PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

Guide pour l'laboration d'une politique de scurit de systme d'information

PSSI
SECTION 2 MTHODOLOGIE

Version du 3 mars 2004

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Ce document a t ralis par le bureau conseil de la DCSSI (SGDN / DCSSI / SDO / BCS) Les commentaires et suggestions sont encourags et peuvent tre adresss l'adresse suivante (voir formulaire de recueil de commentaires en fin de guide) : Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau Conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP conseil.dcssi@sgdn.pm.gouv.fr

Historique des modifications

Version Objet de la modification Statut Valid Draft

15/09/1994 Publication du guide d'laboration de politique de scurit interne (PSI). (1.1) 2002 Rvision globale : - actualisation des rfrences, - cration d'une mthodologie, - enrichissement et reclassement des principes de scurit, - sparation en 3 sections (mthodologie, principes de scurit et complments). Restructuration, remise en forme, amlioration de la mthode, mise en cohrence avec les outils mthodologiques et meilleures pratiques de la DCSSI suite une consultation d'experts internes.

2003

Prtest

23/12/2003 Sparation en 4 sections (introduction, mthodologie, principes de scurit et rfrences SSI) et amliorations diverses suite une consultation d'experts externes (notamment le Club EBIOS) et plusieurs mises en pratique (ministre de la Dfense, CNRS, Direction des Journaux Officiels). 03/03/2004 Publication du guide pour l'laboration d'une politique de scurit de systme d'information (PSSI)

Prtest pour validation

Valid

Table des matires

SECTION 1 INTRODUCTION (document spar)

SECTION 2 MTHODOLOGIE INTRODUCTION ..................................................................................................................................... 5 OBJET DU DOCUMENT......................................................................................................................... 5 1 INTRODUCTION LA MTHODE................................................................................................ 6 1.1 1.2 1.3 2 PRSENTATION GNRALE DE LA DMARCHE ............................................................................. 6 PRINCIPAUX RSULTATS DE LA MTHODE ................................................................................... 6 LES SUITES D'UNE PSSI............................................................................................................ 7

DMARCHE DLABORATION DUNE PSSI .............................................................................. 8 2.1 CONVENTIONS D'CRITURE ....................................................................................................... 8 2.2 PHASE 0 : PRALABLES ............................................................................................................ 9 2.2.1 Tche 1 : organisation projet....................................................................................... 10 2.2.2 Tche 2 : constitution du rfrentiel ............................................................................ 11 2.3 PHASE 1 : LABORATION DES LMENTS STRATGIQUES .......................................................... 12 2.3.1 Tche 1 : dfinition du primtre de la PSSI............................................................... 13 2.3.2 Tche 2 : dtermination des enjeux et orientations stratgiques................................ 14 2.3.3 Tche 3 : prise en compte des aspects lgaux et rglementaires.............................. 15 2.3.4 Tche 4 : laboration d'une chelle de besoins .......................................................... 16 2.3.5 Tche 5 : expression des besoins de scurit ............................................................ 18 2.3.6 Tche 6 : identification des origines des menaces ..................................................... 19 2.4 PHASE 2 : SLECTION DES PRINCIPES ET RDACTION DES RGLES ............................................ 20 2.4.1 Tche 1 : choix des principes de scurit ................................................................... 21 2.4.2 Tche 2 : laboration des rgles de scurit .............................................................. 22 2.4.3 Tche 3 : laboration des notes de synthse ............................................................. 23 2.5 PHASE 3 : FINALISATION ......................................................................................................... 24 2.5.1 Tche 1 : finalisation et validation de la PSSI ............................................................. 25 2.5.2 Tche 2 : laboration et validation du plan daction .................................................... 26

PLAN-TYPE D'UNE PSSI ............................................................................................................ 27

FORMULAIRE DE RECUEIL DE COMMENTAIRES ........................................................................... 28

SECTION 3 PRINCIPES DE SCURIT (document spar)

SECTION 4 RFRENCES SSI (document spar)

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

Introduction
Le guide PSSI est dcompos en quatre sections : l'introduction permet de situer la place de la PSSI dans le rfrentiel normatif de la SSI au sein de l'organisme et de prciser les bases de lgitimit sur lesquelles elle s'appuie ; la mthodologie (ce document) prsente, de faon dtaille, la conduite de projet dlaboration dune PSSI, ainsi que des recommandations pour la construction des rgles de scurit ; le rfrentiel de principes de scurit ; une liste de documents de rfrences de la SSI (critres dvaluation, textes lgislatifs, normes, codes dthiques, notes complmentaires...).

L'attention du lecteur est attire sur le fait que les sections composant le guide PSSI seront mises jour indpendamment. Un formulaire de recueil de commentaires figure en annexe de chaque guide afin de renvoyer des propositions et remarques la DCSSI.

Objet du document
Cette section prsente la mthode dlaboration de politiques de scurit des systmes d'information (PSSI). La dmarche d'laboration de PSSI se droule en 4 phases successives : Phase 0 : pralables o o Tche 1 : organisation projet Tche 2 : constitution du rfrentiel

Phase 1 : laboration des lments stratgiques o o o o o o Tche 1 : dfinition du primtre de la PSSI Tche 2 : dtermination des enjeux et orientations stratgiques Tche 3 : prise en compte des aspects lgaux et rglementaires Tche 4 : laboration d'une chelle de besoins Tche 5 : expression des besoins de scurit Tche 6 : identification des origines des menaces

Phase 2 : slection des principes et rdaction des rgles o o o Tche 1 : choix des principes de scurit Tche 2 : laboration des rgles de scurit Tche 3 : laboration des notes de synthse

Phase 3 : finalisation o o Tche 1 : finalisation et validation de la PSSI Tche 2 : laboration et validation du plan daction

Page 5 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

1 Introduction la mthode
1.1 Prsentation gnrale de la dmarche
La dmarche, qui est mene sous la forme dun "projet PSSI", se base sur le rfrentiel de lorganisme et une analyse des risques SSI. Le rfrentiel SSI de l'organisme (schma directeur, meilleures pratiques, directives internes) et une analyse des risques pralables fournissent en effet les lments permettant deffectuer et de justifier les choix, de lgitimer laction et de garantir la cohrence avec le contexte particulier de lorganisme. Lobjectif de la mthode consiste construire un document de politique comprenant des lments stratgiques et des rgles de scurit pour un organisme ou un systme dinformation. La validation successive des diffrentes phases vise faciliter limplication de la Direction gnrale et ladhsion de tous les intervenants. La figure suivante prsente la dmarche en 4 phases :

