PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

laboration de politiques de scurit des systmes d'information PSSI

MMENTO

Version du 3 mars 2004

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Document dit par le bureau conseil de la DCSSI

Introduction
Ds 1992, les lignes directrices1 de l'OCDE insistaient sur la ncessit d'un cadre gnral pour la scurit des systmes d'information (SSI). En effet, ce cadre permet de promouvoir la coopration entre diffrentes organisations en terme de scurit, d'amliorer la sensibilisation aux risques SSI et de renforcer la confiance envers le systme d'information. C'est la raison pour laquelle le guide pour l'laboration d'une Politique de Scurit Interne (PSI)2 a t cr et publi par le SCSSI3 en 1994. Il prsentait les fondements de la politique de scurit interne, des principes de scurit organiss par domaines et des rfrences rglementaires et documentaires. Il permettait ainsi de justifier l'laboration de politiques de scurit et d'aider le responsable SSI rflchir sur lensemble des thmes aborder. Le guide PSI a rencontr un grand succs dans le secteur public et priv en tant que guide de rfrence (il est en effet parmi les 7 documents les plus tlchargs sur le site Internet de la DCSSI depuis 1999). En 2002, le Conseil de l'OCDE a adopt une nouvelle version des "lignes directrices rgissant la scurit des systmes et rseaux d'information vers une culture de la scurit"4 afin de prendre en compte les volutions du contexte de la SSI : l'accroissement de l'interconnexion des rseaux et l'volution des donnes en terme de type, volume, sensibilit, ainsi que les nouveaux enjeux lis par exemple aux projets gouvernementaux et de commerce lectronique. Les nouvelles lignes directrices introduisent les notions de "culture de scurit" et de processus continu de gestion des risques SSI. Les nouvelles lignes directrices de lOCDE dcrivent les neuf principes issus de la recommandation5 adopte le 25 juillet 2002 : 1. Sensibilisation 2. Responsabilit 3. Raction 4. thique 5. Dmocratie 6. valuation des risques 7. Conception et mise en uvre de la scurit 8. Gestion de la scurit 9. Rvaluation
1

Recommandation du Conseil et annexe (lignes directrices rgissant la scurit des systmes d'information), 26 novembre 1992, Organisation de Coopration et de Dveloppement conomiques (OCDE). 2 Guide pour l'laboration d'une Politique de Scurit Interne (PSI) l'usage du responsable de la scurit du systme d'information, version 1.1, 15 septembre 1994, Service Central de la Scurit des Systmes d'Information (SCSSI). 3 Hritire du Service central de la scurit des systmes d'information (SCSSI), la Direction centrale de la scurit des systmes d'information (DCSSI) a t institue par dcret (dcret n2001-693 du 31 juillet 2001 crant au Secrtariat gnral de la dfense nationale une direction centrale de la scurit des systmes d'information). 4 Lignes directrices de l'OCDE rgissant la scurit des systmes et rseaux d'information vers une culture de la scurit, 29 juillet 2002, Organisation de Coopration et de Dveloppement conomiques (OCDE). 5 http://www.oecd.org/pdf/M00033000/M00033183.pdf

Page 2 sur 7

Document dit par le bureau conseil de la DCSSI

Afin de maintenir la cohrence avec ces lignes directrices, la DCSSI a mis jour le guide PSI de 1994, qui est devenu le guide d'laboration de Politiques de Scurit des Systmes d'Information (PSSI) en 2003. La rvision a consist : ! dvelopper l'approche mthodologique d'laboration de PSSI, ! rorganiser et enrichir les principes de scurit, ! tendre le champ d'application de la PSSI (politique globale dcline en politiques spcifiques), ! mettre jour les rfrences. Un mmento prsente ces principes (http://www.ssi.gouv.fr/OCDE-lignesdir.pdf). sur le site web de la DCSSI

Qu'est-ce qu'une PSSI ?

La formulation des orientations stratgiques
La Politique de Scurit des Systmes d'Information (PSSI) reflte la vision stratgique de la direction de lorganisme (PME, PMI, industrie, administration) en matire de scurit des systmes d'information (SSI) et de gestion de risques SSI. Elle dcrit en effet les lments stratgiques (enjeux, rfrentiel, principaux besoins de scurit et menaces) et les rgles de scurit applicables la protection du systme d'information de l'organisme. La validation de la PSSI par la direction traduit la reconnaissance officielle accorde la scurit de son systme d'information. La PSSI vise informer la matrise douvrage et la matrise d'uvre des enjeux tout en l'clairant sur ses choix en terme de gestion des risques et susciter la confiance des utilisateurs et partenaires envers le systme d'information.

