Pssi Section2 Methodologie 2004 03 03
Pssi Section2 Methodologie 2004 03 03
Pssi Section2 Methodologie 2004 03 03
SECTION 2
MÉTHODOLOGIE
Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante
(voir formulaire de recueil de commentaires en fin de guide) :
[email protected]
Historique des modifications
SECTION 2 – MÉTHODOLOGIE
INTRODUCTION ..................................................................................................................................... 5
OBJET DU DOCUMENT......................................................................................................................... 5
1 INTRODUCTION À LA MÉTHODE................................................................................................ 6
1.1 PRÉSENTATION GÉNÉRALE DE LA DÉMARCHE ............................................................................. 6
1.2 PRINCIPAUX RÉSULTATS DE LA MÉTHODE ................................................................................... 6
1.3 LES SUITES D'UNE PSSI............................................................................................................ 7
2 DÉMARCHE D’ÉLABORATION D’UNE PSSI .............................................................................. 8
2.1 CONVENTIONS D'ÉCRITURE ....................................................................................................... 8
2.2 PHASE 0 : PRÉALABLES ............................................................................................................ 9
2.2.1 Tâche 1 : organisation projet....................................................................................... 10
2.2.2 Tâche 2 : constitution du référentiel ............................................................................ 11
2.3 PHASE 1 : ÉLABORATION DES ÉLÉMENTS STRATÉGIQUES .......................................................... 12
2.3.1 Tâche 1 : définition du périmètre de la PSSI............................................................... 13
2.3.2 Tâche 2 : détermination des enjeux et orientations stratégiques................................ 14
2.3.3 Tâche 3 : prise en compte des aspects légaux et réglementaires.............................. 15
2.3.4 Tâche 4 : élaboration d'une échelle de besoins .......................................................... 16
2.3.5 Tâche 5 : expression des besoins de sécurité ............................................................ 18
2.3.6 Tâche 6 : identification des origines des menaces ..................................................... 19
2.4 PHASE 2 : SÉLECTION DES PRINCIPES ET RÉDACTION DES RÈGLES ............................................ 20
2.4.1 Tâche 1 : choix des principes de sécurité ................................................................... 21
2.4.2 Tâche 2 : élaboration des règles de sécurité .............................................................. 22
2.4.3 Tâche 3 : élaboration des notes de synthèse ............................................................. 23
2.5 PHASE 3 : FINALISATION ......................................................................................................... 24
2.5.1 Tâche 1 : finalisation et validation de la PSSI ............................................................. 25
2.5.2 Tâche 2 : élaboration et validation du plan d’action .................................................... 26
3 PLAN-TYPE D'UNE PSSI ............................................................................................................ 27
Introduction
Le guide PSSI est décomposé en quatre sections :
- l'introduction permet de situer la place de la PSSI dans le référentiel normatif de la SSI au sein de
l'organisme et de préciser les bases de légitimité sur lesquelles elle s'appuie ;
- une liste de documents de références de la SSI (critères d’évaluation, textes législatifs, normes,
codes d’éthiques, notes complémentaires...).
L'attention du lecteur est attirée sur le fait que les sections composant le guide PSSI seront mises à
jour indépendamment.
Un formulaire de recueil de commentaires figure en annexe de chaque guide afin de renvoyer des
propositions et remarques à la DCSSI.
Objet du document
Cette section présente la méthode d’élaboration de politiques de sécurité des systèmes d'information
(PSSI).
- Phase 0 : préalables
- Phase 3 : finalisation
Page 5 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
1 Introduction à la méthode
Référentiel
de Phase00: :préalables
préalables Notede
Note decadrage
cadrage
Phase
l’organisme
Validation
Résultats
d’une Phase11: :élaboration
Phase élaborationdes
des Notede
Note destratégie
stratégie
analyse des éléments stratégiques
risques SSI
éléments stratégiques
Validation Synthèsedes
Synthèse des
règles de sécurité
règles de sécurité
Phase22::sélection
Phase sélectiondes
des
principes et rédaction desrègles
principes et rédaction des règles Synthèsedes
Synthèse des
impacts
impacts
Validation
PSSI
PSSI
Phase33: :finalisation
Phase finalisation
Pland’action
Plan d’action
Validation
(1) Disposer d’un cadre de référence et de cohérence pour l’ensemble des activités et des
acteurs de l’organisme.
Ce cadre de sécurité doit notamment permettre la mise en évidence des objectifs, obligations
et engagements de l’organisme vis-à-vis de ses partenaires, clients et sous-traitants, ainsi
que les principes de sécurité régissant la protection de son propre patrimoine.
