Vous êtes sur la page 1sur 2

Le guide PSSI

PREMIER MINISTRE
Élaboration de politiques de
Secrétariat général de la défense nationale
sécurité des systèmes
Direction centrale
de la sécurité des systèmes d’information
d'information

Le guide PSSI constitue la référence nationale Le socle de la SSI


pour la rédaction des politiques de sécurité des
systèmes d'information. La PSSI constitue le principal document de
référence en matière de SSI. Elle en est un
Il est largement utilisé au sein des élément fondateur, au même titre qu'un
administrations et du secteur privé. Sa schéma directeur, qui lui, définit les objectifs à
diffusion est gratuite sur le site de la DCSSI atteindre et les moyens accordés pour y
(http://www.ssi.gouv.fr). parvenir.

Les principes fondateurs Ces documents sont établis en fonction de la


culture et du référentiel existant.
En 2002, le Conseil de l'OCDE a adopté une
nouvelle version des "lignes directrices Les orientations stratégiques
régissant la sécurité des systèmes et réseaux
d'information – vers une culture de la Une PSSI reflète la vision stratégique de la
1
sécurité" . direction de l’organisme (PME, PMI, industrie,
administration…) en matière de SSI. Elle
Elles insistent sur la nécessité d'un cadre traduit la reconnaissance officielle de
général pour la sécurité des systèmes l'importance accordée par la direction à la SSI.
d'information (SSI).
Elle informe la maîtrise d’ouvrage et la maîtrise
Elles prennent en compte les évolutions du d'œuvre des enjeux, des choix en terme de
contexte de la SSI tels que l'accroissement de gestion des risques et suscite la confiance des
l'interconnexion des réseaux et l'évolution des utilisateurs et partenaires.
données en terme de type, volume, sensibilité,
ainsi que les nouveaux enjeux liés par Un facteur d'économie
exemple aux projets gouvernementaux et de
commerce électronique. D'une PSSI globale, il est possible de décliner
des PSSI techniques par métier, activités ou
Elles introduisent les notions de "culture de systèmes. Elle servira également de base de
sécurité" et de continuité de la gestion des cohérence entre ces PSSI et entre toutes les
risques SSI. études SSI.

Ces nouvelles lignes directrices décrivent les Un instrument de sensibilisation et


neuf principes suivants, à l'origine du guide de communication
PSSI :
1. Sensibilisation Après validation, la PSSI doit être diffusée à
2. Responsabilité l'ensemble des acteurs du SI (utilisateurs,
3. Réaction sous-traitants, prestataires…). Elle constitue
4. Éthique alors un véritable outil de communication sur
5. Démocratie l'organisation et les responsabilités SSI, les
6. Évaluation des risques risques SSI et les moyens disponibles pour
7. Conception et mise en œuvre de la s'en prémunir.
sécurité
8. Gestion de la sécurité Un document évolutif
9. Réévaluation
La PSSI est un document vivant qui doit
évoluer afin de prendre en compte les
transformations du contexte de l'organisme
(changement d'organisation, de missions...) et
1
Lignes directrices de l'OCDE régissant la sécurité des des risques (réévaluation de la menace,
systèmes et réseaux d'information – vers une culture de la variation des besoins de sécurité, des
sécurité, 29 juillet 2002, Organisation de Coopération et de contraintes et des enjeux).
Développement Économiques (OCDE).

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tél 01 71 75 84 15 - Fax 01 71 75 84 00


Document édité par le Bureau Conseil de la DCSSI Version du 19 décembre 2003

Une démarche basée sur l'analyse 10. exploitation,


11. aspects physiques et
des risques SSI environnementaux,
Le guide propose une démarche d'élaboration 12. identification / authentification,
de la PSSI décomposée en 4 phases : 13. contrôle d’accès logique,
! organisation du projet PSSI et 14. journalisation,
constitution du référentiel, 15. infrastructures de gestion des clés
! recueil des éléments stratégiques, cryptographiques,
! choix des principes et déclinaison en 16. signaux compromettants.
règles adaptées au contexte
(graduation des moyens), Ces principes de sécurité couvrent les normes
! finalisation et validation de la PSSI et ISO/IEC 13335, 15408 et 17799.
de son plan d'action.
Les références SSI
La réalisation préalable d'une analyse des
risques SSI (pour cela, la DCSSI préconise la Les références SSI du guide PSSI permettent
méthode EBIOS) facilite l'élaboration d'une de disposer de pistes de réflexion et de ne rien
PSSI notamment pour : omettre quant aux évolutions récentes de la
! déterminer les éléments stratégiques, réglementation et des normes :
! choisir les principes à développer, ! les réglementations nationales et
! guider l’élaboration des règles, internationales (atteinte aux
! assurer la cohérence avec les objectifs personnes, atteinte aux biens, atteinte
de sécurité identifiés pour l'organisme. aux intérêts fondamentaux de la
nation, terrorisme et atteinte à la
confiance publique, atteintes à la
Organisation en projet PSSI propriété intellectuelle, cryptologie,
La démarche du guide d'élaboration de PSSI signature électronique…),
prévoit une organisation sous la forme d’un ! les lignes directrices de l’OCDE (SSI,
véritable projet : cryptographie…),
! un chef de projet désigné, ! les codes d’éthique,
! des groupes de travail constitués, ! les critères communs d’évaluation
! des ressources allouées, (ISO/IEC 15408),
! un calendrier fonction des étapes de la ! les guides méthodologiques.
méthode,
! des livrables identifiés (notes de
cadrage et de stratégie, synthèses des Tous ces avantages font du guide PSSI
règles et impacts, PSSI, plan d’action). l'outil indispensable pour élaborer des
politiques SSI.
Cette organisation facilite l’élaboration, les
validations et l’implication des acteurs. Elle
permet ainsi de trouver le meilleur compromis Toutes les remarques et contributions peuvent
entre décideurs, responsable SSI, MOA, MOE, être adressées à la DCSSI par courrier
utilisateurs, financiers, ressources humaines électronique (conseil.dcssi@sgdn.pm.gouv.fr).
dans la gestion des risques SSI…

Un référentiel de principes de
sécurité
Le guide décrit plus de 160 principes de
sécurité organisés en 16 domaines :
1. politique de sécurité,
2. organisation de la sécurité,
3. gestion des risques SSI,
4. sécurité et cycle de vie,
5. assurance et certification,
6. aspects humains,
7. planification de la continuité des
activités,
8. gestion des incidents,
9. sensibilisation et formation,

© 2003 SGDN / DCSSI. Tous droits réservés. Imprimé en France.

51 boulevard de Latour-Maubourg - 75700 PARIS 07 SP - Tél 01 71 75 84 15 - Fax 01 71 75 84 00