Modèle PSSI : Politique de Sécurité SI Gratuite (ISO 27001)

Ce modèle de Politique de Sécurité du Système d'Information (PSSI) est un document complet et personnalisable, structuré selon les exigences de la norme ISO 27001:2022. Il couvre les 9 chapitres essentiels d'une PSSI opérationnelle : objet et champ d'application, engagement de la direction, objectifs de sécurité, organisation SSI, gestion des risques, règles de sécurité (accès, données, incidents, continuité), sensibilisation, conformité et amélioration continue. Chaque section contient des champs personnalisables pour adapter le document à votre contexte.

Contenu du modèle

• 9 chapitres couvrant l'intégralité des exigences ISO 27001
• Champs personnalisables (nom, dates, méthodologie de risques)
• Rôles et responsabilités pré-définis (DG, RSSI, DSI, DPO)
• Règles de sécurité opérationnelles (accès, chiffrement, incidents, PCA)
• Tableau de versioning intégré

Pour qui ?

RSSI, DSI, DPO, responsables conformité. Idéal pour les organisations qui démarrent leur démarche ISO 27001 ou qui souhaitent formaliser leur politique existante.

Ressources complémentaires

• Checklist 93 Contrôles Annexe A
• Auto-évaluation Maturité SSI
• ISO 27001 : Guide Complet
• Feuille de route certification en 12 étapes

Comment adapter ce modèle de PSSI à votre organisation

Un modèle de PSSI n'est utile que s'il est adapté à votre contexte réel. Copier-coller un template sans personnalisation produit un document inapplicable que personne ne lira et que l'auditeur reconnaîtra immédiatement comme générique. Voici les sections qui nécessitent une adaptation approfondie et les erreurs à éviter.

Les 9 chapitres du modèle PSSI — Guide d'adaptation

1. Objet et champ d'application

Définissez précisément le périmètre de la PSSI : quelles entités juridiques, quels sites géographiques, quels systèmes d'information sont couverts. Si votre organisation a des filiales, des prestataires hébergeurs critiques ou des environnements cloud, mentionnez-les explicitement. Un champ d'application trop large est aussi problématique qu'un champ trop restreint : il doit refléter ce que vous êtes réellement en capacité de piloter.

2. Engagement de la direction

Cette section doit être co-rédigée et signée par le dirigeant, pas seulement par le RSSI. L'engagement de la direction est une exigence formelle de la clause 5.1 d'ISO 27001. Incluez des éléments concrets : budget alloué à la sécurité, désignation nominative du RSSI ou du responsable SSI, engagement de revue annuelle. Évitez les formulations vagues comme "la direction s'engage à soutenir la sécurité" — elles ne sont pas opposables.

3. Objectifs de sécurité

Les objectifs de sécurité doivent être SMART (Spécifiques, Mesurables, Atteignables, Réalistes, Temporellement définis). "Améliorer la sécurité" n'est pas un objectif — "Réduire le délai de déploiement des correctifs critiques de 30 à 7 jours d'ici le 31/12/2026" en est un. Ces objectifs doivent être revus annuellement en revue de direction.

4. Organisation SSI

Définissez la structure de gouvernance SSI : qui est le RSSI, quelles sont ses attributions, à qui rend-il compte ? Dans les organisations sans RSSI à temps plein, désignez un référent SSI avec des responsabilités explicites. Documentez également le rôle du comité de sécurité si vous en avez un. L'absence de structure de gouvernance claire est systématiquement relevée en audit de certification.

5. Gestion des risques

Cette section doit référencer votre méthodologie d'analyse de risques (ISO 27005, EBIOS RM, MEHARI) et la fréquence des révisions. Précisez vos critères d'acceptation des risques — quels niveaux de risque résiduel vous êtes prêts à accepter sans action supplémentaire. Ces critères doivent être cohérents avec les résultats de votre registre des risques.

Règles de sécurité opérationnelles : les clauses critiques

Les règles de sécurité (section 6 du modèle) sont les dispositions que vos collaborateurs et prestataires doivent respecter. Ce sont les clauses les plus sensibles car elles engagent la responsabilité de l'organisation et doivent être opposables. Voici les points d'attention par sous-domaine :

• Contrôle d'accès : définissez le principe du moindre privilège, les règles de gestion des comptes (création, modification, révocation), la politique de mots de passe et les exigences MFA. Soyez précis sur les délais : un compte doit être désactivé dans les X heures suivant le départ d'un collaborateur.
• Gestion des données : classifiez vos données (Public, Interne, Confidentiel, Secret) et définissez les règles de traitement pour chaque niveau. Incluez les exigences RGPD applicables et les règles de chiffrement.
• Gestion des incidents : définissez ce qui constitue un incident de sécurité, les délais de signalement internes, la chaîne d'escalade et les obligations de notification (ANSSI pour les OIV/OSE, CNIL pour les violations de données personnelles).
• Continuité d'activité : référencez votre PCA/PRA et définissez les RTO/RPO pour les systèmes critiques. Cette section doit être cohérente avec vos tests de sauvegarde documentés.

