RetEx – Élaboration simple d’une PSSI

Giles Carré
RSSI INSA Toulouse
135, avenue de Rangueil
31077 Toulouse Cedex 04

Résumé
À la question « Avez-vous une PSSI ? », tout RSSI devrait pouvoir répondre : « Oui, bien sûr ! ».
Malheureusement, c’est loin d’être toujours le cas. En effet, de nombreux RSSI sont, comme l’auteur
de cet article, à temps très partiel sur la fonction (officiellement 10 % dans le cas présent). Dans cette
situation, l’activité de RSSI est essentiellement opérationnelle, rarement organisationnelle.
Mais comment élaborer une PSSI dans ces conditions d’exercice difficiles et par où commencer ? Les
méthodes — qui ne manquent pas — parlent de consultation, d’analyse de risque,
d’accompagnement, etc. Mais la tâche paraît immense lorsque l’on pense devoir partir de zéro.
En réalité, nous devons rarement partir de rien, car nous possédons tous des bases, formelles ou
implicites : lettre de mission, charte informatique, règlement intérieur, schéma directeur, gestion des
comptes informatiques, procédures, bonnes pratiques, etc. Certains de ces documents sont même
parfois validés en CA ou autre commission, et font donc déjà autorité. L’ensemble constitue — certes
imparfaitement — une PSSI de fait.
En agrégeant l’ensemble de ces documents et en les structurant correctement, il est ainsi possible
d’initialiser une première PSSI, implicitement validée. Il est alors beaucoup plus facile de parvenir,
en quelques mois, à une nouvelle PSSI, beaucoup plus complète et proche des guides tels que celui
de l’ANSSI 6.
Cet article tente de répondre à quelques questions de base et décrit les étapes de la construction. Il
ne constitue pas une méthode mais forme un simple retour d’expérience dans le contexte d’un
établissement de taille moyenne. Peut-être donnera-t’il quelques pistes à ceux encore éventuellement
bloqués au pied du mur.

Mots-clefs
SSI, PSSI, PSSIE, ANSSI…
1 Pourquoi élaborer une PSSI ?
Avant de se lancer dans l’élaboration d’une Politique de Sécurité des Systèmes d’Information (PSSI),
nous devons tout d’abord nous convaincre de son utilité.
Nos établissements publics ont l’obligation de disposer d’une Politique de Sécurité des Systèmes
d’Information (PSSI). Cette obligation est d’ailleurs rappelée dans la PSSI de l’État (PSSIE) 6, dans
les instructions de protection des systèmes d’information sensibles (Instruction Interministérielle (II)
901) 6, particulièrement en Zone à Régime Restrictif1 (ZRR), ou dans le Référentiel Général de
Sécurité (RGS) 6.
Mais ce n’est pas la seule raison, et la plus importante est très concrète. Benoît Moreau, Fonctionnaire
SSI (FSSI) du MESRI, dans son intervention sur la SSI aux JRES 2015, nous disait 6 :
« Les SI deviennent des e-colosses aux pieds d’argile subissant des coups répétés et des
incidents majeurs vont donc se produire. Il faut dès maintenant prévoir et organiser les

1
Une ZRR est un lieu à accès réglementé, qui relève de la Protection du Potentiel Scientifique et Technique (PPST) de la
Nation. Son système d’information est soumis à une classification de sensibilité définie dans l’II 901, dont le niveau
de sensibilité par défaut est le niveau Diffusion Restreinte (DR), extrêmement contraignant.
JRES 2021 – Marseille 1/6
 mesures adaptées afin d’augmenter la robustesse et d’assurer la résilience. […] Sans
PSSI, vous n’y arriverez pas ».

