Retour aux actualitésPSSI

    PSSI : élaborer sa politique de sécurité des SI — guide pratique PME 2026

    15 min de lecture

    La PSSI (Politique de Sécurité des Systèmes d'Information) est le document fondateur de votre dispositif de cybersécurité. Elle définit les règles, responsabilités et objectifs de sécurité de votre organisation. Exigée par la norme ISO 27001 (clause 5.2), recommandée par l'ANSSI et de facto obligatoire pour les entités NIS2, elle est pourtant encore absente dans 60 % des PME françaises (CESIN 2025).

    Qu'est-ce qu'une PSSI et pourquoi en avoir une ?

    Une PSSI est un document stratégique et décisionnel qui :

    • Exprime l'engagement de la direction en matière de sécurité de l'information.
    • Définit les objectifs de sécurité alignés avec les enjeux métier.
    • Établit le cadre des règles de sécurité applicables à l'ensemble de l'organisation.
    • Fixe les rôles et responsabilités (RSSI, DPO, administrateurs système, utilisateurs).
    • Démontre la conformité aux exigences réglementaires (NIS2, RGPD, ISO 27001, DORA).

    Ce que la PSSI n'est pas : une procédure technique détaillée. Elle est un cadre de haut niveau qui donne lieu à des procédures et chartes spécifiques (charte utilisateur, procédure de gestion des incidents, politique de mots de passe, etc.).

    Structure type d'une PSSI

    1. Périmètre et contexte

    • Champ d'application : systèmes, sites, filiales, tiers concernés par la PSSI.
    • Contexte organisationnel : activité, taille, secteur, enjeux métier.
    • Contexte réglementaire : réglementations applicables (RGPD, NIS2, sectorielles).
    • Parties prenantes internes et externes impactées.

    2. Déclaration de politique (management statement)

    Engagement formel de la direction générale, signé par le DG ou PDG. Ce n'est pas une formalité : c'est le signal que la sécurité est une priorité stratégique et non uniquement un sujet technique. La déclaration doit mentionner les objectifs de sécurité, l'allocation des ressources et l'engagement à la revue régulière de la politique.

    3. Principes directeurs

    • Disponibilité, Intégrité, Confidentialité, Preuve (DICP) — hiérarchisation selon les enjeux métier.
    • Défense en profondeur : plusieurs couches de sécurité complémentaires.
    • Principe de moindre privilège : accès restreints au strict nécessaire.
    • Sécurité by design et by default : sécurité intégrée dès la conception des projets.
    • Responsabilité individuelle : chaque utilisateur est responsable de l'usage qu'il fait des SI.

    4. Organisation de la sécurité

    • Rôles et responsabilités : RSSI, DPO, administrateurs, référents sécurité, utilisateurs.
    • Instances de gouvernance : comité de pilotage sécurité, fréquence des revues.
    • Gestion des tiers : exigences de sécurité pour les fournisseurs et sous-traitants.
    • Sensibilisation et formation : plan annuel de formation à la sécurité.

    5. Domaines de sécurité couverts

    La PSSI doit couvrir (au minimum) les domaines suivants :

    • Gestion des actifs : inventaire, classification, ownership des actifs informationnels.
    • Contrôle d'accès : politique IAM, mots de passe, MFA, gestion des habilitations.
    • Cryptographie : algorithmes autorisés, gestion des clés.
    • Sécurité physique : contrôle d'accès aux locaux, sécurité des équipements.
    • Sécurité des opérations : gestion des changements, gestion des vulnérabilités, logs.
    • Sécurité des communications : politique réseau, chiffrement des flux, Wi-Fi.
    • Développement et maintenance : cycle de développement sécurisé (SDLC), tests.
    • Gestion des incidents : processus de détection, réponse, notification, retour d'expérience.
    • Continuité d'activité : PCA, PRA, tests de restauration.
    • Conformité : RGPD, réglementations sectorielles, audits réguliers.

    6. Gestion des exceptions et des dérogations

    Définir le processus pour les cas où une règle ne peut pas être appliquée : formulaire de dérogation, validation par le RSSI et la direction, durée limitée, mesures compensatoires.

    7. Révision et amélioration continue

    • Fréquence de révision : au moins annuelle et après tout incident majeur.
    • Processus de mise à jour : qui peut proposer des modifications, qui les approuve.
    • Indicateurs de performance (KPIs) de la politique de sécurité.

    Lien avec NIS2 et ISO 27001

    NIS2

    L'article 21 de la directive NIS2 impose aux entités essentielles et importantes d'adopter des "politiques de sécurité des réseaux et des systèmes d'information". La PSSI en est la traduction directe. Les entités NIS2 doivent pouvoir présenter leur PSSI lors des contrôles de l'ANSSI.

    ISO 27001:2022

    La clause 5.2 de l'ISO 27001:2022 exige une politique de sécurité de l'information approuvée par la direction, communiquée en interne et disponible pour les parties intéressées. La PSSI est le document de référence pour tout projet de certification ISO 27001.

    Méthode de rédaction en 5 étapes

    1. Analyse du contexte : cartographier les actifs critiques, identifier les menaces et enjeux réglementaires via EBIOS RM ou une analyse de risques simplifiée.
    2. Atelier de co-construction : impliquer la direction générale, le RSSI, le DPO, les responsables métier et l'IT — la PSSI n'est pas un document IT.
    3. Rédaction et revue : rédiger les chapitres en language accessible (pas de jargon technique dans la PSSI principale), faire relire par des non-techniciens.
    4. Validation et diffusion : signature par la direction, communication à l'ensemble des collaborateurs et aux tiers concernés.
    5. Déclinaison opérationnelle : rédiger les procédures, chartes et politiques thématiques qui découlent de la PSSI (charte utilisateur, politique de patch, politique de sauvegarde).

    Pièges à éviter

    • PSSI trop technique : elle doit être compréhensible par la direction et les utilisateurs, pas seulement par les techniciens.
    • PSSI non signée par la direction : sans signature de la DG, elle n'a pas de force normative.
    • PSSI non communiquée : un document que personne n'a lu n'a aucun effet.
    • PSSI jamais révisée : une PSSI de 2019 non mise à jour ne couvre pas NIS2 ni les menaces actuelles.
    • Règles inapplicables : une PSSI remplie de règles idéales que l'organisation ne peut pas respecter crée un écart dangereux entre politique et pratique.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit