Enfin une PSSI de l’État : que faut-il en retenir ?

L’été a été riche pour la SSI : règlement européen sur la confiance numérique, nouveaux guides de l’ANSSI (Active Directory, RGS v2) et … la PSSI-E. Après plusieurs années de gestation, le 17 juillet 2014, le Premier ministre a publié une circulaire : la Politique SSI de l’État (PSSI-E). Elle s’adresse aux ministères, établissements publics sous tutelle, services déconcentrés et autorités administratives. Pour les autres, vous y trouverez des règles « d’hygiène ». Si vous appartenez aux entités visées par la PSSI-E et que vous êtes RSSI, il ne vous reste que trois mois, jusqu’au 1er janvier 2015, pour organiser la mise en conformité en produisant une politique adaptée et un plan d’action.

Côté bonnes nouvelles, il vous reste trois ans pour conduire les actions. Si vous possédez déjà une PSSI s’appuyant sur la norme ISO2700x et que vous appliquez le guide d’hygiène informatique, il devrait vous rester peu de choses à faire. Vérifiez quand même que vous n’hébergiez aucune donnée sensible hors de nos frontières, que vous interdisiez la connexion d’équipements non maitrisés comme les clés USB et la pratique du BYOD, que vous privilégiez l’usage de cartes à puce pour l’authentification et que vous conserviez les logs pendant douze mois contrairement à la CNIL qui conseille une conservation ne devant pas excéder six mois. Relevant de l’organisation, vous y trouverez le cycle vertueux d’amélioration en insistant sur la conduite systématique d’analyses de risques, le maintien d’une cartographie de votre SI (cf. le précédent numéro), l’emploi de services et produits qualifiés, et l’organisation des moyens de détection et de réaction aux attaques et autres incidents.

Après avoir appliqué ces 183 règles, votre système d’information est-il protégé contre toute exfiltration de données confidentielles, atteinte à la vie privée, sabotage ou panne ? Pas si sûr ! Le préambule précise qu’il ne s’agit que d’un socle minimal. Dans ce socle, il est regrettable de ne pas faire référence aux nombreux guides publiés par l’ANSSI, de définition des niveaux de classification, de notion de la fédération d’identité, du cloud, des réseaux sociaux, du big et open data, ni des objets connectés. Mais espérons que les retours d’expérience permettront, comme rappelé dans l’article 6, à la PSSI-E « d’évoluer dans le temps ».

Jean Olive
Manager CGI Business Consulting