Avoir une politique de sécurité des systèmes d’information, c’est bien. La décliner efficacement sur le terrain, c’est mieux. Mais comment passer de la généralité d’une PGSSI à la spécificité du terrain ?

Marc Dovéro, RSSI du Conseil général des Bouches-du-Rhône, a appliqué une recette à plusieurs étages afin de s’assurer de la cohérence des mesures techniques avec sa PGSSI. Et cela commence dès la rédaction de la politique.

« Nous avons eu la chance de pouvoir approcher la rédaction d’une PGSSI par le haut : en commençant par les bonnes intentions de la Direction Générale« , explique Marc Dovéro. Le RSSI a ainsi d’abord créé un document « chapeau » de cinq pages décrivant les valeurs essentielles à respecter en terme de SSI. Ce document reflète directement les souhaits de la Direction Générale et il n’est bien entendu pas du tout technique.

Puis un second document est venu détailler ces objectifs en termes SSI. Cette déclinaison pèse désormais une centaine de pages mais elle reste générique. « A ce stade il s’agit encore de bonnes intentions : il n’y a rien de fonctionnel« , explique le RSSI.

Viennent enfin les déclinaisons fonctionnelles proprement dites, qui s’appuient sur les objectifs détaillés dans le document précédent. « J’ai demandé à un stagiaire de casser cette politique générale en mesures techniques concrètes. De mon côté, j’ai réalisé un gradient de 0 à 4 qui reflète le niveau de sécurité et la complexité d’une mesure technique donnée. A tous les deux nous avons ensuite décidé pour chaque mesure où nous en étions et si nous voulions augmenter le niveau de sécurité. Mais jusqu’à présent rien n’est encore accepté en dehors de la SSI« , poursuit Marc Dovéro.

A ce stade le RSSI dispose alors d’une feuille de route claire (les bonnes intentions de la Direction Générale), d’un code de bonne conduite rédigé en termes SSI (la politique générale de sécurité) et d’une boîte à outils de mesures de sécurité techniques.

Plutôt que d’appliquer ces dernières en vrac, toute l’astuce du RSSI consiste à ne considérer pour l’instant ce recueil de mesures que comme une « boîte à outils » à la disposition de la SSI, une réserve de solutions qui pourront, ou non, être appliquées. Et d’aller voir les acteurs concernés afin de choisir, avec eux, celles qui les concernent le mieux.