Rédaction d’une PSSI : les salariés soulignent le manque d’implication de la direction

Document stratégique de direction, la PSSI n’est pas seulement un document technique. Elle doit refléter les prises de position du high management en matière de cybersécurité. Les normes ISO-27001 et ISO-27002 indiquent clairement que la PSSI doit être établie, définie et approuvée par le plus haut niveau de direction de l’entité. Les directions doivent en conséquence être proactives dans la conception de leur PSSI. Il ne s’agit pas là d’un exercice de délégation, mais d’une réelle responsabilité politique à prendre. Exemple : en matière de santé, l’instruction SG/DSSIS/2016/309 avait bien été adressée en 2016 aux directeurs des Agences régionales de santé (ARS) par le ministère des Affaires sociales et de la Santé et non pas aux RSSI des ARS.

Un manque d’implication souvent critiqué

En pratique, quand on interroge les collaborateurs et responsables des SSI sur la rédaction de la PSSI, il s’agit souvent pour eux d’un mauvais souvenir. Soit la direction se désintéressait totalement du sujet, soit la rédaction est devenue un bras de fer politique entre la direction et les SSI. “Le problème avec la PSSI, c’est que la direction connaît mal la réflexion autour de la PSSI. Notre direction nous a, par exemple, demandée de la rédiger dans un délai de deux semaines, alors que l’on manque cruellement de ressources humaines, sans s’impliquer, ni nous donner de choix stratégiques et politiques cohérents avec notre structure”,nous confient deux collaborateurs travaillant au sein d’un SSI d’une université publique française.

Ce manque d’implication et la méconnaissance de la réflexion autour de la conception de la PSSI – que ce soit dans les établissements privés ou publics – laissent les RSSI et les collaborateurs SSI isolés dans le processus de rédaction. “Il y a un réel travail de collaboration à mettre en place car on ne peut pas valablement déléguer des décisions stratégiques de direction à des SSI. Il faut que les directions soient conscientes des enjeux de leur collaboration dans la réflexion et dans la rédaction car elles ont une vision globale sur l’entité qu’un RSSI seul n’a généralement pas et le devoir de la protéger”,poursuivent les deux collaborateurs. 

Conséquences de ce manque d’implication

Ne pas s’impliquer dans la rédaction de la PSSI ne permet pas – en tout état de cause – d’échapper à ses responsabilités. Que la rédaction de la PSSI soit liée à une obligation légale (comme les établissements de santé) ou une obligation volontaire (de droit souple, par exemple, une certification ISO), la direction peut s’exposer à des fautes de gestion si un préjudice et un lien sont constatés du fait de sa non-implication là où elle est tenue de le faire. 

Ainsi, ne pas s’impliquer ou refuser de rédiger une PSSI augmente le risque de voir la responsabilité de la direction engagée. La direction a donc tout intérêt à s’impliquer pour limiter sa responsabilité dans le cadre de ses missions. Il faut aussi souligner que le fait, pour la direction, de ne pas participer à la rédaction de la PSSI aux côtés des SSI et autres départements utiles fait qu’en pratique, la direction envoie un mauvais message managérial. 

Alors que les enjeux de sécurité numériques sont essentiels, ne pas s’impliquer dans la rédaction de la PSSI revient à considérer l’enjeu de la cybersécurité comme marginal pour la majorité des collaborateurs. Ce désintéressement nuit à sa rédaction collaborative et à l’implication des collaborateurs pour sa bonne application.