Politique de sécurité des systèmes d’information : comment maintenir un certain niveau de sécurité ?

Définition
L’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) définit la notion de politique de sécurité en ces termes : « La PSSI reflète la vision stratégique de la direction d’une structure (administration, PME – Petites moyennes entreprises, PMI – Petites et moyennes industries, ETI – Entreprise de taille intermédiaire, Grandes entreprises) en matière de sécurité des systèmes d’information (SSI) ».

Outil de sensibilisation
Une fois validée et communiquée, la PSSI est un véritable instrument de sensibilisation en interne comme en externe. Avec ce support, les acteurs prennent conscience de leurs responsabilités au niveau sécurité.

Méthode choisie
Pour mener un audit de ce type, INFORSUD Technologies privilégie la méthode EBIOS Risk Manager – , (Expression des Besoins et Identification des Objectifs de Sécurité), méthode de référence recommandée par l’ANSSI. Elle permet aux organisations de réaliser une appréciation et un traitement des risques.

Cette approche méthodologique est organisée autour de différents thèmes prédéfinis, chacun traitant d’une problématique bien particulière :

• La sécurité liée à l’organisation,
• La sécurité physique et environnementale,
• La gestion des ressources humaines et des actifs,
• Les contrôles des accès logiques,
• La sécurité liée à l’exploitation,
• La sécurité des communications,
• Les relations avec les partenaires,
• La gestion des incidents de sécurité,
• La continuité de service.

Organisation à prévoir

• Pour évaluer la connaissance de chaque collaborateur en matière de sécurité, chacun est soumis à un questionnaire.

Le rapport de l’audit est présenté et expliqué dans le cadre d’une réunion et intègre principalement les livrables suivants :

• Analyses des écarts par rapport à des précédents audits, un référentiel ou les bonnes pratiques en vigueur.
• Plan d’actions à mettre en place pour atteindre le niveau de sécurité fixé :
  . Les menaces et vulnérabilités étant identifiées et valorisées, l’organisation décide du degré d’amélioration à apporter pour réduire ces risques et atteindre ou approcher le niveau de sécurité escompté.
  . Priorisation des actions et des moyens affectés afin d’atteindre la mise en conformité fixée.
  . Ordonnancement des différentes tâches à réaliser.

• Présentation et fichier de suivi intégrant l’ensemble des recommandations.

L’approche PSSI n’a pas pour ambition de supprimer le risque mais de l’évaluer et de proposer des mécanismes permettant de le réduire ou de l’accepter.

Pour réussir, cette démarche doit être fortement motivée par la direction de l’organisation. L’implication des postes clés est un impératif pour obtenir un résultat et insuffler un état d’esprit à tous les utilisateurs du système d’information.

Exemple
Un des exemples les plus concrets que peut intégrer une PSSI, reste la capacité à redémarrer une activité en cas de sinistre sur une plateforme informatique. Savoir limiter la quantité de données perdues grâce à une politique de sauvegarde permet de reprendre une activité plus rapidement. Il ne reste dans ce cas-là qu’à restituer les sauvegardes et ignorer la demande de rançon, en cas d’attaque de type Ransomware, autorisant l’accès aux données non-chiffrées.

L’humain reste l’acteur principal au sein de l’organisation, les efforts de sensibilisation en matière de cybersécurité doivent être réguliers et peuvent être dispensées sous forme de formation ou auto-formation.