Scribd Logo
Importer

Bienvenue sur Scribd !

  • PSSI

    Transféré par

    Hdia Mouhamed Ali
    16 vues7 pages
    pssi

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    pssi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    16 vues7 pages

    PSSI

    Transféré par

    Hdia Mouhamed Ali
    pssi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 7

    CyberSecureToolz

    POLITIQUE DE SÉCURITÉ
    DES SYSTÈMES
    D’INFORMATION

    PSSI - V1
    SOMMAIRE
    1. Introduction
    1.1. Objectif de la PSSI
    1.2. Portée de la PSSI
    1.3. Besoins et attentes des parties intéressées
    1.4 Choix du Périmètre Pertinent
    1.5 Processus, Sites, Filiales
    1.6. Définitions et terminologie
    2. Gouvernance de la sécurité
    2.1. Rôles et responsabilités
    2.2. Formation et sensibilisation
    3. Classification et contrôle des actifs
    3.1. Classification des données
    3.2. Inventaire des actifs
    3.3. Propriété des actifs
    4. Gestion des accès
    4.1. Authentification et identification
    4.2. Contrôle d'accès (physique et logique)
    4.3. Gestion des droits d'accès
    4.4. Gestion des mots de passe
    5. Sécurité physique et environnementale
    5.1. Accès aux locaux
    5.2. Protection contre les événements
    5.3. Sécurité des équipements
    6. Gestion des incidents de sécurité
    6.1. Reporting des incidents
    6.2. Réponse aux incidents
    6.3. Revue post-incident
    7. Maintenance et mises à jour
    7.1. Patchs et mises à jour
    7.2. Maintenance préventive
    7.3. Tests de sécurité
    8. Continuité d'activité et reprise après sinistre
    8.1. Plan de continuité d'activité (PCA)
    8.2. Plan de reprise après sinistre (PRA)
    9. Relations avec les tiers
    9.1. Contrats et accords
    9.2. Accès tiers
    9.3. Sous-traitance et externalisation
    10. Conformité
    10.1. Respect des lois
    10.2. Audits et contrôles
    10.3. Gestion des violations
    11. Revue et mise à jour de la PSSI
    11.1. Fréquence de revue
    11.2. Procédure de mise à jour
    12. Annexes
    1. Introduction
    1.1. Objectif de la PSSI
    Établir une politique de sécurité des systèmes d'information pour CyberSecureToolz Corp
    afin de garantir la confidentialité, l'intégrité et la disponibilité des informations critiques, en
    alignement avec les meilleures pratiques de cybersécurité et la norme ISO/CEI
    27001:2022.

    1.2. Portée de la PSSI


    Cette politique s'applique à l'ensemble des activités de CyberSecureToolz, y compris le
    développement, la maintenance et la fourniture de solutions de cybersécurité en mode
    SaaS, ainsi qu'à toutes les filiales impliquées dans ces opérations.
    Enjeux Internes
    Infrastructure Technologique: Dépendance critique envers des solutions SaaS et un
    datacenter externalisé.
    Ressources Humaines: Sélection et gestion des talents, conformité au RGPD.
    Innovation continue: engagement envers l'agilité et l'évolutivité.
    Enjeux Externes
    Clientèle diversifiée: PME, institutions financières, hôpitaux, entités gouvernementales.
    Certification ISO 27001: Engagement envers la sécurité de l'information.

    1.3. Besoins et attentes des parties intéressées


    La diversité des parties prenantes implique une variété de besoins en matière de sécurité.
    La compréhension de ces exigences est cruciale pour adapter les solutions de
    cybersécurité. Ci-dessous un tableau qui décrit les exigences en matière de sécurité de
    l’information de chaque partie prenante :

    Partie Prenante Exigences

    Clients ● Confidentialité des données


    ● Disponibilité des services

    Actionnaires ● Retour sur investissement


    ● Transparence financière.

    Fournisseurs ● Sécurité des échanges d'informations.

    Partenaires ● Intégration sécurisée des solutions.

    Collaborateurs ● Respect de la vie privée, conditions de travail sécurisées.

    Autorités de tutelle ● Conformité aux réglementations, rapports de conformité.


    1.4. Choix du Périmètre Pertinent
    Inclusion: Toutes les unités d'affaires impliquées dans le développement, la maintenance
    et la fourniture des solutions SaaS.
    Exclusion: Activités non liées à la cybersécurité.

    1.5. Processus, Sites, Filiales


    Processus: Développement, maintenance, support client.
    Sites: Siège social, datacenter externalisé.
    Filiales: Toutes les filiales impliquées dans les opérations de cybersécurité.
    1.6. Définitions et terminologie
    Veuillez vous référer au glossaire fourni en annexe pour les définitions et la clarification
    des termes techniques utilisés dans ce document.

