Politique de sécurité informatique : un socle fédérateur

Politique de sécurité informatique : un socle fédérateur

Une politique de sécurité informatique identifie les rôles et les procédures relatives à toutes les personnes ayant accès aux actifs et aux ressources IT d’une organisation ou d’une entreprise.

Une politique de sécurité informatique effective est un modèle de la culture d’entreprise dans lequel les rôles et les procédures sont inspirés et définis suivant l’approche des employés quant à leur travail et à leur utilisation du système d’information de l’organisation.

Par conséquent, une politique de sécurité des systèmes informatiques effective est un document unique et propre à chaque organisation et développé sur la base des perspectives des employés quant à :

• La tolérance au risque

• La manière dont ils perçoivent et valorisent les informations

• La disponibilité résultante du maintien des informations

De ce fait, la plupart des entreprises estiment qu’une PSSI standard est inappropriée étant donné son inadaptation en termes de prise en compte de la manière dont les employés utilisent et partagent les informations en interne et en externe.

La mise en place d’une politique de sécurité informatique vise à la:

• La préservation de la confidentialité des actifs contre les accès non autorisés

• Le respect de l’intégrité en s’assurant que la modification des actifs IT sont prises en charge d’une manière spécifique et avec autorisation

• Le maintien de la disponibilité et de l’accès permanent aux actifs pour les utilisateurs autorisés.

PSSI : Un document de référence

Du fait de son approche intégrative, la politique de sécurité informatique représente un document de référence à portée fondatrice, directrice et stratégique.

La portée stratégique

Étant basée sur la culture d’entreprise et son référentiel existant, la politique de sécurité des systèmes d’information reflète fidèlement les objectifs stratégiques et l'importance du système IT au sein d'une organisation.

Par ailleurs, la PSSI se positionne en tant que document de référence quant aux enjeux et aux choix de gestion des risques tout en renforçant les liens de confiance avec les utilisateurs et les partenaires de l'entreprise.

La portée intégrative

Grâce à l'approche intégrative et à la vision d'ensemble caractérisant la PSSI, l'entreprise est en mesure de décliner des politiques de sécurité spécifiques à un service, à un métier, …

Par ailleurs, la PSSI globale servira de base pour le maintien de la cohérence entre les différentes politiques de sécurité informatique au sein de l'organisation.

La portée informationnelle

En cohérence avec sa vocation de référentiel fédérateur développé sur la base de la culture d'entreprise et des usages IT en entreprise, la PSSI représente un outil de communication pertinent.

En effet, comprenant tous les éléments relatifs au système d'information à savoir, les responsabilités, les risques et les moyens, la PSSI facilite la diffusion et la sensibilisation des différents acteurs aux enjeux de la sécurité des systèmes d'information.

La portée évolutive

Étroitement liée au fonctionnement des actifs IT de l'entreprise, la PSSI se doit d'évoluer parallèlement aux évolutions technologiques du système d'information.

Cette évolution se fait en adéquation avec les transformations de l'organisation, de ses changements, des usages et des risques.

Politique de sécurité informatique : les grandes lignes

La politique de sécurité informatique ou politique de sécurité du système d’information assoit et concrétise la volonté de l’organisation quant à la sécurité informatique de ses actifs en adéquation avec les usages IT et la culture de l’entreprise.

C’est ainsi qu’une PSSI permet de :

• Profiter d’une vue d’ensemble quant à la gestion des risques tout en suscitant et en renforçant la confiance dans le système d’information de l’organisation

• Mettre en relief les objectifs, les responsabilités, les exigences et les engagements de l’entreprise quant à ses actifs IT

• Disposer d’un outil de promotion et de coordination des efforts pour la conception et la mise en place de recommandations, de directives et de procédures

• Fédérer les efforts de sécurité de manière cohérente et pérenne

• Déployer les moyens méthodiquement et de manière proportionnelle aux risques

• Sensibiliser, informer et responsabiliser les différents acteurs quant aux risques IT encourus et aux moyens de protection à mettre en place

• Anticiper sur les besoins en sécurité des nouveaux projets.

• en renforçant la confiance dans le système d’information de l’organisation

• Mettre en relief les objectifs, les responsabilités, les exigences et les engagements de l’entreprise quant à ses actifs IT

• Disposer d’un outil de promotion et de coordination des efforts pour la conception et la mise en place de recommandations, de directives et de procédures

• Fédérer les efforts de sécurité de manière cohérente et pérenne

• Déployer les moyens méthodiquement et de manière proportionnelle aux risques

• Sensibiliser, informer et responsabiliser les différents acteurs quant aux risques IT encourus et aux moyens de protection à mettre en place

• Anticiper sur les besoins en sécurité des nouveaux projets.

PSSI : les bonnes pratiques

Construire une politique de sécurité des systèmes d'information apporte une grande valeur ajoutée à l'entreprise tout en offrant l'opportunité d'agrandir le portefeuille client si la PSSI est intégrée aux services de l'entreprise.

Voici les 5 bonnes pratiques d'élaboration d'une politique de sécurité informatique.

L’identification des rôles et des responsabilités

La première étape à l'établissement d'une PSSI consiste en l'identification des personnes ayant accès aux infrastructures critiques, aux données et aux applications et en définissant la portée et les limites de ces accès.

A titre d'exemple, les administrateurs système ont naturellement accès à plus de ressources que les techniciens help desk.

Aussi, les clients de l'entreprise auront des accès plus limités et plus restreints que les employés de l'entreprise.

La configuration de paramètres de rétention de données

Une politique de sécurité informatique doit inclure des procédures permettant de purger les données et les applications obsolètes de leur système d'information.

La politique de rétention des documents peut être renforcée pour certaines industries mais les sauvegardes dépassant les dates limite risquent d'être volées.

Par ailleurs, le coût de stockage de données inutiles représente un grand frein pour les bénéfices de l'organisation.

La configuration d’accès privés

Il s'agit d'installer et de gérer des accès privés afin de s'assurer qu'il n’y ait pas de point de défaillance lorsque l'employé disposant d'accès au réseau, aux données et aux applications de l'organisation quitte l'entreprise.

Certaines organisations peuvent choisir de répartir les accès entre deux ou plusieurs utilisateurs.

Il est important lors de la configuration de clés privées de les sauvegarder et de les verrouiller en donnant l'accès à plus d'une personne de confiance.

Le respect de la conformité aux normes

Les industries pharmaceutiques, financières, de la grande distribution, … doivent s'assurer que toutes les données, les réseaux et les applications de sécurité soient conformes aux régulations relatives à leur secteur d'activité.

L’établissement de conditions de cryptage

En encodant les informations, l'organisation peut protéger les données et les applications critiques du vol par des pirates.

Une politique de sécurité informatique devra inclure l'établissement d'exigences de cryptage pour les applications critiques et pour les données stockées dans le réseau, sur le cloud et durant les transmissions.

Conclusion

Plus qu’un document, la politique de sécurité informatique représente un référentiel de base pour les organisations quelles que soient l’importance et la complexité de leur système d’information.

Il s’agit en effet, d’offrir un cadre à une composante clé de l’entreprise pour évaluer le système existant et pour offrir des opportunités de développement cohérentes.