Les menaces pour la sécurité évoluent constamment et les exigences de conformité sont de plus en plus complexes. Les organisations, grandes et petites, doivent créer un programme de sécurité complet pour relever ces deux défis. Sans politique de sécurité de l’information, il est impossible de coordonner et d’appliquer un programme de sécurité dans l’ensemble de l’organisation ni de communiquer les mesures de sécurité aux tiers et aux auditeurs externes.

Quelques caractéristiques clés rendent une politique de sécurité efficace : elle doit couvrir la sécurité de bout en bout dans toute l’organisation, être applicable et pratique, prévoir un espace pour les révisions et les mises à jour, et être axée sur les objectifs commerciaux de votre organisation.

 

 

Qu’est-ce qu’une politique de sécurité de l’information ISO 27001 ?

La politique de sécurité du système d’information (PSSI) est votre principale politique de haut niveau. Cette politique définit les principes, l’engagement de la direction, le cadre des politiques de soutien, les objectifs de sécurité de l’information, les rôles et les responsabilités en matière de sécurité, ainsi que les exigences réglementaires et contractuelles auxquelles votre entreprise est soumise.

Une politique de sécurité de l’information est requise dans le cadre de toute certification ISO 27001. Il s’agit de l’un des documents clés de la norme.

C’est la politique que vous pouvez partager avec tout le monde, notamment à votre personnel, vos clients et partenaires.

 

L’importance d’une politique de sécurité de l’information

La création d’une politique de sécurité efficace et la prise de mesures pour en assurer la conformité sont des étapes essentielles pour prévenir et atténuer les violations de données. Pour que votre politique de sécurité soit réellement efficace, mettez-la à jour en fonction de l’évolution de votre entreprise, des nouvelles menaces, des conclusions tirées de violations antérieures et d’autres modifications de votre posture de sécurité.

Faites en sorte que votre politique de sécurité de l’information soit pratique et applicable. Elle doit comporter un système d’exception permettant de répondre aux exigences et aux urgences émanant de différentes parties de l’organisation.

 

Comment rédiger une politique de sécurité du système d’information (PSSI) ?

Bien que les politiques de sécurité de l’information doivent être uniques à chaque organisation, il y a certaines choses que toutes les organisations doivent faire lorsqu’elles souhaitent commencer la rédaction de leur politique de sécurité.

Par exemple, vos politiques doivent être le résultat d’évaluations des risques, d’évaluations d’impact sur la protection des données (DPIA) et d’un examen de vos exigences réglementaires.

La politique de sécurité de l’information doit définir un ensemble de règles qui guident les personnes qui travaillent avec les données de l’entreprise. La PSSI doit permettre à vos employés et autres utilisateurs de suivre les protocoles et procédures de sécurité. Une politique de sécurité actualisée et à jour garantit que les informations sensibles ne sont accessibles qu’aux utilisateurs autorisés.

 

Que doit contenir la politique de sécurité du système d’information ?

Une politique de sécurité peut être aussi large que vous le souhaitez et contenir tout ce qui touche à la sécurité informatique et à la sécurité des actifs physiques. La liste suivante offre quelques éléments importants à prendre en considération lors de l’élaboration d’une politique de sécurité du système d’information.

 

Objectif de la PSSI

Premièrement, énoncer l’objectif de la PSSI qui peut être de :

  • Créer une approche globale de la sécurité de l’information.
  • Détecter et prévenir les atteintes à la sécurité de l’information telles que l’utilisation abusive des réseaux, des données, des applications et des systèmes informatiques.
  • Maintenir la réputation de l’organisation et assumer les responsabilités éthiques et légales.
  • Respecter les droits des clients, y compris la façon de réagir aux demandes de renseignements et aux plaintes concernant la non-conformité.

 

Périmètre de la PSSI

Définissez le public auquel s’applique la politique de sécurité de l’information. Vous pouvez également préciser quels sont les publics qui ne sont pas concernés par la politique (par exemple, le personnel d’une autre unité commerciale qui gère la sécurité séparément peut ne pas être concerné par la politique).

 

Objectifs de sécurité de l’information

Guidez votre équipe de direction à convenir d’objectifs bien définis en matière de stratégie et de sécurité. La sécurité de l’information se concentre sur trois objectifs principaux :

  • Confidentialité – seules les personnes autorisées peuvent accéder aux données et aux actifs informationnels.
  • Intégrité – les données doivent être intactes, exactes et complètes, et les systèmes informatiques doivent rester opérationnels.
  • Disponibilité – les utilisateurs doivent pouvoir accéder aux informations ou aux systèmes en cas de besoin.