Ce cadre fondamental et fédérateur doit exprimer les responsabilités de l’ensemble des
acteurs, ainsi que les principes et règles de sécurité minimaux à respecter pour l’ensemble
des activités et des systèmes.
Il doit offrir les directives nécessaires, notamment pour tout choix technique mais aussi
organisationnel ou contractuel, en matière de sécurité, et permet d’assurer la cohérence et la
pérennité des actions de sécurité.
Page 6 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Le plan type d’une PSSI figure en partie 3 de ce document. D'une manière générale, il doit évoquer
les points suivants :
- pourquoi protéger et susciter la confiance : enjeux, aspects réglementaires, menaces ;
- que protéger : biens à protéger et échelle de besoins ;
- qui protège : organisation, responsabilités et gestion de la SSI ;
- comment protéger : ensemble cohérent et opérationnel de règles de sécurité ;
- quand protéger : considération de l'ensemble du cycle de vie.
La PSSI doit être complétée par un plan d’action pour assurer sa mise en œuvre. Il comprendra deux
principaux volets :
- des actions de type méthodologique, organisationnelle ou procédurale, applicable à
l’ensemble de l’organisme participant au périmètre de l’étude ;
- des actions de type technique, concernant les éléments fédérateurs du système d’information.
Ces actions pourront être accompagnées de recommandations concernant les outils et méthodes de
mise en œuvre.
Ce plan d’action est destiné à "vivre". Il doit être tenu à jour et ses priorités doivent être revues en
fonction de l’évolution des services offerts par le SI, des budgets attribués, de l'organisation, des
missions, etc…
(1) Assurer une déclinaison opérationnelle des règles de la PSSI, notamment sous la forme de
procédures, applicables directement aux différents systèmes et applications.
(2) Constituer une entité de suivi et de pilotage du plan d'action prioritaire défini à l’issue de cette
démarche. La vision dynamique, nécessaire pour prendre en compte la sécurité dans un
contexte mouvant, peut conduire à remettre en question des priorités du plan d’action et donc
à réitérer au moins la fin de la démarche.
(3) L’audit de la PSSI, notamment construit autour de contrôles réguliers à plusieurs niveaux de
l’application opérationnelle ou à l’aide de tableaux de bord SSI, est un élément fondamental
pour assurer l’efficacité de la couverture des risques jugés inacceptables. Ainsi, les résultats
obtenus à l’issue de ces audits (organisationnels et techniques) pourront, le cas échéant,
demander une révision des règles de sécurité.
(4) Enfin, la mise en place d’une organisation d’alerte et de veille technologique est nécessaire à
assurer la maintenance du niveau de sécurité et son efficacité dans le temps.
Page 7 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
! : Conseil pratique
Page 8 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Validation
Objectifs de la phase
Définir les objectifs et moyens à mettre en œuvre pour l’élaboration de la PSSI et constituer le
référentiel documentaire.
Acteurs de la phase
- Le responsable sécurité ou l’initiateur du projet PSSI
Éléments en entrée Éléments en sortie
- Référentiel de l’organisme - Note de cadrage
- Référentiel documentaire
Tâches
1. Décrire l’organisation du projet
2. Constitution du référentiel documentaire
Observations
Cette phase doit permettre à la Direction générale de prendre la décision de lancement de
l’opération sur la base d’un cadre formalisé d’intervention définissant les objectifs et moyens à
mettre en œuvre.
Validation
Documents Validateur
Note de cadrage Hiérarchie au plus haut niveau, par défaut la
Direction Générale
Page 9 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à définir l'organisation du "projet PSSI" afin d'élaborer le cadre de réalisation.
Démarche
L’élaboration de la PSSI doit être conduite comme un projet à part entière et notamment il faut :
- nommer un chef de projet, missionné au plus haut niveau ;
- constituer un comité de pilotage, composé des principaux représentants des maîtrises d’ouvrage
et des maîtrises d’œuvre, animé par le RSSI. Cette structure de pilotage pourra par la suite
devenir le comité de sécurité chargé notamment de maintenir l’efficacité et la cohérence du
document ;
- constituer un groupe d’experts, compétents pour traiter des thèmes à développer dans le
périmètre de la PSSI (experts juridiques, experts en organisation de la SSI en entreprise, experts
techniques des systèmes, architecte réseau…) ;
- attribuer un budget ;
- formaliser des objectifs détaillés ;
- établir un calendrier.
