Pour pouvoir piloter les actions de cybersécurité dans une entreprise, le comité de direction doit avant tout définir sa vision. Cette vision est formalisée dans un document, sobrement appelé politique de sécurité du système d’information (PSSI).

Et si elle est souvent perçue comme une pratique associée aux grandes organisations, la politique de sécurité peut en réalité s’appliquer à toute taille d’entreprise.

Mais alors, quel est l’intérêt de mettre en place une telle politique ? Comment permet-elle à une entreprise de (mieux) gérer sa sécurité de l’information ? Voici ses 5 principaux avantages.

#1 Clarifier les rôles et responsabilités au sein de l’entreprise

La politique de sécurité de l’entreprise se veut être un document de référence. L’un de ses objectifs est d’identifier les acteurs présents : employés, sous-traitants, prestataires de services… Sa mise en place permet de clarifier les périmètres, rôles et responsabilités liés à la sécurité des systèmes informatiques.

Cette clarification :

  • facilite la mise en œuvre des politiques de sécurité ;
  • assure que chaque membre de l’organisation comprend ses obligations et ses responsabilités ;
  • impose un cadre auquel il faut se conformer.

Le but ? Que la politique de sécurité soit à la fois pragmatique et applicable par tous !

Quelques exemples de rôles attribués
  • Le RSSI est chargé de la supervision globale de la sécurité des SI.
  • Les administrateurs systèmes gèrent les aspects techniques et de production, tels que l’implémentation des règles de sécurité et le maintien opérationnel des équipements de sécurité.
  • Les utilisateurs finaux, quant à eux, ont des responsabilités quant à l’utilisation de l’outil informatique de l’entreprise. Cela passe par exemple par la mise en œuvre d’un outil de protection des mots de passe et du traitement sécurisé des données, accompagnées d’actions de sensibilisation tout au long de l’année.

Puisque la cybersécurité se doit d’être un enjeu commun de l’organisation, cette responsabilisation permet de réduire les risques de négligence ou de malveillance interne. Rappelons qu’en 2024, 95 % des fuites de données étaient dues à une erreur humaine, selon une étude d’IBM. L’enjeu est donc de taille !

#2 Obtenir une vision de la posture de cybersécurité de l’entreprise

L’analyse de risques

En analysant préalablement les risques encourus par l’entreprise et son niveau de sécurité, la politique de sécurité permet d’identifier les forces et les faiblesses dans l’organisation.

Cette analyse a une triple fonction :

  • mettre en exergue les menaces potentielles ;
  • évaluer le niveau de criticité des actifs informatiques (serveurs, réseau, postes de travail, téléphonie) ;
  • mesurer l’impact potentiel de leur dysfonctionnement sur l’entreprise.

Sur la base de ces résultats ET du projet de gouvernance de l’entreprise, la direction peut ainsi établir une vision à la fois stratégique et tactique de la sécurité du système d’information. Il est alors possible de prioriser les actions de sécurisation sur des horizons à moyen et long terme.

Un monitoring en continu

En complément, la P.S.S.I instaure un processus de revue régulière, qui assure que la stratégie de sécurité reste en alignement avec les objectifs d’affaires et les exigences réglementaires.

Dans le cas où une entreprise découvre que de nouvelles technologies ou pratiques émergentes présentent des risques non couverts par la politique actuelle, la PSSI fournira un cadre pour intégrer rapidement des mesures de sécurité et de mitigation adéquates. Ce fut par exemple le cas avec l’avènement de l’intelligence artificielle générative à la fin de l’année 2021, qui a soulevé de nombreuses interrogations en matière de sécurité et de confidentialité des données.

#3 Appuyer les projets internes relatifs à la cybersécurité

Autre avantage de la PSSI : en élaborant un calendrier de mise en œuvre des actions, elle permet d’accélérer les investissements dans les projets de cybersécurité de l’entreprise – ce qui n’est pas toujours une mince affaire.

Prenons un cas concret. Imaginons que la politique de sécurité du système d’information d’une entreprise stipule :

  • la nécessité d’une authentification forte ;
  • le renforcement de la gestion des droits d’accès basée sur les rôles ;
  • la surveillance régulière des activités d’accès.

Le RSSI peut alors requérir l’implémentation de solutions de gestion des identités et des accès (IAM) et de gestion des privilèges d’accès (PAM).

De même, si la PSSI exige une protection renforcée des postes de travail, le RSSI est en mesure de soutenir cette demande en proposant l’adoption de solutions de détection et de réponse aux endpoints (EDR).

En bref, les directives claires présentes dans la PSSI permettent une mise en place plus rapide et plus efficace des technologies essentielles à la sécurité informatique de l’entreprise !

#4 Impliquer les dirigeants dans les enjeux de cybersécurité

Il n’est pas rare que les directions des entreprises aient une méconnaissance (voire un désintérêt) concernant les sujets liés à la cybersécurité. C’est précisément pourquoi la politique de sécurité informatique se doit de refléter les prises de position de la direction.

Cette dernière se voit ainsi impliquée directement, puisqu’elle pourra être exposée à des fautes de gestion en cas de constatation de non-implication.

#5 Assurer la conformité réglementaire grâce à une politique de sécurité

L’adoption d’une politique de sécurité des systèmes d’information aide les entreprises à répondre aux exigences de conformité.

Et pour cause, la clause 5.2 de la norme ISO 27001 indique elle-même que la direction doit :

  • établir une politique de sécurité qui soit alignée sur les objectifs de l’organisation ;
  • répondre aux exigences de sécurité applicables ;
  • promouvoir l’amélioration continue du management de la sécurité de l’information.

La directive NIS2 n’est pas en reste, puisque son article 20 stipule que les dirigeants des entités essentielles et importantes (EE et EI) doivent approuver et superviser les mesures de gestion des risques de cybersécurité pour garantir la conformité avec l’article 21. Ils peuvent également être tenus responsables des violations de cette directive.

Cela implique naturellement une responsabilisation accrue de la part des hauts dirigeants, les poussant à être plus impliqués dans les stratégies de cybersécurité et à assurer une surveillance effective de leur mise en œuvre.

Enfin, dans certains cas, la PSSI est tout bonnement obligatoire. C’est le cas de l’instruction N°SG/DSSIS/2016/309 du 14 octobre 2016, qui impose la mise en œuvre d’un plan de sécurité informatique pour les établissements de santé.

L’essentiel

Plus qu’une simple formalité administrative, la PSSI est la clé de voûte de la sécurité informatique de l’entreprise.

En formalisant les exigences de sécurité, elle permet une mise en œuvre accélérée des solutions technologiques et des procédures nécessaires, soutient la conformité réglementaire et clarifie les rôles et responsabilités de chaque acteur au sein de l’organisation. Cette structure bien définie aide non seulement à protéger efficacement les ressources informatiques, mais aussi à impliquer la direction au travers d’une vision commune de la sécurité.

Pour plus d’informations sur la façon dont Tenacy peut vous aider à élaborer, implémenter et gérer votre PSSI, découvrez Tenacy for Business !