Clairement, nous devons considérer une PSSI, non pas comme une charge ou comme la réponse à
une énième obligation statutaire, mais comme un outil de travail sans lequel la réponse seulement
technique resterait inefficace.
2 Que mettre dans cette PSSI ?
Une recherche sur le web nous permet d’accéder à des PSSI publiées, qu’elles proviennent
d’établissements publics ou d’entreprises privées. Leur contenu est très varié. Nous trouvons :
— des PSSI « très juridiques », qui rappellent un peu les Conditions générales de Vente (CGV),
ces documents illisibles d’une vingtaine de pages que nous devons accepter lors d’un achat sur
Internet pour pouvoir passer à l’étape suivante. Leur rédaction a certainement été pilotée par des
juristes, probablement dans un but de protection de l’organisme, plus que dans un objectif
opérationnel.
— des PSSI très techniques qui dévoilent parfois un peu trop les mesures mises en œuvre ou
l’organisation interne de l’établissement.
— des documents de taille très variable, les plus longs d’entre eux faisant parfois penser à du
remplissage pour en imposer.
Ces remarques ne sont pas des critiques, juste des éléments à prendre en compte. Étant donné
l’inexistence de notre propre PSSI, il serait mal venu que nous nous moquions de ces travaux, qui
correspondent à des besoins précis et constituent des réponses propres à différents points de vue.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie un excellent guide
d’élaboration de Politiques de Sécurité des Systèmes d’Information 6, qui traite à la fois des contenus
et de la méthode d’élaboration et de révision d’une PSSI. Les éléments principaux en sont :
— la formulation des orientations stratégiques, qui reflètent la vision stratégique de la direction
de l’organisme en matière de SSI ; ces orientations sont nécessairement en cohérence avec la
stratégie du SI, qui peut être portée par un schéma directeur du SI et, selon le type d’alignement
stratégique du SI, par la politique de l’organisme ;
— une démarche basée sur l’analyse des risques ;
— un fonctionnement en mode projet.
Ce guide propose une démarche idéale, et il sera certainement intéressant de s’appuyer dessus. En
revanche la difficulté réside dans la capacité à dégager des ressources pour amorcer un tel projet,
même en faisant appel à un accompagnement externe.

2.1 Contenu
Notre objectif est d’amorcer une PSSI simple et de produire un document utile au quotidien pour la
conduite opérationnelle de la SSI dans notre établissement. Cette PSSI initiale formera ainsi la base
d’une PSSI plus élaborée qui se construira au fil du temps.
Il s’agit donc ici de « garder la main » sur les contenus pour obtenir une PSSI opérationnelle
directement applicable. Nous éviterons donc, dans cette PSSI initiale, tout élément non directement
utile.

JRES 2021 – Marseille 2/6

2.2 Destinataires

Comme l’indique le guide de l’ANSSI 6, la PSSI est un instrument de sensibilisation aux risques SSI.
Elle doit être largement diffusée auprès des usagers, des personnels et des partenaires.
Elle ne doit donc pas contenir d’éléments confidentiels ou permettant de faciliter des attaques. Une
règle pour faciliter le choix pourrait être de se référer au Traffic Light Protocol (TLP) 6 et de ne retenir
que des informations classées « WHITE », c’est-à-dire acceptables pour une diffusion non limitée. Si
nous voulons une diffusion large de la PSSI, donc hors de notre organisme, même le classement
« GREEN » est à exclure.
2.3 Forme
Nous ne devons pas craindre de faire court. La PSSI est un document évolutif, qui se construit par
étapes. Si nous n’avons pas de matière pour une rubrique, nous devons le noter pour une étape
ultérieure, mais nous devons éviter de tomber dans le piège du remplissage. Un remplissage serait
contre-productif car il conduirait à un document lourd et fastidieux à consulter., et surtout inutile.
Pour cette PSSI initiale, nous ferons donc court, et nous n’aurons pas peur des manques, car l’absence
de PSSI conforme à une méthode telle que celle préconisée par l’ANSSI ne signifie pas que nous ne
gérons pas notre SSI : nous appliquons bien l’état de l’art mais nous savons maintenant, comme le
disait Benoît Moreau 6, que, sans PSSI, ce sera insuffisant.

3 Quelles lignes directrices pour notre PSSI initiale ?

Toutes les bases viennent d’être posées.

Pour réussir notre PSSI initiale, nous devrons :
— en faire un document de travail quotidien ;
— rédiger un document lisible, concret et le plus court possible ;
— le destiner aux usagers, aux personnels et aux partenaires ;
— ne pas dévoiler d’éléments techniques ou organisationnels pouvant faciliter des attaques.