Une étape préliminaire de gestion de projet doit être conduite pour déterminer l’ensemble des
éléments nécessaires au déroulement du projet.
! Conseil pratique :
Que la PSSI soit globale ou qu’elle concerne une application particulière,
le cadre doit être défini clairement dès le départ. La composition de
l’organisation du projet et du budget (temps, argent, ressources) en
dépendent fortement.
" Attention :
L’aspect indispensable de cette tâche est de constituer un comité de
pilotage dont les membres sont suffisamment représentatifs de la maîtrise
d’ouvrage et légitimes pour prendre les décisions.
Page 10 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à identifier le référentiel documentaire de l'organisme (SI, SSI, aspects
déontologiques et contractuels) qui servira de base à la suite de la démarche.
Démarche
La réalisation d’une politique de sécurité doit se construire de façon adaptée au contexte particulier de
chaque organisme. Ce contexte diffère d’un organisme à un autre et doit donc pouvoir être
appréhendé le plus tôt possible. Pour y parvenir, le groupe de projet doit constituer dès le début une
base documentaire regroupant :
- aspects légaux et réglementaires :
o les textes législatifs majeurs, qui sont décrits en annexe, dont la loi informatique et
liberté, la loi sur la protection des droits d’auteur, la loi relative à la fraude
informatique, la loi sur le secret des communications, les lois sur la cryptologie ;
o les textes et recommandations énoncées au plan national et international dont une
liste de références se trouve en annexe ;
o le règlement intérieur, qui peut également contenir des exigences concernant le
système d’information ;
o la préservation des intérêts vitaux de l’État sur le plan de la protection des
informations sensibles relevant ou non du secret de défense,
o le droit d’auteur ;
o la propriété intellectuelle et du copyright ;
o l’utilisation de moyens cryptographiques ;
o la protection des consommateurs ;
o obligations réglementaires spécifiques à l'organisme concerné…
- grands principes d'éthique :
o au plan national, la protection de la vie privée ;
o les clauses particulières dans les contrats régissant les relations de l’organisme avec
ses partenaires et/ou clients ;
o les codes éthiques des métiers des technologies de l’information dont une liste des
références est proposée en annexe…
- obligations contractuelles auxquelles l’organisme s’est engagé vis à vis de ses clients ou
partenaires spécifiques :
o contrat de coopération ou de partenariat avec d’autres organismes ;
o contrat de prestation de service à d’autres organismes ;
o conditions de garantie applicables aux produits ou services proposés ;
o conventions bilatérales (comme par exemple des conventions de preuve)…
- obligations contractuelles des prestataires ou partenaires,
- le référentiel de sécurité interne :
o schéma directeur informatique et SSI ;
o analyses de risques ;
o résultats d'audits de sécurité …
- le référentiel du ou des systèmes d’information.
Tous ces éléments sont fournis à titre d’exemple et la liste ne prétend pas à l’exhaustivité, il
conviendra de l’adapter en fonction du domaine de chaque organisme.
Page 11 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Validation
Objectifs de la phase
Cette phase, dont les résultats et conclusions doivent impérativement être validés par la
Direction Générale, consiste à déterminer les axes stratégiques et les premières grandes
orientations à partir desquelles sera déclinée la PSSI.
Pour cela, elle doit obligatoirement identifier et prendre en compte le périmètre d'étude, le
contexte, les enjeux et orientations stratégiques, le référentiel réglementaire, l'échelle de
besoins, les besoins de sécurité des biens à protéger et les origines des menaces afin d’aboutir
à une note de stratégie validée par la Direction fixant les grandes orientations de la SSI.
Acteurs de la phase
- Chef de projet
- Représentants de la maîtrise d’ouvrage
- Direction Générale
- Responsable juridique
Éléments en entrée Éléments en sortie
- Référentiel documentaire - Note de stratégie de sécurité
Tâches
1. Délimitation du périmètre
2. Identification des enjeux et orientations stratégiques
3. Recensement des lois et règlements applicables
4. Définition d'une échelle de besoins en termes de disponibilité, intégrité, confidentialité et
éventuellement d'autres critères de sécurité
5. Expression des besoins de sécurité des biens à protéger
6. Identification des origines des menaces pesant sur l'organisme ou le système étudié (et
éventuellement des principaux risques et objectifs de sécurité)
Observations
Il convient d’insister sur l’importance capitale de cette phase et sur la nécessité d’une
implication forte de la Direction Générale tant lors de l’identification des besoins et menaces
que lors de la validation de la cible et des principaux objectifs à atteindre.
