Démarche PSSI générique : retour d'expérience d'établissements pilotes

Aux JRES 2009, a été présenté le principe de la fourniture d’une PSSI générique pour les établissements d'enseignement supérieur et recherche, associée à une boîte à outils permettant sa déclinaison dans chaque établissement.
Ce projet mené dans sept établissements pilotes, en utilisant une démarche implémentant la phase « planification » de la norme ISO 27001, a reposé sur les principes suivants :
- définition de périmètres communs,
- appréciation des risques en exploitant la méthode EBIOSv2,
- déclinaison des mesures sélectionnées en règles pour former la PSSI.

L’intérêt de réunir autant d’établissements était motivé par les différentes approches de la SSI qu'on peut y trouver compte tenu de leurs différences (taille, organisation administrative, sensibilisation de la gouvernance à la SSI...).

Au sein de chaque établissement différentes voies ont été recherchées pour valider la PSSI.

Cet article se propose, dans un premier temps, d’exposer une synthèse de ces travaux, qui mettent en évidence ce qui semble former les invariants d’une démarche PSSI, et les différences possibles dans les cheminements suivis ou l’appropriation des résultats obtenus.
Dans un second temps, pour trois établissements, nous décrirons plus précisément :

1. le contexte du projet ;
2. le traitement des livrables ;
3. la mise en œuvre de la PSSI et de la gestion de la sécurité de l'information ;
4. les difficultés et les apports du projet.