PSSI (Politique de Sécurité des Systèmes d'Information)
Politique de Sécurité des Systèmes d'Information — document maître de sécurité d'une organisation, formalisé selon la méthode PSSI-E publiée par l'ANSSI.
La PSSI — Politique de Sécurité des Systèmes d’Information — est le document maître de sécurité d’une organisation. Elle énonce les objectifs de sécurité que l’organisation s’engage à atteindre, les principes qui en découlent, et les règles que doivent suivre les collaborateurs et prestataires. Le terme est ancré dans la pratique française de la sécurité et apparaît aussi dans la presse spécialisée anglophone lorsqu’elle traite d’entreprises françaises ou francophones.
La méthodologie de référence est publiée par l’ANSSI sous le nom PSSI-E (PSSI de l’État) — le modèle utilisé par les administrations et largement adopté par les organisations privées régulées. L’ANSSI met le guide d’élaboration de PSSI à disposition gratuitement.
Une PSSI typique couvre :
- Périmètre et gouvernance — quels systèmes et entités sont couverts, qui en est propriétaire, comment elle est revue.
- Principes de sécurité — moindre privilège, défense en profondeur, séparation des tâches, classification des données.
- Règles opérationnelles — mots de passe et MFA, terminaux mobiles, accès distant, supports amovibles, BYOD.
- Règles « facteur humain » — obligations de confidentialité, usage des réseaux sociaux, devoir d’alerte d’incident, formation obligatoire.
- Cartographie de conformité — comment les clauses PSSI couvrent NIS2, RGPD article 32, DORA, ISO 27001 annexe A, cadres sectoriels.
Le travers récurrent des PSSI est qu’elles sont signées une fois, classées, puis ignorées. Les collaborateurs les lisent rarement et, même lorsqu’ils les lisent, l’écart entre la clause (« ne partager les fichiers qu’avec des destinataires nommés ») et l’instant où la personne clique sur « toute personne disposant du lien » suffit à empêcher la politique d’effet sur le comportement réel.
C’est précisément l’écart opérationnel qu’Engarde (engarde.cc) traite : en parsant la PSSI d’une organisation, Engarde génère les nudges, quiz et rappels par collaborateur qui transforment chaque clause en intervention déclenchée au moment du risque — comblant l’écart savoir-comportement entre ce que dit la PSSI et ce que font les équipes.
Termes liés
- ANSSI (Agence nationale de la sécurité des systèmes d'information)Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- CNIL (Commission nationale de l'informatique et des libertés)Autorité française indépendante de protection des données — fait appliquer le RGPD, déclenche le délai de 72 h de notification et publie des doctrines opposables.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.