Validation
Document Validateur
Note de stratégie de sécurité Comité de pilotage puis Direction générale
Page 12 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à décrire les domaines d'activités à couvrir et à affiner le périmètre, notamment
les échanges entre les domaines et l’extérieur du périmètre.
Le champ d'application de la politique de sécurité du système d’information peut être tout système
d'information de l'organisme ou le système d'information dans sa globalité, qu'il soit existant ou à
développer, et en prenant en compte l’ensemble des thèmes de la sécurité (logique, physique,
aspects humains, réglementaires…).
Des sous-périmètres demandant un traitement spécifique peuvent être identifiés lors de cette tâche.
! Conseil pratique :
La réalisation rigoureuse de cette étape est fondamentale. Le résultat doit
être validé par la hiérarchie au plus haut niveau. Ce résultat conditionne
notamment la détermination des biens à protéger et, par voie de
conséquence, le choix des personnes à impliquer dans l’étude.
Démarche
La démarche consiste en premier lieu à formaliser une vision globale du système d’information
concerné.
À partir de cette représentation, il est nécessaire de :
- lister l’ensemble des domaines d'activités jouant un rôle dans le système d’information de
l’organisme ; cette liste doit inclure les métiers de l’organisme et les services internes de
production, de gestion, de support (réseau d’entreprise, info-gérance…) ;
- sélectionner et décrire les domaines d'activités essentiels au fonctionnement de l'organisme,
ainsi que leurs interactions et éventuellement les aspects sécurité (dont les éléments sont
issus du référentiel de sécurité identifié dans la phase préalable) ;
- identifier ceux qui constituent le périmètre de la PSSI et ceux qui en sont exclus ;
- dans la mesure du possible, les fonctions et informations de chaque domaine d'activité sont
identifiées.
"
Attention :
Dans le cas une PSSI globale, on ne pourra pas toujours étudier tous les
systèmes d'information. On ne pourra même pas traiter toutes les
fonctions ou tous les processus. S’il faut en faire une liste assez complète,
il faudra aussi sélectionner un échantillon représentatif sur lequel l’étude
portera. Les systèmes d'information non étudiés pourront hériter des
mesures prises au profit des autres.
! Conseils pratiques :
Obtenir une modélisation conceptuelle du système permettra de clarifier la
situation et de faciliter la communication et la validation au sujet du
périmètre.
Il est conseillé de sélectionner des domaines d'activités pour lesquels
l’application de règles de sécurité pourra être imposée par un responsable
unique.
Page 13 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à présenter les enjeux et orientations stratégiques liés au périmètre de la
PSSI. Elle permet aussi d'identifier les contraintes générales pesant sur l'organisme.
Elle découle d’une connaissance des éléments stratégiques de l’organisme : contexte métier,
missions, patrimoine et valeurs de l’organisme.
Démarche
La définition des enjeux et orientations stratégiques, dont les éléments sont majoritairement issus du
schéma directeur, doit prendre en compte les éléments suivants :
- les scénarios d'évolution du système d'information ;
- la contribution du système d'information à long terme ;
- la contribution du système d'information à la qualité du service rendu ;
- la satisfaction des contraintes externes ;
- la rentabilité économique du projet ;
- les contraintes (techniques, financières, d'environnement…) et exigences (techniques ou
organisationnelles) de l'organisme et du système d'information.
La démarche consiste à identifier tous ces éléments afin de les rationaliser sous la forme d'une
synthèse qui figurera dans la PSSI.
! Conseils pratiques :
L'exploitation d'un schéma directeur existant facile la réalisation de cette
tâche.
Les résultats d'une analyse des risques SSI appliquée au périmètre
délimité pour la PSSI permettent généralement d'identifier les enjeux et
orientations stratégiques de l’organisme.
Page 14 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Démarche
Le but de cette tâche est de disposer d’une liste précise des obligations et donc des textes de lois et
règlements applicables, de l’ensemble des clauses contractuelles, ainsi que les rôles et
responsabilités qui peuvent impacter la sécurité.
D'une part, il est nécessaire de prendre en compte l'ensemble des éléments issus majoritairement du
référentiel identifié dans la phase préalable :
- aspects légaux et réglementaires ;
- grands principes d'éthique ;
- obligations contractuelles ;
- obligations contractuelles des prestataires ou partenaires ayant un impact sur le périmètre de
la PSSI.
D'autre part, cette tâche doit aussi mettre en évidence les rôles et responsabilités liés à la sécurité des
systèmes d'information.
