Un poste de travail dans un bureau français avec une PSSI imprimée posée sur le bureau, illustrant l'écart entre une politique écrite et le comportement quotidien des collaborateurs
compliance cybersecurity

Conformité PSSI pour les entreprises françaises : 5 étapes pour opérationnaliser l'ANSSI

Q
By Quentin F.
· · Updated · 11 min read

Votre PSSI satisfait les auditeurs mais les collaborateurs l'ignorent. Voici comment transformer une politique alignée ANSSI en comportements mesurables — prête pour NIS2, en 5 étapes.

Une PSSI n’a de valeur que celle des comportements quotidiens des collaborateurs qu’elle régit. La plupart des entreprises françaises en possèdent une qui prend la poussière sur un drive partagé — et c’est précisément dans l’écart entre ce que la politique énonce et ce que les collaborateurs font vraiment que les incidents surviennent.

Il existe, quelque part dans un drive partagé de votre organisation, un document. Il s’appelle probablement « PSSI » ou « Politique de Sécurité des Systèmes d’Information ».

Il a été rédigé — ou plus vraisemblablement adapté à partir d’un modèle — lors du dernier audit de conformité de votre entreprise, ou quand un nouveau DSI a décidé de formaliser les choses. Il couvre la politique de mots de passe, les contrôles d’accès, l’usage acceptable des ressources de l’entreprise, les procédures de réponse aux incidents, et une dizaine d’autres sujets.

Il fait probablement entre 40 et 80 pages. Sa dernière mise à jour remonte à 18 mois. Et quasiment personne dans votre organisation ne l’a lu.

Si cela vous parle, vous n’êtes pas seul. C’est la réalité de la grande majorité des entreprises françaises, des PME aux ETI.

Elles ont une PSSI parce qu’elles sont censées en avoir une. Mais disposer d’une politique et avoir des collaborateurs qui la respectent sont deux choses entièrement différentes.

Ce qu’exige réellement une PSSI

La PSSI est le cadre fondateur français pour la sécurité des systèmes d’information, promu par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Ce n’est pas une simple recommandation — pour de nombreuses organisations, en particulier celles qui traitent des données sensibles, travaillent avec des clients du secteur public ou relèvent des directives NIS2, la PSSI est de fait obligatoire.

Mais une PSSI, c’est plus qu’un document. Quand on lit attentivement les guides de l’ANSSI, l’intention est claire : la politique doit être opérationnalisée. Elle doit être communiquée à l’ensemble des collaborateurs, comprise par eux et reflétée dans leurs comportements quotidiens.

Une PSSI bien implémentée doit couvrir :

  • Politiques de contrôle d’accès : qui peut accéder à quoi, et dans quelles conditions
  • Exigences d’authentification : complexité des mots de passe, adoption du MFA, gestion des sessions
  • Règles de manipulation des données : classification, stockage, partage et conservation
  • Politiques d’usage acceptable : règles pour la messagerie, les outils cloud, les appareils personnels et les applications tierces
  • Procédures de signalement d’incident : ce qui constitue un incident et comment l’escalader
  • Obligations de sensibilisation et de formation : formation continue de l’ensemble du personnel

Ce dernier point est décisif. L’ANSSI ne dit pas « formez vos collaborateurs une fois par an et passez à autre chose ». Les recommandations appellent à une sensibilisation continue, adaptée aux rôles et aux risques.

La plupart des organisations interprètent cela comme « déployer une plateforme d’e-learning et suivre les complétions ». Cette interprétation satisfait les auditeurs mais passe totalement à côté du sujet — une mécanique que nous décortiquons dans pourquoi la formation à la sécurité ne fonctionne pas.

L’écart entre la politique et la pratique

Laissez-moi décrire un scénario que je rencontre régulièrement chez les entreprises françaises.

La PSSI énonce : « Les collaborateurs ne doivent pas partager de documents contenant des informations sensibles via des liens publics. Tout partage de fichier doit être restreint à des destinataires spécifiques et autorisés. »

Pendant ce temps, dans la pratique :

  • 40 % des liens Google Drive partagés dans l’organisation sont configurés sur « Toute personne disposant du lien »
  • Le marketing dispose d’un espace Notion public contenant de la veille concurrentielle
  • Trois collaborateurs transfèrent des documents internes vers leur Gmail personnel pour « télétravailler plus facilement »
  • Un responsable d’équipe a accordé à une extension Chrome tierce un accès complet à ses données Google Workspace

Aucun de ces collaborateurs n’est malveillant. La plupart réussiraient un quiz sur les bonnes pratiques de partage de données. Ils ne font tout simplement pas le lien entre la politique abstraite parcourue lors de leur intégration et leurs décisions quotidiennes au travail.

C’est ça, l’écart PSSI : la distance entre ce que la politique dit et ce que les collaborateurs font réellement. Pour une analyse approfondie de l’écart connaissance-comportement, consultez notre livre blanc sur les raisons pour lesquelles la connaissance seule ne change pas le comportement.

Pourquoi les approches traditionnelles échouent

La plupart des organisations tentent de combler cet écart de trois manières, et toutes trois sont insuffisantes.

ApprocheMéthodePourquoi ça échoue
Formation annuelleModule à l’intégration + une fois par an90 % de l’information apprise est oubliée en une semaine (Ebbinghaus)
Rappels par e-mailLa DSI envoie des e-mails périodiques sur la politiqueNoyé dans le bruit de la boîte mail, générique, déconnecté de l’action
Corrections pilotées par l’auditEffort de conformité uniquement avant les auditsPic temporaire qui s’évapore en quelques semaines

Aucune de ces approches ne produit un changement de comportement durable, parce qu’aucune n’opère là où le comportement se produit réellement : dans le flux quotidien de travail. C’est la même cause racine qui sous-tend pourquoi la conformité a besoin de preuves comportementales, et non de paperasse.

Faire de votre PSSI un système vivant

Une PSSI devient réelle lorsque trois conditions sont réunies simultanément : l’organisation observe si les collaborateurs la respectent, les informe quand ce n’est pas le cas, et renforce les bons comportements dans la durée.

Voici à quoi cela ressemble en pratique.

Étape 1 : Observer le comportement réel en continu

On ne peut pas faire respecter une politique qu’on ne voit pas. La première étape est d’auditer en continu les outils SaaS qu’utilisent vos collaborateurs au quotidien — Google Workspace, Microsoft 365, Slack, Notion — afin d’identifier les comportements qui violent votre PSSI. C’est précisément ce que la supervision SaaS d’Engarde est conçue pour faire remonter.

Il ne s’agit pas de surveillance. Il s’agit de visibilité. De même qu’un audit financier examine les transactions au regard de la politique comptable, un audit comportemental examine les actions numériques au regard de la politique de sécurité.

Le résultat est une photographie claire et factuelle : voici ce que votre PSSI énonce, et voici ce qui se passe réellement.

Par exemple :

  • La PSSI dit : « Le MFA doit être activé sur tous les comptes. » Réalité : 23 % des collaborateurs n’ont pas activé le MFA.
  • La PSSI dit : « Le partage externe de documents internes nécessite l’approbation du manager. » Réalité : 156 documents sont partagés en externe sans aucune trace d’approbation.
  • La PSSI dit : « Seules les applications tierces approuvées peuvent être connectées aux comptes de l’entreprise. » Réalité : 12 applications OAuth non approuvées ont accès aux données de l’entreprise.

Chacun de ces points est un écart précis et mesurable par rapport à votre propre politique.

Étape 2 : Délivrer des rappels ciblés là où le travail se fait

Lorsqu’un écart est détecté, le collaborateur reçoit un rappel — non pas un avertissement punitif, mais un message informatif et contextuel délivré dans Slack ou Teams, les outils qu’il utilise déjà chaque jour. C’est la couche de guidage en temps réel qui manque à la plupart des programmes de sensibilisation.

Le rappel explique trois choses :

  1. Ce qu’il a fait : « Vous avez partagé un document via un lien public. »
  2. Pourquoi cela compte : « La PSSI de votre entreprise (Section 4.2) exige que les documents partagés soient restreints à des destinataires spécifiques afin d’éviter tout accès non autorisé. »
  3. Comment corriger : « Vous pouvez modifier les paramètres de partage en cliquant ici. Cela prend environ 15 secondes. »

C’est fondamentalement différent d’une formation générique. Le rappel est spécifique (sur leur action), contextuel (référençant la politique réelle de leur entreprise) et actionnable (leur indiquant exactement comment corriger).

Il arrive au moment où le comportement se produit, lorsque la mémoire du collaborateur et sa motivation à agir sont au plus haut.

Étape 3 : Renforcer par des quiz espacés

Les rappels traitent les écarts immédiats. Mais un changement de comportement durable exige un renforcement dans le temps. C’est là qu’intervient la répétition espacée.

