Politique de Securite de l'Information - Que Doit-elle Contenir ?

Pourquoi une politique de securite est necessaire

Vous pouvez disposer de la meilleure securite technique, mais si vos employes ne connaissent pas les regles, c’est comme installer une alarme et coller le code sur un post-it a cote de la porte.

Une politique de securite de l’information decrit les regles et attentes pour tous dans votre organisation. Elle indique aux employes ce qu’ils peuvent et ne peuvent pas faire avec les informations d’entreprise et les donnees personnelles.

Que doit-elle contenir ?

Objectif et perimetre

Decrivez brievement pourquoi la politique existe et a qui elle s’applique. En general, elle couvre tous les employes, freelances et stagiaires ayant acces aux systemes ou donnees de l’entreprise.

Mots de passe et authentification

• Exigences de robustesse et d’unicite des mots de passe
• Authentification a deux facteurs obligatoire si disponible
• Interdiction de partager les mots de passe
• Utilisation d’un gestionnaire de mots de passe

Controle d’acces

• Droits accordes selon le role (besoin d’en connaitre)
• Droits revises lors d’un changement de fonction
• Tous les acces revoques immediatement au depart
• Revision periodique des droits d’acces

Utilisation des appareils

• Regles pour l’utilisation des appareils professionnels
• Politique BYOD si les employes utilisent des appareils personnels
• Chiffrement de disque et verrouillage d’ecran obligatoires
• Regles pour le travail sur les reseaux publics (utiliser un VPN)

Bureau propre et ecran vide

• Documents contenant des donnees personnelles ranges en quittant le poste
• Ecrans verrouilles en cas d’absence
• Impressions confidentielles recuperees immediatement

E-mail et communication

• Directives pour l’envoi de donnees personnelles par e-mail
• Quand le chiffrement est necessaire
• Comment reagir aux e-mails suspects (phishing)

Notification d’incidents

• Comment les employes doivent signaler un incident de securite
• A qui le signaler
• Dans quel delai (le plus vite possible)
• Qu’il n’y a pas de consequences negatives pour le signalement d’erreurs

Stockage externe et outils

• Quels services de stockage cloud sont approuves
• Interdiction d’utiliser des outils non approuves pour les donnees d’entreprise
• Regles pour le partage de fichiers avec des tiers

Comment la rediger

1. Partez d’un modele - inutile de reinventer la roue. Adaptez un modele existant
2. Rendez-la pratique - redigez en langage clair, sans jargon juridique
3. Discutez-en avec votre equipe - permettez aux employes de donner leur avis et de poser des questions
4. Faites-la signer - chaque employe confirme l’avoir lue et comprise
5. Rendez-la accessible - conservez-la a un endroit ou chacun peut la trouver

Maintenez-la vivante

Une politique ecrite puis oubliee n’a que peu de valeur. Revisez-la :

• Annuellement - est-elle encore a jour ?
• Apres un incident - faut-il renforcer certains points ?
• Lors de changements - nouveaux outils, nouveaux employes, nouvelles methodes de travail ?