Rfrentiel de lorganisme

Phase0 0: :pralables pralables Phase

Validation

Notede decadrage cadrage Note

Rsultats dune analyse des risques SSI

Phase1 1: :laboration laborationdes des Phase lments stratgiques lments stratgiques

Validation

Notede destratgie stratgie Note

Synthsedes des Synthse rgles de scurit rgles de scurit Synthsedes des Synthse impacts impacts PSSI PSSI

Phase2 2::slection slectiondes des Phase principes et rdaction desrgles rgles principes et rdaction des
Validation

Phase3 3: :finalisation finalisation Phase

Validation Plandaction daction Plan

1.2 Principaux rsultats de la mthode

Llaboration de la PSSI doit permettre de : (1) Disposer dun cadre de rfrence et de cohrence pour lensemble des activits et des acteurs de lorganisme. Ce cadre de scurit doit notamment permettre la mise en vidence des objectifs, obligations et engagements de lorganisme vis--vis de ses partenaires, clients et sous-traitants, ainsi que les principes de scurit rgissant la protection de son propre patrimoine. Ce cadre fondamental et fdrateur doit exprimer les responsabilits de lensemble des acteurs, ainsi que les principes et rgles de scurit minimaux respecter pour lensemble des activits et des systmes. Il doit offrir les directives ncessaires, notamment pour tout choix technique mais aussi organisationnel ou contractuel, en matire de scurit, et permet dassurer la cohrence et la prennit des actions de scurit.

Page 6 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

(2) Constituer un document gnral diffusable La Politique de Scurit des Systmes dInformation doit tre connue de lensemble des acteurs internes, ainsi que, le cas chant, de lensemble des personnes accdant au SI de lorganisme (prestataires, sous-traitants, stagiaires). Le document doit tre largement diffus, ventuellement sous une forme simplifie et didactique (le langage utilis doit tre appropri aux destinataires), lensemble du personnel. Cette diffusion sera, le cas chant, accompagne dune sensibilisation de lensemble du personnel portant sur le rappel des principes, de lorganisation et des rgles de scurit. Le plan type dune PSSI figure en partie 3 de ce document. D'une manire gnrale, il doit voquer les points suivants : - pourquoi protger et susciter la confiance : enjeux, aspects rglementaires, menaces ; - que protger : biens protger et chelle de besoins ; - qui protge : organisation, responsabilits et gestion de la SSI ; - comment protger : ensemble cohrent et oprationnel de rgles de scurit ; - quand protger : considration de l'ensemble du cycle de vie. La PSSI doit tre complte par un plan daction pour assurer sa mise en uvre. Il comprendra deux principaux volets : - des actions de type mthodologique, organisationnelle ou procdurale, applicable lensemble de lorganisme participant au primtre de ltude ; - des actions de type technique, concernant les lments fdrateurs du systme dinformation. Ces actions pourront tre accompagnes de recommandations concernant les outils et mthodes de mise en uvre. Ce plan daction est destin "vivre". Il doit tre tenu jour et ses priorits doivent tre revues en fonction de lvolution des services offerts par le SI, des budgets attribus, de l'organisation, des missions, etc

1.3 Les suites d'une PSSI

Les suites donner llaboration dune PSSI sarticulent autour de quatre axes fondamentaux. (1) Assurer une dclinaison oprationnelle des rgles de la PSSI, notamment sous la forme de procdures, applicables directement aux diffrents systmes et applications. (2) Constituer une entit de suivi et de pilotage du plan d'action prioritaire dfini lissue de cette dmarche. La vision dynamique, ncessaire pour prendre en compte la scurit dans un contexte mouvant, peut conduire remettre en question des priorits du plan daction et donc ritrer au moins la fin de la dmarche. (3) Laudit de la PSSI, notamment construit autour de contrles rguliers plusieurs niveaux de lapplication oprationnelle ou laide de tableaux de bord SSI, est un lment fondamental pour assurer lefficacit de la couverture des risques jugs inacceptables. Ainsi, les rsultats obtenus lissue de ces audits (organisationnels et techniques) pourront, le cas chant, demander une rvision des rgles de scurit. (4) Enfin, la mise en place dune organisation dalerte et de veille technologique est ncessaire assurer la maintenance du niveau de scurit et son efficacit dans le temps.

Page 7 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2 Dmarche dlaboration dune PSSI

Le droulement de la mthode exige principalement : - une implication forte de l'encadrement au plus haut niveau ; - de disposer de moyens humains significatifs, non seulement pour le chef de projet responsable du projet mais aussi pour lensemble des acteurs impliqus (techniques, fonctionnels et dcisionnels) ; - une implication active et une motivation relle de lensemble des acteurs, notamment celle des responsables techniques et fonctionnels ; - la prise en compte de moyens financiers et humains pour la mise en uvre future du plan daction produit par ltude ; - la prise en compte des pratiques et usages du systme dinformation par les diffrents profils dacteur pour viter de rvolutionner les mthodes de travail qui ont, dans la plupart des cas, fait leur preuve. Il est prcis en outre que ce type de dmarche na de sens que si : - elle est mene de faon consensuelle avec des points de validation successifs rguliers ; - les lments tudis le sont dans leur globalit, cest dire que ltude doit sintresser, pour un systme donn, lensemble des risques et lensemble des moyens de scurit mettre en uvre tous les aspects des systmes et de leur environnement tant physique quorganisationnel ; - elle est ralise par un tiers (prestation d'assistance) qui, de par sa position de neutralit, pourra faire merger les lments ncessaires l'laboration d'une PSSI en franchissant plus facilement les barrires interpersonnelles.

2.1 Conventions d'criture

Les symboles suivants sont utiliss dans la suite du document :

! "

: Conseil pratique : cueil et recommandation

Page 8 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.2 Phase 0 : pralables

Cette phase prliminaire doit permettre la prsentation du projet au niveau de la Direction gnrale et de faire valider ainsi ses objectifs et les moyens quil convient dy consacrer. Fiche de synthse pour la phase 0

Rfrentiel

Phase 0 : pralables
Validation

Note de cadrage

Analyse de risques

Phase 1 : laboration des lments stratgiques

Validation

Note de stratgie

Synthse des rgles de scurit Synthse des impacts PSSI

Phase 2 : slection des principes et rdaction des rgles

Validation

Phase 3 : finalisation
Plan daction Validation

Objectifs de la phase Dfinir les objectifs et moyens mettre en uvre pour llaboration de la PSSI et constituer le rfrentiel documentaire. Acteurs de la phase - Le responsable scurit ou linitiateur du projet PSSI lments en entre - Rfrentiel de lorganisme Tches 1. Dcrire lorganisation du projet 2. Constitution du rfrentiel documentaire Observations Cette phase doit permettre la Direction gnrale de prendre la dcision de lancement de lopration sur la base dun cadre formalis dintervention dfinissant les objectifs et moyens mettre en uvre. Validation Documents Note de cadrage Validateur Hirarchie au plus haut niveau, par dfaut la Direction Gnrale lments en sortie - Note de cadrage - Rfrentiel documentaire

Page 9 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.2.1
Objectif

Tche 1 : organisation projet

Cette tche consiste dfinir l'organisation du "projet PSSI" afin d'laborer le cadre de ralisation. Dmarche Llaboration de la PSSI doit tre conduite comme un projet part entire et notamment il faut : - nommer un chef de projet, missionn au plus haut niveau ; - constituer un comit de pilotage, compos des principaux reprsentants des matrises douvrage et des matrises duvre, anim par le RSSI. Cette structure de pilotage pourra par la suite devenir le comit de scurit charg notamment de maintenir lefficacit et la cohrence du document ; - constituer un groupe dexperts, comptents pour traiter des thmes dvelopper dans le primtre de la PSSI (experts juridiques, experts en organisation de la SSI en entreprise, experts techniques des systmes, architecte rseau) ; - attribuer un budget ; - formaliser des objectifs dtaills ; - tablir un calendrier. Une tape prliminaire de gestion de projet doit tre conduite pour dterminer lensemble des lments ncessaires au droulement du projet. Cette tape prliminaire comporte trois volets complmentaires : - la description macroscopique de lorganisation du projet, des systmes dinformation en place, et des domaines d'application (cible du projet) ; - la formalisation et la validation du cadre complet dintervention (mthode prcise, acteurs impliqus, calendrier, rsultats attendus, champ dapplication de la dmarche) ; - la rdaction dune note de cadrage du projet, reprenant lensemble des lments analyser et dcrivant les objectifs et la cible du projet, valide par la Direction gnrale et diffuse.

! "

Conseil pratique : Que la PSSI soit globale ou quelle concerne une application particulire, le cadre doit tre dfini clairement ds le dpart. La composition de lorganisation du projet et du budget (temps, argent, ressources) en dpendent fortement.

Attention : Laspect indispensable de cette tche est de constituer un comit de pilotage dont les membres sont suffisamment reprsentatifs de la matrise douvrage et lgitimes pour prendre les dcisions.

Page 10 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.2.2
Objectif

Tche 2 : constitution du rfrentiel

Cette tche consiste identifier le rfrentiel documentaire de l'organisme (SI, SSI, aspects dontologiques et contractuels) qui servira de base la suite de la dmarche. Dmarche La ralisation dune politique de scurit doit se construire de faon adapte au contexte particulier de chaque organisme. Ce contexte diffre dun organisme un autre et doit donc pouvoir tre apprhend le plus tt possible. Pour y parvenir, le groupe de projet doit constituer ds le dbut une base documentaire regroupant : - aspects lgaux et rglementaires : o les textes lgislatifs majeurs, qui sont dcrits en annexe, dont la loi informatique et libert, la loi sur la protection des droits dauteur, la loi relative la fraude informatique, la loi sur le secret des communications, les lois sur la cryptologie ; o les textes et recommandations nonces au plan national et international dont une liste de rfrences se trouve en annexe ; o le rglement intrieur, qui peut galement contenir des exigences concernant le systme dinformation ; o la prservation des intrts vitaux de ltat sur le plan de la protection des informations sensibles relevant ou non du secret de dfense, o le droit dauteur ; o la proprit intellectuelle et du copyright ; o lutilisation de moyens cryptographiques ; o la protection des consommateurs ; o obligations rglementaires spcifiques l'organisme concern - grands principes d'thique : o au plan national, la protection de la vie prive ; o les clauses particulires dans les contrats rgissant les relations de lorganisme avec ses partenaires et/ou clients ; o les codes thiques des mtiers des technologies de linformation dont une liste des rfrences est propose en annexe - obligations contractuelles auxquelles lorganisme sest engag vis vis de ses clients ou partenaires spcifiques : o contrat de coopration ou de partenariat avec dautres organismes ; o contrat de prestation de service dautres organismes ; o conditions de garantie applicables aux produits ou services proposs ; o conventions bilatrales (comme par exemple des conventions de preuve) - obligations contractuelles des prestataires ou partenaires, - le rfrentiel de scurit interne : o schma directeur informatique et SSI ; o analyses de risques ; o rsultats d'audits de scurit - le rfrentiel du ou des systmes dinformation. Tous ces lments sont fournis titre dexemple et la liste ne prtend pas lexhaustivit, il conviendra de ladapter en fonction du domaine de chaque organisme.

