10août
exemple de structure politique de sécurité

Comment structurer sa politique de sécurité ?

Mettre en place des mesures de sécurité, c’est facile; Les rendre cohérentes entre elles dans le périmètre global d’une entreprise, ça l’est par contre beaucoup moins. Pour atteindre cet objectif, il est essentiel de commencer par formaliser ses attentes et la politique de sécurité symbolise ce document essentiel et structurant.

Qu’est-ce qu’une politique de sécurité ?

Chaque société possède une organisation, des processus, un environnement technologique et des objectifs stratégiques qui lui sont propres. En conséquence, il n’est pas envisageable de trouver sur internet ou ailleurs une politique toute faite et qui couvre tous les risques spécifiques de chaque entreprise. La politique doit donc s’adapter à l’univers de l’entreprise ainsi qu’à son appétance pour les risques.

Ainsi, une politique de sécurité est un set de principes et de règles de sécurité qu’un organisme entend mettre en place pour réduire ses risques et protéger ses actifs : les personnes, les informations, les valeurs et les biens. Elle dépend directement de l’environnement pour lequel elle s’applique et, en conséquence, il n’existe pas une seule forme ou une seule structure. En terme de vocabulaire, la politique de sécurité représente pour certains le groupe de documents de règles sécurité, alors que pour d’autre il s’agit uniquement du sommet de la pyramide des règles sécurité. Il est donc essentiel lors de la définition d’une politique de sécurité de clarifier la terminologie utilisée afin que tous les acteurs parlent et comprennent la même chose.

Quelle est la structure type d’une politique de sécurité ?

Certes, il n’existe pas une construction unique de politique de sécurité, mais il est néanmoins possible de poser une structure type qui permette d’organiser la hiérarchie des règles allant des plus générales au plus précises. Voici donc un modèle à 4 niveaux basés sur les meilleures pratiques observées en entreprise.

Niveau 1 – Une politique de sécurité est le toit des exigences et des attentes en termes de niveaux de protection des actifs de l’entreprise. Elle doit édicter en langage métier les principes haut niveau à respecter. Elle ne se limite pas uniquement à des considérations informatiques, mais intègre des niveaux d’attentes vis-à-vis des personnes, des biens (bâtiments par exemple) et les valeurs. En gros, elle fixe les règles du jeux à respecter au niveau de la sécurité. Elle doit correspondre aux attentes des hautes instances de l’entreprise, soit le conseil d’administration et la direction générale en particulier. Elle s’adresse à tous les collaborateurs car elle n’est pas technique.

exemple de structure politique de sécurité

cliquez pour découvrir le détail de la structure type d’une politique de sécurité

Niveau 2 – Découlant directement de la politique de sécurité, les règles globales et spécifiques de sécurité — décrivent les directives à respecter en matière de sécurité. Elles sont globales (niveau 2a) ou spécifiques (niveau 2b) pour un domaine particulier comme par exemple les principes de classification des informations ou encore les mesures liées à la consultation d’Internet et la messagerie électronique. Les directives peuvent être spécifique pour un groupe de personne ou même générale

Niveau 3 – Les standards ou normes de sécurité sont des procédures qui ont pour objectifs de décliner opérationnellement les actions à mettre en œuvre comme par exemple les règles de filtrage des firewalls qui permettent, par exemple, de couvrir les objectifs de sécurité édictés au niveau 2b pour la consultation d’internet.

Le pragmatisme avant tout

Disposer d’une politique de sécurité est donc le moyen de mettre en musique l’ensemble des mesures de sécurité. Passé cette étape, il reste néanmoins deux étapes encore plus difficile à passer :

  1. La faire connaître : Il s’agit d’accompagner son adoption au sein de l’organisme en formant et sensibilisant tous les acteurs internes et externes ;
  2. La maintenir : Les mesures de sécurité doivent s’adapter aux changements de l’environnement de l’entreprise. La politique doit donc vivre et être revue périodiquement.

A quoi sert une magnifique politique de sécurité qui n’est pas connue, qui n’est pas comprise ou encore inadaptée à l’environnement de l’entreprise? Il s’agit donc de trouver le juste niveau de détail qui permette de spécifier de manière claire et univoque une règle de sécurité sans qu’elle devienne obsolète au moindre changement de l’entreprise. La structure proposée ci-dessus a l’avantage en particulier de pouvoir édicter des règles dans un domaine sans que toute la politique de sécurité soit remise en question au moindre changement. Il reste néanmoins un facteur de réussite à ne pas négliger, celui de rester pragmatique lors de la formalisation d’une politique et d’identifier de manière concrète les mesures de sécurité qui en découlent au sein de l’entreprise.




A propos de Marc Barbezat

Analyste #FinTech #Digital #Mobile et passionné par la gestion de l’information, je mets mon expérience au service des domaines de la sécurité et de la gouvernance informatique pour le secteur bancaire en particulier.