Transcription

• Speaker #0

  Bonjour et bienvenue. Aujourd'hui, on plonge dans un document qui peut paraître un peu austère comme ça, mais qui est vraiment fondamental. C'est un guide sur la politique de sécurité des systèmes d'information, la fameuse PSSI.

• Speaker #1

  Oui, un guide qui date un peu, 2004, mais qui reste une référence intéressante. Publié à l'époque par le Secrétariat général de la Défense nationale, le SGDN, via la DCSSI. Et il s'adressait, et s'adresse toujours d'ailleurs dans l'esprit, aux administrations comme aux entreprises.

• Speaker #0

  Exactement. Notre source sont des extraits de ce guide officiel. Il n'est pas contraignant légalement, mais il se présente comme une référence solide.

• Speaker #1

  Tout à fait. Il s'appuie sur la législation de l'époque, des normes et puis l'expérience terrain accumulée.

• Speaker #0

  Notre objectif pour cette discussion, essayer d'extraire l'essentiel. C'est quoi la logique derrière une PSSI ? Quelle démarche est proposée ? Quels sont les grands principes de sécurité qui étaient mis en avant déjà à cette époque ?

• Speaker #1

  Bref, on va décortiquer ça ensemble pour voir ce qui reste pertinent, même plus de 20 ans après.

• Speaker #0

  Allons-y. Alors pour commencer, pourquoi est-ce qu'une organisation devrait se donner tout ce mal pour bâtir une PSSI structurée ? Le guide y martèle que c'est une nécessité absolue face aux risques.

• Speaker #1

  Ah oui, clairement. Les risques sont constants et une fraîche de sécurité, ça peut avoir des conséquences désastreuses, parfois même irréversibles. Une défaillance sérieuse, ça peut plomber les objectifs stratégiques d'une boîte ou la mettre en difficulté par rapport à ses obligations légales, tout simplement.

• Speaker #0

  Donc, la PSSI, c'est pas juste une liste de trucs techniques à faire ?

• Speaker #1

  Non, pas du tout. Le guide la présente vraiment comme un outil de pilotage du risque lié à l'information. Et point super important, elle doit être validée tout en haut de la hiérarchie. Sans cette validation au plus haut niveau, elle n'a pas le poids nécessaire.

• Speaker #0

  Donc, ce n'est pas un document que pour les informaticiens.

• Speaker #1

  Ah non, surtout pas. C'est un cadre de référence pour toute l'organisation. Le but, il est multiple en fait. Assurer la cohérence de toutes les actions de sécurité, protéger le patrimoine informationnel, les données, le savoir-faire, tout ça. Garantir la conformité aux lois, aux contrats avec les clients, les partenaires.

• Speaker #0

  Et clarifier les responsabilités aussi, j'imagine.

• Speaker #1

  Exactement. Clarifier qui fait quoi, qui est responsable de quelle partie de la sécurité. Et c'est ce cadre qui va ensuite guider les choix. plus technique ou organisationnelle ou même contractuelle. C'est vraiment la colonne vertébrale de la sécurité.

• Speaker #0

  Ce qui est frappant, je trouve, c'est que dès 2004, le guide insiste pour ancrer cette PSSI dans un paysage juridique et réglementaire qui était déjà assez dense.

• Speaker #1

  Oui, ce n'est pas que de la technique, loin s'en faut.

• Speaker #0

  On voit des références à plein de niveaux. ONU, OCDE sur la vie privée, Convention européenne des droits de l'homme, des directives européennes aussi. Sur la protection des données, celle de 1995, l'ancêtre du RGPD quelque part. Ou sur la vie privée et le communication électronique de 2002.

• Speaker #1

  Et le droit français, bien sûr. La déclaration des droits de l'homme, la loi informatique et liberté de 78, les avis de la SNIL. Tout ce contexte juridique, ça souligne une idée très forte du guide. La sécurité de l'info, c'est pas juste protéger des machines.

• Speaker #0

  C'est aussi la conformité légale.

• Speaker #1

  Voilà, c'est assurer la conformité. protéger les droits fondamentaux, la vie privée, la liberté d'expression, bien gérer les données personnelles, comment on les collecte, comment on les traite, les droits des personnes et puis la propriété intellectuelle aussi.

• Speaker #0

  Le guide mentionne même des textes très spécifiques, j'ai vu, comme les IGI, les instructions générales interministérielles.

• Speaker #1

  Oui, comme l'IGI 13000 pour le secret défense, ça montre que la démarche PSSI doit pouvoir s'appliquer même dans des contextes très très sensibles. Le message clé ici, c'est... Une PSSI solide, elle doit intégrer ses obligations légales dès le départ. On ne peut pas faire l'impasse dessus et se dire on verra plus tard si c'est légal.