 

Responsabilités, droits et devoirs du personnel

Nommer le personnel chargé de l’examen des accès des utilisateurs, de la formation, de la gestion du changement, de la gestion des incidents, de la mise en œuvre et des mises à jour périodiques de la politique de sécurité. Les responsabilités doivent être clairement définies dans le cadre de la politique de sécurité.

 

Autorité et politique de contrôle d’accès

  • Modèle hiérarchique – La politique doit préciser le niveau d’autorité sur les données et les systèmes informatiques pour chaque rôle organisationnel. Un supérieur peut avoir le pouvoir de décider quelles données peuvent être partagées et avec qui par exemple.
  • Politique de sécurité du réseau – les utilisateurs ne peuvent accéder aux réseaux et aux serveurs de l’entreprise qu’au moyen d’identifiants uniques qui nécessitent une authentification, notamment des mots de passe, des codes d’accès biométriques et des mots de passe. Vous devez surveiller tous les systèmes et enregistrer toutes les tentatives de connexion.

 

Classification des données

La politique doit classer les données en catégories, qui peuvent inclure « Confidentiel », « Restreint », « Interne » et « public ». L’objectif de la classification des données est le suivant

  • S’assurer que les données sensibles ne sont pas accessibles aux personnes ayant des niveaux d’autorisation inférieurs.
  • Protéger les données très importantes et éviter les mesures de sécurité inutiles pour les données sans importance.

 

Support des données et opérations

  • Réglementation en matière de protection des données – Les systèmes qui stockent des données personnelles ou d’autres données sensibles doivent être protégés conformément aux normes organisationnelles, aux meilleures pratiques, aux normes de conformité du secteur et aux réglementations pertinentes. La plupart des normes de sécurité exigent, au minimum, le chiffrement des données, un pare-feu et une protection anti-malware.
  • Sauvegarde des données : chiffrer la sauvegarde des données conformément aux meilleures pratiques du secteur. Stockez les supports de sauvegarde en toute sécurité ou transférez les sauvegardes vers un stockage cloud sécurisé.
  • Déplacement des données : ne transférez les données que via des protocoles sécurisés. Chiffrer toute information copiée sur des dispositifs portables ou transmise sur un réseau public.

 

Sensibilisation à la sécurité et comportement

Partagez les politiques de sécurité du système d’information avec votre personnel. Organisez des séances de formation pour informer les employés de vos procédures et mécanismes de sécurité, notamment les mesures de protection des données, les mesures de protection de l’accès et la classification des données sensibles.

  • Ingénierie sociale – mettez l’accent sur les dangers des attaques d’ingénierie sociale (comme les courriels de phishing). Confiez aux employés la responsabilité de remarquer, de prévenir et de signaler ces attaques.
  • Politique du bureau propre – sécurisez les ordinateurs portables avec un verrou à câble par exemple. Broyez les documents qui ne sont plus nécessaires. Gardez les zones d’impression propres afin que les documents ne tombent pas dans de mauvaises mains.
  • Politique d’utilisation acceptable d’Internet : définissez les restrictions à l’utilisation d’Internet. Autorisez-vous YouTube, les sites de médias sociaux, etc. Bloquez les sites Web indésirables à l’aide d’un proxy.

 

Déclinaison de la politique de sécurité du système d’information

La PSSI est une politique de haut niveau. Cette politique établit les principes fondamentaux mis en oeuvre par l’entreprise pour assurer la sécurité de l’information et démontre l’engagement pris par la direction pour oeuvrer en ce sens.

Cependant, pour assurer la mise en oeuvre effective des principes de sécurité définis dans la PSSI, celle-ci devra être déclinée en politiques de sécurité plus opérationnelle dont voici une liste fournie à titre d’exemple :

  • Politique de contrôle d’accès
  • Politique de gestion des actifs
  • Politique de conservation des données
  • Politique de gestion des risques
  • Politique de classification et de traitement des informations
  • Politique de sensibilisation et de formation à la sécurité de l’information ISO 27001
  • Politique d’utilisation acceptable des actifs
  • Politique relative au bureau et à l’écran transparents
  • Politique relative au travail mobile et au télétravail
  • Politique de continuité des activités
  • Politique de sauvegarde
  • Politique relative aux logiciels malveillants et aux antivirus
  • Politique de gestion des changements
  • Politique de sécurité des fournisseurs tiers
  • Politique d’amélioration continue
  • Politique de journalisation et de surveillance
  • Politique de gestion de la sécurité du réseau
  • Politique de transfert d’informations
  • Politique de développement sécurisé
  • Politique de sécurité physique et environnementale
  • Politique de gestion des clés cryptographiques
  • Politique de contrôle cryptographique et de chiffrement
  • Politique en matière de documents et d’enregistrements

