Beaucoup d’entreprises échouent au cours de la réalisation de leur Système de Management de la Sécurité de l’Information (SMSI), simplement parce qu’il néglige l’importance de l’élaboration de leur politique de sécurité.
Cette dernière est représentée essentiellement par la clause 5.2 de la norme ISO 27001 qui dicte les procédures et les sens que doivent suivre les différentes parties de votre SMSI. Il va sans dire qu’elle est très importante pour votre entreprise puisque tous les éléments de votre SMSI en découlent d’une manière ou d’une autre.
Alors :
- Que retenir de la clause 5.2 ?
- Comment établir cette politique ?
- Quelles sont les erreurs à éviter ?
C’est à ces questions que nous allons vous répondre dans la suite de cet article.
Table des matières
La norme ISO 27001 et la clause 5.2
La norme gouvernementale ISO 27001 est celle créée pour la gestion de la sécurité des informations de votre entreprise. Elle s’applique à toutes les entreprises, peu importe leur taille et leur secteur d’activité en protégeant de manière efficace leurs données sensibles contre les risques probables de perte ou de vol.
Ses principales doctrines se résument sur trois aspects fondamentaux de l’information :
Source : PQB
- La confidentialité de l’information : La norme ISO 27001 s’assure que ce soit uniquement les individus autorisés qui peuvent accéder à l’information ;
- L’intégrité de l’information : La norme ISO 27001 s’assure que ça soit les personnes autorisées qui peuvent modifier les informations ;
- La disponibilité de l’information : La norme s’assure à ce troisième niveau que l’information soit disponible, à chaque fois qu’une personne autorisée désire l’utiliser.
Elle nécessite une certification qui confère plusieurs avantages à votre entreprise. La certification offre :
- Un avantage commercial : elle vous permet de vous démarquer de vos concurrents. Les clients sont de plus en plus préoccupés par la sécurité de leurs données sensibles et souhaitent du coup traiter avec les entreprises qui sont en mesure d’assurer la protection de leurs informations. Ainsi, vous êtes d’office privilégié, lorsque vous détenez une certification ISO 27001 face aux autres entreprises qui n’y ont pas pensé ;
- Un avantage professionnel : Un individu peut décider d’obtenir une certification ISO 27001 à titre personnel. Cela peut lui donner un privilège auprès des potentiels recruteurs.
Source : NBN
Pour obtenir une certification ISO 27001, votre entreprise devra faire appel à une agence de certification accréditée. C’est à elle de vous délivrer la certification après avoir effectué un audit interne de votre structure.
Cette certification à une durée de validité de 3 ans au cours duquel l’auditeur effectue des contrôles pour s’assurer que l’entreprise arrive à maintenir son SMSI à jour. En ce qui concerne la certification à titre individuel, l’individu devra suivre des cours et faire des examens de compétence.
Source : twitter
Les auditeurs viennent s’assurer fondamentalement que vous respectez les exigences de la norme ISO 27001. Ces exigences sont présentées sous forme d’article de 4 à 10 et recouvrent chacun des concepts bien définis.
Nous allons vous présenter dans les paragraphes qui suivent, l’article 5.2 qui parle de la politique de sécurité de l’information.
Clause 5.2 – Politique de sécurité de l’information
Il n’y a pas grand-chose à comprendre sur cette clause. Le titre lui-même parle en son nom.
La clause 5.2 politique de sécurité de l’information exige que “les dirigeants de l’entreprise élaborent une politique de sécurité pour l’information”.
C’est en fonction de la politique que vous élaborez, que vous aurez à définir les objectifs ainsi que les moyens à mettre en place pour les atteindre. Cela vous permettra de déterminer les éléments que vous aurez à employer tels que :
- Les types de formulaires ;
- Les formations ;
- Le P0N (procédure opérationnelle normalisée).
Aussi, vous devez être en mesure de déterminer l’impact de votre politique à chaque niveau de l’entreprise. Ceci pour la simple raison que la politique détermine la direction que doivent prendre les choses et doit donner une vision nette de l’utilisation que vous aurez à faire de votre SMSI
Les politiques de sécurité se tiennent à un niveau élevé de votre système de gestion. Que ce soit à propos de la norme :
- 9001 qui présente la qualité ;
- 14001 qui présente l’environnement ;
- 27001 qui présente la sécurité de l’information ;
- 45001 qui présente la santé et la sécurité au travail.
Elles sont nécessaires pour le bon fonctionnement de la structure. Voici quelques éléments que vos auditeurs auront à rechercher sur votre politique quand ils seront présents. Vous vous devez donc de les maîtriser.
Source : Advisera
Adapter aux objectifs de l’entreprise
Nous allons un peu vous décevoir pour ce premier élément. En effet, vous devez savoir qu’il serait quasi inutile de vouloir faire une copie coller de la politique que vous utilisiez pour vos anciennes entreprises ou de vouloir créer une politique juste pour égaliser une entreprise multinationale, alors que votre entreprise compte juste 50 personnes.
La politique doit être votre propriété. Elle doit représenter une valeur propre pour votre entreprise, et doit être élaborée par vous et votre équipe. Cette équipe inclut généralement les dirigeants de l’entreprise, car c’est eux qui font fonctionner la boîte.
Toutefois, gardez à l’esprit que le but est d’œuvrer pour un système de management de la sécurité de l’information impeccable et non l’infliger.
Instaurer un cadre pour l’atteinte des objectifs de la sécurité de l’information
Il est toujours mieux de définir un cadre au lieu de vouloir sauter directement sur les objectifs. Pour mieux s’accommoder aux objectifs, la politique doit subir des mises à jour. Cela dit, vous devez vous assurer que votre politique soit toujours active en la revoyant continuellement.
