15 décembre 2014

Petit rappel du rôle d’une PSSI :

La PSSI constitue un document de référence de sécurité du système d’information (SSI).

Celle-ci est là pour définir les objectifs à atteindre, les acteurs associés ainsi que les moyens accordés pour parvenir aux cibles.

L’autre but de la PSSI est de définir et expliquer la vision stratégique de la DSI en termes de sécurité du SI. Elle informe l’ensemble des acteurs des enjeux, des choix face à la gestion des risques.

Pour résumer, la PSSI doit répondre aux questions suivantes :

–          Pourquoi doit-on protéger ces points :

  • Enjeux stratégiques ;
  • Aspects réglementaires ;
  • Evolution des menaces ;

–          Que doit-on protéger :

  • Eléments de l’infrastructure ;
  • Echelle des besoins ;

–          Qui protège :

  • Organisation mise en place ;
  • Matrices RACI de gestion de la SSI ;

–          Quand protéger :

  • Cycle de vie du SI ;
  • Réévaluation de la SSI ;

Comment mettre en place une PSSI et quels sont les grands jalons ?

 

La mise en place d’une PSSI doit être menée sous la forme d’un projet PSSI et la démarche à adopter consiste à établir un référentiel de l’organisme croisée avec une analyse des risques SSI.

Le référentiel SSI de l’organisme (schéma directeur, meilleures pratiques, directives internes…) et une analyse des risques préalables fournissent en effet les éléments permettant d’effectuer et de justifier les choix, de légitimer l’action et de garantir la cohérence avec le contexte.

L’objectif de la méthode consiste à construire un document de politique comprenant des éléments stratégiques et des règles de sécurité pour notre système d’information.

La validation successive des différentes phases vise à faciliter l’implication de la DSI et l’adhésion de tous les intervenants.

Le phasing projet se découpe alors logiquement en 5 grandes phases :

–          Phase 0 : Préalables

  • Tâche 1 : organisation projet ;
  • Tâche 2 : constitution du référentiel de l’organisme ;

–          Phase 1 : Elaboration des éléments stratégiques

  • Tâche 1 : définition du périmètre de la PSSI ;
  • Tâche 2 : détermination des enjeux et orientations stratégiques ;
  • Tâche 3 : prise en compte des aspects légaux et réglementaires ;
  • Tâche 4 : élaboration d’une échelle de besoins ;
  • Tâche 5 : expression des besoins de sécurité ;
  • Tâche 6 : identification des origines des menaces ;

–          Phase 2 : Sélection des principes et rédaction des règles

  • Tâche 1 : choix des principes de sécurité ;
  • Tâche 2 : élaboration des règles de sécurité ;
  • Tâche 3 : élaboration des notes de synthèse ;

–          Phase 3 : Finalisation

  • Tâche 1 : finalisation et validation de la PSSI ;
  • Tâche 2 : élaboration et validation du plan d’action ;

–          Phase 4 : Application du plan d’action

Chaque phase devra comprendre des comités récurrents afin de partager son niveau d’avancement mais aussi pour effectuer des arbitrages (éléments à exclure du périmètre, évaluation des risques, …).

Avantages / Inconvénients ?

Ce projet peut s’avérer consommateur en jH car l’ensemble du SI devra être soumis à ce projet et des études devront porter sur tous les sujets. Des comités récurrents devront être organisés afin de s’assurer que la direction empruntée est la bonne et partagée par l’ensemble des équipes.

Les avantages de mettre en place un projet PSSI sont les suivants :

–          Démarche projet claire et diffusée à tous les acteurs ;

–          Equipes informatiques impliquées et sensibilisées ;

–          Périmètres bien déterminés ;

–          Anticipation des menaces sur le SI et une connaissance des faiblesses de l’infrastructure ;

–          Réévaluation de la SI plus facile car le socle est déjà prêt ;

Les inconvénients sont les suivants :

–          Démarrage du projet lent comparativement au reste des actions ;

–          Inertie probable sur l’ensemble du projet ;

 

Bénéfices d’un projet PSSI

En conclusion, la mise en place d’une PSSI par ce type de projet est un vrai plus pour le futur car dans le cas de départ de collaborateurs, la méthodologie est bien écrite. Ceci améliore le passage d’information car l’ensemble de nos éléments à risques sont détaillés.

De plus, dans le cadre de prestations, ce document ou sous-documents pourront être mis à disposition des intervenants afin qu’ils respectent les règles définies par la PSSI et/ou qu’ils mettent à jour les différentes notes.

La réévaluation de la SSI est plus simple à effectuer grâce au retour d’expérience de la construction du référentiel et donc de l’inventaire des faiblesses de l’infrastructure.

Le ROI n’est donc pas facile à déterminer pour toute la phase projet mais permet de mieux organiser les équipes, de mettre en place des workflows face à des situations de crise. Les temps d’indisponibilité seront donc maitrisés et les risques seront comblés ou connus avec des procédures permettant de réagir rapidement.

Le ROI est donc plus facilement perceptible après projet car l’infrastructure sera cartographiée et les risques également.

Enfin, elle nous apporte en plus des connaissances sur l’infrastructure, un vrai retour sur l’équipe informatique avec ses forces et ses faiblesses. Cela permettra de prendre des mesures afin d’améliorer la qualité du service (formation, infogérance, …).

Voici ci-dessous un schéma rappelant les différentes phases du projet, les éléments nécessaires au bon fonctionnement de la phase et les livrables qui découlent :

 

pssi_phases

Partager :

Auteurs