Chaque entreprise ou organisme doit se doter d'une politique de
sécurité de l'information afin de protéger ses données. Il s'agit
d'une question de crédibilité face à ses clients, ses fournisseurs et ses actionnaires.
En obligeant les employés à respecter des procédures de sécurité,
l'entreprise dicte une ligne de conduite en matière de sécurité de
l'information.
Il existe des règles de base à suivre pour mettre en place une
politique de sécurité :
-
obtenir un appui clair de la Direction Générale par un document,
signé par le PDG, DG ou Président, qui indiquera aux employés les
intentions de l'entreprise en terme de sécurité de l'information
et les moyens mis en oeuvre;
-
solliciter la participation des différents niveaux hiérarchiques
de l'entreprise : il sera plus facile de faire accepter des
procédures par les employés si leur management les ont approuvées
et les appliquent;
communiquer le bien-fondé des procédures de sécurité et les
avantages pour l'entreprise en utilisant un langage orienté
métier;
-
implanter les nouvelles procédures de façon progressive : il ne
faut pas oublier que les employés ont d'autres missions à
accomplir et que ces procédures peuvent leur imposer des
contraintes;
-
ne pas imposer brutalement les nouvelles procédures, du moins pas
dans un premier temps : il s'agit avant tout d'une culture à
développer et la persuasion est préférable à la coercition;
tenir compte des besoins réels de l'entreprise : mettre en place
des procédures réalistes en fonction du niveau de risque vis à vis
des actifs de l'entreprise;
Formuler une politique de sécurité de l'information, c'est faire
partager à l'ensemble de lentreprise ou de lorganisme des
principes d'organisation et de comportement. En cela ceci est très semblable à la définition dune politique de
qualité.
Dans le cas dune entreprise ayant des entités différentes,
l'objectif n'est pas d'imposer à l'ensemble d'un groupe un système
unique et monolithique mais plutôt de partager un ensemble de
principes de pilotage, de bonne pratiques et de contrôles qui
découlent de la Politique de Sécurité de l'Information.
Ceci permet d'homogénéiser la culture dune entreprise dans le
domaine de la sécurité de l'information, de garantir la cohérence
des actions en dépit :
-
des différences de culture et d'environnement existantes entre entités, filiales et pays
-
de tailles d'entités différentes et donc de moyens humains et financiers différents
-
de leur maturité vis à vis du domaine
Former, sensibiliser et contrôler
Une fois la politique écrite et diffusée à tous les employés, un
programme de sensibilisation à la sécurité doit donc être mis sur
pied à l'intention de tout le personnel et non seulement des
personnes affectées à la technologie de l'information.
L'entreprise doit par la suite s'assurer que sa politique est
respectée par la mise en place de contrôles et d'un suivi.
Le document de politique de sécurité des systèmes d'information
Que contient un document décrivant une Politique de Sécurité de
lInformation ?
Un document de Politique de Sécurité de lInformation devra inclure
les thèmes suivants:
-
une définition de la sécurité de l'information, ses objectifs, sa
portée globale et l'importance de la sécurité dans le partage de
l'information; une déclaration de limplication de la direction de lentreprise
ou de lorganisme
-
une synthèse des principes de sécurité, des normes et des
exigences de conformité d'importance particulière pour
lorganisme, par exemple:
conformité aux exigences légales et contractuelles;
exigences de formation à la sécurité des collaborateurs;
prévention et détection des virus et tout autre logiciel
malveillant;
-
les objectifs principaux en terme de gestion de la continuité
dactivité;
-
une présentation des conséquences de violation de la politique de
sécurité;
-
une définition des responsabilités générales et spécifiques de
gestion de la sécurité de l'information, y compris les modalités
de déclaration des incidents de sécurité;
-
les références à la documentation qui peuvent soutenir cette
politique, par exemple des procédures plus détaillées de sécurité
pour les utilisateurs de systèmes d'information spécifiques ou de
règles de sécurité que les utilisateurs devront suivre.
Méthode de développement d'une politique de sécurité :
Les outils typiques pour la définition d'une Politique de Sécurité
sont :
-
une description des enjeux de la sécurité pour l'entreprise (ou
l'organisme), potentiellement au travers d'un schéma directeur
-
une méthodologie d'élaboration d'une politique de sécurité: par
exemple en s'appuyant sur ISO 17799.
-
une méthodologie d'évaluation de risques comme Marion / Mehari
retour
|