Dans ces conditions, si vous créez un cadre préalable, vous donnez la possibilité à vos objectifs d’évoluer selon une bonne structure à chaque niveau de votre entreprise.
Satisfaire les exigences applicables en matière de sécurité de l’information
C’est un élément qui semble être évident, n’est-ce pas ? Malgré sa normalité, vous serez stupéfié à l’idée du nombre d’entreprises qui oublient ou même ignorent qu’elles doivent tenir compte des exigences applicables.
Ces exigences peuvent être :
- Légales ;
- Industrielles ;
- Commerciales.
Oeuvrer pour l’amélioration permanente du système de management de la sécurité de l’information
“L’amélioration continue” est un groupe de mots qui revient très souvent dans l’univers ISO. Il faut se rappeler que la politique de sécurité donne un sens à l’entièreté de votre SMSI. Elle stimule ainsi une amélioration continue des procédures de haut niveau du système.
Source : researchgate
Il s’avère donc important d’effectuer un examen continu en modifiant les choses selon vos besoins et les diverses situations qui se présenteront à vous. N’hésitez pas à effectuer un changement lorsque vous trouvez une autre façon plus convenable de travailler afin de mieux atteindre vos objectifs. C’est d’ailleurs très logique.
Présenter la politique sous forme d’un document informationnel
Le message que nous désirons vous faire parvenir ici est que vous écrivez votre politique de sécurité. Encore une fois, c’est une chose banale et évidente à faire, mais il existe toujours des personnes qui ne le font pas tout simplement.
Faisons une pause et rappelons-nous un instant de l’une des trois doctrines (confidentialité, intégrité et disponibilité de l’information) de la norme ISO 27001. En effet, la norme souhaite qu’on la rende disponible en tant qu’information documentée.
Source : Kuwait
Ce qui signifie donc qu’elle doit être rigoureusement écrite et accessible à ceux qui souhaitent la connaître. Cela vous empêchera de la cacher dans un placard, l’asservir à la poussière, en attendant l’arrivée de l’auditeur.
Être diffusée au sein de l’entreprise
En complément de ce que nous venons de présenter dans l’élément précédent, il n’est pas judicieux de cacher le document. Dites-nous, à quoi ça sert d’avoir une politique si l’on n’en parle à personne ? De quelle manière voulez-vous qu’elle soit respectée et mise en œuvre, si cela devait s’agir d’un mystère ?
La norme ISO 27001 souhaite que vous l’étaliez comme cela se doit. Ce qui signifie en toute évidence, que vous devez former votre personnel sur ce que c’est qu’une politique de sécurité de l’information.
Il a été également mentionné plus haut, que les dirigeants de l’entreprise doivent être inclus dans le processus d’élaboration de la politique de sécurité. C’est ici que cette information sera la plus utile, car ces responsables doivent s’assurer que la politique est parvenue à tous les membres de l’entreprise.
Cela leur sera plus facile, s’ils ont préalablement participé à la conception de la politique et ont donné leurs approbations.
Être immédiatement disponible pour les parties prenantes
Vous devez savoir encore une fois que vous devez être capable de présenter votre politique aux parties intéressées.
Elles représentent essentiellement :
- Les auditeurs ;
- Les clients ;
- Les fournisseurs ;
- Les travailleurs ;
- Les actionnaires ;
- Les banques.
Source : D
Comme nous l’avons clairement expliqué dans la clause 4.2 “Besoins et attentes de parties intéressées”, vous ne devez pas confier votre politique de sécurité à tout le monde. Choisissez en fonction des avantages que chaque personne apporte à votre entreprise.
Les erreurs d’une politique de sécurité de l’information
Il existe une panoplie d’erreurs qui peuvent faire surface au cours de la création d’une politique de sécurité. Lorsque vous élaborez une politique qui ne marche simplement pas pour votre entreprise, cela pourrait avoir plus tard un impact désastreux sur votre SMSI.
Par exemple, lorsque vous élaborez une politique qui n’est pas du tout appropriée à votre entreprise ou vous concevez une politique de sécurité sans la moindre participation des utilisateurs, cette politique bloquera tout simplement votre entreprise plutôt que de l’avantager.
Une autre erreur est le fait de juste écrire un document au lieu de créer une politique. En effet, le but de la politique de sécurité n’est pas d’écrire un document qui va juste indiquer comment œuvrer. Il est important de ne pas oublier qu’il s’agit d’une mission de haut niveau et non d’un simple document écrit.
Voici des erreurs à ne pas commettre :
- Le fait de ne pas discuter de la politique avec le personnel ;
- Faire de la politique un mystère ;
- Bourrer la politique de clause et de thème vulgaire ;
- Le non-engagement et le désintéressement de la haute direction à l’élaboration de la politique.
Résumé
L’élaboration d’une politique de sécurité de l’information est un élément fondamental pour la réussite de votre système de management de la sécurité de l’information. C’est elle qui montre la direction pour tout le reste, alors si vous ne faites pas bien les choses, des problèmes peuvent en découler.
Il faut vous assurer que les dirigeants de l’entreprise sont impliqués dans la politique afin de vous aider à mieux l’étendre sur l’entièreté de votre entreprise. Lorsque vous finissez de définir votre politique, assurez-vous que tout le personnel soit informé et qu’elle soit disponible pour les personnes qui désirent le connaître.
Enfin, soyez explicite et précis en faisant attention aux thèmes vulgaires ou trop à la mode. Sans oublier d’examiner continuellement votre politique afin de mieux l’adapter aux objectifs et besoins de votre entreprise.
Merci de nous avoir suivis.
Commentaires récents