PSSIE : le cadre de gouvernance de la cybersécurité de l’État français

Les cyberattaques ne visent plus seulement les sociétés. Les services publics sont devenus des cibles privilégiées, et l'État français en est pleinement conscient.

Pour aborder cette question, il existe un dispositif officiel, organisé et obligatoire : la PSSIE, c'est-à-dire la Politique de Sécurité des Systèmes d'Information de l'État.

Inconnue du grand public, elle constitue néanmoins la base sur laquelle repose la cybersécurité de l'ensemble de l'administration française.

Qui est concerné ? Qui décide ? Et comment ce cadre évolue-t-il face aux menaces d'aujourd'hui ? C'est ce que nous allons explorer.

Qu'est-ce que la PSSIE et pourquoi existe-t-elle ? 

Tout système insuffisamment sécurisé constitue un risque potentiel pour les données et services publics. Et dans une administration publique, une porte ouverte ne menace pas qu'une entreprise elle menace des millions de citoyens.

Avant 2014, plusieurs cadres existaient déjà, mais la gouvernance restait hétérogène et insuffisamment harmonisée à l’échelle de l’État.

La PSSIE est venue corriger cette faille structurelle. En imposant un socle commun à toute l'administration française, elle a posé trois règles fondamentales :

  • Standardiser : Des exigences techniques minimales identiques pour tous les systèmes d'information de l'État

  • Responsabiliser : Une chaîne de responsabilité claire, du RSSI ministériel jusqu'au dirigeant exécutif

  • Homogénéiser : Une posture de sécurité cohérente entre ministères, établissements publics et services déconcentrés

La PSSIE, formalisée notamment en 2014, constitue un cadre évolutif régulièrement mis à jour pour s’adapter à l’évolution des menaces.

Les piliers fondamentaux de la PSSIE 

La force de la PSSIE repose sur une structuration claire de la sécurité autour de plusieurs axes complémentaires.

  • Gouvernance et responsabilités : La PSSIE clarifie les rôles (dirigeants, DSI, RSSI, équipes) pour garantir des décisions cohérentes et alignées avec les enjeux de sécurité.

  • Gestion des risques : Au cœur du dispositif, la gestion des risques consiste à identifier, évaluer et prioriser les menaces pour adopter une approche proactive fondée sur l’analyse continue des vulnérabilités.

  • Mesures de sécurité : La PSSIE couvre un ensemble étendu de mesures, incluant notamment la gestion des accès, la protection des données, la sécurité des infrastructures, ainsi que la gouvernance et la gestion des incidents.

  • Supervision et réponse aux incidents : La détection et la réponse rapides aux incidents sont essentielles ; la PSSIE encourage des mécanismes de surveillance et des plans de réponse adaptés.

  • Conformité et amélioration continue : La PSSIE impose des audits réguliers et une amélioration continue pour adapter la sécurité aux menaces.

Une gouvernance structurée : qui décide et qui fait quoi ?

Mettre en place des règles de sécurité ne suffit pas sans une gouvernance claire pour les piloter. C’est précisément le rôle de la PSSIE, qui structure la prise de décision à deux niveaux : interministériel et ministériel.

Au niveau interministériel, les décisions stratégiques sont centralisées pour assurer la cohérence entre ministères, avec un rôle clé de l’ANSSI. Au niveau ministériel, chaque entité applique cette stratégie dans son périmètre, tout en restant alignée avec le cadre commun.

Source : PSSIE-CADRE

À retenir : la sécurité numérique de l’État repose sur une coordination continue entre niveaux politique, stratégique et opérationnel, avec une chaîne de décision où chaque maillon est clairement responsable.

Ce cadre change le niveau de responsabilité : la sécurité numérique ne relève plus uniquement de l’IT, mais des dirigeants, qui doivent garantir le respect de quatre exigences clés.