Page 11 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3 Phase 1 : laboration des lments stratgiques

Fiche de synthse pour la phase 1

Rfrentiel

Phase 0 : pralables
Validation

Note de cadrage

Analyse de risques

Phase 1 : laboration des lments stratgiques

Validation

Note de stratgie

Synthse des rgles de scurit Synthse des impacts PSSI

Phase 2 : slection des principes et rdaction des rgles

Validation

Phase 3 : finalisation
Plan daction Validation

Objectifs de la phase Cette phase, dont les rsultats et conclusions doivent imprativement tre valids par la Direction Gnrale, consiste dterminer les axes stratgiques et les premires grandes orientations partir desquelles sera dcline la PSSI. Pour cela, elle doit obligatoirement identifier et prendre en compte le primtre d'tude, le contexte, les enjeux et orientations stratgiques, le rfrentiel rglementaire, l'chelle de besoins, les besoins de scurit des biens protger et les origines des menaces afin daboutir une note de stratgie valide par la Direction fixant les grandes orientations de la SSI. Acteurs de la phase - Chef de projet - Reprsentants de la matrise douvrage - Direction Gnrale - Responsable juridique lments en entre - Rfrentiel documentaire lments en sortie - Note de stratgie de scurit

Tches 1. Dlimitation du primtre 2. Identification des enjeux et orientations stratgiques 3. Recensement des lois et rglements applicables 4. Dfinition d'une chelle de besoins en termes de disponibilit, intgrit, confidentialit et ventuellement d'autres critres de scurit 5. Expression des besoins de scurit des biens protger 6. Identification des origines des menaces pesant sur l'organisme ou le systme tudi (et ventuellement des principaux risques et objectifs de scurit) Observations Il convient dinsister sur limportance capitale de cette phase et sur la ncessit dune implication forte de la Direction Gnrale tant lors de lidentification des besoins et menaces que lors de la validation de la cible et des principaux objectifs atteindre. Validation Document Note de stratgie de scurit Validateur Comit de pilotage puis Direction gnrale

Page 12 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3.1
Objectif

Tche 1 : dfinition du primtre de la PSSI

Cette tche consiste dcrire les domaines d'activits couvrir et affiner le primtre, notamment les changes entre les domaines et lextrieur du primtre. Le champ d'application de la politique de scurit du systme dinformation peut tre tout systme d'information de l'organisme ou le systme d'information dans sa globalit, qu'il soit existant ou dvelopper, et en prenant en compte lensemble des thmes de la scurit (logique, physique, aspects humains, rglementaires). Des sous-primtres demandant un traitement spcifique peuvent tre identifis lors de cette tche.

!
Dmarche

Conseil pratique : La ralisation rigoureuse de cette tape est fondamentale. Le rsultat doit tre valid par la hirarchie au plus haut niveau. Ce rsultat conditionne notamment la dtermination des biens protger et, par voie de consquence, le choix des personnes impliquer dans ltude.

La dmarche consiste en premier lieu formaliser une vision globale du systme dinformation concern. partir de cette reprsentation, il est ncessaire de : - lister lensemble des domaines d'activits jouant un rle dans le systme dinformation de lorganisme ; cette liste doit inclure les mtiers de lorganisme et les services internes de production, de gestion, de support (rseau dentreprise, info-grance) ; - slectionner et dcrire les domaines d'activits essentiels au fonctionnement de l'organisme, ainsi que leurs interactions et ventuellement les aspects scurit (dont les lments sont issus du rfrentiel de scurit identifi dans la phase pralable) ; - identifier ceux qui constituent le primtre de la PSSI et ceux qui en sont exclus ; - dans la mesure du possible, les fonctions et informations de chaque domaine d'activit sont identifies. Le primtre prcis sera alors exprim clairement dans la PSSI.

" !

Attention : Dans le cas une PSSI globale, on ne pourra pas toujours tudier tous les systmes d'information. On ne pourra mme pas traiter toutes les fonctions ou tous les processus. Sil faut en faire une liste assez complte, il faudra aussi slectionner un chantillon reprsentatif sur lequel ltude portera. Les systmes d'information non tudis pourront hriter des mesures prises au profit des autres. Conseils pratiques : Obtenir une modlisation conceptuelle du systme permettra de clarifier la situation et de faciliter la communication et la validation au sujet du primtre. Il est conseill de slectionner des domaines d'activits pour lesquels lapplication de rgles de scurit pourra tre impose par un responsable unique.

Page 13 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3.2
Objectif

Tche 2 : dtermination des enjeux et orientations stratgiques

Cette tche consiste prsenter les enjeux et orientations stratgiques lis au primtre de la PSSI. Elle permet aussi d'identifier les contraintes gnrales pesant sur l'organisme. Elle dcoule dune connaissance des lments stratgiques de lorganisme : contexte mtier, missions, patrimoine et valeurs de lorganisme. Dmarche La dfinition des enjeux et orientations stratgiques, dont les lments sont majoritairement issus du schma directeur, doit prendre en compte les lments suivants : - les scnarios d'volution du systme d'information ; - la contribution du systme d'information long terme ; - la contribution du systme d'information la qualit du service rendu ; - la satisfaction des contraintes externes ; - la rentabilit conomique du projet ; - les contraintes (techniques, financires, d'environnement) et exigences (techniques ou organisationnelles) de l'organisme et du systme d'information. La dmarche consiste identifier tous ces lments afin de les rationaliser sous la forme d'une synthse qui figurera dans la PSSI.

Conseils pratiques : L'exploitation d'un schma directeur existant facile la ralisation de cette tche. Les rsultats d'une analyse des risques SSI applique au primtre dlimit pour la PSSI permettent gnralement d'identifier les enjeux et orientations stratgiques de lorganisme.

Page 14 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3.3
Objectif

Tche 3 : prise en compte des aspects lgaux et rglementaires

Cette tche consiste prsenter l'ensemble du rfrentiel lgal, rglementaire et contractuel applicable au primtre de la PSSI. Dmarche Le but de cette tche est de disposer dune liste prcise des obligations et donc des textes de lois et rglements applicables, de lensemble des clauses contractuelles, ainsi que les rles et responsabilits qui peuvent impacter la scurit. D'une part, il est ncessaire de prendre en compte l'ensemble des lments issus majoritairement du rfrentiel identifi dans la phase pralable : - aspects lgaux et rglementaires ; - grands principes d'thique ; - obligations contractuelles ; - obligations contractuelles des prestataires ou partenaires ayant un impact sur le primtre de la PSSI. D'autre part, cette tche doit aussi mettre en vidence les rles et responsabilits lis la scurit des systmes d'information. L'ensemble de ces lments fera l'objet d'une synthse dans la PSSI.