• Speaker #0

  Non, la conformité c'est à la base.

• Speaker #1

  C'est ça, c'est un ingrédient de base.

• Speaker #0

  D'accord, cette base légale est claire. Mais alors concrètement comment on fait ? Le guide propose une méthode, il ne donne pas juste des grands principes.

• Speaker #1

  Effectivement, il y a une méthodologie assez détaillée. C'est présenté comme un vrai projet PSSI.

• Speaker #0

  L'idée c'est que ça ne s'improvise pas quoi.

• Speaker #1

  Exactement. Ça se déroule en quatre grandes phases. Une phase zéro, de préparation.

• Speaker #0

  Préalable, oui.

• Speaker #1

  Une phase un, plus stratégique. Une phase deux, pour choisir les principes et écrire les règles. Et la phase trois, la finalisation.

• Speaker #0

  Et le guide insiste beaucoup, j'ai noté, sur l'implication de la direction.

• Speaker #1

  Ah oui, et sur les moyens nécessaires, humains notamment. C'est pas un projet qu'on fait à côté du reste.

• Speaker #0

  Alors, la phase zéro, la préparation.

• Speaker #1

  Ben, c'est là qu'on met tout en place. On organise le projet, on définit les objectifs précis de la PSSI, on estime les moyens, et surtout, on constitue ce que le guide appelle le référentiel documentaire.

• Speaker #0

  C'est-à-dire ?

• Speaker #1

  C'est une compilation de tout ce qui contraint l'organisme. Les lois, les règlements, les contraintes importantes, les chartes éthiques s'il y en a, et même les contraintes techniques déjà existantes. Et un point clé, mettre sur pied un comité de pilotage, représentatif, légitime pour prendre des décisions, avec les métiers, le juridique, l'IT.

• Speaker #0

  D'accord. Et ensuite, la phase 1, la stratégie.

• Speaker #1

  Alors là, c'est le cœur stratégique. On définit le périmètre exact de la PSSI, quels systèmes, quelles infos sont couvertes. On identifie les grands enjeux pour l'organisme. Qu'est-ce qui est vraiment critique ? On affine... La prise en compte du cadre légal spécifique à l'activité de l'entreprise ou de l'administration. Et on élabore une échelle de besoins.

• Speaker #0

  Pour la confidentialité, l'intégrité, la disponibilité. Le faveux CAID.

• Speaker #1

  C'est ça. Et cette échelle, elle doit être basée sur l'impact potentiel si ça tourne mal. Perte d'image, perte financière, sanctions. Toujours dans cette phase 1, on identifie les biens essentiels à protéger, les données vitales, les services critiques. on exprime les b... besoin de sécurité pour ses biens. Et enfin, point important, on identifie les origines possibles des menaces.

• Speaker #0

  Humaines, naturelles, accidentelles.

• Speaker #1

  Oui, erreurs humaines, malveillance, inondations, pannes, attaques délibérées. Le guide suggère d'ailleurs de s'appuyer sur une anérise de risque si elle existe déjà.

• Speaker #0

  Et ce qui est intéressant, c'est qu'à ce stade, on ne cherche pas les failles techniques précises.

• Speaker #1

  Non, on reste plus haut. On essaye de comprendre d'où peuvent venir les problèmes, les sources de menaces potentielles.

• Speaker #0

  C'est très structuré comme approche. On part du global, des enjeux, des obligations, pour arriver aux besoins, avant même de penser aux solutions.

• Speaker #1

  Tout à fait.

• Speaker #0

  Une fois qu'on a défini ce cap stratégique, comment on passe à l'action ? C'est la phase 2.

• Speaker #1

  C'est ça, phase 2. On prend les besoins et les menaces identifiés en phase 1 et on choisit les principes de sécurité pertinents dans la longue liste du guide. Mais l'étape la plus importante, c'est la traduction. Traduire ces grands principes, parfois un peu généraux, en règles de sécurité concrètes, précises et surtout adaptées au contexte.

• Speaker #0

  Parce qu'une règle peut être bonne sur le papier, mais inapplicable en pratique.

• Speaker #1

  Exactement. Une règle pour un grand groupe ne sera pas forcément pertinente pour une PME.

• Speaker #0

  Et c'est souvent là que ça coince, non ? Ce passage des grands principes aux règles du quotidien.

• Speaker #1

  Oui, tout à fait. Et le guide insiste là-dessus. Il faut impliquer les experts techniques, bien sûr, mais aussi les responsables opérationnels, les gens du terrain.

• Speaker #0

  Pour s'assurer que les règles sont réalistes.

