PSSI, une définition simple

La PSSI (Politique de Sécurité des Systèmes d'Information) est le document de référence qui formalise les règles, principes et responsabilités en matière de sécurité informatique au sein d'une organisation. Ce n'est pas un outil technique, c'est un cadre écrit qui répond à une question simple, qui fait quoi pour protéger le système d'information, et selon quelles règles.

Pourquoi une PME a besoin d'une PSSI, même petite

Beaucoup de dirigeants associent la PSSI à un formalisme réservé aux grandes entreprises ou aux obligations réglementaires (NIS2, secteurs régulés). En réalité, une PSSI courte et concrète, même sur 5 à 10 pages, sert à clarifier des responsabilités qui restent souvent implicites, qui décide d'ouvrir un accès distant, qui gère les mots de passe partagés, que faire en cas d'incident détecté un vendredi soir.

Ce que contient une PSSI type

SectionContenu
Périmètre et objectifsCe que couvre la politique, quels systèmes, quelles données, quels utilisateurs
Rôles et responsabilitésQui décide, qui applique, qui contrôle (dirigeant, RSSI, prestataire externe)
Règles d'usageMots de passe, accès distant, appareils personnels, messagerie
Gestion des accèsPrincipe du moindre privilège, revue périodique des droits
Réponse aux incidentsQui prévenir, dans quel délai, quelles actions immédiates
Sauvegardes et continuitéFréquence, tests de restauration, plan de reprise

PSSI vs mesures techniques, la différence essentielle

Un EDR, un firewall ou une sauvegarde chiffrée sont des mesures techniques. La PSSI, elle, définit pourquoi ces mesures existent, qui en est responsable et comment elles s'articulent entre elles. Une entreprise peut avoir de bons outils techniques sans PSSI, mais elle pilote alors sa sécurité au coup par coup, sans vision d'ensemble ni continuité si la personne qui gérait tout quitte l'entreprise.

⚠️ L'erreur la plus fréquente

Copier-coller un modèle de PSSI trouvé en ligne sans l'adapter à la réalité de l'entreprise. Le document devient alors une formalité qui dort dans un dossier, sans lien avec les pratiques réelles, ce qui la rend inutile en cas de contrôle ou d'incident.

Le lien avec NIS2, ISO 27001 et EBIOS RM

La PSSI n'est pas propre à un référentiel particulier, mais elle en constitue souvent le socle. La norme ISO 27001 exige une politique de sécurité formalisée, la directive NIS2 impose une gouvernance documentée du risque cyber, et la méthode EBIOS RM de l'ANSSI aide à construire une PSSI réellement fondée sur une analyse de risques plutôt que sur un modèle générique.

Construire sa PSSI étape par étape

  • 1. Cartographier l'existant, quels systèmes, quelles données sensibles, quels accès critiques
  • 2. Identifier les risques prioritaires plutôt que de vouloir tout couvrir dès la première version
  • 3. Rédiger des règles applicables, une PSSI trop théorique ne sera jamais suivie sur le terrain
  • 4. Faire valider par la direction, la PSSI doit être portée au plus haut niveau pour avoir un poids réel
  • 5. Réviser la politique régulièrement, au minimum une fois par an ou après tout changement significatif du système d'information

Besoin d'aide pour rédiger votre PSSI ?

ONYX-CYBER accompagne les PME dans la rédaction d'une PSSI concrète, adaptée à la taille réelle de l'entreprise, dans le cadre de nos missions GRC.

Demander un accompagnement