Politique de Sécurité du Système d'Informations

Previous Next

Tu es le RSSI d'une société multinationale européenne.

L'ancien RSSI n'a pas mis à jour la PSSI depuis 15 ans. Par exemple, il y est encore écrit que les sauvegardes se font sur des disquettes.

Tu dois rédiger la nouvelle PSSI en suivant ce plan :

  1. Intro
  2. Gouvernance de la sécurité
  3. Gestion des risques
  4. Règles générales de sécurité
  5. Sécurité des ressources humaines
  6. Gestion des accès
  7. Sécurité des postes de travail
  8. Sécurité des réseaux
  9. Sécurité des applications
  10. Sauvegarde et continuité
  11. Gestion des incidents
  12. Conformité et amélioration continue
  13. Annexes

Entreprise : Technova Solutions Version 1.0 Date : 03/06/2025 Responsable : RSSI

1. Introduction

La présente Politique de Sécurité des Systèmes d'Information (PSSI) définit le cadre stratégique, organisationnel et technique de la sécurité de l'information au sein de notre société multinationale européenne. Cette politique vise à protéger les actifs informationnels de l'entreprise, garantir la confidentialité, l'intégrité, la disponibilité et la traçabilité des données, et se conformer aux obligations réglementaires et contractuelles.

2. Gouvernance de la sécurité

La gouvernance de la sécurité repose sur une structure dédiée pilotée par le Responsable de la Sécurité des Systèmes d’Information (RSSI). Le RSSI est rattaché à la Direction Générale et anime le comité de sécurité. Ce comité définit les priorités, valide les plans d'action, et assure la cohérence des initiatives de sécurité au niveau international. Chaque entité locale dispose d’un référent sécurité.

3. Gestion des risques

Une analyse de risques est menée régulièrement selon la méthodologie EBIOS RM. Elle permet d’identifier les menaces pesant sur les actifs critiques, d’évaluer les impacts, et de déterminer les mesures de sécurité adaptées. Les risques inacceptables doivent faire l’objet de plans de traitement formalisés et suivis.

4. Règles générales de sécurité

Tous les utilisateurs doivent respecter les règles de sécurité applicables :

  • Ne pas partager ses identifiants.
  • Verrouiller sa session en cas d’absence.
  • Signaler toute anomalie ou incident.
  • Ne pas installer de logiciels sans autorisation.
  • Respecter les règles de gestion des mots de passe (complexité, renouvellement).

5. Sécurité des ressources humaines

Des clauses de confidentialité sont intégrées dans les contrats de travail. Des formations de sensibilisation à la cybersécurité sont dispensées régulièrement. En cas de départ d’un collaborateur, les accès sont révoqués immédiatement, et les équipements récupérés. Une charte informatique a également été signée contenant les règles à respecter lors de l'utilisation des outils et matériels informatique, elle est disponible à la fin de cette PSSI.

6. Gestion des accès

Les accès aux systèmes d'information sont accordés selon le principe du moindre privilège. Les droits sont accordés selon le rôle et font l’objet de revues régulières. Une authentification forte est exigée pour les accès distants et les comptes sensibles. La double authentification doit être activée pour votre compte professionnel. Une vérification des droits d'accès des comptes est réalisée tous les trimestres.

7. Sécurité des postes de travail

Les postes de travail sont protégés par antivirus, pare-feu local, chiffrement des disques et politiques de sécurité centralisées. Les mises à jour de sécurité sont déployées automatiquement. Il est nécessaire de redémarrer votre ordinateur le jour même où il vous l'est demandé. La mise hors tension à la fin du service convient pour l'installation des mises çà jour. L'utilisation de supports amovibles est restreinte et contrôlée.

8. Sécurité des réseaux

Les réseaux sont segmentés par zones de confiance. L’ensemble des flux entrants/sortants est filtré par des équipements de sécurité (pare-feux, IPS). Les connexions distantes sont chiffrées (VPN) et surveillées. Les réseaux Wi-Fi sont cloisonnés et protégés par authentification forte.

9. Sécurité des applications

Les développements internes suivent les bonnes pratiques OWASP. Les applications sont soumises à des tests de sécurité avant mise en production. Les mises à jour de sécurité applicatives sont intégrées dans un processus de gestion des vulnérabilités.

