La Politique de Sécurité des Systèmes d'Information (PSSI) constitue le document fondateur de toute démarche ISO 27001. Elle définit le cadre stratégique, les objectifs de sécurité et les responsabilités au sein de l'organisation. Sans PSSI formalisée et approuvée par la direction, aucune certification ISO 27001 n'est envisageable. Ce guide expert vous accompagne dans la rédaction d'une PSSI conforme aux exigences de la norme ISO/IEC 27001:2022, avec des modèles téléchargeables et des retours d'expérience terrain issus de plus de 20 ans d'accompagnement en cybersécurité. Nous détaillons chaque section obligatoire, les erreurs classiques à éviter et les bonnes pratiques pour produire un document à la fois exhaustif et opérationnel.
En bref
- La PSSI est le document n°1 exigé par l'auditeur ISO 27001
- Elle doit être signée par la direction générale et révisée annuellement
- Un modèle Word annoté est téléchargeable gratuitement en fin d'article
- Ce guide couvre les 14 sections obligatoires avec exemples concrets
Qu'est-ce qu'une PSSI et pourquoi est-elle indispensable ?
Définition
La PSSI (Politique de Sécurité des Systèmes d'Information) est un document stratégique qui formalise l'engagement de la direction en matière de protection des actifs informationnels. Elle établit le périmètre du SMSI, les objectifs de sécurité mesurables et le cadre de gouvernance applicable à l'ensemble de l'organisation.
Dans le contexte de la certification ISO 27001:2022, la PSSI répond directement aux clauses 5.1 (Leadership et engagement), 5.2 (Politique) et 6.2 (Objectifs de sécurité de l'information). L'auditeur vérifiera systématiquement que ce document existe, qu'il est approuvé par la direction, communiqué aux parties intéressées et révisé à intervalles planifiés.
En pratique, la PSSI sert trois fonctions essentielles :
- Fonction stratégique : elle traduit la vision de la direction en engagements concrets et mesurables sur la confidentialité, l'intégrité et la disponibilité
- Fonction opérationnelle : elle constitue le socle sur lequel reposent toutes les procédures et politiques dérivées (gestion des accès, incidents, continuité)
- Fonction juridique : elle démontre la conformité réglementaire (RGPD article 32, NIS 2, DORA) et limite la responsabilité en cas d'incident
Les 14 sections essentielles d'une PSSI ISO 27001
Une PSSI conforme doit couvrir l'ensemble des domaines de sécurité identifiés par la norme. Voici la structure recommandée par les auditeurs PECB et les retours d'expérience de nos accompagnements :
| N° | Section | Clause ISO 27001 | Contenu attendu |
|---|---|---|---|
| 1 | Objet et domaine d'application | 4.3 | Périmètre du SMSI, exclusions justifiées |
| 2 | Références normatives | - | ISO 27001, 27002, 27005, cadre réglementaire |
| 3 | Termes et définitions | - | Glossaire des termes utilisés |
| 4 | Contexte de l'organisme | 4.1, 4.2 | Enjeux internes/externes, parties intéressées |
| 5 | Engagement de la direction | 5.1 | Lettre d'engagement signée, ressources allouées |
| 6 | Organisation de la sécurité | 5.3 | Rôles, responsabilités, RSSI, comité sécurité |
| 7 | Objectifs de sécurité | 6.2 | Objectifs SMART mesurables et indicateurs KPI |
| 8 | Gestion des risques | 6.1 | Méthodologie retenue, critères d'acceptation |
| 9 | Classification des actifs | A.5.9-A.5.14 | Niveaux de classification, propriétaires |
| 10 | Contrôle des accès | A.5.15-A.5.18 | Principe du moindre privilège, revue des droits |
| 11 | Gestion des incidents | A.5.24-A.5.28 | Processus de détection, escalade, notification |
| 12 | Continuité d'activité | A.5.29-A.5.30 | PCA/PRA, tests de basculement |
| 13 | Conformité | A.5.31-A.5.36 | Veille réglementaire, audits internes |
| 14 | Amélioration continue | 10.1, 10.2 | Revue de direction, actions correctives |
Conseil d'expert
Ne cherchez pas à tout couvrir dès la première version. Commencez par les sections 1 à 8 pour obtenir un document validable par la direction, puis complétez progressivement les sections 9 à 14 avec les retours des audits internes. L'auditeur appréciera une approche pragmatique et itérative.
