Organiser la sécurité de l'information

Contexte

L'organisation de la sécurité de l'information consiste à :

1. définir un cadre de gestion;
2. préciser les rôles, responsabilités et qualifications des gestionnaires, utilisateurs, contractuels, fournisseurs de services et détenteurs des ressources informationnelles;
3. assurer la protection de vos ressources informationnelles;
4. mettre en place des mécanismes de sécurité pour assurer la sécurisation de l'accès des tiers aux informations et ressources de votre entreprise.

PDF

Principe

L'organisation de la sécurité est une bonne pratique qui permet de clarifier les rôles et responsabilités des acteurs en sécurité de l'information au sein de votre organisation pour assurer la protection de vos ressources informationnelles critiques.

Règles et bonnes pratiques

Pour mettre en place une sécurité adéquate, il est indispensable d'implanter des règles de conduite et de partager les responsabilités entre les différents intervenants de votre organisation.

Engagement de la direction

La direction de l’organisation doit définir un cadre de gestion de même que les rôles, responsabilités et qualifications des personnes impliquées dans la sécurité, la gestion des ressources et la mise en oeuvre de la sécurité.

Elle doit faire élaborer et approuver la politique de sécurité de l'information, attribuer les responsabilités reliées à la sécurité et assurer le suivi de sa mise en œuvre.

Attribution des rôles et responsabilités

Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprise reposent sur :

• les qualifications et compétences des personnes qui assumeront les rôles;
• les gestionnaires qui en assurent la gestion;
• les utilisateurs des ressources;
• les administrateurs techniques qui gèrent les accès aux information et fonctionnalités des ressources informationnelles;
• les techniciens qui en assureront la maintenance et la contingence;
• les tiers et les fournisseurs qui offrent des services contractuels.

Pour assurer une sécurité adéquate des éléments de l’actif informationnel de votre organisation, des règles de conduite et un partage des responsabilités entre les différents intervenants impliqués sont nécessaires. En voici quelques exemples :

Le dirigeant de l'organisation a comme responsabilité de :

• désigner un responsable de la sécurité des systèmes d'information (RSSI);
• superviser la catégorisation de l'actif informationnel de l'organisation;
• approuver la politique globale de sécurité, les orientations et les directives.
• fournir les ressources requises pour assurer la sécurité de l'information.

Le comité de la sécurité de l'information doit :

• réaliser périodiquement la catégorisation de l'actif informationnel de l'organisation;
• réaliser périodiquement une analyse de risque formelle des ressources informationnelles critiques de l'organisation;
• recommander les orientations et les directives au dirigeant de l'entreprise;
• approuver les normes, les pratiques et le plan d'action de la sécurité de l'entreprise;
• assurer le suivi du plan d'action de sécurité.

Le responsable de la sécurité agit comme responsable désigné pour coordonner la sécurité de l'information de l'entreprise. À cet effet, il a la responsabilité de :

• élaborer et assurer le suivi et la mise à jour périodique du plan d'action;
• communiquer au personnel, aux clients et partenaires de l'organisation les orientations de sécurité de l'information;
• veiller au respect de la politique de sécurité de l'information et à la protection des renseignements personnels et sensibles;
• informer périodiquement le comité de sécurité de l'information de l'organisation de l'état d'avancement des dossiers de sécurité.

Le détenteur d'une ressource informationnelle doit :

• participer à la catégorisation des ressources informationnelles dont il est le responsable;
• assurer la gestion de la sécurité de celles-ci;
• autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des données ou informations dont il est le détenteur;
• veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en place, appliquées et périodiquement vérifiées;
• participe aux analyses de risque concernant ses ressources informationnelles ;
• participer à la sensibilisation des utilisateurs.

Engagements de confidentialité

Les exigences en matière d'engagements de confidentialité ou de non divulgation doivent être identifiées et réexaminées régulièrement. À cet effet, il faut :

• définir les informations à protéger et en identifier la sensibilité;
• indiquer la durée prévue de l'engagement;
• préciser les modalités de retour ou de destruction d'informations à l'expiration de l'engagement;
• préciser les responsabilités et les exigences à l'égard des signataires en vue d'éviter une diffusion d'informations non autorisées;
• publiciser les sanctions prévues en cas de violation de l'engagement.

Sécurité et clients

Tous les besoins de sécurité doivent être traités avant d'accorder aux clients l'accès aux informations ou aux ressources de l'organisation. Les exigences en matière de sécurité avec les clients peuvent être spécifiées par l'entremise d'ententes ou de contrats entre les parties qui mentionnent l'ensemble des risques, des exigences requises et les conséquences pour les signataires, d'une divulgation non autorisée.

Sécurité dans les accords conclus avec des tiers

Le responsable de la sécurité doit superviser les accès par des tiers aux infrastructures de traitement de l'information de votre organisation. En cas de nécessité professionnelle d'un tel accès par un tiers, il doit procéder à une évaluation des risques afin de déterminer les implications au niveau de la sécurité et les exigences des mesures. Il doit également valider les mesures à appliquer et les définir sous forme de contrat avec le tiers en question en incluant l'ensemble des risques identifiés. Lorsque ces accès par des tiers impliquent également d'autres participants, le responsable de sécurité doit inclure, dans les contrats accordant l'accès à un tiers, une clause pour la désignation des autres participants admissibles ainsi que les conditions de leur accès.

Dans le cas de sous-traitance ou d'impartition de services, il faut inclure dans le contrat établi entre les parties, des clauses sur la façon d'aborder et de traiter les risques, les mesures et les procédures de sécurité pour les systèmes d'information, les réseaux, les infrastructures technologiques, les informations ou données sensibles. Il faut également inclure au contrat, pour le personnel ayant accès à de l'information sensible ou confidentielle, qu'il doit faire l'objet d'une habilitation sécuritaire et s'engager par la signature d'une entente à la plus stricte confidentialité.

Revue indépendante de la sécurité des ressources et des informations

Une revue interne et indépendante de la sécurité des ressources et des informations doit être réalisée périodiquement :

• après une révision de la politique de sécurité;
• lorsque des changements importants ont été apportés à la ressource informationnelle ou à l'infrastructure technologique de l'organisation;
• lors d'un changement dans le contexte d'affaire ou légale de l'organisation.

L'objectif visé par cette révision est de vérifier si l'approche (suivi des objectifs de sécurité, les politiques, les procédures et les processus reliés à la sécurité) retenue par l'organisation pour gérer et mettre en œuvre sa sécurité est adéquate et efficace.

Dernière mise à jour : 6 février 2007

---

 

---