À quoi ressemblera le document une fois rempli ?
PSSI, Plan modèle de la documentation
Bien entendu, chaque société aura sa façon de vouloir concevoir le document de PSSI qu’il faudra remettre régulièrement à jour, mais afin de vous guider dans cette tâche, l’exemple ci-dessous vous permettra de disposer d’un modèle standard que vous pourrez adapter à votre situation.
Partie I : Contexte et objectifs
1) Le contexte
a. Description de ses missions et de son organisation (nature, individus impliqués directement ou indirectement)
b. Présentation de sa structure (fonctionnement, localisation)
c. Description des niveaux de sensibilité
d. Moyens techniques et financiers
e. Typologie des données
f. Contexte législatif et réglementaire
2) Définition du périmètre de la SSI*
SSI= Sécurité des systèmes d’information
a. Périmètre physique (nature, RACI)
b. Périmètre logique (numérique, nature, RACI)
c. Périmètre fonctionnel (administrateurs, utilisateurs, etc.)
d. Description des usages et des méthodes
e. Liaisons externes
f. Entités non intégrées
3) Les besoins de sécurité
Objectifs généraux : Protéger l’outil de travail (disponibilité), les données (confidentialité, protection des secrets, disponibilité, intégrité), le personnel des entités et l’organisation
a. Définition des critères de sécurité
b. Certifications des critères de sécurité
c. Tableau : Echelle des niveaux de criticité
i. Perte de confidentialité sans conséquence
Sinistre ne risquant pas de provoquer une gêne notable dans le fonctionnement ou les capacités de l’organisme (ex : données publiques, visibles par tous)
ii. Perte de confidentialité entraînant des gênes de délai ou de fonctionnement
Susceptible de provoquer une diminution des capacités de l’organisme. (ex : données liées aux compétences ou savoir-faire internes, dans un contexte de groupe de confiance, dont vous protégez toutes les traces écrites.)
iii. Perte de confidentialité entraînant des conséquences dommageables
Susceptible d’amoindrir les capacités de l’organisme, sans conséquence vitale, avec des conséquences telles que des pertes financières, sanctions administratives ou réorganisation. (Exemple : données liées à un engagement de confidentialité dans un contrat)
iv. Perte de confidentialité entraînant des conséquences graves
1. Susceptible de provoquer une modification importante dans les structures et la capacité de l’organisme comme la révocation de dirigeants, la restructuration de l’organisme, des pertes financières sévères)
d. Définition des besoins de sécurité
i. Concernant la protection de l’outil de travail
ii. Concernant la protection des données
1. Données métiers
2. Données de gestion
3. Donnés nominatives
4. Données stratégiques
iii. Concernant la protection juridique
1. Propriété intellectuelle du patrimoine
2. Protection de la vie privée
3. Documents juridiques (charte informatique, CGU – conditions générales d’utilisation, etc.)
4. Contexte international
4) Menaces et impacts (méthode EBIOS)
a. Identification des menaces générales
b. Identifications des menaces spécifiques
c. Tableau : Critères / Attaques / Impacts
d. Analyse des risques (devra être réalisée ultérieurement, hors PSSI)
Partie II : Principes d’organisation et de mise en œuvre
1) Organisation de la SSI
a. Pilotage
b. Mise en œuvre
i. Chaîne organique
ii. Chaîne fonctionnelle spécialisée de la SSI
1. Au niveau international
2. Au niveau national
3. Au niveau sous-national (à adapter)
4. Au niveau local
iii. Identification des CSSI (Chargés de la Sécurité des Systèmes d’Information)
2) Coordination avec les entités externes ou sous-traitantes
a. Principes généraux
i. Dans le cas d’entités externes
ii. Dans le cas de sous-traitants
b. Procédures en cas d’incidents
c. Procédures en cas de litiges
d. Procédures exceptionnelles
3) Déclinaison d’une PSSI au sein d’une entité
a. Stratégies globales (Policies)
b. Stratégies locales
4) Principes de mise en œuvre de la PSSI
a. Organisation et responsabilité
i. Responsabilité des différents acteurs
ii. Accès aux ressources informatiques
iii. Charte informatique
iv. Cyber surveillance
v. Formation, sensibilisation
vi. Infrastructure de gestion des clés numériques
vii. Veille technique et juridique
b. Protection des données
i. Disponibilité, confidentialité et intégrité des données
ii. Protection des données sensibles
iii. Données à caractère personnel
iv. Chiffrement
v. Réparation, cession, mise au rebut
c. Sécurisation du Système d’Information
i. Administration des serveurs
ii. Administration des postes de travail
iii. Sécurisation des postes de travail et des moyens nomades
iv. Contrôle d’accès
v. Sécurité des applications
vi. Maintenance et télé actions internes
vii. Infogérance et télémaintenances externes
viii. Clauses dans les marchés
ix. Réseaux
x. Maintenance au niveau de sécurité
d. Mesure du niveau effectif de sécurité
i. Contrôle de gestion
ii. Audits
iii. Journalisation, tableaux de bord
iv. Fichiers de traces
v. Posture de sécurité
vi. Mises en garde
vii. Gestion des incidents
viii. Gestion des crises
ix. Plan de continuité
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
