Modèle de politique de sécurité PME

Mode d'emploi du modèle

Ce document est un modèle de politique de sécurité des systèmes d'information (PSSI) conçu pour les TPE/PME françaises. Il est conforme aux exigences de la directive NIS 2 (article 21, mesure 1) et compatible avec les bonnes pratiques ISO 27001.

Comment l'utiliser

Téléchargez ce PDF puis copiez-collez le texte dans Word, Pages ou Google Docs
Remplacez tous les termes entre [crochets] par vos données réelles
Adaptez chaque section à votre contexte (taille, secteur, outils utilisés)
Faites valider par la direction et faites signer le document
Communiquez la PSSI à tous les collaborateurs (intranet ou pièce jointe d'arrivée)
Programmez une revue annuelle pour mettre à jour

Avertissement

Ce modèle est un document indicatif fourni gratuitement. Il ne se substitue pas à un audit professionnel et ne garantit pas à lui seul la conformité NIS 2. Pour une démarche complète, voir notre offre Audit + accompagnement à 2 500 €.

Politique

Politique de sécurité
des systèmes d'information

Société : [NOM DE VOTRE SOCIÉTÉ]

Référence : PSSI-[ANNÉE]-001

Version : 1.0

Date d'approbation : [JJ/MM/AAAA]

Approuvée par : [NOM ET FONCTION DU DIRIGEANT]

1. Préambule et objet

La présente politique de sécurité des systèmes d'information (ci-après "PSSI") définit l'engagement de [Société] à protéger les informations qu'elle traite, ses systèmes informatiques et la continuité de son activité.

Elle est rédigée pour répondre aux exigences de la directive européenne (UE) 2022/2555 dite NIS 2, applicable en France à compter du 17 octobre 2026, et plus largement aux bonnes pratiques de cybersécurité reconnues (recommandations ANSSI, ISO/IEC 27001).

1.1 Engagement de la direction

La direction de [Société] :

reconnaît la cybersécurité comme un enjeu stratégique de l'entreprise ;
alloue les ressources nécessaires à la mise en œuvre de cette politique ;
désigne un responsable de la sécurité des SI (cf. section 3) ;
s'engage à suivre une formation cybersécurité régulière ;
approuve cette politique et la fait revoir au moins annuellement.

1.2 Objectifs

Garantir la confidentialité des informations sensibles (données personnelles, données clients, savoir-faire) ;
Garantir l'intégrité des informations et des systèmes (pas d'altération non autorisée) ;
Garantir la disponibilité des services informatiques nécessaires à l'activité ;
Respecter les obligations réglementaires (RGPD, NIS 2, et autres applicables au secteur).

2. Périmètre d'application

2.1 Périmètre organisationnel

La PSSI s'applique à l'ensemble de [Société], à ses filiales et à ses collaborateurs (salariés, freelances, stagiaires, prestataires intervenant dans ses locaux ou sur ses systèmes).

2.2 Périmètre technique

Sont couverts par cette politique :

les serveurs, postes de travail, terminaux mobiles, équipements réseau utilisés pour l'activité ;
les applications métier internes et les services SaaS utilisés (notamment [Microsoft 365 / Google Workspace / autre]) ;
les sites web et plateformes hébergées ;
les données traitées sur ces systèmes, qu'elles soient stockées en local, dans le cloud ou en sauvegarde ;
les processus métier dépendant des systèmes d'information.

3. Rôles et responsabilités

3.1 La direction

Approuve la PSSI, alloue les ressources, valide la prise de risques résiduels, suit le tableau de bord cybersécurité et est destinataire des comptes rendus d'incidents majeurs.

3.2 Le référent sécurité des SI

Le référent sécurité des SI est [Nom — Fonction]. Il est responsable de :

la mise en œuvre opérationnelle de la PSSI ;
la tenue à jour de l'inventaire des actifs et de l'analyse de risques ;
la coordination en cas d'incident de sécurité ;
la liaison avec l'ANSSI, la CNIL et les autres autorités compétentes ;
la sensibilisation des collaborateurs.

3.3 Les collaborateurs

Tout collaborateur s'engage à respecter la charte informatique annexée à son contrat et à signaler sans délai tout incident ou comportement suspect au référent sécurité.

3.4 Les prestataires externes

Les prestataires intervenant sur les systèmes d'information sont soumis à des obligations contractuelles équivalentes (clauses cybersécurité, NDA si applicable, droit d'audit).

4. Gestion des actifs et classification

4.1 Inventaire des actifs

Un inventaire des actifs critiques est tenu à jour par le référent sécurité. Il comprend pour chaque actif :

le nom et la fonction de l'actif ;
son emplacement (sur site / cloud / chez un prestataire) ;
son responsable technique et fonctionnel ;
sa classification (cf. 4.2).

4.2 Classification des informations

Les informations sont classifiées selon trois niveaux :

Public : peut être diffusé sans restriction (catalogue, articles).
Interne : réservé aux collaborateurs et partenaires sous accord (procédures, organigramme, listes clients).
Confidentiel : accès strictement nominatif, traçabilité obligatoire (données personnelles sensibles, contrats, données financières, codes sources).