4 Comment élaborons-nous notre PSSI ?

Nous savons globalement où nous voulons aller. Il nous faut maintenant éviter la noyade devant la
quantité de travail à effectuer. De plus, si nous n’avons pas encore de PSSI, c’est bien que la démarche
idéale de construction n’a jamais été réalisable avec nos ressources internes.
Bien sûr, nous pourrions faire appel à un accompagnement externe mais, de notre point de vue, il
présenterait deux inconvénients majeurs, vu notre état initial :
— Nous l’avons déjà dit, nous voulons conserver la maîtrise du contenu et en faire un outil au
quotidien. Nous devons donc concevoir cette PSSI comme telle et, alors, conserver la maîtrise de
son élaboration. Clairement, pour cette PSSI initiale, il s’agira d’une politique directement
applicable, conçue par les informaticiens en charge de la sécurité du SI et à destination des usagers,
des personnels ou des partenaires.
— Il nous serait difficile de gérer, de par notre manque d’expérience dans le domaine d’une PSSI,
un accompagnement qui déroulerait une démarche parfaite mais qui ne nous correspondrait pas
nécessairement.

JRES 2021 – Marseille 3/6

4.1 PSSI première version
Ainsi que nous l’avons évoqué dans l’introduction, nous ne partons pas de rien.
Tout d’abord, comme beaucoup, nous disposons d’une SSI opérationnelle. Elle suit les règles de l’art
et nous constatons que nous n’avons jamais subi d’incident majeur visible. Nous pourrions alors
penser que nous sommes efficaces, mais cela est insuffisant (voir 6) :
— nous perdons énormément d’énergie à gérer cette SSI au quotidien ;
— nous ne pouvons pas garantir l’exhaustivité de notre protection.
Par contre, ce dont nous disposons déjà est très réel :
— le Schéma Directeur du SI (SDSI) 2011-2015, validé en CA d’établissement ;
—le Schéma Directeur du Numérique (SDN), qui va remplacer le SDSI, en cours de construction
via un accompagnement ;
— la certification ISO 9000 du processus Système d’Information ;
les relevés de décision des Conseils d’Administration du Centre des Services Numériques
—

(CSN) ;
— les relevés de décision des Comités d’Utilisateurs et d’Usagers des SI ;
— le cycle de vie des comptes informatiques, validé en CA d’établissement ;
— la Charte d’utilisation de l’informatique, validée en CA d’établissement ;
— le contrat de co-administration d’un poste de travail ;
— la lettre de mission du RSSI signée par la Direction ;
— la documentation écrite interne à la DSI ;
— la documentation écrite destinée aux usagers, personnels ou partenaires ;
— les procédures et pratiques, considérées comme acquises de fait.
Notre premier travail consiste à collecter l’ensemble de l’existant, d’en extraire ce qui concerne la
SSI et d’agréger le résultat en un document unique :
en ne retenant que ce qui touche à la SSI et présente un intérêt (objectifs, moyens, droits et
—

devoirs des usagers, des personnels, des membres du CSN, des partenaires, etc) ;
— en ne retenant que ce qui peut-être diffusé largement (« TLP White ») ;
— et, très important, pour chaque assertion, en conservant une référence vers sa source.
L’agrégation doit être organisée. Pour structurer le premier document produit, nous aurions pu utiliser
le découpage en 16 domaines regroupés en 3 sections, du référentiel de principes de sécurité proposé
dans le guide de l’ANSSI 6 :
— principes organisationnels ;
— principes de mise en œuvre ;
— principes techniques.

JRES 2021 – Marseille 4/6

Toutefois, dans un premier temps, nous avons choisi de structurer notre politique de sécurité initiale
selon les 13 grands chapitres de règles de la PSSIE 6 afin de répondre plus facilement à deux
objectifs :
— repérer les points sur lesquels nous ne sommes pas en conformité avec la PSSIE ;
— répondre plus à l’enquête annuelle de conformité.
La constitution du dossier est effectuée via plusieurs itérations :
— rédaction par le RSSI ;
— concertation avec l’équipe en charge de la SSI ;
— concertation avec l’ensemble du personnel du CSN ;
— concertation avec le Fonctionnaire Sécurité Défense (FSD).
Le document constituant la PSSI version 1.0 est ensuite proposé à la Direction :
— présentation de la démarche globale (PSSI initiale et évolutions) ;
— validation de principe de la démarche et de la première version ;
— prise en compte, pour la suite, des remarques.
Cette validation est obtenue pour la forme car cette PSSI 1.0 présente un état de fait et est
indiscutable ; c’est à ce titre que son approbation est demandée. C’est d’ailleurs pour cette raison que
tout ce qui y est exposé doit faire référence aux documents validés existants. De même, il convient
d’en exclure, avant la soumission, tous les sujets potentiellement polémiques (mieux vaut les
conserver pour une phase ultérieure), afin d’éviter un rejet car, dans ce cas, l’ensemble de la démarche
de simplicité serait remise en cause.
Enfin, il convient de soigner la communication aux différentes étapes (sollicitation des collègues,
sollicitation de la direction) :
— annoncer suffisamment à l’avance que l’on travaille sur l’élaboration d’une PSSI ;
— bien sensibiliser à l’intérêt de la PSSI ;
— expliquer les objectifs et la démarche par étapes ;
— bien montrer qu’il s’agit d’une démarche d’initiative locale, simple et à faible coût ;
bien choisir sa première cible pour la soumission à l’approbation (pour nous, le Di recteur
—

