Académique Documents
Professionnel Documents
Culture Documents
Bureau conseil
MMENTO
Introduction
Ds 1992, les lignes directrices1 de l'OCDE insistaient sur la ncessit d'un cadre gnral pour la scurit des systmes d'information (SSI). En effet, ce cadre permet de promouvoir la coopration entre diffrentes organisations en terme de scurit, d'amliorer la sensibilisation aux risques SSI et de renforcer la confiance envers le systme d'information. C'est la raison pour laquelle le guide pour l'laboration d'une Politique de Scurit Interne (PSI)2 a t cr et publi par le SCSSI3 en 1994. Il prsentait les fondements de la politique de scurit interne, des principes de scurit organiss par domaines et des rfrences rglementaires et documentaires. Il permettait ainsi de justifier l'laboration de politiques de scurit et d'aider le responsable SSI rflchir sur lensemble des thmes aborder. Le guide PSI a rencontr un grand succs dans le secteur public et priv en tant que guide de rfrence (il est en effet parmi les 7 documents les plus tlchargs sur le site Internet de la DCSSI depuis 1999). En 2002, le Conseil de l'OCDE a adopt une nouvelle version des "lignes directrices rgissant la scurit des systmes et rseaux d'information vers une culture de la scurit"4 afin de prendre en compte les volutions du contexte de la SSI : l'accroissement de l'interconnexion des rseaux et l'volution des donnes en terme de type, volume, sensibilit, ainsi que les nouveaux enjeux lis par exemple aux projets gouvernementaux et de commerce lectronique. Les nouvelles lignes directrices introduisent les notions de "culture de scurit" et de processus continu de gestion des risques SSI. Les nouvelles lignes directrices de lOCDE dcrivent les neuf principes issus de la recommandation5 adopte le 25 juillet 2002 : 1. Sensibilisation 2. Responsabilit 3. Raction 4. thique 5. Dmocratie 6. valuation des risques 7. Conception et mise en uvre de la scurit 8. Gestion de la scurit 9. Rvaluation
1
Recommandation du Conseil et annexe (lignes directrices rgissant la scurit des systmes d'information), 26 novembre 1992, Organisation de Coopration et de Dveloppement conomiques (OCDE). 2 Guide pour l'laboration d'une Politique de Scurit Interne (PSI) l'usage du responsable de la scurit du systme d'information, version 1.1, 15 septembre 1994, Service Central de la Scurit des Systmes d'Information (SCSSI). 3 Hritire du Service central de la scurit des systmes d'information (SCSSI), la Direction centrale de la scurit des systmes d'information (DCSSI) a t institue par dcret (dcret n2001-693 du 31 juillet 2001 crant au Secrtariat gnral de la dfense nationale une direction centrale de la scurit des systmes d'information). 4 Lignes directrices de l'OCDE rgissant la scurit des systmes et rseaux d'information vers une culture de la scurit, 29 juillet 2002, Organisation de Coopration et de Dveloppement conomiques (OCDE). 5 http://www.oecd.org/pdf/M00033000/M00033183.pdf
Page 2 sur 7
Afin de maintenir la cohrence avec ces lignes directrices, la DCSSI a mis jour le guide PSI de 1994, qui est devenu le guide d'laboration de Politiques de Scurit des Systmes d'Information (PSSI) en 2003. La rvision a consist : ! dvelopper l'approche mthodologique d'laboration de PSSI, ! rorganiser et enrichir les principes de scurit, ! tendre le champ d'application de la PSSI (politique globale dcline en politiques spcifiques), ! mettre jour les rfrences. Un mmento prsente ces principes (http://www.ssi.gouv.fr/OCDE-lignesdir.pdf). sur le site web de la DCSSI
Page 3 sur 7
Un facteur d'conomie
Une PSSI globale peut tre dcline en PSSI techniques par application ou mtier, en procdures mettre en uvre et en chartes de scurit. Elle servira aussi de base la factorisation des tudes de scurit portant sur le mme primtre que la PSSI afin de garantir une cohrence globale. La PSSI permet ainsi de raliser des conomies pour tous les travaux relatifs la SSI puisque son contenu peut tre rutilis par les matrises d'ouvrage et les matrises d'uvre en y ajoutant les effets dune mutualisation des mcanismes mis en place. titre d'exemple, les analyses de risques intgreront les lments stratgiques de la PSSI et les rgles de scurit devant tre respectes. Le rfrentiel des audits sera galement labor partir de la PSSI afin de vrifier la conformit de celle-ci vis--vis de la ralit.
