Par Stéphane Astier et Maxime Kubiak
Toute entreprise, et plus généralement toute structure publique ou privée produit et collecte des informations et données de différentes natures : commerciale, industrielle, technique, comptable etc.
Une partie d’entre elles revêt un caractère sensible et stratégique qui constitue le cœur de son patrimoine informationnel.
La transition numérique de notre société doit conduire à une prise de conscience accrue des enjeux relatifs à la sécurité des systèmes d’information.
Périmètre à protéger, nature des risques, mesures de protection, principes de gouvernance et de contrôle, dispositifs de sensibilisation et de formation sont ainsi à prévoir.
Un document spécifique est prévu pour cela : il s’agit de la Politique de Sécurité des Systèmes d’Information (PSSI).
Qu’est-ce qu’une PSSI ?
La Politique de Sécurité des Systèmes d’Information se définit comme « l’ensemble formalisé des éléments stratégiques, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection du (des) systèmes d’information de l’organisme[1] ».
Ce document reflète la stratégie de sécurisation du système d’information de la structure concernée en mettant en évidence les objectifs, obligations et engagements de l’organisme vis à vis des tiers (Etat, partenaires, clients, sous-traitants, etc.).
La PSSI détaille également les responsabilités de l’ensemble des acteurs ainsi que les principes et règles applicables à la sécurité des systèmes.
A noter que si la PSSI traduit la reconnaissance officielle de l’importance accordée par la Direction de l’organisme à la Sécurité des Systèmes d’Information, il est tout à fait possible de décliner des PSSI techniques par métier, activité ou système.
D’autre part, la PSSI n’est pas un document figé : elle doit au contraire évoluer au gré de l’évolution des menaces et des transformations de l’organisme (variations des besoins de sécurité et des enjeux, réévaluation de la menace, etc.)
Pourquoi faire une PSSI ?
Sur le plan réglementaire
La PSSI, au même titre que la politique de gestion des habilitations ou le Plan de Continuité d’activité, est une mesure organisationnelle interne, ces documents sont intégrés au référentiel sécurité de l’organisme.
En cas d’incident, de contrôle ou d’audit d’un client ; l’absence de tels documents, peut être de nature à engager la responsabilité de l’organisme sur le fondement des articles 24 et 32 du RGPD qui imposent la mise en œuvre de mesures techniques mais également organisationnelles dédiées à la sécurité des données ; mesures devant faire l’objet d’une formalisation écrite en application notamment de l’obligation de documentation renforcée (ou accountability)
Sur le plan contractuel
La réponse aux appels d’offres, aux demandes de garanties cyber des clients, l’engagement de processus de certification pour accéder à des nouveaux marchés sont autant d’exemples de situation dans lesquelles la formalisation d’une PSSI constitue un pré requis essentiel.
Sur le plan opérationnel
La réalisation d’un tel document prend également toute son importance au regard de l’impérieuse nécessité de s’organiser contre une menace cyber qui n’a jamais été aussi prégnante et qui touche désormais n’importe quel organisme. Ainsi, selon Cybint, près de la moitié des cyberattaques ciblent les petites entreprises[2], à raison d’une attaque toutes les 39 secondes[3].
Or, rappelons ici qu’en cas de défaillance de la sécurité du système, une attaque cyber pourra entraîner des conséquences pouvant aller jusqu’à la remise en cause de la pérennité de l’organisme.
Pour illustrer ce risque, trois types de compromissions sont traditionnellement présentés :
- Compromission du patrimoine matériel de l’organisme (serveurs, réseaux, postes de travail, applicatifs logiciels)
- Compromission du patrimoine immatériel et intellectuel (données scientifiques, techniques, professionnelles, administratives)
- Compromission des informations relatives aux personnes physiques et morales traitant avec l’entreprise (destruction, altération, indisponibilité, divulgation)
A la lumière de ces compromissions, il devient clair qu’une attaque cyber ne va pas se limiter à des pertes de données et à des difficultés opérationnelles. Ce type d’attaque est en effet source de dangers multiples engageant directement l’image de l’organisme et sa responsabilité juridique vis-à-vis des tiers.
Contenus d’une PSSI
Il n’existe pas de modèle type de PSSI, celle-ci doit être personnalisée en fonction de l’environnement dans lequel elle s’insère.
La PSSI doit tout d’abord proposer une évaluation du niveau d’exposition de l’organisme au risque cyber ainsi qu’une prise en compte des différents enjeux associés. Elle décrit l’organisation ainsi que le rôle et les responsabilités de chaque acteur dans la prévention et la réaction au risque informatique. Elle pourra à ce titre utilement faire référence à la Politique de Gestion des Incidents liés aux Systèmes d’Information – autre élément essentiel de la protection contre le risque cyber. Devront en outre être traités les questions liées à la sensibilisation à la formation, aux mesures prises visant à assurer la sécurité logique et physique de l’organisme, du matériel informatique et des réseaux.
S’il fallait identifier un socle commun de règles à observer, il conviendrait de mentionner les normes ISO 27001 et 27002 mais également les critères communs ou « Common Criteria » (CC) qui constituent un ensemble de normes (ISO 15408) reconnus au plan international et dont l’objectif est d’évaluer la sécurité des systèmes et logiciels informatiques.
Enfin, la PSSI peut également tenir compte des recommandations issues d’instances internationales, nationales, professionnelles ou sectorielles ; ou de la culture de l’entreprise, de ses habitudes et règlements internes.
Comment fonctionne une PSSI ?
Il sera essentiel de s’assurer de l’engagement de l’ensemble des acteurs de l’organisme, notamment par une objectivisation des risques et des bénéfices attendus par l’adoption d’une PSSI.
Cette procédure constituera enfin un véritable atout pour la chefferie de projet dans la mesure où la sécurité pourra être intégrée par défaut pour les nouveaux services du système d’information et contribuer à une application à tous les niveaux des règles afférentes à la sécurité.
Document essentiel de conformité, mesure évaluée dans le cadre d’appels d’offres, d’audit client ou de démarche de certification, atout de chefferie de projet informatique, outil de gouvernance et de structuration de l’organisme : la PSSI n’en a pas fini de dévoiler ses beaux atouts.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise . Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.
[1] Secrétariat général de la défense nationale, « Guide pour l’élaboration d’une politique de sécurité de système d’information », mars 2004
[2] Cybint, « 15 Alarming Cyber Security Facts and Stats », Décembre 2020
[3] Norton, « 115 Cybersecurity statistics and trends you need to know in 2021 », Août 2021