Un socle fondateur de la SSI

D'une manire gnrale, il convient de disposer d'un socle fondateur de la SSI pour l'organisme. Celui-ci sera tabli en fonction de sa culture et du rfrentiel existant. La PSSI constitue l'un de ces documents fondateurs et un lment de la culture de scurit. La PSSI sinscrit dans le systme de management de l'organisme, donc de la scurit des informations et processus, puis enfin de la SSI. Elle constitue en effet le premier document formaliser dans l'tape de planification et sera suivie des tapes de mise en uvre, de vrification et d'amlioration du systme de management de la SSI. Dans le cas o il existe un schma directeur du systme d'information comportant un volet SSI ou un schma directeur SSI, le rle de la PSSI est de le traduire en rgles de scurit applicables et de contrler que le schma directeur SSI est conforme avec les objectifs et contraintes de lorganisme. La PSSI peut aussi servir de base l'laboration d'un volet SSI du schma directeur du systme d'information ou bien d'un schma directeur SSI, dcrivant alors comment devront tre mises en uvre les rgles de scurit.

Page 3 sur 7

Document dit par le bureau conseil de la DCSSI

Un facteur d'conomie
Une PSSI globale peut tre dcline en PSSI techniques par application ou mtier, en procdures mettre en uvre et en chartes de scurit. Elle servira aussi de base la factorisation des tudes de scurit portant sur le mme primtre que la PSSI afin de garantir une cohrence globale. La PSSI permet ainsi de raliser des conomies pour tous les travaux relatifs la SSI puisque son contenu peut tre rutilis par les matrises d'ouvrage et les matrises d'uvre en y ajoutant les effets dune mutualisation des mcanismes mis en place. titre d'exemple, les analyses de risques intgreront les lments stratgiques de la PSSI et les rgles de scurit devant tre respectes. Le rfrentiel des audits sera galement labor partir de la PSSI afin de vrifier la conformit de celle-ci vis--vis de la ralit.

Un instrument de sensibilisation
Aprs validation, la PSSI doit tre largement communique l'ensemble des acteurs du SI, qu'ils soient utilisateurs internes, sous-traitants, prestataires ou stagiaires. La PSSI constitue alors un vritable outil de sensibilisation aux risques SSI, aux moyens disponibles pour s'en prmunir et l'organisation SSI. Par ailleurs, elle aide l'ensemble des acteurs prendre conscience de leurs responsabilits et participe l'amlioration de la culture de scurit.

Un document volutif
La PSSI doit tre rgulirement rvise afin de prendre en compte les volutions du contexte (modifications des processus, du systme d'information, des personnels, de l'organisation) et des risques (rvaluation de la menace, variation des besoins de scurit, des contraintes et des enjeux). Cette adaptation peut tre faite systmatiquement ou bien dclenche par une volution majeure du contexte ou la survenance dune agression et des leons que lon peut en tirer.

Les 5 atouts du guide PSSI

1 - Une dmarche base sur l'analyse des risques
La ralisation pralable d'une analyse des risques SSI (par exemple laide la mthode EBIOS) facilite l'laboration d'une PSSI. Elle a pour effet de dterminer plus facilement les lments stratgiques, de dterminer les critres de slection des principes de scurit dvelopper et de guider llaboration des rgles de scurit. Les principes de scurit sont lexpression des orientations de scurit ncessaires et des caractristiques importantes de la scurit. Ils constituent une base de rflexion pour llaboration dune politique et en particulier des rgles de scurit la composant. Les rgles de scurit dfinissent des exigences de scurit pour la mise en place des moyens techniques et organisationnels, et sur les comportements par dclinaison des principes retenus. Elles sont construites par dclinaison des principes dans un environnement et un contexte donns. La cohrence avec les objectifs de scurit identifis pour l'organisme est ainsi assure.

Page 4 sur 7

Document dit par le bureau conseil de la DCSSI

2 - Organisation en projet PSSI

La dmarche du guide d'laboration de PSSI prvoit une organisation sous la forme dun vritable projet : ! un chef de projet est dsign, ! des groupes de travail sont constitus (utilisation, technique, pilotage, exploitation), ! des ressources sont alloues (budget, hommes), ! un calendrier est conu en fonction des tapes de la mthode (pralables, laboration des lments stratgiques, slection des principes et rdaction des rgles, finalisation), ! des livrables sont identifis (note de cadrage, note de stratgie, synthse des rgles de scurit, synthse des impacts, PSSI, plan daction). Cette organisation facilite llaboration, les validations et limplication des acteurs. Elle permet aussi douvrir les discussions afin de trouver un compromis entre dcideurs, RSSI, matrises d'ouvrage, matrises d'uvre, utilisateurs, financiers, ressources humaines

