Vous êtes sur la page 1sur 2

Le guide PSSI

PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation

laboration de politiques de scurit des systmes d'information


Le socle de la SSI
La PSSI constitue le principal document de rfrence en matire de SSI. Elle en est un lment fondateur, au mme titre qu'un schma directeur, qui lui, dfinit les objectifs atteindre et les moyens accords pour y parvenir. Ces documents sont tablis en fonction de la culture et du rfrentiel existant.

Le guide PSSI constitue la rfrence nationale pour la rdaction des politiques de scurit des systmes d'information. Il est largement utilis au sein des administrations et du secteur priv. Sa diffusion est gratuite sur le site de la DCSSI (http://www.ssi.gouv.fr).

Les principes fondateurs


En 2002, le Conseil de l'OCDE a adopt une nouvelle version des "lignes directrices rgissant la scurit des systmes et rseaux d'information vers une culture de la 1 scurit" . Elles insistent sur la ncessit d'un cadre gnral pour la scurit des systmes d'information (SSI). Elles prennent en compte les volutions du contexte de la SSI tels que l'accroissement de l'interconnexion des rseaux et l'volution des donnes en terme de type, volume, sensibilit, ainsi que les nouveaux enjeux lis par exemple aux projets gouvernementaux et de commerce lectronique. Elles introduisent les notions de "culture de scurit" et de continuit de la gestion des risques SSI. Ces nouvelles lignes directrices dcrivent les neuf principes suivants, l'origine du guide PSSI : 1. Sensibilisation 2. Responsabilit 3. Raction 4. thique 5. Dmocratie 6. valuation des risques 7. Conception et mise en uvre de la scurit 8. Gestion de la scurit 9. Rvaluation

Les orientations stratgiques


Une PSSI reflte la vision stratgique de la direction de lorganisme (PME, PMI, industrie, administration) en matire de SSI. Elle traduit la reconnaissance officielle de l'importance accorde par la direction la SSI. Elle informe la matrise douvrage et la matrise d'uvre des enjeux, des choix en terme de gestion des risques et suscite la confiance des utilisateurs et partenaires.

Un facteur d'conomie
D'une PSSI globale, il est possible de dcliner des PSSI techniques par mtier, activits ou systmes. Elle servira galement de base de cohrence entre ces PSSI et entre toutes les tudes SSI.

Un instrument de sensibilisation et de communication


Aprs validation, la PSSI doit tre diffuse l'ensemble des acteurs du SI (utilisateurs, sous-traitants, prestataires). Elle constitue alors un vritable outil de communication sur l'organisation et les responsabilits SSI, les risques SSI et les moyens disponibles pour s'en prmunir.

Un document volutif
La PSSI est un document vivant qui doit voluer afin de prendre en compte les transformations du contexte de l'organisme (changement d'organisation, de missions...) et des risques (rvaluation de la menace, variation des besoins de scurit, des contraintes et des enjeux).

Lignes directrices de l'OCDE rgissant la scurit des systmes et rseaux d'information vers une culture de la scurit, 29 juillet 2002, Organisation de Coopration et de Dveloppement conomiques (OCDE).

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Document dit par le Bureau Conseil de la DCSSI

Version du 19 dcembre 2003

Une dmarche base sur l'analyse des risques SSI


Le guide propose une dmarche d'laboration de la PSSI dcompose en 4 phases : ! organisation du projet PSSI et constitution du rfrentiel, ! recueil des lments stratgiques, ! choix des principes et dclinaison en rgles adaptes au contexte (graduation des moyens), ! finalisation et validation de la PSSI et de son plan d'action. La ralisation pralable d'une analyse des risques SSI (pour cela, la DCSSI prconise la mthode EBIOS) facilite l'laboration d'une PSSI notamment pour : ! dterminer les lments stratgiques, ! choisir les principes dvelopper, ! guider llaboration des rgles, ! assurer la cohrence avec les objectifs de scurit identifis pour l'organisme.

10. exploitation, 11. aspects physiques et environnementaux, 12. identification / authentification, 13. contrle daccs logique, 14. journalisation, 15. infrastructures de gestion des cls cryptographiques, 16. signaux compromettants. Ces principes de scurit couvrent les normes ISO/IEC 13335, 15408 et 17799.

Les rfrences SSI


Les rfrences SSI du guide PSSI permettent de disposer de pistes de rflexion et de ne rien omettre quant aux volutions rcentes de la rglementation et des normes : ! les rglementations nationales et internationales (atteinte aux personnes, atteinte aux biens, atteinte aux intrts fondamentaux de la nation, terrorisme et atteinte la confiance publique, atteintes la proprit intellectuelle, cryptologie, signature lectronique), ! les lignes directrices de lOCDE (SSI, cryptographie), ! les codes dthique, ! les critres communs dvaluation (ISO/IEC 15408), ! les guides mthodologiques.

Organisation en projet PSSI


La dmarche du guide d'laboration de PSSI prvoit une organisation sous la forme dun vritable projet : ! un chef de projet dsign, ! des groupes de travail constitus, ! des ressources alloues, ! un calendrier fonction des tapes de la mthode, ! des livrables identifis (notes de cadrage et de stratgie, synthses des rgles et impacts, PSSI, plan daction). Cette organisation facilite llaboration, les validations et limplication des acteurs. Elle permet ainsi de trouver le meilleur compromis entre dcideurs, responsable SSI, MOA, MOE, utilisateurs, financiers, ressources humaines dans la gestion des risques SSI

Tous ces avantages font du guide PSSI l'outil indispensable pour laborer des politiques SSI.

Toutes les remarques et contributions peuvent tre adresses la DCSSI par courrier lectronique (conseil.dcssi@sgdn.pm.gouv.fr).

Un rfrentiel de principes de scurit


Le guide dcrit plus de 160 principes de scurit organiss en 16 domaines : 1. politique de scurit, 2. organisation de la scurit, 3. gestion des risques SSI, 4. scurit et cycle de vie, 5. assurance et certification, 6. aspects humains, 7. planification de la continuit des activits, 8. gestion des incidents, 9. sensibilisation et formation,
2003 SGDN / DCSSI. Tous droits rservs. Imprim en France.
51 boulevard de Latour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00