Conseils pratiques La prise en compte des obligations contractuelles et de leur traduction en matire dexigences voire de rgles, davenant des contrats ou mme de solutions est transverse tous les domaines. Il est difficile, mais fondamental, de sassurer que lensemble des engagements contractuels est connu et quune dclinaison (exigences et rgles) ad-hoc en est faite. Seule une synthse du rsultat de cette tche sera incluse dans la politique de scurit du systme dinformation. Nanmoins, elle pourra constituer une annexe utile. Les rsultats d'une analyse des risques SSI applique au primtre dlimit pour la PSSI permettent gnralement d'identifier le rfrentiel applicable. Au besoin, il est conseill de faire appel une prestation juridique pour donner l'inventaire des exigences rglementaires applicables.

Page 15 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3.4
Objectif

Tche 4 : laboration d'une chelle de besoins

Cette tche consiste dfinir une chelle de mesure utile l'expression des besoins de scurit pour les domaines d'activits identifis dans la PSSI ou les fonctions et informations identifies dans les tudes de scurit dans le primtre de la PSSI. Les mesures de scurit tant souvent coteuses et contraignantes, leur mise en uvre doit tre adapte de rels enjeux pour lorganisme. Elle doit donc obir un principe de gradation des moyens, qui consiste protger tous les domaines d'activits selon leur besoins de scurit et les menaces qui peuvent les affecter. Il est ainsi possible dadapter les mesures de scurit aux enjeux rels, tout en optimisant leur efficacit et les cots inhrents.

"
Dmarche

Attention : La dfinition dune classification ne permet pas de rsoudre lensemble des rgles de scurit, elle fixe seulement des obligations et est un indicateur pour juger de leur besoins de scurit.

Dans le cas o une classification existerait dj dans l'organisme, celle-ci sert de base la rflexion et peut mme tre employe directement pour dfinir l'chelle de besoins. La dmarche prsente ici permet en effet d'laborer une chelle objective qui permet d'affecter une valeur explicite aux biens protger. Tout d'abord, il est ncessaire de slectionner les critres de scurit prendre en compte. Les critres de scurit couramment utiliss sont la disponibilit, l'intgrit et la confidentialit, mais il peut tre pertinent d'en ajouter d'autres tels que la preuve, le contrle, l'anonymat, la fiabilit L'chelle de besoins sera dtermine en fonction de ces critres de scurit.

Conseils pratiques : Les rsultats d'une analyse des risques SSI applique au primtre de la PSSI permettent gnralement d'laborer l'chelle de besoins. La dfinition dune classification gnrale sur le plan de la disponibilit et de lintgrit nest pas toujours pertinente. Dans certains contextes, o ces objectifs concernent peu dinformations ou de fonctions, il est parfois plus simple de dfinir des rgles au cas par cas.

Une graduation de ces critres de scurit peut alors tre labore. Pour cela, une pondration et des valeurs de rfrence doivent tre dtermines pour chacun des critres de scurit slectionn. Par exemple, une chelle pour la confidentialit pourrait tre la suivante : - 0 = public, - 1 = restreint, - 2 = confidentiel avec les partenaires, - 3 = confidentiel et interne (ce niveau pourrait inclure les informations classifies de dfense au niveau confidentiel dfense), - 4 = secret (ce niveau pourrait inclure les informations classifies de dfense au niveau secret dfense).

Conseils pratiques : L'chelle prsente gnralement une pondration entre 0 (aucune atteinte) et 4 (atteinte trs importante). Il est nanmoins envisageable de dfinir une chelle avec moins de valeurs. Le nombre de pondrations est gnralement le mme pour chaque critre de scurit. Dans la mesure du possible, les valeurs de rfrences doivent tre objectives, explicites, propres l'organisme et lies ses orientations Page 16 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

stratgiques et comprendre un ensemble de valeurs bornes. Ce travail est gnralement ralis dans un tableau double entre, avec les critres de scurit en colonnes et la pondration en lignes, les valeurs de rfrence devant tre indiques chaque intersection. Il est ensuite souhaitable de dterminer une liste d'impacts pertinents pour l'organisme. Ces impacts refltent les axes stratgiques de l'organisme. Il peut s'agir par exemple de perte d'image de marque, d'infraction aux lois, de pertes financires, de rvocation de personnels Ils permettront d'envisager diffrents domaines pouvant tre impacts et d'apporter des lments de justification des besoins de scurit.

Conseils pratiques : Le nombre d'impacts reprsentatifs est gnralement compris entre 1 et 3. Afin de rendre les impacts plus objectifs, il convient de fournir des exemples explicites de chacun d'eux en termes de consquences envisageables.

Tous ces lments figureront dans la PSSI.

Page 17 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3.5
Objectif

Tche 5 : expression des besoins de scurit

Lobjectif de cette tche est didentifier de manire gnrale les besoins de scurit associs chaque domaine d'activits (et ventuellement chaque fonction et information concerne) dfini dans le primtre de la PSSI. Ces besoins de scurit seront utiles dans l'laboration des rgles de scurit et dans toute tude de scurit dans le primtre de la PSSI afin d'identifier des objectifs de scurit d'un systme particulier. Dmarche La dmarche exploite les rsultats prcdents : - la liste des domaines d'activits (et ventuellement des fonctions et informations) dfinissant le primtre de la PSSI ; - la liste des critres de scurit retenus ; - l'chelle de besoins (impacts et valeurs de rfrence). Pour chacun des domaines d'activits et chaque critre de scurit (par exemple disponibilit, intgrit et confidentialit), il faut dterminer la valeur correspondante l'chelle de besoins pour les impacts retenus. La valeur la plus importante pour les diffrents critres est retenue. Exemples: - si un domaine d'activits doit tre confidentiel pour ne pas porter prjudice son bon fonctionnement, la valeur correspondante pourrait tre gale 3 sur une chelle de 0 4 selon les valeurs de rfrence de l'chelle ; - si un domaine d'activits ncessite de travailler en temps rel pour ne pas porter prjudice son bon fonctionnement, la valeur correspondante pourrait tre gale 4 sur une chelle de 0 4 selon les valeurs de rfrence de l'chelle.

Conseil pratique : Les rsultats d'une analyse des risques SSI applique au primtre de la PSSI permettent gnralement d'exprimer les besoins de scurit des lments essentiels.

Les besoins de scurit feront l'objet d'une synthse figurant dans la PSSI.

