Bâtir une politique de sécurité de l'information

Contexte

Une politique de sécurité de l'information est un ensemble de documents émanant de la direction de votre entreprise indiquant les directives, procédures, lignes de conduite et règles organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa gestion. C'est un engagement et une prise de position claire et ferme de la direction de protéger son actif informationnel.

PDF

Principe

Pour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut vous servir de guide et de référence.

Règles et bonnes pratiques

Vous devez élaborer une politique de sécurité de l'information qui vient appuyer la mission de votre entreprise, notamment pour la réalisation des objectifs stratégiques qui en découlent. En contrepartie, cette mission vous fournit les indications pertinentes permettant d'identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les ressources informationnelles de votre organisation selon leur degré de sensibilité.

Vous devez prioritairement protéger les ressources informationnelles considérées comme critiques ou sensibles pour votre organisation, vos partenaires ou vos clients, soit des :

• Personnes :
  • séparation des responsabilités afin d'éviter les conflits d'intérêts;
  • gestion de la présence de personnes dont les connaissances sont essentielles à la protection des ressources informationnelles.
• Information :
  • types de documents (contrat, procédure, plan, procédé de fabrication, etc.);
  • données provenant de la clientèle;
  • données financières;
  • données appartenant à l'organisation comme notamment : plan stratégique, liste de clients, recette de fabrication, secret, etc.;
  • paramètres des systèmes et applications;
  • etc.
• Processus :
  • processus d'embauche et de renvoi du personnel;
  • processus d'accueil du nouveau personnel;
  • processus d'annulation des comptes clients;
  • etc. 
• Matériel et technologie :
  • ressource informationnelle (système d'information, application, logiciel, etc.);
  • éléments de l'infrastructure technologique (serveur, réseau de télécommunications, réseau téléphonique, etc.);
  • installations (immeuble, local, etc.).

Votre politique de sécurité de l'information doit contenir les éléments suivants :

• confirmer l'engagement de la direction;
• désigner une personne responsable de la sécurité de l'information;
• identifier ce qui doit être protégé;
• identifier contre qui et quoi vous devez être protégé;
• inclure des considérations de protection de l'information et des renseignements personnels;
• encadrer l'utilisation des ressources informationnelles;
• tenir compte de la conservation, de l'archivage et de la destruction de l'information;
• tenir compte de la propriété intellectuelle;
• prévoir la réponse aux incidents et préparer une investigation;
• informer vos utilisateurs que les actes illégaux sur les informations et ressources de l'entreprise sont interdits.

L'élaboration de la politique de sécurité

Le cadre d'élaboration de la politique de sécurité de l'information est constitué des lois, règlements, politiques, directives, normes, procédures, guides et normes internes dont l'entreprise doit tenir compte lors de l'élaboration d'une politique de sécurité de l'information. La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les éléments suivants :

• une politique globale;
• des directives;
• des procédures, normes internes et bonnes pratiques.

Le schéma ci-après présente une hiérarchie des éléments constituants de la politique de sécurité de l'information :

• Niveau 1 : Politique globale 
  
  • La politique globale de sécurité des actifs est un engagement et une prise de position ferme et claire de la direction de l'entreprise quant à la protection à accorder aux actifs.
• Niveau 2 : Directives 
  
  • Les directives de sécurité déterminent, par des mesures concrètes, la façon de procéder en vue d'assurer la sécurité des actifs. Elles peuvent porter, par exemple, sur l'utilisation de l'Internet, du courrier électronique ou des écrans de veille.
• Niveau 3 : Procédures, bonnes pratiques et normes internes 
  • Procédures : les procédures mises en place par votre organisation décrivent en détail toutes les étapes d'un processus humain ou technologique d'implantation ou d'opération d'une mesure de sécurité.
  • Bonnes pratiques : les bonnes pratiques de sécurité mises en place par votre organisation assurent que les contrôles de sécurité ainsi que les processus de support nécessaires sont implantés de façon consistante et adéquate à travers l'entreprise.
  • Normes internes : les normes internes ne sont pas entérinées par un organisme officiel de normalisation, mais se sont imposées par la force des choses parce qu’elles font consensus auprès des utilisateurs qui les adoptent à l’intérieur d’une même entreprise, organisation, etc.

L'application de la politique de sécurité

La politique de sécurité de l'information est publiée et diffusée auprès de l'ensemble des employés de l'organisation, des tiers et sous-traitants concernés. La sécurité de l'information concerne tous les secteurs d'activités et peut, dans des circonstances tragiques, décider de la survie de l'organisation.

Réexamen périodique de la politique de sécurité

Pour s'assurer de la pertinence et de l'efficacité de la politique de sécurité de l'information, il faut qu'elle soit révisée par la direction de l'organisation conjointement avec les personnes impliquées dans la gestion de la sécurité, annuellement ou lors de changements majeurs (par exemple : organisationnel, environnement technique modifié, nouvelles conditions légales, stratégies d'affaires différentes, etc.).

Après chaque révision, la politique de sécurité doit être approuvée par la direction.

Dernière mise à jour :  20 mars 2008

Tous droits réservés © 2009 ISIQ │ Conditions d'utilisation │ Plan du site