• Speaker #1

  réalistes, compréhensibles, applicables et qu'on pourra vérifier si elles sont suivies auditable. Il faut pouvoir justifier les choix de règles, évaluer le rapport coût-bénéfice. Ce n'est pas juste cocher des cases dans une liste de bonnes pratiques. C'est un vrai travail d'adaptation, d'arbitrage.

• Speaker #0

  D'accord. Et la dernière phase, la phase 3, c'est pour formaliser tout ça ?

• Speaker #1

  Précisément. On rédige le document final de la PSSI. On le fait valider formellement par la direction. Ça boucle la boucle avec l'implication demandée au début. Et surtout, étape critique, on élabore et on fait valider un plan d'action. Concrète. Qui fait quoi ? Pour quand ? Avec quels moyens ?

• Speaker #0

  Sans ça, la PSSI reste un vœu pieux.

• Speaker #1

  Exactement. Le guide ne le dit pas comme ça, mais c'est l'idée. Sans plan d'action, ça risque fort de finir sur une étagère.

• Speaker #0

  Parlons un peu de ces fameux principes de sécurité. Le guide en liste énormément, organisé en 16 domaines. On ne va pas tous les détailler, ce serait indigeste.

• Speaker #1

  Non, mais on peut en prendre quelques exemples significatifs, pour donner une idée de la profondeur, déjà en 2004.

• Speaker #0

  Oui, ça couvre l'organisation, l'humain, la technique.

• Speaker #1

  Alors, sur l'organisation, par exemple, le domaine ORG. Un principe fondamental. Nommer un responsable de la sécurité des systèmes d'information, le RSSI.

• Speaker #0

  Et le rattacher à la direction.

• Speaker #1

  Voilà, pour qu'il ait l'autorité nécessaire. Le guide détaille aussi les responsabilités au niveau décisionnel, pilotage, opérationnel. Qui fait quoi ? Il introduit même une distinction intéressante entre le responsable détenteur, de l'info, celui qui définit sa valeur, ses besoins, et le responsable dépositaire, celui qui la gère techniquement, pour clarifier les rôles.

• Speaker #0

  Intéressant. Et sur la politique elle-même, le domaine PSI ?

• Speaker #1

  Le guide dit qu'une PSSI, ça doit vivre. Principe PSI 01. Il faut la réexaminer périodiquement, elle n'est pas gravée dans le marbre. Sa diffusion doit être contrôlée, PSI 02. Tout le monde n'a pas besoin de tout lire. Et il faut contrôler son application, PSI 03.

• Speaker #0

  Via des audits, j'imagine ?

• Speaker #1

  Oui, par exemple. C'est aussi là qu'on formalise l'échelle de deux ou un CID et les critères pour classifier l'information, sensible, vitale, stratégique. PSI 0506.

• Speaker #0

  Et les aspects humains ? Domaine AFSH ?

• Speaker #1

  Crucial. La sécurité, c'est jamais que de la technique. Le guide parle de l'engagement de responsabilité du personnel, ASH01, des clauses de sécurité dans les contrats, ASH02, et le fameux principe du besoin d'en connaître, ASH04. On ne donne accès qu'à ce qui est strictement nécessaire pour le travail. C'est la base des habilitations.

• Speaker #0

  Très clair. Et côté exploitation et XP ? Là, on est dans le concret.

• Speaker #1

  Oui, très opérationnel. Exemple, séparer les environnements de dev, de test et de prod. XP03. C'est fondamental pour éviter les catastrophes. Il y a des règles sur l'infogérance, XP04, XP09, le contrôle antivirus systématique, XP11, la lutte contre les malwares, XP15, et même la mise au rebut sécurisée des supports, XP22. Comment on jette un vieux disque dur sans laisser filer des données ?

• Speaker #0

  Le contrôle d'accès logique aussi, CAL, c'est un gros morceau.

• Speaker #1

  Ah oui ! Protéger contre les intrusions, CAL01. Cloisonner les réseaux, filtrer les flux avec des pare-feux, CAL02. Définir comment utiliser les réseaux de manière sûre, CAL3. Protéger les accès spéciaux comme ceux pour la maintenance, CAL08. Et un truc simple mais efficace, le verrouillage des sessions inactives, CAL13. Si on quitte son poste, l'écran se verrouille.

• Speaker #0

  La journalisation, GRN, c'est important aussi pour savoir ce qui s'est passé.

• Speaker #1

  Essentiel. Pouvoir tracer, détecter les intrusions, GRN01, constituer des preuves exploitables, GRN03, et gérer ces traces, les collecter, les archiver, les analyser et les protéger elles-mêmes, GRN04.

• Speaker #0

  Le guide parle même de cryptographie, IGC et GER.