Page 18 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.3.6
Objectif

Tche 6 : identification des origines des menaces

Cette tche consiste identifier et caractriser les origines des menaces qui psent sur le primtre de la PSSI. Ces origines de menaces (lments menaants et mthodes d'attaque) seront utiles dans l'laboration des rgles de scurit et dans toute tude de scurit dans le primtre de la PSSI afin d'identifier des objectifs de scurit d'un systme particulier.

"
Dmarche

Attention : Lobjectif nest pas didentifier les vulnrabilits du systme dinformation existant ou ses points faibles et de surcrot les risques qui psent sur lui, mais de dcrire les origines des menaces quil conviendra de prendre en compte pour llaboration des rgles de scurit.

La liste des mthodes d'attaque pertinentes pour le primtre de la PSSI doit tre tablie indpendamment des besoins de scurit. Elle reprsente les sources de l'exposition de l'organisme aux risques lis la scurit des systmes d'information. Il peut s'agir notamment d'incendie, de vol de documents, d'altration des donnes Une mthode d'attaque est retenue dans la mesure o sa ralisation a un impact sur le systme tudi.

Conseil pratique : Une mthode d'analyse des risques SSI fournit gnralement une liste de mthodes d'attaque gnriques.

Les mthodes d'attaque retenues sont ainsi caractrises : - les critres de scurit qui peuvent tre affects sont identifis ; - les lments menaants qui pourraient les employer peuvent tre caractriss par : o un type (naturel, humain, environnemental), o une cause (si elle est accidentelle, alors il convient de prciser l'exposition et les ressources disponibles, si elle est dlibre, alors il convient de prciser l'expertise, les ressources disponibles et la motivation), o un potentiel d'attaque estim (qui rsume la qualification de la cause) ; L'ensemble des menaces non retenues fait enfin l'objet de justifications explicites.

Conseils pratiques : Les rsultats d'une analyse des risques SSI applique au primtre de la PSSI permettent gnralement de slectionner et caractriser les mthodes d'attaque et lments menaants. Seules les mthodes d'attaque rellement significatives et concrtes doivent tre retenues et dcrites de manire non technique pour assurer une meilleure sensibilisation du lecteur. De plus, ne pas hsiter illustrer les menaces par des exemples concrets puis dans le ou les mtiers de lorganisme.

La liste des origines des menaces retenues et caractrises, ainsi que la liste des origines des menaces non retenues avec des justifications, figureront dans la PSSI.

Page 19 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.4 Phase 2 : slection des principes et rdaction des rgles

Fiche de synthse pour la phase 2

Rfrentiel

Phase 0 : pralables
Validation

Note de cadrage

Analyse de risques

Phase 1 : laboration des lments stratgiques

Validation

Note de stratgie

Synthse des rgles de scurit Synthse des impacts PSSI

Phase 2 : slection des principes et rdaction des rgles

Validation

Phase 3 : finalisation
Plan daction Validation

Objectifs de la phase Le travail de cette phase consiste slectionner, concevoir, prparer, documenter et valider la dclinaison des principes gnraux dune PSSI et des choix stratgiques de lorganisme. Ce travail se traduit en llaboration dun corpus de rgles directement applicables. Acteurs de la phase - Direction gnrale - Comit de pilotage - Groupe d'experts lments en entre - Note de cadrage - Note de stratgie de scurit lments en sortie - Note de synthse justificative des choix de rgles - Note de synthse des impacts organisationnel et financier

Tches 1. Slection des principes 2. Construction des rgles 3. Synthse et validation Observations Les points essentiels prendre en compte sont la cohrence des rgles, leur applicabilit et enfin lauditabilit de lensemble. Validation Documents Validateur Note de synthse justificative des choix de Comit de pilotage puis Direction gnrale rgles Note de synthse des impacts organisationnel et financier

Page 20 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.4.1
Objectif

Tche 1 : choix des principes de scurit

Cette tche consiste slectionner les principes de scurit quil conviendra de dvelopper et instancier en rgles de scurit lors de la tche suivante. Dmarche Le choix des principes de scurit seffectue sur la base des lments suivants : - dans la note de cadrage : o le rfrentiel du systme dinformation ; - dans la note de stratgie de scurit o la dfinition du primtre de la PSSI ; o la liste de besoins de scurit identifis ; o la liste des origines de menaces retenues. Tout dabord, le rfrentiel du systme dinformation renseigne sur les entits prsentes (logiciels, matriels, rseaux, organisation, sites personnel). Les principes de scurit pour lesquels il nexiste aucune entit dans lorganisme sont carts. Dautre part, la dfinition du primtre de la PSSI permet daffiner la slection prcdente en cartant ventuellement dautres principes de scurit de ltude. Lexpression des besoins de scurit contribue elle-aussi au choix des principes de scurit. En effet, les domaines dactivits ou les fonctions et informations reposent sur des entits techniques ou non techniques. Si le lien entre les lments essentiels et les entits est tabli, il convient de ne retenir que les principes de scurit pour lesquels une entit est porteuse dinformations ou de fonctions pour lorganisme. Enfin, puisque les lments menaants exploitent les vulnrabilits des entits selon des mthodes d'attaque particulires pour se raliser, on affine nouveau la slection des principes de scurit en cartant ceux qui ne concernent pas les entits pertinentes au regard des origines des menaces retenues. En fonction de cette analyse, le comit de pilotage statue sur la liste des principes de scurit retenir.

Conseils pratiques : Cette analyse, qui doit tre ralise de faon macroscopique, privilgie la conservation des principes de scurit en cas de doute sur leur pertinence. Elle permet de justifier systmatiquement chaque principe de scurit cart. La traabilit ainsi assure permet de matriser limpact de lvolution des besoins sur les travaux dlaboration de la PSSI.

