Document sécurité
PSSI : Politique de Sécurité des Systèmes d'Information
La Politique de Sécurité des Systèmes d'Information (PSSI) est le document de référence qui formalise la stratégie de cybersécurité d'une organisation. Elle reflète la vision stratégique de la direction en matière de sécurité des systèmes d'information et constitue un plan d'action défini pour maintenir un certain niveau de sécurité. La PSSI décrit les objectifs de sécurité, les rôles et responsabilités, les règles applicables et les mesures de protection du système d'information, en s'appuyant sur une analyse des risques SSI.
Détails / contexte
La PSSI reflète la vision stratégique de la direction de l'organisme en matière de sécurité des systèmes d'information et de gestion de risques SSI, et décrit les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables. En France, la circulaire du Premier ministre n° 5725/SG du 17 juillet 2014 a introduit la politique de sécurité des systèmes d'information de l'État (PSSIE), qui sert de cadre réglementaire pour les ministères et administrations.
La PSSI dépasse la seule dimension informatique : elle intègre des aspects organisationnels et humains. Elle définit la comitologie SSI, précise les responsabilités (direction générale, RSSI, métiers) et fixe les mesures techniques, opérationnelles et organisationnelles à déployer. Son élaboration s'appuie généralement sur des référentiels reconnus comme ISO 27001, les guides ANSSI ou le NIST CSF. Une PSSI efficace est validée par la direction, diffusée à l'ensemble des parties prenantes (collaborateurs, prestataires) et régulièrement mise à jour pour refléter l'évolution des menaces et de l'environnement.
Lien avec NIS2
L'article 21 de la directive NIS2 impose aux entités concernées de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles adaptées, notamment de formaliser une politique de sécurité des systèmes d'information (PSSI). La PSSI devient ainsi une exigence réglementaire pour les entités essentielles et importantes.
La directive NIS2 définit dans ses articles 20 et 21 des mesures de gestion des risques minimales, qui seront déclinées en vingt objectifs de sécurité obligatoires. La PSSI constitue le socle documentaire permettant de structurer la conformité NIS2 : elle traduit la gouvernance exigée par l'article 20, encadre les mesures de l'article 21 et documente l'approche « tous risques » imposée par la directive. Les entités régulées doivent s'appuyer sur leur PSSI pour organiser la gestion des incidents, la continuité d'activité et le contrôle de la chaîne d'approvisionnement.
Voir aussi : Mesures NIS2 — Gouvernance cybersécurité