Erreurs courantes dans la rédaction d'une PSSI

Voici les défauts les plus fréquemment identifiés dans les PSSI lors des audits de certification ISO 27001 :

• PSSI non datée et non versionnée : sans numéro de version et date de révision, il est impossible de savoir si le document est à jour. Adoptez une convention de versionnage (ex : v2.1 — 15/01/2026) dès la première version.
• PSSI non diffusée : une PSSI qui reste dans le tiroir du RSSI n'a aucune valeur légale ni opérationnelle. Documentez les modalités de diffusion : intranet, signature d'un accusé de réception à l'embauche, formation initiale obligatoire.
• Règles impossibles à respecter : des exigences théoriques non connectées à la réalité opérationnelle (ex : "tous les mots de passe doivent faire 24 caractères minimum" dans une organisation qui n'a pas d'outil de gestion des mots de passe) génèrent des violations systématiques et invisibles.
• Absence de sanctions : la PSSI doit indiquer que le non-respect des règles peut donner lieu à des sanctions disciplinaires. Cette mention est nécessaire pour que le document soit juridiquement opposable aux collaborateurs.
• PSSI figée : une PSSI qui n'a pas été révisée depuis plus de 2 ans est suspecte. Les menaces évoluent, les réglementations changent (RGPD, NIS 2, DORA), les technologies aussi. Planifiez une révision annuelle minimum.

Intégration de la PSSI dans le cadre réglementaire français

Pour les organisations françaises, la PSSI doit tenir compte de plusieurs couches réglementaires qui s'additionnent aux exigences ISO 27001 :

• RGPD (Règlement Général sur la Protection des Données) : la PSSI doit couvrir les exigences de sécurité du RGPD (article 32) : pseudonymisation, chiffrement, disponibilité des systèmes, tests réguliers. Les mesures techniques et organisationnelles doivent être documentées.
• NIS 2 : pour les entités essentielles et importantes, NIS 2 impose des mesures de gestion des risques qui doivent être reflétées dans la PSSI : sécurité de la chaîne d'approvisionnement, gestion des incidents, continuité d'activité, politique de MFA, cryptographie.
• Secteurs régulés : les établissements de santé (référentiel HDS), les établissements financiers (DORA, exigences BCE), les OIV/OSE (référentiels ANSSI) ont des exigences supplémentaires qui doivent être intégrées dans la PSSI ou référencées par celle-ci.

Processus de validation et de diffusion de la PSSI

La PSSI n'est opérationnelle qu'une fois qu'elle a franchi trois étapes formelles :

1. Validation technique par le RSSI et les responsables des domaines concernés : les règles sont-elles techniquement applicables ? Sont-elles cohérentes avec les outils et processus en place ?
2. Validation juridique par le DPO ou le service juridique : les règles respectent-elles le droit du travail (surveillance des salariés, utilisation des outils personnels), le RGPD et les autres réglementations applicables ?
3. Approbation et signature par la direction : formalise l'engagement et rend le document opposable. Conservez la version signée et gérez les révisions avec un historique des versions.

Foire aux questions — Modèle PSSI ISO 27001

Quelle est la longueur idéale d'une PSSI ?

Une PSSI efficace fait entre 15 et 40 pages selon la complexité de l'organisation. Un document trop court ne couvre pas les exigences ; un document trop long ne sera pas lu. Privilégiez la clarté et l'opérationnalité sur l'exhaustivité théorique. Les procédures détaillées doivent être dans des documents de niveau inférieur (procédures, instructions de travail) référencés par la PSSI.

La PSSI doit-elle être communiquée aux prestataires ?

Pas nécessairement dans son intégralité, mais les exigences de sécurité qui s'appliquent aux prestataires doivent être contractualisées. Une annexe sécurité dans les contrats fournisseurs, décrivant les exigences minimales (accès aux systèmes, gestion des incidents, RGPD, restitution des données), est plus efficace qu'un envoi de la PSSI complète.

Une PSSI suffit-elle pour être conforme RGPD ?

Non. La PSSI est une composante de la conformité RGPD, pas l'unique document requis. Le RGPD exige également : un registre des traitements, des analyses d'impact sur la protection des données (DPIA) pour les traitements à risque, une procédure de gestion des violations de données, et des clauses contractuelles avec les sous-traitants. La PSSI couvre les mesures de sécurité techniques et organisationnelles (article 32) mais pas la gouvernance globale des données.