Politique de Sécurité des Systèmes d'informations

Chaque entreprise ou organisme doit se doter d'une politique de sécurité de l'information afin de protéger ses données. Il s'agit d'une question de crédibilité face à ses clients, ses fournisseurs et ses actionnaires.

En obligeant les employés à respecter des procédures de sécurité, l'entreprise dicte une ligne de conduite en matière de sécurité de l'information.

Il existe des règles de base à suivre pour mettre en place une politique de sécurité :

  • obtenir un appui clair de la Direction Générale par un document, signé par le PDG, DG ou Président, qui indiquera aux employés les intentions de l'entreprise en terme de sécurité de l'information et les moyens mis en oeuvre;
  • solliciter la participation des différents niveaux hiérarchiques de l'entreprise : il sera plus facile de faire accepter des procédures par les employés si leur management les ont approuvées et les appliquent; communiquer le bien-fondé des procédures de sécurité et les avantages pour l'entreprise en utilisant un langage orienté métier;
  • implanter les nouvelles procédures de façon progressive : il ne faut pas oublier que les employés ont d'autres missions à accomplir et que ces procédures peuvent leur imposer des contraintes;
  • ne pas imposer brutalement les nouvelles procédures, du moins pas dans un premier temps : il s'agit avant tout d'une culture à développer et la persuasion est préférable à la coercition; tenir compte des besoins réels de l'entreprise : mettre en place des procédures réalistes en fonction du niveau de risque vis à vis des actifs de l'entreprise;

Formuler une politique de sécurité de l'information, c'est faire partager à l'ensemble de l’entreprise ou de l’organisme des principes d'organisation et de comportement. En cela ceci est très semblable à la définition d’une politique de qualité.

Dans le cas d’une entreprise ayant des entités différentes, l'objectif n'est pas d'imposer à l'ensemble d'un groupe un système unique et monolithique mais plutôt de partager un ensemble de principes de pilotage, de bonne pratiques et de contrôles qui découlent de la Politique de Sécurité de l'Information. Ceci permet d'homogénéiser la culture d’une entreprise dans le domaine de la sécurité de l'information, de garantir la cohérence des actions en dépit :

  • des différences de culture et d'environnement existantes entre entités, filiales et pays
  • de tailles d'entités différentes et donc de moyens humains et financiers différents
  • de leur maturité vis à vis du domaine

 

Former, sensibiliser et contrôler

Une fois la politique écrite et diffusée à tous les employés, un programme de sensibilisation à la sécurité doit donc être mis sur pied à l'intention de tout le personnel et non seulement des personnes affectées à la technologie de l'information.

L'entreprise doit par la suite s'assurer que sa politique est respectée par la mise en place de contrôles et d'un suivi.

 

Le document de politique de sécurité des systèmes d'information

Que contient un document décrivant une Politique de Sécurité de l’Information ?
Un document de Politique de Sécurité de l’Information devra inclure les thèmes suivants:

  • une définition de la sécurité de l'information, ses objectifs, sa portée globale et l'importance de la sécurité dans le partage de l'information; une déclaration de l’implication de la direction de l’entreprise ou de l’organisme
  • une synthèse des principes de sécurité, des normes et des exigences de conformité d'importance particulière pour l’organisme, par exemple: conformité aux exigences légales et contractuelles; exigences de formation à la sécurité des collaborateurs; prévention et détection des virus et tout autre logiciel malveillant;
  • les objectifs principaux en terme de gestion de la continuité d’activité;
  • une présentation des conséquences de violation de la politique de sécurité;
  • une définition des responsabilités générales et spécifiques de gestion de la sécurité de l'information, y compris les modalités de déclaration des incidents de sécurité;
  • les références à la documentation qui peuvent soutenir cette politique, par exemple des procédures plus détaillées de sécurité pour les utilisateurs de systèmes d'information spécifiques ou de règles de sécurité que les utilisateurs devront suivre.

 

Méthode de développement d'une politique de sécurité :

Les outils typiques pour la définition d'une Politique de Sécurité sont :

  • une description des enjeux de la sécurité pour l'entreprise (ou l'organisme), potentiellement au travers d'un schéma directeur
  • une méthodologie d'élaboration d'une politique de sécurité: par exemple en s'appuyant sur ISO 17799.
  • une méthodologie d'évaluation de risques comme Marion / Mehari

 

 

 

retour