PSSI et Care D2, des questions pas si simples

Entre autres questions :

– Comment articuler la PSSI-S (celle du ministère), la PSSI-G (celle qui s’impose à tout le GHT) et la PSSI-ES (de chaque établissement) ? On met quoi dans chacun des documents et on les articule comment ?

– Quel est le niveau de détail de la PSSI-G et de la PSSI-ES ?

– Et d’ailleurs, c’est quoi une PSSI ?

– Et d’ailleurs, que signifie le mot « Politique » dans PSSI ?

(Oui, je sais, je rentre de congé avec des questions métaphysiques plein les tongs ensablées.)

(Petite précaution stylistique : le présent billet ne fait que donner un point de vue sur le sujet, et rien de plus.)

(Dernière précaution : comme je suis ultrafeignant, mon objectif n’est pas de pondre une PSSI-G qui va simplement « cocher une case » de Care D2 et terminer à la poubelle, mais qui va s’insérer de manière durable dans le socle documentaire de mon SMSI 27001.)

Si l’on en croit la définition du Larousse[1], la politique est « l’ensemble des options prises collectivement ou individuellement par les gouvernants d’un État dans quelque domaine que s’exerce leur autorité (domaine législatif, économique ou social, relations extérieures) ». Une PSSI constituerait donc un ensemble d’options ou d’orientations dans le domaine de la protection des SI. Bien.

Si l’on en croit l’Anssi[2], la PSSI résulte de l’appréciation des risques : on réalise d’abord une AR, qui dit en gros où sont les risques à traiter, et la PSSI est la matérialisation des orientations cyber pour traiter les risques. Cette définition est totalement obsolète, puisque le document de l’Anssi mentionné date de 2004 – plus de 20 ans donc. Wikipédia donne une définition[3] très proche : « La PSSI est le document de référence en matière de SSI de l’organisme. Elle définit les objectifs à atteindre et les moyens accordés pour y parvenir. » Définition toujours aussi obsolète selon moi.

En fait, la réponse est dans la 27001, qui définit les types de documents suivants :

– La PSI (politique de sécurité de l’information, à ne surtout pas confondre avec la PSSI), document qui en général ne dépasse pas 1 page ;

– La déclaration d’applicabilité (DDA pour les intimes), qui est en gros la liste des 93 mesures retenues pour traiter les risques (que globalement on retient quasiment dans leur intégralité) ; et c’est la DDA qui résulte de l’AR ;

– Le plan de traitement des risques, qui est en résumé le macro-Gantt résultant de la DDA, et qui précise quels projets SSI on va mener pour ramener l’ensemble des risques au niveau souhaité. Il doit bien entendu être connecté à la DDA ;

– Les objectifs de sécurité de l’information. L’ISO 27001 est peu disert sur ce document, mais pour ma part je considère que les objectifs sont exprimés en termes compréhensibles par un non-expert, alors que le plan de traitement liste des projets techniques parfois très complexes, pas forcément compréhensibles par un décideur ; dit autrement, dans cette vision des choses, les objectifs sont des « thèmes », dont chacun est détaillé par le plan de traitement à l’aide d’un ou de plusieurs projets techniques pointus ;

– Et, on y arrive, les politiques qui sont une exigence de l’annexe A-5.1.

Selon ce découpage, la PSSI n’est qu’un document exigé par l’annexe A-5.1, et le meilleur moyen de l’aborder est de découper le plan de la PSSI selon les 93 chapitres de l’annexe A. Selon ce découpage également, l’annexe A a fait l’essentiel du job (les milliers d’heures dépensées pour construire la 27001 doivent bien servir à quelque chose !), il suffit à la PSSI de détailler comment doit être mise en œuvre chacune des 93 mesures, avec une orientation « intention » : la PSSI est un PLAN, pas un DO.

Il reste deux difficultés à régler :

– Le niveau de détail des mesures de l’annexe A est très variable : dans ce contexte, la PSSI va parfois n’avoir pas grand-chose à dire concernant telle ou telle mesure (par exemple la gestion RH, la formation, la revue indépendante de la sécurité), alors qu’à d’autres endroits elle va devoir aller plus loin (sauvegardes, protection contre les malwares, etc.) ;

– La factorisation, au sein d’un seul document (la PSSI-G) du détail des mesures de tout le GHT. Effectivement, il n’y a aucune raison pour que deux établissements aient une vision – un « Plan » – différent pour la A-5.12, la A-6.3, etc., mais d’un autre côté, partant de situations hétérogènes, aligner tout le monde sur un objectif commun n’est pas simple.

Cette approche a plusieurs avantages :

– Exit la dichotomie PSSI-G et PSSI-ES : un seul document est requis ;

– Sa validation est simple : le DG de l’établissement support, ou son DSI par délégation de signature, s’en charge ;

– Elle est assez rapide pour ceux qui sont déjà certifiés 27001, mais nécessite un bon relifting de la PSSI pour la rendre « GHT-isable » ;

– Et elle produit du boulot qui n’est pas jetable.

Je ne vois qu’un seul inconvénient à ce stade : la PSSI-G va devenir assez centralisée et son mode d’approbation doit rester léger (donc validé par l’ES support, sinon on ne s’en sort pas), mais bon, si on ne voulait pas aligner tous les établissements d’un GHT sur des pratiques communes, il ne fallait pas créer les GHT.

Si quelqu’un a une autre vision, je suis preneur.