Général des Services).

Passées ces étapes, nous disposons alors d’un document officiel dont nous pouvons faire usage.
4.2 PSSI seconde version
Durant la constitution de la version 1.0 de la PSSI, des manques ont été repérés et des remarques ont
été formulées. Nous devons intégrer ces éléments dans la seconde version, la PSSI 1.1, ce qui
nécessite d’effectuer des arbitrages et des études techniques.
L’objectif de cette nouvelle étape est de produire une PSSI publiée. Nous devons donc la faire valider
par la Direction puis par le Conseil d’Administration de l’établissement.

JRES 2021 – Marseille 5/6

Au moment de l’écriture de cet article, nous en sommes à cette étape. Nous devrons probablement
attendre les conclusions du nouveau Schéma Directeur du Numérique avant de disposer d’un livrable
définitif.

4.3 Evolution
Nous avons élaboré la version 1 (1.0 et 1.1) de notre PSSI d’après notre historique et l’expertise de
l’ensemble des acteurs. Rien ne nous garantit toutefois que nous ne sommes pas passés à côté de
points importants 6.
Il sera donc souhaitable de mettre en place une démarche projet pour continuer à construire et faire
évoluer notre PSSI, en suivant une méthode plus formelle, telle que celle proposée par l’ANSSI 6.

5 En guise de conclusion

Nous voici désormais pourvus d’une PSSI. Mais nous n’oublions pas qu’il s’agit d’une PSSI initiale,
qu’il va falloir faire évoluer. Pour cela, nous pourrons suivre intégralement une méthode normalisée
(étude de risques, projet, etc) ou, pourquoi pas, faire appel à un accompagnement extérieur que nous
serons cette fois-ci plus à même de gérer.
Cette PSSI initiale nous permettra déjà d’affirmer la politique de sécurité et de nous positionner au
quotidien. Nous disposerons ainsi d’un guide respectueux des règles ; quant à l’esprit, nous ne
devrons pas oublier que la SSI n’est pas un objectif en soi mais bien un moyen de permettre à
l’établissement et à ses usagers d’exercer leurs missions dans les meilleures conditions possibles.

Bibliographie

[1] DCSSI. Guide d’élaboration de politiques de sécurité des systèmes d’information, 2004 ;
https://www.ssi.gouv.fr/administration/guide/pssi-guide-delaboration-de-politiques-de-securite-
des-systemes-dinformation/
[2] ANSSI. Politique de Sécurité des Systèmes d’Information de l’État (PSSIE) Version 1.0, 2014 ;
https://www.ssi.gouv.fr/administration/reglementation/protection-des-systemes-informations/la-
politique-de-securite-des-systemes-dinformation-de-letat-pssie/
[3] SGDSN. Instruction Interministérielle Relative à la Protection des Systèmes d’Information
Sensibles, II 901, 2015 ; https://www.ssi.gouv.fr/actualite/instruction-interministerielle-
n901sgdsnanssi-une-nouvelle-etape-dans-la-protection-des-systemes-dinformation-sensibles/
[4] ANSSI / SGMAP. Référentiel Général de Sécurité (RGS), 2010 ;
https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-
general-de-securite-rgs/
[5] Moreau Benoît. La SSI, 10 ans après, 2015 ; https://replay.jres.org/videos/watch/47a3df15-
b7dd-4aaa-87fd-3447ef95a316
[6] Wikipedia. Traffic Light Protocol (TLP) ; https://en.wikipedia.org/wiki/Traffic_Light_Protocol

JRES 2021 – Marseille 6/6