Un instrument de sensibilisation
Aprs validation, la PSSI doit tre largement communique l'ensemble des acteurs du SI, qu'ils soient utilisateurs internes, sous-traitants, prestataires ou stagiaires. La PSSI constitue alors un vritable outil de sensibilisation aux risques SSI, aux moyens disponibles pour s'en prmunir et l'organisation SSI. Par ailleurs, elle aide l'ensemble des acteurs prendre conscience de leurs responsabilits et participe l'amlioration de la culture de scurit.
Un document volutif
La PSSI doit tre rgulirement rvise afin de prendre en compte les volutions du contexte (modifications des processus, du systme d'information, des personnels, de l'organisation) et des risques (rvaluation de la menace, variation des besoins de scurit, des contraintes et des enjeux). Cette adaptation peut tre faite systmatiquement ou bien dclenche par une volution majeure du contexte ou la survenance dune agression et des leons que lon peut en tirer.
Page 4 sur 7
3 - La mthodologie
L'laboration d'une PSSI requiert une approche globale, considrant non seulement les domaines techniques tels que la scurit logique, la scurit des matriels informatiques et la scurit des rseaux, mais aussi les domaines non techniques tels que la scurit physique, la scurit lie aux aspects humains et la scurit organisationnelle. Les rgles de scurit seront alors ralistes et cohrentes pour un primtre gnralement large et un champ d'application tendu. Conduire un projet PSSI, cest avant tout faire natre ou renforcer une culture de scurit. C'est par la dmarche propose dans le guide que les quipes en charge de la rdaction dune PSSI assureront la cohrence des objectifs de scurit de lorganisme et contribueront la sensibilisation et limplication des personnels. Le guide propose en outre un plan type pour les PSSI, ce qui amliore l'homognit des PSSI en interne (PSSI globale et PSSI spcifiques) et en externe (comparaisons avec dautres organismes), garantissant l'exhaustivit du contenu (lments stratgiques, rgles de scurit organises par domaine). La dmarche d'laboration de PSSI de la DCSSI est dcompose en quatre phases successives :
Rfrentiel de lorganisme
Synthsedes des Synthse rglesde descurit scurit rgles Synthsedes des Synthse impacts impacts PSSI PSSI
Phase2 2::slection slectiondes des Phase principes et rdaction desrgles rgles principes et rdaction des
Validation
Page 5 sur 7
Document dit par le bureau conseil de la DCSSI ! La phase 0 est un pralable la dmarche d'laboration. Elle consiste organiser le projet PSSI (chef de projet, comit de pilotage, calendrier, disponibilit d'un budget et d'objectifs de scurit) et constituer le rfrentiel (du systme d'information, de la SSI, des aspects dontologique et contractuels). Une note de cadrage formalise les informations ncessaires pour cette phase. ! La phase 1 permet de recueillir l'ensemble des lments stratgiques ncessaires la rdaction dune note de stratgie de scurit qui servira de base l'laboration de la PSSI et toute autre tude de scurit. Ces lments stratgiques forment le primtre que doit couvrir la PSSI. Ils sont constitus des enjeux et des orientations stratgiques en matire de SSI, de la prise en compte des aspects lgaux et rglementaires, de llaboration d'une chelle de besoins, de lexpression des besoins de scurit gnraux, de lidentification des lments menaants et de leurs mthodes d'attaque. ! La phase 2 consiste choisir les principes de scurit prendre en compte dans le rfrentiel du guide et les dcliner en rgles de scurit sur la base des lments stratgiques. Des synthses des rgles de scurit (adresse au comit de pilotage) et des impacts organisationnels et financiers (adresss la Direction gnrale) doivent tre rdiges. ! La phase 3 permet de finaliser et de valider la PSSI ainsi que son plan d'action.
Page 6 sur 7
Conclusion
Le nouveau guide PSSI est disponible gratuitement sur le site web de la DCSSI (http://www.ssi.gouv.fr). Les principales amliorations ont consist mettre jour les rfrences et les principes de scurit, tendre le domaine d'application de la PSSI et dvelopper une vritable dmarche dlaboration de PSSI. Elles font du guide PSSI un outil mthodologique indispensable dans le cadre de la gestion de la SSI au sein de ltat et des entreprises.
Page 7 sur 7