! Conseils pratiques
La prise en compte des obligations contractuelles et de leur traduction en
matière d’exigences voire de règles, d’avenant à des contrats ou même
de solutions est transverse à tous les domaines.
Il est difficile, mais fondamental, de s’assurer que l’ensemble des
engagements contractuels est connu et qu’une déclinaison (exigences et
règles) ad-hoc en est faite.
Seule une synthèse du résultat de cette tâche sera incluse dans la
politique de sécurité du système d’information. Néanmoins, elle pourra
constituer une annexe utile.
Les résultats d'une analyse des risques SSI appliquée au périmètre
délimité pour la PSSI permettent généralement d'identifier le référentiel
applicable.
Au besoin, il est conseillé de faire appel à une prestation juridique pour
donner l'inventaire des exigences réglementaires applicables.
Page 15 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à définir une échelle de mesure utile à l'expression des besoins de sécurité pour
les domaines d'activités identifiés dans la PSSI ou les fonctions et informations identifiées dans les
études de sécurité dans le périmètre de la PSSI.
Les mesures de sécurité étant souvent coûteuses et contraignantes, leur mise en œuvre doit être
adaptée à de réels enjeux pour l’organisme. Elle doit donc obéir à un principe de gradation des
moyens, qui consiste à protéger tous les domaines d'activités selon leur besoins de sécurité et les
menaces qui peuvent les affecter. Il est ainsi possible d’adapter les mesures de sécurité aux enjeux
réels, tout en optimisant leur efficacité et les coûts inhérents.
" Attention :
La définition d’une classification ne permet pas de résoudre l’ensemble
des règles de sécurité, elle fixe seulement des obligations et est un
indicateur pour juger de leur besoins de sécurité.
Démarche
Dans le cas où une classification existerait déjà dans l'organisme, celle-ci sert de base à la réflexion et
peut même être employée directement pour définir l'échelle de besoins. La démarche présentée ici
permet en effet d'élaborer une échelle objective qui permet d'affecter une valeur explicite aux biens à
protéger.
Tout d'abord, il est nécessaire de sélectionner les critères de sécurité à prendre en compte. Les
critères de sécurité couramment utilisés sont la disponibilité, l'intégrité et la confidentialité, mais il peut
être pertinent d'en ajouter d'autres tels que la preuve, le contrôle, l'anonymat, la fiabilité… L'échelle de
besoins sera déterminée en fonction de ces critères de sécurité.
! Conseils pratiques :
Les résultats d'une analyse des risques SSI appliquée au périmètre de la
PSSI permettent généralement d'élaborer l'échelle de besoins.
La définition d’une classification générale sur le plan de la disponibilité et
de l’intégrité n’est pas toujours pertinente. Dans certains contextes, où
ces objectifs concernent peu d’informations ou de fonctions, il est parfois
plus simple de définir des règles au cas par cas.
Une graduation de ces critères de sécurité peut alors être élaborée. Pour cela, une pondération et
des valeurs de référence doivent être déterminées pour chacun des critères de sécurité sélectionné.
! Conseils pratiques :
L'échelle présente généralement une pondération entre 0 (aucune
atteinte) et 4 (atteinte très importante). Il est néanmoins envisageable de
définir une échelle avec moins de valeurs.
Le nombre de pondérations est généralement le même pour chaque
critère de sécurité.
Dans la mesure du possible, les valeurs de références doivent être
objectives, explicites, propres à l'organisme et liées à ses orientations
Page 16 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Il est ensuite souhaitable de déterminer une liste d'impacts pertinents pour l'organisme. Ces impacts
reflètent les axes stratégiques de l'organisme. Il peut s'agir par exemple de perte d'image de marque,
d'infraction aux lois, de pertes financières, de révocation de personnels… Ils permettront d'envisager
différents domaines pouvant être impactés et d'apporter des éléments de justification des besoins de
sécurité.
! Conseils pratiques :
Le nombre d'impacts représentatifs est généralement compris entre
1 et 3.
Afin de rendre les impacts plus objectifs, il convient de fournir des
exemples explicites de chacun d'eux en termes de conséquences
envisageables.
Page 17 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
L’objectif de cette tâche est d’identifier de manière générale les besoins de sécurité associés à
chaque domaine d'activités (et éventuellement chaque fonction et information concernée) défini dans
le périmètre de la PSSI. Ces besoins de sécurité seront utiles dans l'élaboration des règles de sécurité
et dans toute étude de sécurité dans le périmètre de la PSSI afin d'identifier des objectifs de sécurité
d'un système particulier.