Rédiger l'engagement de la direction : la section critique
La clause 5.1 de l'ISO 27001:2022 exige que la direction démontre son leadership et son engagement envers le SMSI. En pratique, cela se traduit par une lettre d'engagement qui doit être :
- Signée par le directeur général ou le président du directoire
- Datée et référencée dans le système documentaire
- Communiquée à l'ensemble du personnel et aux sous-traitants concernés
- Cohérente avec l'orientation stratégique de l'organisme
Voici les éléments incontournables à inclure dans cette lettre :
ENGAGEMENT DE LA DIRECTION
[Nom de l'organisme] - [Date]
Le Comité de Direction de [organisme] s'engage à :
1. Établir et maintenir un SMSI conforme à ISO/IEC 27001:2022
2. Allouer les ressources humaines, techniques et financières nécessaires
3. Définir des objectifs de sécurité mesurables et les communiquer
4. Intégrer les exigences du SMSI dans les processus métier
5. Promouvoir l'amélioration continue du niveau de sécurité
6. S'assurer que le SMSI atteint les résultats escomptés
Signé : [DG] Date : [JJ/MM/AAAA]
Erreur fréquente
Un engagement trop vague du type "la direction s'engage à protéger les informations" sera rejeté par l'auditeur. Il faut des engagements concrets, datés et attribuables à des personnes nommées. Mentionnez explicitement la norme ISO 27001:2022 et les ressources allouées.
Définir le périmètre du SMSI : inclusions et exclusions
La définition du périmètre du SMSI (clause 4.3) est l'un des exercices les plus délicats de la rédaction de la PSSI. Un périmètre trop large rendra la certification coûteuse et complexe. Un périmètre trop restreint ne couvrira pas les actifs critiques.
Pour définir le périmètre optimal, suivez cette méthodologie en 4 étapes :
- Cartographier les processus métier critiques : identifiez les processus qui créent de la valeur et dont l'arrêt aurait un impact significatif
- Identifier les actifs informationnels associés : bases de données, applications, infrastructures, documents papier
- Délimiter les frontières organisationnelles et techniques : filiales incluses/exclues, clouds, prestataires
- Documenter et justifier les exclusions : chaque exclusion doit être argumentée et ne pas compromettre la sécurité des actifs inclus
Organisation de la sécurité : rôles et responsabilités
La clause 5.3 impose de définir clairement les rôles et responsabilités en matière de sécurité de l'information. Utilisez la matrice RACI (Responsible, Accountable, Consulted, Informed) pour chaque processus du SMSI :
| Processus SMSI | Direction | RSSI | DSI | Métiers | RH |
|---|---|---|---|---|---|
| Politique de sécurité | A | R | C | I | I |
| Analyse de risques | I | A/R | C | C | I |
| Gestion des incidents | I | A | R | C | I |
| Sensibilisation | A | R | C | I | R |
| Audit interne | A | C | C | C | I |
| Revue de direction | A/R | R | C | C | I |
Objectifs de sécurité mesurables : exemples SMART
La clause 6.2 exige des objectifs de sécurité mesurables. Voici des exemples concrets adaptés aux PME et ETI :
| Objectif | Indicateur | Cible | Fréquence |
|---|---|---|---|
| Réduire les incidents de sécurité | Nombre d'incidents critiques/mois | < 2 | Mensuelle |
| Améliorer la sensibilisation | Taux de réussite aux tests phishing | > 85% | Trimestrielle |
| Maîtriser les vulnérabilités | Délai moyen de remédiation critique | < 72h | Mensuelle |
| Garantir la disponibilité | Taux de disponibilité SI critique | > 99.5% | Mensuelle |
| Contrôler les accès | Taux de revue des droits effectuée | 100% | Semestrielle |
Gestion des risques : méthodologie dans la PSSI
La PSSI doit préciser la méthodologie d'analyse de risques retenue (clause 6.1.2). Les principales méthodologies compatibles ISO 27001 sont :
- EBIOS RM : méthode française recommandée par l'ANSSI, particulièrement adaptée aux organismes soumis à NIS 2
- ISO 27005:2022 : approche générique alignée nativement avec ISO 27001
- MEHARI : méthode CLUSIF orientée audit et évaluation quantitative
- Méthode interne : acceptable si elle respecte les critères de l'ISO 27001 (identification, analyse, évaluation, traitement)
Pour un guide complet sur la conduite d'une analyse de risques ISO 27005, consultez notre article dédié avec modèle téléchargeable.