  • Mettre en place une organisation de sécurité numérique adaptée à leur contexte

  • Désigner un point de contact dédié à la sécurité numérique et communiquer ses coordonnées à l'ANSSI

  • Réaliser une évaluation annuelle du niveau de sécurité de leurs systèmes

  • Notifier tout incident significatif à l'ANSSI dans les meilleurs délais

Chaque ministère peut adapter le cadre à son contexte et à ses contraintes, tout en respectant l’organisation cible.

Source : Organisation-PSSIE

Ce double schéma illustre la prise de décision au sommet et son déploiement sur le terrain, sans zone grise ni angle mort.

L'ANSSI au cœur de la gouvernance PSSIE 

Dans l'architecture de la PSSIE, l'ANSSI n'est pas un simple observateur. Elle est l'acteur central qui fait tourner la machine du niveau stratégique jusqu'au terrain opérationnel.

Concrètement, ses missions au sein du cadre PSSIE se déclinent en six axes :

  • Piloter : L’ANSSI contribue au pilotage et à la coordination de la sécurité numérique au niveau de l’État à travers le Comité interministériel de la sécurité numérique (CINUS), chargé de la coordination opérationnelle et de la mise en œuvre de la PSSIE au sein des ministères.

  • Conseiller : Elle participe au Comité stratégique interministériel de la sécurité numérique (COSINUS), instance de pilotage stratégique au sein de laquelle l’ANSSI présente un état actualisé de la menace afin d’éclairer les décisions de haut niveau et d’orienter l’évolution de la PSSIE

  • Accompagner : Elle soutient les ministères dans leur mise en conformité, via la publication de guides, la qualification de produits et services de sécurité, et une participation sur invitation aux instances ministérielles

  • Référencer : Elle maintient un catalogue à jour des services qu'elle propose aux administrations, avec une convention précisant ce dont chaque ministère peut bénéficier

  • Recevoir : Elle est le point de réception officielle de tous les incidents significatifs que les administrations et établissements publics doivent lui notifier

  • Traiter : Elle analyse et traite ces incidents, assurant ainsi une veille continue sur la santé numérique de l'État

La force de l’ANSSI réside dans sa position transversale : positionnée de manière interministérielle et rattachée au SGDSN

La PSSIE en pratique : les obligations concrètes des administrations 

Comprendre la gouvernance est essentiel, mais l’enjeu est surtout opérationnel : la PSSIE impose des obligations précises à tous les ministères et établissements publics, sans exception.

Ces obligations ne relèvent plus uniquement de l’IT : elles sont désormais portées par les dirigeants exécutifs, responsables de la mise en œuvre et du respect des exigences de sécurité

Concrètement, quatre exigences s'imposent à toute administration couverte par la PSSIE :

  • Mettre en place une organisation de sécurité numérique : Chaque administration doit définir une structure interne dédiée à la sécurité, adaptée à son contexte et à la taille de ses systèmes d'information

  • Désigner un point de contact : Un référent sécurité dont les coordonnées sont communiquées à l'ANSSI, assurant un lien direct en cas de besoin

  • Réaliser une évaluation annuelle : Un audit régulier du niveau de sécurité des systèmes, pour mesurer les progrès et identifier les failles

  • Notifier les incidents significatifs : Toute cyberattaque ou défaillance majeure doit être remontée à l'ANSSI dans les meilleurs délais

La notification d’incidents n’est pas une simple formalité : elle permet à l’ANSSI d’avoir une vision globale des menaces et d’intervenir rapidement.

Conclusion 

La PSSIE est bien plus qu'une obligation réglementaire. Elle représente un changement de posture fondamental : la sécurité numérique n'est plus l'affaire exclusive des équipes IT, elle est désormais une responsabilité partagée, portée au plus haut niveau de chaque administration.

Dans un contexte où les cybermenaces évoluent en permanence, ce cadre donne à l'État français les outils pour anticiper, coordonner et répondre. Il reste maintenant à chaque administration de s'en emparer pleinement, car la meilleure réglementation du monde ne vaut rien sans une mise en œuvre rigoureuse.

La cybersécurité de l'État, c'est l'affaire de tous.