sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Procédures de sécurité de l'information : comment les rédiger ?

Procédure sécurité, directive, politique sécurité, instructions, consignes ?

La langue française étant riche, on trouve plusieurs formulation pour désigner des documents semblables.

Pour simplifier, nous appelerons procédure ou politique pour indiquer un document qui décrit une ligne de conduite prédéfinie ou une manière de gérer un problème de sécurité ou une situation particulière. C'est un document de haut niveau

Nous appelerons directive ou instruction, le document qui précise (techniquement, fonctionnellement, organisationnellement) la mise en oeuvre des politiques.

Une autre façon de les distinguer réside dans leur durée de vie : des procédures sécurité seront valables plusieurs années (moyenne 5 ans), les directives (étant liées à des aspects technologiques ou fonctionnels) auront un cycle de mise à jour plus court (1 à 2 ans).

En synthèse, les politiques fournissent des instructions générales de l'entreprise, alors que les directives fournissent des indications spécifiques de mise en oeuvre.

Pourquoi rédiger un système documentaire de la sécurité

Si la question peut sembler triviale, il existe beaucoup d'entreprises qui n'ont pas formalisé ou structuré de documentation sur la sécurité de l'information.

Sans procédures diffusées et validées , comment peut on former ou informer les utilisateurs, comment peut on réaliser un audit ou poursuivre un contrevenant interne ?

Mais attention, système documentaire ne veut pas dire qu'il faille rédiger des centaines de pages. Suivant les enjeux métiers, le contexte de l'entreprise, cela pourra aller d'une dizaine de procédures (PME, petit organisme, enjeux faibles) à une centaine (Domaine militaire, pharmaceutique, enjeux majeurs ...).

sp spacer

Les principales procédures de sécurité

Il est évidemment difficile de décrire ici l'ensemble des procédures à définir, mais on peut considérer que chaque entreprise devrait avoir rédigé, validé et diffusé les politiques de sécurité suivantes :

  • Procédure de sauvegardes et restauration des données,
  • Procédure de gestion d'incident de sécurité,
  • Procédure de sécurité Internet,
  • Procédure de sécurité des réseaux,
  • Procédure de gestion des habilitations,
  • Procédure de sécurité du poste de travail,
  • Procédure de sécurité liée à la mobilité,
  • Plan de secours,
  • Procédure de gestion de crise.

 

En savoir plus sur les procédures et politiques de sécurité :

Les procédures et politiques de sécurité issues du SANS (en anglais)

Les politiques rédigées par Charles Cresson Wood (version 9 : livre + CD sur amazon.com)

 

pix1 pix2 pix3 pix4