    2. Gouvernance de la sécurité
    2.1. Rôles et responsabilités
    Les rôles et responsabilités liés à la sécurité, tels que le RSSI, les administrateurs et les
    utilisateurs, sont définis dans un document distinct qui sera régulièrement mis à jour.

    2.2. Formation et sensibilisation


    Des programmes de formation et des campagnes de sensibilisation seront mis en place
    pour développer une culture de sécurité à tous les niveaux de l'entreprise.

    3. Classification et contrôle des actifs


    3.1. Classification des données
    Les données seront classifiées en fonction de leur sensibilité (public, interne, confidentiel)
    avec des contrôles appropriés pour chaque niveau.

    3.2. Inventaire des actifs


    Un système d'inventaire des actifs numériques sera maintenu pour assurer leur suivi et
    leur gestion efficaces.

    3.3. Propriété des actifs


    Les propriétaires d'actifs seront identifiés, et leurs responsabilités en matière de sécurité
    seront clairement définies.

    4. Gestion des accès


    4.1. Authentification et identification
    Les mécanismes d'authentification et d'identification seront mis en œuvre pour vérifier
    l'identité des utilisateurs et des systèmes.
    4.2. Contrôle d'accès (physique et logique)
    Les droits d'accès seront attribués et gérés conformément à des politiques établies pour
    assurer la sécurité des ressources.

    4.3. Gestion des droits d'accès


    Des procédures strictes seront en place pour attribuer, réviser et révoquer les droits
    d'accès de manière régulière.

    4.4. Gestion des mots de passe


    Les politiques de complexité, de durée de vie et de stockage des mots de passe seront
    définies pour renforcer la sécurité.

    5. Sécurité physique et environnementale


    5.1. Accès aux locaux
    Des contrôles tels que l'utilisation de cartes d'accès et la vidéosurveillance seront en place
    pour sécuriser l'accès physique aux infrastructures.

    5.2. Protection contre les événements


    Des mesures seront prises pour protéger contre les incendies, les inondations et autres
    événements susceptibles de compromettre la sécurité.

    5.3. Sécurité des équipements


    Des procédures seront mises en œuvre pour protéger les équipements critiques contre les
    dommages et les vols.

    6. Gestion des incidents de sécurité


    6.1. Reporting des incidents
    Une procédure claire de signalement des incidents de sécurité sera mise en place.

    6.2. Réponse aux incidents


    Des plans de réponse aux incidents seront élaborés pour contenir et résoudre rapidement
    les incidents de sécurité.

    6.3. Revue post-incident


    Des analyses post-incident seront effectuées pour prévenir la récurrence d'incidents
    similaires.

    7. Maintenance et mises à jour


    7.1. Patchs et mises à jour
    Une politique de mise à jour régulière des systèmes sera mise en œuvre pour corriger les
    vulnérabilités.

    7.2. Maintenance préventive


    Des mesures seront prises pour éviter les défaillances grâce à des activités de
    maintenance préventive.

    7.3. Tests de sécurité


    Des tests de sécurité réguliers, tels que des tests d'intrusion, seront effectués
    conformément à une planification définie.

    8. Continuité d'activité et reprise après sinistre


    8.1. Plan de continuité d'activité (PCA)
    Un plan détaillé de continuité d'activité sera élaboré pour garantir la continuité des
    opérations en cas de perturbations majeures.

    8.2. Plan de reprise après sinistre (PRA)


    Des plans seront établis pour restaurer les opérations après un incident majeur
    conformément à la norme ISO/CEI 27001:2022.

    9. Relations avec les tiers


    9.1. Contrats et accords
    Les exigences de sécurité seront intégrées dans les contrats avec des tiers en conformité
    avec les standards de cybersécurité.

    9.2. Accès tiers


    Des contrôles seront en place pour gérer l'accès des tiers aux systèmes de
    CyberSecureToolz.

    9.3. Sous-traitance et externalisation


    Des considérations de sécurité seront prises en compte lors de l'externalisation de
    certaines fonctions.

    10. Conformité
    10.1. Respect des lois
    Les obligations légales et réglementaires liées à la sécurité de l'information seront
    respectées.

    10.2. Audits et contrôles


    Des audits internes et externes seront réalisés régulièrement pour garantir la conformité.
    10.3. Gestion des violations
    Des procédures seront établies pour traiter les violations de sécurité et assurer la
    conformité.

    11. Revue et mise à jour de la PSSI


    11.1. Fréquence de revue
    La PSSI sera revue périodiquement selon une fréquence définie.

    11.2. Procédure de mise à jour


    Des procédures claires seront établies pour mettre à jour la PSSI en cas de modifications.

    12. Annexes
    Glossaire : Fournit des définitions pour les termes techniques.
    Modèles de documents : Inclut tout formulaire ou modèle lié à la PSSI, comme un
    formulaire de déclaration d'incident.

    Vous aimerez peut-être aussi