À partir des comportements observés et des sections de la PSSI les plus pertinentes pour son rôle, le collaborateur reçoit de courts quiz via Slack ou Teams à des intervalles calculés. Il ne s’agit pas de questions de conformité génériques. Ils sont personnalisés :

  • Un collaborateur qui a récemment partagé un lien public reçoit un quiz sur les politiques de partage de données
  • Une équipe qui vient d’intégrer un nouvel outil SaaS reçoit un quiz sur les politiques d’applications tierces
  • Un collaborateur qui manipule des données clients reçoit périodiquement des quiz sur la classification des données

L’espacement suit les principes dérivés de la courbe de l’oubli d’Ebbinghaus : le premier renforcement intervient rapidement, puis les intervalles s’allongent progressivement à mesure que le comportement devient habituel.

Étape 4 : Coupler les exercices d’hameçonnage à des preuves comportementales

Les attaques par e-mail restent le vecteur d’attaque le plus documenté dans le panorama annuel de la menace de l’ANSSI, et votre PSSI impose presque certainement une sensibilisation à l’hameçonnage. Les simulations d’hameçonnage ciblées ont toujours leur place dans votre programme — mais à elles seules, elles ne testent qu’un seul vecteur, à un instant donné. Couplez-les à des audits comportementaux continus pour couvrir le reste, comme nous le défendons dans pourquoi les simulations d’hameçonnage ne suffisent pas.

Étape 5 : Mesurer l’adhésion à la politique, pas la complétion

Les indicateurs changent entièrement. Plutôt que de rapporter « 95 % de complétion de formation » à votre comité ou à vos auditeurs, vous rapportez :

  • Le partage par lien public est passé de 40 % à 8 % en trois mois
  • L’adoption du MFA est passée de 77 % à 99 %
  • Les applications OAuth non approuvées ont été réduites de 12 à 1
  • Le délai moyen de remédiation d’un comportement signalé : 4 heures

Ce sont des indicateurs qui se mappent directement à la conformité PSSI et qui corrèlent directement avec une réduction du risque. Ils disent aux auditeurs, à la direction et aux régulateurs non seulement que vous disposez d’une politique, mais que vos collaborateurs la respectent effectivement.

Ce que cela implique pour NIS2, DORA et les réglementations à venir

La directive NIS2, que la France transpose dans son droit national, relève sensiblement la barre. Elle impose aux organisations de démontrer non seulement qu’elles disposent de politiques de sécurité, mais qu’elles ont mis en place des mesures effectives pour garantir que ces politiques sont implémentées et maintenues.

L’accent est mis sur une gestion de la sécurité proportionnée, fondée sur le risque et continue.

Pour les entreprises françaises soumises à NIS2 — et le périmètre est considérablement plus large que celui de NIS1 — « nous avons fait une formation annuelle » a peu de chances de satisfaire les régulateurs. Ils voudront la preuve que les politiques sont suivies en pratique, que les écarts sont détectés et corrigés, et que l’organisation maintient une sensibilisation continue auprès de son personnel.

La même logique s’applique à DORA pour les entités du secteur financier, où la résilience opérationnelle doit être démontrée, pas déclarée. La preuve comportementale — écarts observés, délais de remédiation, tendances d’adhésion — est exactement le format que les régulateurs attendent.

Une approche comportementale de la conformité PSSI n’est pas seulement plus efficace — c’est de plus en plus ce que les régulateurs attendent.

Un point de départ pratique

Si vous êtes RSSI ou DSI dans une entreprise française et que vous cherchez à rendre votre PSSI opérationnelle, voici des premières étapes concrètes :

  1. Auditez votre état actuel. Avant de changer quoi que ce soit, mesurez où vous en êtes réellement. Quel pourcentage de vos collaborateurs respecte en pratique chacune des exigences clés de la PSSI ? L’écart pourrait vous surprendre.

  2. Identifiez vos écarts les plus à risque. Toutes les violations de politique ne portent pas le même risque. Priorisez les comportements qui exposent votre organisation aux dommages les plus importants — typiquement le partage externe de données, les faiblesses d’authentification et le shadow IT.

  3. Apportez le feedback là où travaillent les collaborateurs. Si vos collaborateurs vivent dans Slack ou Teams, c’est là que la communication de sécurité doit se trouver. Pas dans un LMS qu’ils visitent une fois par an.

  4. Mesurez le comportement, pas la connaissance. Cessez de suivre la complétion de formation et commencez à suivre des indicateurs comportementaux qui se mappent directement aux exigences de votre PSSI.

