Politique de Sécurité de l’Information

Qu’est ce qu’une Politique de Sécurité de l’Information ?

Chaque entreprise ou organisme doit se doter d’une politique de sécurité de l’information afin de protéger ses biens. Il s’agit également d’une question de crédibilité face à ses clients, fournisseurs et actionnaires.

En obligeant les employés à respecter des procédures de sécurité, l’entreprise dicte une ligne de conduite en matière de sécurité de l’information.

Il existe des règles de base à suivre pour mettre en place une politique de sécurité :

  • obtenir un appui clair de la Direction Générale par un document, signé par le PDG, DG ou Président, qui indiquera aux employés les intentions de l’entreprise en terme de sécurité de l’information et les moyens mis en oeuvre;
  • solliciter la participation des différents niveaux hiérarchiques de l’entreprise : il sera plus facile de faire accepter des procédures par les employés si leur management les ont approuvées et les appliquent;
  • communiquer le bien-fondé des procédures de sécurité et les avantages pour l’entreprise en utilisant un langage orienté métier;
  • implanter les nouvelles procédures de façon progressive : il ne faut pas oublier que les employés ont d’autres missions à accomplir et que ces procédures peuvent leur imposer des contraintes;
  • ne pas imposer brutalement les nouvelles procédures, du moins pas dans un premier temps : il s’agit avant tout d’une culture à développer et la persuasion est préférable à la coercition;
  • tenir compte des besoins réels de l’entreprise : mettre en place des procédures réalistes en fonction du niveau de risque vis à vis des actifs de l’entreprise;

Pourquoi il est important d’établir une Politique de Sécurité ?

Formuler une politique de sécurité de l’information, c’est faire partager à l’ensemble de l’entreprise ou de l’organisme des principes d’organisation et de comportement.

En cela ceci est très semblable à la définition d’une politique de qualité.

Dans le cas d’une entreprise ayant des entités différentes, l’objectif n’est pas d’imposer à l’ensemble d’un groupe un système unique et monolithique mais plutôt de partager un ensemble de principes de pilotage, de bonne pratiques et de contrôles qui découlent de la Politique de Sécurité de l’Information.

Ceci permet d’homogénéiser la culture d’une entreprise dans le domaine de la sécurité de l’information, de garantir la cohérence des actions en dépit :

  • des différences de culture et d’environnement existantes entre entités, filiales et pays
  • de tailles d’entités différentes et donc de moyens humains et financiers différents
  • de leur maturité vis à vis du domaine

Former, sensibiliser et contrôler

Une fois la politique écrite et diffusée à tous les employés, un programme de sensibilisation à la sécurité doit donc être mis sur pied à l’intention de tout le personnel et non seulement des personnes affectées à la technologie de l’information.

L’entreprise doit par la suite s’assurer que sa politique est respectée par la mise en place de contrôles et d’un suivi.

COPYRIGHT YSOSECURE © 2002 - 2021