À retenir
La PSSI doit mentionner explicitement : la méthodologie choisie, les critères d'évaluation des risques (vraisemblance × impact), les niveaux d'acceptation définis par la direction, et la fréquence de révision de l'analyse de risques (au minimum annuelle ou après tout changement significatif).
Modèle PSSI téléchargeable : structure annotée
Nous mettons à votre disposition un modèle de PSSI ISO 27001 au format Word (.docx), entièrement annoté avec des commentaires explicatifs pour chaque section. Ce modèle intègre :
- Les 14 sections conformes à l'ISO 27001:2022
- Des commentaires Word avec les attentes de l'auditeur
- Des exemples pré-remplis adaptables à votre contexte
- Un guide de personnalisation en annexe
📥 Télécharger le modèle PSSI ISO 27001
Modèle Word annoté — 14 sections conformes — Personnalisable
Télécharger le modèle PSSI (.docx)Pour un accompagnement personnalisé dans la rédaction de votre PSSI et la mise en conformité ISO 27001, découvrez notre prestation d'accompagnement ISO 27001.
Erreurs courantes dans la rédaction d'une PSSI
Après avoir accompagné des dizaines d'organisations vers la certification, voici les erreurs les plus fréquentes que nous observons :
- PSSI copiée-collée d'un modèle générique : l'auditeur détecte immédiatement une PSSI non contextualisée. Chaque section doit refléter votre réalité opérationnelle
- Absence de versioning : le document doit porter un numéro de version, une date de révision et un historique des modifications
- Périmètre flou : "l'ensemble du SI" n'est pas un périmètre. Précisez les sites, filiales, systèmes et processus inclus
- Objectifs non mesurables : "améliorer la sécurité" n'est pas un objectif. Utilisez des indicateurs SMART quantifiés
- Document jamais révisé : une PSSI datant de plus d'un an sans révision documentée sera un point de non-conformité
- Pas de communication formelle : la preuve de diffusion aux collaborateurs est vérifiée par l'auditeur
Intégrer la PSSI dans le SMSI : articulation documentaire
La PSSI ne fonctionne pas de manière isolée. Elle s'inscrit dans une pyramide documentaire du SMSI structurée en 4 niveaux :
| Niveau | Document | Public | Fréquence de révision |
|---|---|---|---|
| 1 - Stratégique | PSSI | Direction, tous | Annuelle |
| 2 - Tactique | Politiques dérivées (accès, incidents, continuité) | Managers, IT | Annuelle |
| 3 - Opérationnel | Procédures et modes opératoires | Opérateurs IT | Semestrielle |
| 4 - Preuve | Enregistrements, logs, rapports d'audit | Auditeurs | Continue |
Pour construire l'ensemble du socle documentaire ISO 27001, consultez notre page dédiée à l'accompagnement ISO 27001 qui détaille les livrables attendus et notre méthodologie d'intervention.
