI (Chargés de la Sécurité des Systèmes d’Information)

2)     Coordination avec les entités externes ou sous-traitantes

a.     Principes généraux

                                          i.    Dans le cas d’entités externes

                                         ii.    Dans le cas de sous-traitants

b.     Procédures en cas d’incidents

c.     Procédures en cas de litiges

d.     Procédures exceptionnelles

3)     Déclinaison d’une PSSI au sein d’une entité

a.     Stratégies globales (Policies)

b.     Stratégies locales

4)     Principes de mise en œuvre de la PSSI

a.     Organisation et responsabilité

                                          i.    Responsabilité des différents acteurs

                                         ii.    Accès aux ressources informatiques

                                        iii.    Charte informatique

                                        iv.    Cyber surveillance

                                         v.    Formation, sensibilisation

                                        vi.    Infrastructure de gestion des clés numériques

                                       vii.    Veille technique et juridique

b.     Protection des données

                                          i.    Disponibilité, confidentialité et intégrité des données

                                         ii.    Protection des données sensibles

                                        iii.    Données à caractère personnel

                                        iv.    Chiffrement

                                         v.    Réparation, cession, mise au rebut

c.     Sécurisation du Système d’Information

                                          i.    Administration des serveurs

                                         ii.    Administration des postes de travail

                                        iii.    Sécurisation des postes de travail et des moyens nomades

                                        iv.    Contrôle d’accès

                                         v.    Sécurité des applications

                                        vi.    Maintenance et télé actions internes

                                       vii.    Infogérance et télémaintenances externes

                                      viii.    Clauses dans les marchés

                                        ix.    Réseaux

                                         x.    Maintenance au niveau de sécurité

d.     Mesure du niveau effectif de sécurité

                                          i.    Contrôle de gestion

                                         ii.    Audits

                                        iii.    Journalisation, tableaux de bord

                                        iv.    Fichiers de traces

                                         v.    Posture de sécurité

                                        vi.    Mises en garde

                                       vii.    Gestion des incidents

                                      viii.    Gestion des crises

                                        ix.    Plan de continuité

Téléchargez gratuitement cette ressource

*** SMART DSI *** VERSION NUMÉRIQUE

*** SMART DSI *** VERSION NUMÉRIQUE

Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.

Tech - Par iTPro - Publié le 07 janvier 2014