Page 21 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.4.2
Objectif

Tche 2 : laboration des rgles de scurit

Cette tche consiste instancier les principes de scurit retenus en rgles de scurit selon les lments contenus dans la note de cadrage et la note de stratgie de scurit. Chaque principe de scurit retenu doit tre dclin en une ou plusieurs rgles de scurit adaptes au contexte du primtre de la PSSI. Dmarche Linstanciation des principes de scurit en rgles de scurit dbute par un affinage et une dcomposition de chaque principe. Dune part, la formulation des rgles de scurit doit reflter la couverture des origines des menaces retenues. Dautre part, elle doit aussi reflter les critres de scurit (disponibilit, intgrit, confidentialit) que les origines de menaces concernes peuvent affecter. Le niveau des rgles de scurit est alors dtermin en fonction des besoins de scurit. En effet, la sensibilit des domaines dactivits ou des fonctions et informations doit impacter le niveau de scurit des rgles de scurit de telle sorte quil soit en adquation avec le risque encouru. Le rfrentiel identifi dans la note de cadrage (aspects rglementaires et contractuels, rfrentiel du systme dinformation, rfrentiel de scurit) permet quant lui dtablir la cohrence avec les moyens existants, notamment en termes techniques et budgtaires. Les rgles doivent tre suffisamment prcises afin de les adapter parfaitement au contexte du primtre de la PSSI. Une consolidation des rgles de scurit doit enfin tre effectue par des entretiens avec les responsables de leur mise en uvre.

Conseils pratiques : Lexpertise du groupe de travail permet la ralisation de cette tche difficile qui requiert une bonne matrise de ltat de l'art. La pertinence des rgles de scurit est garantie par un rapport entre limpact et lefficacit. Limplication de la matrise duvre et des diffrents responsables permet de garantir lapplicabilit des rgles de scurit et ladhsion des diffrents acteurs. Llaboration des rgles de scurit doit faire lobjet dune argumentation systmatique se basant sur les lments stratgiques. Il est ncessaire de mettre en vidence les rapports cots-bnfices, en estimant les cots de mise en uvre des rgles de scurit, afin d'effectuer des choix cohrents avec les ressources de l'organisme. Cette tche est l'occasion de discuter et argumenter des rsultats de la dmarche de gestion des risques et permet de dfinir des exigences prcises.

Page 22 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.4.3
Objectif

Tche 3 : laboration des notes de synthse

Cette tche consiste synthtiser le travail effectu afin d'en obtenir la validation, ce qui permettra ensuite de finaliser la PSSI. La validation concerne d'une part les rgles de scurit et d'autre part les impacts de leur mise en uvre. Dmarche Le groupe dexperts doit laborer une note de synthse, destination du comit de pilotage, qui prsente la justification des choix concernant la slection des principes de scurit et la dclinaison en rgles de scurit. La liste des principes de scurit est fournie en annexe de ce guide. Le comit de pilotage, sil entrine ces choix, propose alors une note de synthse destination de la direction gnrale. Cette note de synthse doit permettre dexposer la direction gnrale les choix raliss ainsi que leur impact organisationnel et financier. Cette note lui permet de valider les orientations retenues dans la PSSI, au regard des enjeux particuliers de lorganisme.

Conseils pratiques : La note de synthse destination du comit de pilotage doit permettre la prise de dcision pour la mise en uvre des rgles retenues. La note de synthse destination de la direction gnrale doit permettre la prise de dcision pour la mise en uvre de la PSSI en prsentant trs clairement les enjeux et les cots associs de celle-ci. Lanalyse des cots induits sera mene de faon macroscopique.

Page 23 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.5 Phase 3 : finalisation

Fiche de synthse pour la phase 3

Rfrentiel

Phase 0 : pralables
Validation

Note de cadrage

Analyse de risques

Phase 1 : laboration des lments stratgiques

Validation

Note de stratgie

Synthse des rgles de scurit Synthse des impacts PSSI

Phase 2 : slection des principes et rdaction des rgles

Validation

Phase 3 : finalisation
Plan daction Validation

Objectifs de la phase La finalit de cette phase est de conduire une tape ultime de validation de la PSSI et du plan daction associ par la direction gnrale Acteurs de la phase - Comit de pilotage - Groupe d'experts lments en entre - Les rgles retenues valides lments en sortie - La PSSI valide - Plan dapplication de la PSSI proposant en particulier un plan daction selon les priorits dfinies

Tches 1. Finalisation et validation de la PSSI 2. laboration et validation du plan daction Observations Une fois la PSSI revue et valide par le comit de pilotage, un document de synthse devra tre labor pour soutenir la prsentation de la PSSI la hirarchie en vue de sa validation. Limplication des diffrents acteurs, notamment des futurs responsables de la mise en uvre de la PSSI, est fondamentale pour disposer par la suite des ressources humaines et financires adquates et prvoir les dlais. Cest ce niveau que se mesure limportance de limplication des experts lors de la dclinaison des principes et objectifs gnraux dans les diffrents domaines. Cela montre galement limportance de lapplicabilit comme critre essentiel lors du choix et de la formalisation des rgles. La validation du plan daction doit passer par une tape de simplification de la PSSI pour transmettre les messages forts la Direction Gnrale. Validation Documents PSSI Plan daction Validateur Comit de Pilotage puis Direction gnrale

Page 24 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.5.1
Objectif

Tche 1 : finalisation et validation de la PSSI

Lobjectif de cette phase est de produire le document valid exprimant la Politique de Scurit des Systmes dInformation de lorganisme. Ce document devra tre valid et sign par la hirarchie.

!
Dmarche

Conseil pratique : Il est souvent conseill de constituer un comit de scurit qui sera charg de valider le contenu de la PSSI et de sassurer de son volution dans le temps.

Avant de procder une validation finale du document, une tape de revue doit tre programme pour sassurer de la cohrence de lensemble. Cette tape consiste vrifier : - la cohrence des rgles nonces, - lexhaustivit de la couverture des risques jugs comme significatifs, - la traduction complte de lensemble des principes et rgles, jugs pertinents pour lorganisme et noncs dans le rfrentiel prsent en annexe au prsent document, - lapplicabilit des exigences et rgles en fonction des pratiques en vigueur au sein de lorganisme, Enfin, cette tape de revue peut galement conduire raliser une normalisation, voir une simplification des lments noncs dans la politique, notamment dans un document de synthse qui permettra une meilleure implication de la hirarchie.

Page 25 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

2.5.2
Objectif

Tche 2 : laboration et validation du plan daction

Cette phase consiste assurer lapplication de la PSSI au systme dinformation de lorganisme. Elle poursuit plusieurs objectifs : - faire en sorte que la mise en uvre de la PSSI s'accompagne de consultations, d'une coordination et coopration entre les diffrents acteurs du systme d'information, - convenir le plus rapidement possible d'initiatives spcifiques en vue de l'application de la PSSI et en particulier tablir un premier plan daction prioritaire, - donner une large diffusion aux principes et aux rgles de la PSSI, - diffuser la PSSI lensemble des acteurs interne et externe, - accompagner la diffusion d'une communication adapte l'organisme de manire sensibiliser et faire adhrer les personnels.