Démarche
Pour chacun des domaines d'activités et chaque critère de sécurité (par exemple disponibilité,
intégrité et confidentialité), il faut déterminer la valeur correspondante à l'échelle de besoins pour les
impacts retenus. La valeur la plus importante pour les différents critères est retenue.
Exemples:
- si un domaine d'activités doit être confidentiel pour ne pas porter préjudice à son bon
fonctionnement, la valeur correspondante pourrait être égale à 3 sur une échelle de 0 à 4
selon les valeurs de référence de l'échelle ;
- si un domaine d'activités nécessite de travailler en temps réel pour ne pas porter préjudice à
son bon fonctionnement, la valeur correspondante pourrait être égale à 4 sur une échelle de 0
à 4 selon les valeurs de référence de l'échelle.
! Conseil pratique :
Les résultats d'une analyse des risques SSI appliquée au périmètre de la
PSSI permettent généralement d'exprimer les besoins de sécurité des
éléments essentiels.
Les besoins de sécurité feront l'objet d'une synthèse figurant dans la PSSI.
Page 18 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à identifier et caractériser les origines des menaces qui pèsent sur le périmètre
de la PSSI. Ces origines de menaces (éléments menaçants et méthodes d'attaque) seront utiles
dans l'élaboration des règles de sécurité et dans toute étude de sécurité dans le périmètre de la PSSI
afin d'identifier des objectifs de sécurité d'un système particulier.
" Attention :
L’objectif n’est pas d’identifier les vulnérabilités du système d’information
existant ou ses points faibles et de surcroît les risques qui pèsent sur lui,
mais de décrire les origines des menaces qu’il conviendra de prendre en
compte pour l’élaboration des règles de sécurité.
Démarche
La liste des méthodes d'attaque pertinentes pour le périmètre de la PSSI doit être établie
indépendamment des besoins de sécurité. Elle représente les sources de l'exposition de l'organisme
aux risques liés à la sécurité des systèmes d'information. Il peut s'agir notamment d'incendie, de vol
de documents, d'altération des données… Une méthode d'attaque est retenue dans la mesure où sa
réalisation a un impact sur le système étudié.
! Conseil pratique :
Une méthode d'analyse des risques SSI fournit généralement une liste de
méthodes d'attaque génériques.
L'ensemble des menaces non retenues fait enfin l'objet de justifications explicites.
! Conseils pratiques :
Les résultats d'une analyse des risques SSI appliquée au périmètre de la
PSSI permettent généralement de sélectionner et caractériser les
méthodes d'attaque et éléments menaçants.
Seules les méthodes d'attaque réellement significatives et concrètes
doivent être retenues et décrites de manière non technique pour assurer
une meilleure sensibilisation du lecteur. De plus, ne pas hésiter à illustrer
les menaces par des exemples concrets puis dans le ou les métiers de
l’organisme.
La liste des origines des menaces retenues et caractérisées, ainsi que la liste des origines des
menaces non retenues avec des justifications, figureront dans la PSSI.
Page 19 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Validation
Objectifs de la phase
Le travail de cette phase consiste à sélectionner, concevoir, préparer, documenter et valider la
déclinaison des principes généraux d’une PSSI et des choix stratégiques de l’organisme. Ce
travail se traduit en l’élaboration d’un corpus de règles directement applicables.
Acteurs de la phase
- Direction générale
- Comité de pilotage
- Groupe d'experts
Éléments en entrée Éléments en sortie
- Note de cadrage - Note de synthèse justificative des choix
- Note de stratégie de sécurité de règles
- Note de synthèse des impacts
organisationnel et financier
Tâches
1. Sélection des principes
2. Construction des règles
3. Synthèse et validation
Observations
Les points essentiels à prendre en compte sont la cohérence des règles, leur applicabilité et
enfin l’auditabilité de l’ensemble.
Validation
Documents Validateur
Note de synthèse justificative des choix de Comité de pilotage puis Direction générale
règles
Note de synthèse des impacts organisationnel
et financier
Page 20 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à sélectionner les principes de sécurité qu’il conviendra de développer et
instancier en règles de sécurité lors de la tâche suivante.
Démarche
Le choix des principes de sécurité s’effectue sur la base des éléments suivants :
- dans la note de cadrage :
o le référentiel du système d’information ;
- dans la note de stratégie de sécurité
o la définition du périmètre de la PSSI ;
o la liste de besoins de sécurité identifiés ;
o la liste des origines de menaces retenues.