 

Quelques conseils pratiques pour la rédaction des politiques de sécurité de l’information

  • La classification des informations et des données peut faire ou défaire votre programme de sécurité. Une mauvaise classification des informations et des données peut laisser vos systèmes ouverts aux attaques. De plus, une gestion inefficace des ressources peut entraîner des frais généraux. Une politique de classification claire aide les organisations à prendre le contrôle de la distribution de leurs actifs de sécurité.
  • Les opérations et l’administration informatiques doivent travailler ensemble pour répondre aux exigences de conformité et de sécurité. Le manque de coopération entre les départements peut entraîner des erreurs de configuration. Les équipes qui travaillent ensemble peuvent coordonner l’évaluation et l’identification des risques à travers tous les départements afin de réduire les risques.
  • Plan d’intervention en cas d’incident de sécurité – ce plan aide à lancer les actions correctives appropriées lors d’incidents de sécurité. Une stratégie d’incident de sécurité fournit une ligne directrice, qui comprend la réponse initiale aux menaces, l’identification des priorités et les corrections appropriées.
  • Politique de cloud et de SaaS – elle fournit à l’organisation des directives claires en matière d’adoption de cloud et de SaaS, qui peuvent servir de base à un écosystème de cloud unifié. Cette politique peut contribuer à atténuer les complications inefficaces et la mauvaise utilisation des ressources du cloud.
  • Les politiques d’utilisation acceptable des actifs (ou charte informatique) aident à prévenir les violations de données dues à une mauvaise utilisation des ressources de l’entreprise. Des règles d’utilisation simple et transparente permettent à l’ensemble du personnel de respecter la bonne utilisation des ressources technologiques de l’entreprise.
  • Réglementation sur la gestion des identités et des accès (IAM) – elle permet aux administrateurs informatiques d’autoriser les systèmes et les applications aux bonnes personnes et aux employés de savoir comment utiliser et créer des mots de passe de manière sécurisée. Une simple politique de mot de passe peut réduire les risques liés à l’identité et à l’accès.
  • Réglementation sur la protection de la vie privée – les réglementations appliquées par les pouvoirs publics, telles que le règlement général sur la protection des données (RGPD), protègent la vie privée des utilisateurs finaux. Les organisations qui ne protègent pas la vie privée de leurs utilisateurs risquent de perdre en notoriété et de se voir infliger une amende.
  • Appareils personnels et mobiles – De nos jours, la plupart des organisations sont passées au cloud. Les entreprises qui encouragent leurs employés à accéder aux logiciels de l’entreprise depuis n’importe quel endroit risquent d’introduire des vulnérabilités par le biais de dispositifs personnels tels que les ordinateurs portables et les smartphones. La mise en place d’une politique de sécurité appropriée pour les appareils personnels peut aider à prévenir l’exposition aux menaces via les actifs appartenant aux employés.

La politique de sécurité du système d’information ISO 27001 – FAQ

Quel est l’objectif de la politique de sécurité de l’information?

L’objectif de la PSSI est de définir les politiques de sécurité de l’information qui s’appliquent à l’entreprise pour protéger la confidentialité, l’intégrité et la disponibilité des données.

 

Quel doit être le périmètre de la politique de sécurité de l’information ?

Le champ d’application de la politique doit concerner tous les employés et les utilisateurs tiers. Cela inclut le personnel permanent, les contractuels, les consultants et les employés de fournisseurs tiers travaillant pour votre entreprise.

 

La politique de sécurité de l’information doit-elle inclure l’engagement de la direction ?

Oui, avoir la déclaration du directeur général dans la politique est un bon moyen de prouver l’engagement de la direction ce qui répond à l’une des exigences de la norme ISO 27001.

 

Que doit contenir une politique de sécurité de l’information ISO 27001 ?

Une PSSI doit contenir au minimum les éléments suivants :

  • Version du document
  • Objectif de la PSSI
  • Périmètre de la PSSI
  • Déclaration d’engagement du directeur général
  • Objectifs de la sécurité de l’information
  • Rôles et responsabilités en matière de sécurité de l’information
  • Obligations légales et réglementaires
  • Définitions et principes de sécurité
  • Gestion des exceptions à la PSSI
  • Gestion des non-conformités
  • Amélioration continue

 

La norme ISO 27001 exige-t-elle une politique de sécurité de l’information ?

Oui, la politique de sécurité de l’information est un document clé de l’ISO 27001 qui sera demandé par l’auditeur le jour de votre certification.

 

Prendre rendez-vous avec un consultant