5. Contrôle d'accès et authentification

5.1 Principe de moindre privilège

Chaque collaborateur dispose des droits strictement nécessaires à l'exercice de sa fonction. Les droits sont attribués nominativement et révoqués à son départ.

5.2 Authentification multifactorielle (MFA)

La MFA est obligatoire pour :

tous les comptes administrateurs (100% de couverture) ;
tous les accès distants aux SI de l'entreprise ;
les applications métier sensibles ;
l'accès aux données classifiées "confidentiel".

Les facteurs autorisés sont : application TOTP (Microsoft Authenticator, Google Authenticator), notification push avec vérification, clé physique FIDO2 (recommandée pour les administrateurs). Le SMS est autorisé uniquement comme fallback.

5.3 Politique de mots de passe

Longueur minimale : 12 caractères ;
Pas de réutilisation entre comptes professionnels et personnels ;
Stockage exclusivement via le coffre-fort de mots de passe d'entreprise ([Bitwarden / 1Password / autre]) ;
Renouvellement obligatoire en cas de soupçon de compromission ;
Interdiction de partager un mot de passe par email, chat ou téléphone.

5.4 Gestion des arrivées et départs

Les comptes utilisateurs sont créés à l'arrivée et révoqués dans les 24 heures suivant le départ. Le matériel restitué est réinitialisé.

6. Sécurité opérationnelle

6.1 Mises à jour

Les systèmes (postes de travail, serveurs, applications) reçoivent les mises à jour de sécurité dans les 30 jours suivant leur publication (7 jours pour les correctifs critiques).

6.2 Antivirus / EDR

Tous les postes de travail sont protégés par un antivirus moderne ou un EDR ([Microsoft Defender / Bitdefender / autre]) avec mises à jour automatiques.

6.3 Sauvegardes

Les données critiques sont sauvegardées selon la règle 3-2-1-1-0 :

3 copies des données ;
2 supports différents ;
1 copie hors site ;
1 copie immuable ;
0 erreur de restauration vérifiée par test.

Un test de restauration documenté est réalisé au moins une fois par an.

6.4 Chiffrement

HTTPS / TLS 1.2+ obligatoire pour les services exposés ;
Chiffrement des disques (BitLocker, FileVault) sur les postes ;
Chiffrement des bases contenant des données sensibles ;
Sauvegardes chiffrées avec clés gérées séparément.

6.5 Journalisation

Les accès aux systèmes critiques sont journalisés. Les journaux sont conservés au moins 6 mois et sont consultables en cas d'incident.

7. Gestion des incidents

7.1 Définition

Un incident de sécurité est tout événement compromettant la confidentialité, l'intégrité ou la disponibilité des systèmes ou des données.

7.2 Procédure de signalement

Tout collaborateur signale immédiatement un incident à [email dédié — exemple : security@société.com] ou par téléphone à [numéro]. Le référent sécurité qualifie l'incident dans les 4 heures.

7.3 Notification aux autorités

Les incidents significatifs au sens de la directive NIS 2 sont notifiés à l'ANSSI dans les délais suivants :

Alerte précoce : 24 heures ;
Rapport d'incident : 72 heures ;
Rapport final : 1 mois.

Si l'incident implique une violation de données personnelles, la CNIL est notifiée dans les 72 heures conformément au RGPD.

7.4 Retour d'expérience

Tout incident significatif fait l'objet d'un retour d'expérience formalisé dans les 30 jours, présenté à la direction et utilisé pour mettre à jour la PSSI si nécessaire.

8. Continuité d'activité

Un plan de continuité d'activité (PCA) documenté précise pour chaque service critique :

l'objectif de temps de reprise (RTO) ;
l'objectif de point de reprise (RPO) ;
les procédures dégradées et les responsabilités associées ;
les contacts d'urgence (assureur, prestataires, expert IRT).

Le PCA est testé au moins une fois par an. Un exercice tabletop ou un test de restauration partielle est conduit chaque trimestre.

9. Sécurité des fournisseurs

Les fournisseurs critiques ([lister vos critères]) sont soumis à :

une évaluation initiale de leur niveau de sécurité (questionnaire ou attestation) ;
des clauses cybersécurité dans le contrat (notification d'incident sous 24h, droit d'audit, obligations de sécurité de base) ;
une revue annuelle de la conformité.

Un plan de réversibilité est défini pour les fournisseurs uniques.

10. Sensibilisation et formation

10.1 Sensibilisation des collaborateurs

Tous les collaborateurs participent à au moins une session de sensibilisation cybersécurité par an (durée minimale 1 heure). Le programme couvre : phishing, mots de passe, MFA, mobilité, signalement d'incidents.

10.2 Exercices phishing

Des exercices de phishing simulés sont organisés une à deux fois par an. Les résultats sont analysés et utilisés pour adapter le programme de sensibilisation.

10.3 Formation des dirigeants

Les organes de direction suivent une formation cybersécurité spécifique (4 à 8 heures par an), conformément à l'article 20 de la directive NIS 2.

Validation et révision

La présente politique est revue au moins une fois par an et systématiquement après tout changement significatif (réorganisation, nouvel outil critique, incident majeur, évolution réglementaire).

Approbation

Pour la direction de [Société]

Nom : ______________________

Fonction : ______________________

Date : ______________________

Signature :

Référent sécurité des SI