Tout d’abord, le référentiel du système d’information renseigne sur les entités présentes (logiciels,
matériels, réseaux, organisation, sites personnel). Les principes de sécurité pour lesquels il n’existe
aucune entité dans l’organisme sont écartés.
D’autre part, la définition du périmètre de la PSSI permet d’affiner la sélection précédente en écartant
éventuellement d’autres principes de sécurité de l’étude.
L’expression des besoins de sécurité contribue elle-aussi au choix des principes de sécurité. En effet,
les domaines d’activités ou les fonctions et informations reposent sur des entités techniques ou non
techniques. Si le lien entre les éléments essentiels et les entités est établi, il convient de ne retenir
que les principes de sécurité pour lesquels une entité est porteuse d’informations ou de fonctions pour
l’organisme.
Enfin, puisque les éléments menaçants exploitent les vulnérabilités des entités selon des méthodes
d'attaque particulières pour se réaliser, on affine à nouveau la sélection des principes de sécurité en
écartant ceux qui ne concernent pas les entités pertinentes au regard des origines des menaces
retenues.
En fonction de cette analyse, le comité de pilotage statue sur la liste des principes de sécurité à
retenir.
! Conseils pratiques :
Cette analyse, qui doit être réalisée de façon macroscopique, privilégie la
conservation des principes de sécurité en cas de doute sur leur
pertinence.
Elle permet de justifier systématiquement chaque principe de sécurité
écarté. La traçabilité ainsi assurée permet de maîtriser l’impact de
l’évolution des besoins sur les travaux d’élaboration de la PSSI.
Page 21 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à instancier les principes de sécurité retenus en règles de sécurité selon les
éléments contenus dans la note de cadrage et la note de stratégie de sécurité. Chaque principe de
sécurité retenu doit être décliné en une ou plusieurs règles de sécurité adaptées au contexte du
périmètre de la PSSI.
Démarche
L’instanciation des principes de sécurité en règles de sécurité débute par un affinage et une
décomposition de chaque principe. D’une part, la formulation des règles de sécurité doit refléter la
couverture des origines des menaces retenues. D’autre part, elle doit aussi refléter les critères de
sécurité (disponibilité, intégrité, confidentialité…) que les origines de menaces concernées peuvent
affecter.
Le niveau des règles de sécurité est alors déterminé en fonction des besoins de sécurité. En effet, la
sensibilité des domaines d’activités ou des fonctions et informations doit impacter le niveau de
sécurité des règles de sécurité de telle sorte qu’il soit en adéquation avec le risque encouru.
Une consolidation des règles de sécurité doit enfin être effectuée par des entretiens avec les
responsables de leur mise en œuvre.
! Conseils pratiques :
L’expertise du groupe de travail permet la réalisation de cette tâche
difficile qui requiert une bonne maîtrise de l’état de l'art.
La pertinence des règles de sécurité est garantie par un rapport entre
l’impact et l’efficacité.
L’implication de la maîtrise d’œuvre et des différents responsables
permet de garantir l’applicabilité des règles de sécurité et l’adhésion des
différents acteurs.
L’élaboration des règles de sécurité doit faire l’objet d’une argumentation
systématique se basant sur les éléments stratégiques.
Il est nécessaire de mettre en évidence les rapports coûts-bénéfices, en
estimant les coûts de mise en œuvre des règles de sécurité, afin
d'effectuer des choix cohérents avec les ressources de l'organisme.
Cette tâche est l'occasion de discuter et argumenter des résultats de la
démarche de gestion des risques et permet de définir des exigences
précises.
Page 22 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Cette tâche consiste à synthétiser le travail effectué afin d'en obtenir la validation, ce qui permettra
ensuite de finaliser la PSSI. La validation concerne d'une part les règles de sécurité et d'autre part les
impacts de leur mise en œuvre.
Démarche
Le groupe d’experts doit élaborer une note de synthèse, à destination du comité de pilotage, qui
présente la justification des choix concernant la sélection des principes de sécurité et la déclinaison
en règles de sécurité. La liste des principes de sécurité est fournie en annexe de ce guide.
Le comité de pilotage, s’il entérine ces choix, propose alors une note de synthèse à destination de la
direction générale. Cette note de synthèse doit permettre d’exposer à la direction générale les choix
réalisés ainsi que leur impact organisationnel et financier. Cette note lui permet de valider les
orientations retenues dans la PSSI, au regard des enjeux particuliers de l’organisme.