!
-

Conseil pratique : Nanmoins, pour tre applicable et rester utilisable par tous, son contenu et sa forme doivent tre adapts selon les destinataires.

rexaminer la PSSI en fonction des vnements majeurs affectant la mission ou la vie de l'organisme, ou une fois au moins tous les cinq ans, pour vrifier l'adquation des rgles par rapport l'volution du systme d'information de l'organisme.

La PSSI est mise en uvre au niveau de chaque site, division, service ou unit oprationnelle au moyen d'un plan de scurit qui dcline les principes et les rgles de scurit en mesures de scurit techniques et non techniques adaptes aux moyens, l'environnement et au fonctionnement du systme d'information de l'chelon considr. Il appartient aux autorits identifies dans la PSSI, responsables de chaque unit oprationnelle, de dfinir ces diffrentes mesures et de veiller leur bonne application. Dmarche Chaque responsable dunit oprationnelle et le responsable de la scurit du systme dinformation (pour ce qui concerne les actions dordre gnral) doit tablir un plan daction qui dtermine par rapport lexistant, les actions prioritaires entreprendre sur le SI. La priorit est fixe pour sassurer de la prise en compte des risques jugs les plus significatifs. Le plan daction sera soumis pour validation au comit de scurit charg de la validation et de lvolution de la politique. Pour chaque action doit prsenter les lments suivants : - lobjectif de laction et le responsable de laction ; - la dmarche suivre, prsentant la liste dtaille des tches mener ; - la dpendance vis--vis des rsultats dtapes prcdentes ; - une estimation du planning et un budget ; - les modalits de validation.

Conseil pratique : Pour obtenir une planification cohrente, il est ncessaire de se baser non seulement sur la PSSI dfinissant lobjectif atteindre, mais aussi sur la situation actuelle. Cest ici que les contraintes organisationnelles et le rfrentiel lgal prennent toute leur importance, ainsi que la capacit du personnel davancer vers le but. Il faut programmer toutes les actions, parallles, simultanes ou concurrentes et tenir compte des chronologies et hirarchies logiques.

Page 26 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

3 Plan-type d'une PSSI

Le plan qui suit est une proposition de plan gnrique et compatible avec la dmarche mthodologique d'laboration de politique de scurit des systmes d'information. Ce plan peut tre adapt, essentiellement selon les destinataires de la PSSI. Partie I - lments stratgiques o Chapitre 1 - Primtre de la PSSI Ce chapitre dlimite le champ d'application de la PSSI, par exemple en termes de domaines d'activits ou de systmes d'information. o Chapitre 2 - Enjeux et orientations stratgiques Ce chapitre formalise les enjeux lis au primtre dfini dans le chapitre prcdent. o Chapitre 3 - Aspects lgaux et rglementaires Ce chapitre identifie le rfrentiel lgal et rglementaire li au primtre de l'tude. o Chapitre 4 - chelle de besoins Ce chapitre prsente une chelle de besoins comportant une pondration et des valeurs de rfrence selon les critres de scurit choisis, ainsi qu'une liste d'impacts enrichis d'exemples. o Chapitre 5 - Besoins de scurit Ce chapitre expose les besoins de scurit des domaines d'activit de l'organisme (ou des lments essentiels), selon l'chelle de besoins prsente dans le chapitre prcdent. o Chapitre 6 Origines des menaces Ce chapitre dcrit l'ensemble des origines de menaces retenues et non retenues pour le primtre de l'tude, avec des justifications. Partie II - Rgles de scurit Ce chapitre prsente l'ensemble des rgles de scurit classes par thme. Ces rgles sont dclines des principes de scurit fournis en annexe du prsent guide.

Page 27 sur 29

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

Formulaire de recueil de commentaires

Ce formulaire peut tre envoy l'adresse suivante : Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP conseil.dcssi@sgdn.pm.gouv.fr

Identification de la contribution Nom et organisme (facultatif) : .................................................................................................................. Adresse lectronique : ............................................................................................................................... Date : ......................................................................................................................................................... Remarques gnrales sur le document Le document rpond-il vos besoins ? Si oui : Pensez-vous qu'il puisse tre amlior dans son fond ? Oui Si oui : Qu'auriez-vous souhait y trouver d'autre ? ................................................................................................................. ................................................................................................................. Quelles parties du document vous paraissent-elles inutiles ou mal adaptes ? ................................................................................................................. ................................................................................................................. Pensez-vous qu'il puisse tre amlior dans sa forme ? Oui Si oui : Dans quel domaine peut-on l'amliorer ? - lisibilit, comprhension - prsentation - autre ! ! ! ! Non ! ! Non ! ! !

Oui

Non

Prcisez vos souhaits quant la forme : ................................................................................................................. ................................................................................................................. Si non : Prcisez le domaine pour lequel il ne vous convient pas et dfinissez ce qui vous aurait convenu : .......................................................................................................................................... .......................................................................................................................................... Quels autres sujets souhaiteriez-vous voir traiter ? .......................................................................................................................................... ..........................................................................................................................................

SGDN / DCSSI / SDO / BCS

PSSI Section 2 Mthodologie 3 mars 2004

Remarques particulires sur le document Des commentaires dtaills peuvent tre formuls l'aide du tableau suivant. "N" indique un numro d'ordre. "Type" est compos de deux lettres : La premire lettre prcise la catgorie de remarque : - O Faute d'orthographe ou de grammaire - E Manque d'explications ou de clarification d'un point existant - I Texte incomplet ou manquant - R Erreur La seconde lettre prcise son caractre : - m mineur - M Majeur "Rfrence" indique la localisation prcise dans le texte (numro de paragraphe, ligne). "nonc de la remarque" permet de formaliser le commentaire. "Solution propose" permet de soumettre le moyen de rsoudre le problme nonc.

N Type 1

Rfrence

nonc de la remarque

Solution propose

Merci de votre contribution