3 - La mthodologie
L'laboration d'une PSSI requiert une approche globale, considrant non seulement les domaines techniques tels que la scurit logique, la scurit des matriels informatiques et la scurit des rseaux, mais aussi les domaines non techniques tels que la scurit physique, la scurit lie aux aspects humains et la scurit organisationnelle. Les rgles de scurit seront alors ralistes et cohrentes pour un primtre gnralement large et un champ d'application tendu. Conduire un projet PSSI, cest avant tout faire natre ou renforcer une culture de scurit. C'est par la dmarche propose dans le guide que les quipes en charge de la rdaction dune PSSI assureront la cohrence des objectifs de scurit de lorganisme et contribueront la sensibilisation et limplication des personnels. Le guide propose en outre un plan type pour les PSSI, ce qui amliore l'homognit des PSSI en interne (PSSI globale et PSSI spcifiques) et en externe (comparaisons avec dautres organismes), garantissant l'exhaustivit du contenu (lments stratgiques, rgles de scurit organises par domaine). La dmarche d'laboration de PSSI de la DCSSI est dcompose en quatre phases successives :
Rfrentiel de lorganisme

Phase0 0::pralables pralables Phase

Validation

Notede decadrage cadrage Note

Rsultats dune analyse des risques SSI

Phase1 1::laboration laborationdes des Phase lmentsstratgiques stratgiques lments

Validation

Notestratgique stratgique Note

Synthsedes des Synthse rglesde descurit scurit rgles Synthsedes des Synthse impacts impacts PSSI PSSI

Phase2 2::slection slectiondes des Phase principes et rdaction desrgles rgles principes et rdaction des
Validation

Phase3 3::finalisation finalisation Phase

Validation Plandaction daction Plan

Page 5 sur 7

Document dit par le bureau conseil de la DCSSI ! La phase 0 est un pralable la dmarche d'laboration. Elle consiste organiser le projet PSSI (chef de projet, comit de pilotage, calendrier, disponibilit d'un budget et d'objectifs de scurit) et constituer le rfrentiel (du systme d'information, de la SSI, des aspects dontologique et contractuels). Une note de cadrage formalise les informations ncessaires pour cette phase. ! La phase 1 permet de recueillir l'ensemble des lments stratgiques ncessaires la rdaction dune note de stratgie de scurit qui servira de base l'laboration de la PSSI et toute autre tude de scurit. Ces lments stratgiques forment le primtre que doit couvrir la PSSI. Ils sont constitus des enjeux et des orientations stratgiques en matire de SSI, de la prise en compte des aspects lgaux et rglementaires, de llaboration d'une chelle de besoins, de lexpression des besoins de scurit gnraux, de lidentification des lments menaants et de leurs mthodes d'attaque. ! La phase 2 consiste choisir les principes de scurit prendre en compte dans le rfrentiel du guide et les dcliner en rgles de scurit sur la base des lments stratgiques. Des synthses des rgles de scurit (adresse au comit de pilotage) et des impacts organisationnels et financiers (adresss la Direction gnrale) doivent tre rdiges. ! La phase 3 permet de finaliser et de valider la PSSI ainsi que son plan d'action.

4 - Le rfrentiel de principes de scurit

Le guide dcrit plus de 160 principes de scurit organiss en 16 domaines : ! principes organisationnels : 1. politique de scurit, 2. organisation de la scurit, 3. gestion des risques SSI, 4. scurit et cycle de vie, 5. assurance et certification ; ! principes de mise en uvre : 6. aspects humains, 7. planification de la continuit des activits, 8. gestion des incidents, 9. sensibilisation et formation, 10. exploitation, 11. aspects physiques et environnementaux ; ! principes techniques : 12. identification / authentification, 13. contrle daccs logique, 14. journalisation, 15. infrastructures de gestion des cls cryptographiques, 16. signaux compromettants. Ces principes de scurit permettent de couvrir lensemble des sections de lISO/IEC 13335 (GMITS), ainsi que lensemble des domaines de lISO/IEC 17799 et dassurer la compatibilit avec lISO/IEC 15408 (critres communs dvaluation). La dmarche permet de dcliner les principes en rgles de scurit cohrentes et adaptes au contexte (graduation des moyens).

Page 6 sur 7

Document dit par le bureau conseil de la DCSSI

5 - Les rfrences SSI

Les rfrences SSI du guide d'laboration de PSSI permettent de disposer de pistes de rflexion et de ne rien omettre quant aux volutions rcentes de la rglementation et des normes : ! rglementation nationale et internationale (atteinte aux personnes, atteinte aux biens, atteinte aux intrts fondamentaux de la nation, terrorisme et atteinte la confiance publique, atteintes la proprit intellectuelle, cryptologie, signature lectronique), ! lignes directrices de lOCDE, ! code dthique, ! critres communs dvaluation, ! guides mthodologiques. Ces pistes de rflexion pourront tre mises jour indpendamment de la mthodologie, ce qui offre la possibilit de suivre lactualit et d'amliorer ainsi la couverture.

Conclusion
Le nouveau guide PSSI est disponible gratuitement sur le site web de la DCSSI (http://www.ssi.gouv.fr). Les principales amliorations ont consist mettre jour les rfrences et les principes de scurit, tendre le domaine d'application de la PSSI et dvelopper une vritable dmarche dlaboration de PSSI. Elles font du guide PSSI un outil mthodologique indispensable dans le cadre de la gestion de la SSI au sein de ltat et des entreprises.

Page 7 sur 7