  5. Itérez en continu. Une PSSI n’est pas un projet avec une date de fin. C’est un système d’exploitation permanent pour les comportements de sécurité. Traitez-la comme tel — la même posture continue sous-tend le zero-trust bien fait.

L’essentiel

Votre PSSI ne vaut que ce que valent les comportements quotidiens de vos collaborateurs. Un document de politique de 60 pages magnifiquement rédigé ne vaut rien si les personnes qu’il régit ne le respectent pas — et la plupart ne le respectent pas, parce que personne ne leur a donné les outils, le contexte et le renforcement nécessaires pour le faire.

Combler l’écart entre la politique et la pratique n’exige pas davantage d’heures de formation, des budgets plus gros ou une application plus stricte. Cela exige une approche différente — fondée sur l’observation, le feedback opportun et le renforcement continu ancrés dans les sciences du comportement.

Votre PSSI mérite mieux qu’un document dans un tiroir. Elle mérite d’être un système vivant que vos collaborateurs respectent au quotidien — parce qu’ils le comprennent, parce qu’on le leur rappelle en contexte, et parce que faire ce qu’il faut a été rendu plus facile que tout le reste.

Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement, conçue à Paris — aide les entreprises françaises à transformer leur PSSI en système vivant : audits comportementaux SaaS continus mappés à votre politique spécifique, rappels sur mesure et quiz à répétition espacée via Slack et Teams, et la preuve comportementale que les superviseurs NIS2 et DORA commencent à exiger. Le résultat : une conformité PSSI mesurable, et non une simple case cochée — à distinguer des autres acteurs partageant le nom Engarde.

Sources : ANSSI - Guide PSSI · Gartner Design Report · JISEM - Decision Fatigue and Cybersecurity · RAND - Beyond Technicality

Frequently asked questions

Qu'est-ce qu'une PSSI et est-elle obligatoire en France ? +

La PSSI (Politique de Sécurité des Systèmes d'Information) est le cadre fondateur de la sécurité des SI en France, promu par l'ANSSI. Elle est de fait obligatoire pour les organisations traitant des données sensibles, travaillant avec le secteur public ou entrant dans le périmètre de NIS2 — et fortement attendue pour toute ETI ou grande entreprise sérieuse en France.

Comment NIS2 modifie-t-elle les obligations PSSI des entreprises françaises ? +

NIS2 élargit considérablement le périmètre par rapport à NIS1 et impose une gestion de la sécurité proportionnée, fondée sur le risque et continue — pas seulement une politique écrite. Les régulateurs chercheront la preuve que la PSSI est mise en œuvre et maintenue : écarts détectés, actions correctives, sensibilisation continue. « Nous avons fait une formation annuelle » ne suffit plus.

Qu'attend réellement l'ANSSI en matière de sensibilisation et de formation ? +

Les recommandations de l'ANSSI appellent à une sensibilisation continue, adaptée aux rôles et aux risques — et non à un unique module d'intégration. L'intention est l'opérationnalisation : la PSSI doit être communiquée, comprise et reflétée dans les comportements quotidiens sur les outils SaaS effectivement utilisés. Les taux de complétion e-learning ne le démontrent pas.

Quels indicateurs prouvent la conformité PSSI à un auditeur ? +

Remplacez la complétion de formation par des indicateurs comportementaux qui se mappent aux clauses de la PSSI : taux d'adoption du MFA, pourcentage de fichiers dotés de contrôles d'accès appropriés, nombre d'applications OAuth non approuvées, tendances de partage externe, et délai moyen de remédiation d'un écart signalé. Ce sont les mêmes indicateurs que les superviseurs NIS2 attendent de plus en plus.

Comment Engarde (engarde.cc) traite-t-il cette problématique ? +

Engarde audite en continu les comportements SaaS au regard de votre PSSI, puis délivre des rappels contextuels dans Slack ou Teams citant la clause exacte de la politique et un correctif en un clic. Des quiz à répétition espacée renforcent les bons comportements dans le temps. Le livrable est une preuve d'adhésion à la politique sur laquelle les auditeurs peuvent s'appuyer — à distinguer des autres acteurs partageant le nom Engarde.

Tags

#pssi#french-regulation#anssi#security-policy#nis2#compliance

Share this post

Share on Twitter Share on LinkedIn
Quentin F. - CEO & Founder of EnGarde

Quentin F.

CEO & Founder, EnGarde

Building behavior-centered cybersecurity. Believes training doesn't work - real-time guidance does.

LinkedIn

Related Posts

Back to Blog