• Speaker #1

  Oui, identifier où le chiffrement est nécessaire, GER06, politique de gestion des clés IGC01 et surtout protéger les clés secrètes ou privées IGC02. Si la clé est compromise, tout s'écroule.

• Speaker #0

  Il va même jusqu'au signaux compromettant, SCP.

• Speaker #1

  Oui, pour le très sensible, il aborde la protection contre l'espionnage électromagnétique, le fameux Tempest. Ça montre le niveau de détail possible.

• Speaker #0

  Effectivement, la liste est impressionnante pour l'époque. Ça montre bien l'étendue des sujets. Alors, une fois qu'on a rédigé cette PSSI, qu'elle est validée, que le plan d'action est lancé, on peut enfin souffler ?

• Speaker #1

  Ah ben non, pas vraiment. J'allais dire, c'est presque là que le vrai travail commence, le travail au long cours.

• Speaker #0

  Ah bon ?

• Speaker #1

  Oui, le guide insiste sur les suites à donner. D'abord, la PSSI, c'est souvent un document assez général. Il faut la décliner en procédure opérationnelle concrète, utilisable par les équipes au quotidien. Ensuite, il faut suivre le plan d'action, vérifier qu'il avance. Et puis, les audits réguliers, c'est indispensable.

• Speaker #0

  Organisationnel et technique.

• Speaker #1

  Les deux. Est-ce que l'organisation fonctionne comme prévu ? Est-ce que les règles techniques sont bien en place ? Et est-ce qu'elles sont efficaces ? Ces audits, ça permet de vérifier et d'ajuster le tir.

• Speaker #0

  Et il faut rester vigilant sur ce qui se passe à l'extérieur.

• Speaker #1

  Absolument. Veille sur les menaces, sur les technologies et avoir une organisation prête à réagir en cas d'alerte, d'incident. L'APSSI doit être un document vivant.

• Speaker #0

  C'est ce que disait le principe PSI 01, le réexamen périodique ?

• Speaker #1

  Exactement. Et le PSI 03, le contrôle de l'application. Et il ne faut jamais oublier la sensibilisation et la formation continue du personnel.

• Speaker #0

  C'est couvert par le domaine FOR du guide ?

• Speaker #1

  L'humain, toujours.

• Speaker #0

  Essentiel. Pour que les règles soient comprises, acceptées, appliquées. La meilleure politique du monde est inutile si personne ne la respecte.

• Speaker #1

  En résumé, donc, ce guide de 2004 ? Il décrit la création d'une PSSI comme un vrai projet stratégique. C'est très structuré, ancré dans le légal, dans les enjeux métiers.

• Speaker #0

  Oui, ça implique beaucoup de monde, ça demande un soutien clair de la direction.

• Speaker #1

  Et ce n'est pas un one-shot, c'est un effort continu, mise à jour, contrôle, sensibilisation. La variété des principes abordés montre déjà la complexité et l'importance de tout ça.

• Speaker #0

  Tout à fait. Qu'est-ce que ça nous apprend finalement de relire ça aujourd'hui ?

• Speaker #1

  Ça montre la profondeur de la réflexion nécessaire, même il y a plus de 20 ans. Une approche qui était déjà très mature.

• Speaker #0

  C'est ça. Et justement, le fait que ça date de 2004, ça rend la relecture intéressante. Parce que quand on voit l'évolution fulgurante depuis...

• Speaker #1

  Le cloud, l'IA, les objets connectés...

• Speaker #0

  Les ransomware de plus en plus sophistiqués...

• Speaker #1

  Le paysage de la menace a radicalement changé, c'est clair.

• Speaker #0

  Alors, la question qu'on peut se poser...

• Speaker #1

  Oui, ça nous amène à une réflexion pour conclure peut-être. C'est dans quelle mesure est-ce que les principes fondamentaux de sécurité qu'on a vus, le besoin d'en connaître... la séparation des environnements, l'importance des audits et surtout la méthodologie.

• Speaker #0

  Cette approche structurée, partir des enjeux, définir les besoins, analyser les risques, organiser les responsabilités, planifier, suivre, adapter.

• Speaker #1

  Voilà, dans quelle mesure est-ce que tout ça reste pertinent aujourd'hui, même si évidemment les règles techniques spécifiques doivent être mises à jour constamment ? Est-ce que ce cadre de pensée, cette approche méthodique, ne constitue pas toujours la base la plus solide pour construire une cybersécurité résiliente face aux défis d'aujourd'hui et de demain.

• Speaker #0

  C'est une bonne question pour terminer. Ça suggère que les fondations posées à l'époque étaient peut-être plus solides qu'on l'imagine parfois.

• Speaker #1

  C'est une piste intéressante, en effet.