La Politique de Sécurité des Systèmes d’Information de l’État (PSSIE)


La PSSIE fixe les règles de protection applicables aux systèmes d’information de l’État.

Ce document est l’aboutissement de travaux pilotés par l’ANSSI qui s’appuient sur l’expérience des participants ministériels et de l’Agence en matière de prévention et de réaction aux attaques informatiques.

Référence

Politique de sécurité des systèmes d’information (PSSIE) portée par la circulaire du Premier ministre n° 5725/SG du 17 juillet 2014.

Politique de Sécurité des Systèmes d’Information de l’État

Contexte

Essentiels à l’action publique, les systèmes d’information sont porteurs d’efficacité, mais aussi de risques : menaces d’exfiltration de données confidentielles, d’atteinte à la vie privée des usagers, voire de sabotage des systèmes d’information. Afin de prendre en compte ces risques, le Premier ministre a défini une politique volontariste, mais également pragmatique par laquelle l’État affiche sa volonté de se montrer exemplaire en matière de cybersécurité.
La PSSIE s’inscrit dans le cadre des mesures annoncées en Conseil des ministres le 25 mai 2011 pour faire face à la montée des cyber-attaques. La première version a été publiée par circulaire le 17 juillet 2014.

Champ d’application

La PSSIE s’applique à tous les systèmes d’information des administrations de l’État : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’État et autorités administratives indépendantes. Ces administrations sont dénommées « entités » dans le texte. La PSSIE concerne l’ensemble des personnes physiques ou morales intervenant dans ces systèmes d’information, qu’il s’agisse des administrations de l’État et de leurs agents ou bien de tiers agissant au nom et pour le compte des administrations de l’État (prestataires ou sous-traitants) et de leurs employés.

Destinataires

La PSSIE s’adresse à l’ensemble des agents de l’État, et tout particulièrement :
– aux autorités hiérarchiques, qui sont responsables de la sécurité des informations traitées au sein de leurs services ;
– aux agents chargés des fonctions de directeurs des systèmes d’information (DSI) ;
– aux personnes chargées de la sécurité et de l’exploitation des systèmes d’information.

Contenu

La PSSIE décline dix principes fondamentaux portant sur le choix d’éléments de confiance pour construire les systèmes d’information, sur la gouvernance de la sécurité et sur la sensibilisation des acteurs. Parmi ces principes, la circulaire met en exergue la nécessité pour les administrations de l’État de recourir à des produits et à des services qualifiés par l’ANSSI ainsi qu’à un hébergement sur le territoire national de leurs données les plus sensibles.
Chaque ministère est désormais responsable de l’application de la PSSIE entrée en vigueur le 29 août 2014. Celle-ci a également été conçue pour constituer une base méthodologique pour tout organisme ou institution, extérieur à l’État, ayant à élaborer un document de cette nature.

Fonds documentaire (recommandations, autres textes, FAQ)