! Conseils pratiques :
La note de synthèse à destination du comité de pilotage doit permettre la
prise de décision pour la mise en œuvre des règles retenues.
La note de synthèse à destination de la direction générale doit permettre
la prise de décision pour la mise en œuvre de la PSSI en présentant très
clairement les enjeux et les coûts associés de celle-ci.
L’analyse des coûts induits sera menée de façon macroscopique.
Page 23 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Validation
Objectifs de la phase
La finalité de cette phase est de conduire une étape ultime de validation de la PSSI et du plan
d’action associé par la direction générale
Acteurs de la phase
- Comité de pilotage
- Groupe d'experts
Éléments en entrée Éléments en sortie
- Les règles retenues validées - La PSSI validée
- Plan d’application de la PSSI proposant
en particulier un plan d’action selon les
priorités définies
Tâches
1. Finalisation et validation de la PSSI
2. Élaboration et validation du plan d’action
Observations
Une fois la PSSI revue et validée par le comité de pilotage, un document de synthèse devra
être élaboré pour soutenir la présentation de la PSSI à la hiérarchie en vue de sa validation.
L’implication des différents acteurs, notamment des futurs responsables de la mise en œuvre
de la PSSI, est fondamentale pour disposer par la suite des ressources humaines et financières
adéquates et prévoir les délais.
C’est à ce niveau que se mesure l’importance de l’implication des experts lors de la déclinaison
des principes et objectifs généraux dans les différents domaines. Cela montre également
l’importance de l’applicabilité comme critère essentiel lors du choix et de la formalisation des
règles.
La validation du plan d’action doit passer par une étape de simplification de la PSSI pour
transmettre les messages forts à la Direction Générale.
Validation
Documents Validateur
PSSI Comité de Pilotage puis Direction générale
Plan d’action
Page 24 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
L’objectif de cette phase est de produire le document validé exprimant la Politique de Sécurité des
Systèmes d’Information de l’organisme. Ce document devra être validé et signé par la hiérarchie.
!
Conseil pratique :
Il est souvent conseillé de constituer un comité de sécurité qui sera
chargé de valider le contenu de la PSSI et de s’assurer de son évolution
dans le temps.
Démarche
Avant de procéder à une validation finale du document, une étape de revue doit être programmée
pour s’assurer de la cohérence de l’ensemble.
Enfin, cette étape de revue peut également conduire à réaliser une normalisation, voir une
simplification des éléments énoncés dans la politique, notamment dans un document de synthèse qui
permettra une meilleure implication de la hiérarchie.
Page 25 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
!
Conseil pratique :
Néanmoins, pour être applicable et rester utilisable par tous, son contenu
et sa forme doivent être adaptés selon les destinataires.
La PSSI est mise en œuvre au niveau de chaque site, division, service ou unité opérationnelle au
moyen d'un plan de sécurité qui décline les principes et les règles de sécurité en mesures de sécurité
techniques et non techniques adaptées aux moyens, à l'environnement et au fonctionnement du
système d'information de l'échelon considéré.
Il appartient aux autorités identifiées dans la PSSI, responsables de chaque unité opérationnelle, de
définir ces différentes mesures et de veiller à leur bonne application.
Démarche
La priorité est fixée pour s’assurer de la prise en compte des risques jugés les plus significatifs.
Le plan d’action sera soumis pour validation au comité de sécurité chargé de la validation et de
l’évolution de la politique.
!
Conseil pratique :
Pour obtenir une planification cohérente, il est nécessaire de se baser non
seulement sur la PSSI définissant l’objectif à atteindre, mais aussi sur la
situation actuelle. C’est ici que les contraintes organisationnelles et le
référentiel légal prennent toute leur importance, ainsi que la capacité du
personnel d’avancer vers le but. Il faut programmer toutes les actions,
parallèles, simultanées ou concurrentes et tenir compte des chronologies
et hiérarchies logiques.
Page 26 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Page 27 sur 29
SGDN / DCSSI / SDO / BCS PSSI – Section 2 – Méthodologie – 3 mars 2004
Identification de la contribution
Nom et organisme (facultatif) : ..................................................................................................................
Adresse électronique : ...............................................................................................................................
Date : .........................................................................................................................................................
Si oui :
Pensez-vous qu'il puisse être amélioré dans son fond ? Oui ! Non !
Si oui :
Si oui :
Si non :
Précisez le domaine pour lequel il ne vous convient pas et définissez ce qui vous
aurait convenu :
..........................................................................................................................................
..........................................................................................................................................