10. Sauvegarde et continuité

Les données critiques sont sauvegardées quotidiennement sur des infrastructures redondantes et géographiquement dispersées. Des tests de restauration sont réalisés trimestriellement. Un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) sont maintenus à jour et testés annuellement.

11. Gestion des incidents

Tout incident de sécurité doit être signalé immédiatement au RSSI. Une procédure d’escalade est définie selon la gravité de l’incident. Chaque incident fait l’objet d’une analyse post-mortem et de recommandations. Un CSIRT interne peut être activé en cas de crise majeure.

12. Conformité et amélioration continue

La PSSI est alignée sur les normes ISO/IEC 27001 et les exigences réglementaires (RGPD, NIS2…). Des audits internes sont réalisés annuellement. La politique est revue et mise à jour au minimum tous les 2 ans. Les non-conformités sont traitées dans une logique d’amélioration continue.

13. Annexes

  • Glossaire des termes utilisés
  • Charte informatique utilisateur
  • Modèle de plan de gestion des incidents
  • Rôles et responsabilités en cybersécurité
  • Liste des normes et référentiels applicables
  • Plan de sauvegarde

Company: Technova Solutions

Version 1.0

Date: 03/06/2025

Responsible: CISO

  1. Introduction

This Information Security Policy (ISP) defines the strategic, organizational, and technical framework for information security within our European multinational company.

The objective of this policy is to protect the company’s information assets, ensure data confidentiality, integrity, availability, and traceability, and comply with regulatory and contractual obligations.

  1. Security Governance

Security governance is based on a dedicated structure led by the Chief Information Security Officer (CISO). The CISO reports to the Executive Management and leads the Security Committee. This committee sets priorities, validates action plans, and ensures consistency of security initiatives across all international entities. Each local entity has a designated security representative.

  1. Risk Management

Risk assessments are conducted regularly using the EBIOS RM methodology. This helps identify threats to critical assets, evaluate impacts, and define appropriate security measures. Unacceptable risks must be addressed through formal and monitored treatment plans.

  1. General Security Rules

All users must comply with the applicable security rules:

  • Do not share credentials.
  • Lock your session when away from your desk.
  • Report any anomaly or incident.
  • Do not install software without authorization.

  • Follow password policies (complexity, renewal).

  • Human Resources Security

Confidentiality clauses are included in employment contracts. Regular cybersecurity awareness training is provided. Upon departure, access is revoked immediately, and equipment is collected. An IT usage charter outlining proper use of IT tools and devices is also signed and included in this policy's appendix.

  1. Access Management

Access to information systems is granted on a need-to-know basis following the least privilege principle. Rights are assigned based on roles and regularly reviewed. Strong authentication is required for remote access and sensitive accounts. Two-factor authentication must be enabled for professional accounts. Access rights are reviewed quarterly.

  1. Workstation Security

Workstations are protected with antivirus, local firewalls, disk encryption, and centralized security policies. Security updates are automatically deployed. Users must restart their computers the same day when prompted. Powering off the machine at the end of the workday allows updates to install. Use of removable media is restricted and controlled.

  1. Network Security

Networks are segmented by trust zones. All incoming and outgoing traffic is filtered using security devices (firewalls, IPS). Remote connections are encrypted (VPN) and monitored. Wi-Fi networks are segmented and protected by strong authentication.

  1. Application Security

Internal developments follow OWASP best practices. Applications undergo security testing before going live. Security patches are managed through a structured vulnerability management process.

  1. Backup and Continuity

Critical data is backed up daily on redundant and geographically dispersed infrastructures. Restoration tests are conducted quarterly. A Business Continuity Plan (BCP) and a Disaster Recovery Plan (DRP) are maintained and tested annually.

  1. Incident Management

All security incidents must be reported immediately to the CISO. An escalation procedure is defined based on incident severity. Each incident is subject to a post-mortem analysis and recommendations. An internal CSIRT may be activated during major crises.

  1. Compliance and Continuous Improvement

The ISP is aligned with ISO/IEC 27001 and applicable regulations (GDPR, NIS2, etc.). Internal audits are conducted annually. The policy is reviewed and updated at least every two years. Non-conformities are addressed in a continuous improvement approach.

  1. Appendices

  2. Glossary of terms used

  3. User IT Charter
  4. Incident management plan template
  5. Roles and responsibilities in cybersecurity
  6. List of applicable standards and frameworks
  7. Backup plan
Plan de Reprise d'Activités Administrer et sécuriser les infrastructures