La Politique de Sécurité du Système d’Information (PSSI)
L’entrepreneur doit être aidé dans sa prise de conscience des nécessités de mise en œuvre rapide de sa transition numérique dont la sécurité est devenue une obligation non seulement de fait, mais aussi réglementaire.
3 critères définissent la sécurité d’un Système Informatique :
- la Disponibilité (capacité de l’information à être accessible par l’ensemble des personnes en ayant le droit),
- la Confidentialité (information disponible ou divulguée uniquement aux personnes, entités ou processus autorisés),
- l’Intégrité (information traitée n’est modifiée que par une action volontaire et légitime).
Ces 3 critères doivent être étudiés pour évaluer les besoins en sécurité des données.
Nous pouvons ajouter des services de sécurité liés à l’authentification, à la non-répudiation, à l’imputabilité et à la traçabilité pour assurer la protection des infrastructures numériques.
Mettre en œuvre une bonne Politique de Sécurité du Système d’Information implique d’avoir réfléchi à tous les aspects de l’utilisation des outils numériques. La PSSI identifie les points de vulnérabilité et les menaces qui pèsent sur son système pour mieux gérer les risques et les abaisser au maximum, elle définit les règles de sécurité à appliquer au quotidien par l’entreprise et son personnel et elle observera la mise en œuvre des systèmes de protection électroniques adéquats.
Une politique de sécurité résulte d'une analyse de risque et est définie pour répondre aux exigences de sécurité, dans un contexte donné qui devra correspondre aux besoins de l'organisation.
Elle se traduira par la réalisation de mesures, de procédures, de services comme:
- des règles de classification de l'information, d'utilisation des ressources;
- des outils: contrôle d'accès, d'authentification, d'intégrité, chiffrement des données, système pare-feu (firewall), de détection d'incidents, de surveillance, de journalisation, de traçabilité, de gestion des performances;
- des contrats de services: clauses de responsabilité, devoirs et obligations;
- des plans de gestion de crise, de secours, de continuité et de reprise d'activité;
- des plans d'actions et de poursuite en justice;
- des mesures d'assurance.