Conformité réglementaire et articulation avec le RGPD
La PSSI doit intégrer les exigences réglementaires applicables à votre organisme. En France et en Europe, les principaux textes à considérer sont :
- RGPD (article 32) : mesures techniques et organisationnelles de sécurité des données personnelles — voir notre checklist audit RGPD
- NIS 2 : obligations de sécurité pour les entités essentielles et importantes
- DORA : résilience opérationnelle numérique pour le secteur financier
- LPM : obligations des OIV (Opérateurs d'Importance Vitale)
L'avantage de la certification ISO 27001 est qu'elle couvre environ 80% des exigences NIS 2 et DORA, ce qui en fait un investissement rentable pour les organisations soumises à plusieurs réglementations.
Révision et amélioration continue de la PSSI
La clause 10 de l'ISO 27001 impose un processus d'amélioration continue. Pour la PSSI, cela se traduit par :
- Une revue annuelle formelle lors de la revue de direction (clause 9.3)
- Une mise à jour événementielle après tout incident majeur, changement d'organisation ou évolution réglementaire
- Un suivi des indicateurs définis dans la section "Objectifs de sécurité"
- L'intégration des retours d'audit interne (clause 9.2)
Astuce terrain
Créez un tableau de suivi des révisions en annexe de la PSSI avec colonnes : date, version, auteur, modifications, validateur. L'auditeur sera rassuré de voir que le document vit et évolue. Prévoyez au minimum une révision mineure tous les 6 mois et une révision majeure annuelle.
Ressources complémentaires et outils IA
Pour aller plus loin dans votre démarche ISO 27001, explorez nos ressources spécialisées :
- ISO 27001:2022 — Guide complet de certification
- SMSI ISO 27001 — Guide d'implémentation pas à pas
- Développement sécurisé ISO 27001 — Cycle S-SDLC
- Modèle IA ISO 27001 Expert — Assistant IA spécialisé ISO 27001
- Dataset ISO 27001 — Base de connaissances ISO 27001
🏆 Besoin d'un accompagnement ISO 27001 ?
20+ ans d'expérience — Du socle documentaire à la certification — Audits techniques inclus
Demander un devis gratuitFAQ — PSSI et ISO 27001
Quelle est la différence entre une PSSI et une politique de sécurité ?
La PSSI est le document de niveau stratégique qui fixe les orientations globales de sécurité. Les politiques de sécurité (gestion des accès, incidents, continuité) sont des documents de niveau tactique qui déclinent la PSSI en règles opérationnelles par domaine. Dans la pyramide documentaire ISO 27001, la PSSI est au sommet.
Combien de pages doit faire une PSSI conforme ?
Il n'y a pas de taille imposée par la norme. En pratique, une PSSI efficace fait entre 15 et 30 pages pour une PME, et 30 à 60 pages pour une ETI ou un grand groupe. L'important est la pertinence et l'exhaustivité, pas le volume. Un document trop long risque de ne pas être lu ni appliqué.
Qui doit rédiger et approuver la PSSI ?
La rédaction est généralement confiée au RSSI ou au responsable du SMSI, en collaboration avec la DSI et les métiers. L'approbation doit être formalisée par la direction générale (DG, Comex, ou Comité de Direction). La signature du DG est un élément vérifié systématiquement par l'auditeur.
La PSSI doit-elle être diffusée à tous les collaborateurs ?
Oui, la clause 5.2 exige que la politique soit disponible comme information documentée, communiquée au sein de l'organisme et accessible aux parties intéressées. En pratique, diffusez-la via l'intranet, faites-la signer par les nouveaux arrivants et intégrez-la dans le programme de sensibilisation.
Article recommandé
Pour compléter votre socle documentaire, consultez notre guide sur l'Analyse de Risques ISO 27005 : Méthodologie et Modèle Téléchargeable, qui détaille la méthodologie d'évaluation des risques exigée par la clause 6.1 de l'ISO 27001.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire