Mettre en place une politique de sécurité informatique : les bonnes pratiques 

L’entrée en vigueur du RGPD (Règlement sur la protection des données) a encore accru la nécessité pour les entreprises de protéger les données personnelles qu’elles collectent et traitent dans leurs systèmes d’information. 

Or, 52% des entreprises françaises ont déclaré avoir subi au moins une attaque criminelle l’année dernière. Outre une cyberattaque, c'est parfois un incident informatique qui est à l’origine d’une fuite des données personnelles. 

La protection des systèmes d’information et des données qu’ils contiennent est devenue centrale pour la pérennité des entreprises. A l’ère du big data, les entreprises accumulent de très grandes quantités de données dans des systèmes trop souvent vulnérables aux attaques informatiques et autres incidents. 

C’est pour ces raisons qu’il est indispensable de mettre en place une politique de sécurité informatique ! 

Nous verrons dans cet article : 

• Qu'est ce qu'une politique de sécurité ?
• Quels sont les enjeux de la mise en place dans votre entreprise ?
• Les bonnes pratiques de mise en place d'une politique de sécurité informatique.  

1- Qu’est-ce qu’une politique de sécurité informatique ?

La politique de sécurité informatique se matérialise par un plan d’action visant à maintenir la sécurité du système d’information d’un organisme. Cette politique est donc intrinsèquement liée à la sécurité des données. 

Ce document présente la vision stratégique en matière de sécurité pour tout l’écosystème informatique de l’organisme. Il est possible de trouver des modèles pour vous aider à le rédiger, mais ce document doit être unique et personnalisé. Il est établi sur-mesure en fonction : 

• de l’environnement de l’organisme, 
• de son fonctionnement, 
• de la composition du système d’information,
• des risques inhérents à son implantation et à son secteur d’activité. 

Ce plan stratégique définit :  

• les objectifs de cybersécurité : ces objectifs doivent viser à contrer des risques identifiés pour chaque système cible;  
• ainsi que les moyens pour atteindre les objectifs fixés.

La politique de sécurité des systèmes d'information (PSSI) est évolutive. Le document est régulièrement mis à jour en fonction de l’ évolution des systèmes, l’implémentation d’un nouveau logiciel, le renouvellement du matériel ou encore sous l’impulsion de nouvelles réglementations. Chaque révision doit être indiquée avec sa date, l’auteur et les modifications implémentées dans le document. 

⚠️ Politique de sécurité informatique # Charte informatique 

Ne confondez pas la politique de sécurité avec la charte informatique ! La charte informatique est un document consignant les recommandations d’utilisation conforme des technologies à destination des collaborateurs d’un organisme. Elle constitue généralement une partie de la politique de sécurité informatique. 

2- Pourquoi mettre en place une politique de sécurité informatique ?

Les enjeux de la mise en place d’une politique de sécurité informatique

Les enjeux de la mise en place d’une PSSI sont pluriels : 

Lutter contre les accidents et les piratages informatiques

Ces dernières années, avec l’essor du télétravail et de l’utilisation du cloud, les défis auxquels doivent faire face les responsables de la sécurité informatique au quotidien sont de plus en plus nombreux. D’autant que les cybercriminels sont de plus efficaces et professionnalisés.

De plus, le RGPD a fait de la protection des données personnelles un enjeu majeur. Il est devenu indispensable de protéger les systèmes informatiques des menaces pesant sur celui-ci : fuite de données accidentelle, erreurs de manipulation, piratages informatiques (hameçonnage, ransomware, malware etc.). 

Evaluer la maturité de son système d’information  

Avant de rédiger votre plan de sécurité informatique, il va vous falloir auditer l’existant. Cet état des lieux de l’ensemble de vos équipements, réseaux, ou encore logiciels, constitue un excellent moyen de savoir où vous en êtes exactement en termes de sécurité. 

La mise en place d'un plan de sécurité informatique permet d’identifier les forces, les faiblesses, les vulnérabilités ainsi que les éventuelles failles du système d’information des organisations. 

Inspirer confiance aux tiers 

Si vous collectez, stockez et traitez des données personnelles, il est essentiel de montrer aux personnes concernées que vous assurez la sécurité de leurs informations. 

Un système d'information ouvert aux quatre vents peut avoir des conséquences dommageables sur les partenaires d’une entreprise, ses salariés, ses clients, ses fournisseurs, etc. 

La mise en œuvre d'une stratégie de sécurité informatique revient à démontrer que l’entreprise est consciente des menaces et apporte des solutions concrètes pour s’en prémunir et réagir en cas d’incident.  

Les composantes de la politique de cybersécurité 

La stratégie de sécurité informatique ne se limite pas à un mode d’emploi. Le plan d’action doit proposer une approche globale et aborder tous les éléments relatifs à la sécurité :

• Le comportement des utilisateurs vis-à-vis des technologies : mot de passe trop faible, absence de fermeture de sessions en cas d’absence du bureau, connexion à des wifi non sécurisés, clic sur des liens dans les emails, sauvegarde de fichiers etc;
• La sécurité :
• des données de l’entreprise ;
• des réseaux ;
• des systèmes d’exploitation ;
• des applications;
• des communications ;
• des infrastructures et des équipements (serveurs, ordinateurs, disques durs, clés usb etc.). 

La politique de sécurité des systèmes d'information définit l’intégralité de la stratégie de sécurité informatique de l’organisme.

3- Elaboration de la politique de sécurité informatique : les étapes

La mise en place d’une PSSI passe par les étapes suivantes : 

Etape 1 : Préciser les rôles et les responsabilités

L’élaboration d’une politique de sécurité informatique doit être envisagée comme un projet en tant que tel. Avant de démarrer, l’organisme doit préciser les différents acteurs : 

• Désigner un responsable de la politique de sécurité informatique : celui-ci définit le contenu de la politique de sécurité et rédige le document ; 
• Identifier les rôles et les fonctions de chacun des acteurs au sein de l’organisme : 
• Direction Générale (valide le plan), 
• Direction des Systèmes d’information, 
• Délégué à la protection des données (DPO) s’il y en a un de désigné,
• Responsable de la sécurité des SI (RSSI).  
  
• Identifier les instances d’audit du système d’information;
  
• Préciser qui sont les utilisateurs à qui s’impose les règles de sécurité informatique : collaborateurs, prestataires externes (entreprises, freelances), etc.   

Etape 2 : Définir les enjeux et le domaine d’application de la politique de sécurité informatique 

Ce document précise les enjeux externes et internes de chaque objectif identifié. Pour cela, il s’agit de réaliser une analyse de l’environnement afin de dresser la liste des éléments qui nécessitent une protection, notamment les données personnelles et particulièrement, les données sensibles. 

Les objectifs sont priorisés en fonction de leurs enjeux. Ils peuvent notamment être classés en fonction de leur niveau de criticité. 

La politique de sécurité informatique détermine son domaine d’application, à savoir, uniquement au sein de l’organisme ou également à l’extérieur. En effet, ce document peut s’appliquer à l’extérieur, notamment en cas de télétravail des salariés ou lorsque des freelances utilisent les outils collaboratifs de l’organisation. 

Etape 3 : Effectuer une analyse de l’existant et une analyse des risques

La mise en œuvre d'une politique de sécurité informatique suppose de connaître le degré de maturité du système d’information en matière de sécurité. Pour cela : 

• Réalisez une analyse de l’existant : listez dans un registre tous les éléments de votre système d’information :  logiciels, application, matériel (ordinateur, tablette, clés usb etc.), interfaces. Tenez à jour le registre, en enregistrant toute modification de votre parc informatique ou de la configuration informatique. Par la suite, ce registre permet aux équipes de gagner du temps dans la résolution des problèmes d’IT.

• Effectuez une analyse des risques : cet audit permet de repérer les éventuelles failles de sécurité et les vulnérabilités. Indiquez les préjudices possibles pour chaque risque ainsi que leur probabilité d'occurrence. Cette étape est essentielle pour définir les actions prioritaires dans le plan d’action.  

Etape 4 : Déterminer les moyens nécessaires et les procédures adaptées 

Une fois les risques analysés, il est temps de penser à l’action ! Comment agir en cas d’incident ? Qui doit prendre en charge les incidents ? 

A cette étape d’élaboration de votre stratégie de sécurité du système d'information : 

• Identifiez les moyens nécessaires : indiquez les moyens nécessaires pour éliminer ou réduire les risques identifiés ainsi que pour la prise en charge des incidents. Ces moyens comprennent aussi bien les moyens matériels, humains que financiers (budget). 
  
• Elaborez les procédures adaptées : les risques sont identifiés, vous connaissez les moyens à déployer pour réduire le risque et/ou pour réagir efficacement en cas de survenance de l’incident. Il s’agit alors de définir des procédures à suivre : gestion des incidents, continuité des activités, notification à la CNIL en cas de violation de données etc.  

Etape 5  : Définir les règles et les référentiels

La politique de sécurité informatique liste les règles à respecter pour diminuer les risques en matière de sécurité. Ces règles doivent être respectées par toutes les personnes à qui s’applique le document. Par exemple, si le périmètre d’application est à la fois interne et externe à l’entreprise, ces règles s’appliquent aussi bien aux salariés de l’entreprises qu’aux prestataires externes. Le document liste ce que les concernés peuvent faire ou non, ainsi que les sanctions encourues en cas de non-respect. 

Le document mentionne les réglementations sur lesquelles s’appuie la politique de cybersécurité : le RGPD ou encore les différentes normes de sécurité IT (ISO, ISO/IEC, BS). 

Pour vous aider, l’ANSSI a élaboré un guide d’élaboration de la PSSI (politique de sécurité des systèmes d’information). Ce guide décrit plus de 160 principes de sécurité organisés en 16 domaines. 

💡 Pour plus d’information, voir le guide d’élaboration de la politique de sécurité informatique de l’ANSSI. 

Etape 6 : Identifier les actions de sensibilisation des utilisateurs à la sécurité informatique

Il est indispensable de prendre en compte le facteur humain. Pour cela, vous devez définir les actions à mettre en œuvre pour former et sensibiliser les utilisateurs aux différents problèmes de sécurité informatique, aux enjeux et aux bonnes pratiques. 

Le document doit prévoir : 

1. Une charte informatique informant les salariés des bonnes pratiques en matière d’utilisation du matériel informatique, des logiciels notamment collaboratifs, du cloud etc.; 
2. Une politique de communication sur les risques liés à la sécurité informatique.  

Etape 7 : Joindre les documents associés

Le plan de sécurité informatique repose sur un certain nombre d’autres documents annexes : 

• dédiés à des périmètres spécifiques : règles concernant le télétravail, la gestion des mots de passe, la gestion des habilitations, la sauvegarde des données, la cryptographie (anonymisation ou pseudonymisation des données par exemple), etc.;
• faisant référence aux normes et aux réglementations en vigueur. 

Vous devez les annexer au document décrivant la politique de sécurité informatique.

Pour résumer, la politique de sécurité informatique correspond à l’ensemble des mesures prises par une organisation en matière de protection des systèmes d’information. Ce document concernant tous les utilisateurs du système informatique d’une organisation, il doit faire l’objet d’une validation par la direction générale. 

👍 Pssst ! Notre logiciel RGPD vous aide à sensibiliser vos collaborateurs en matière de sécurité des données personnelles.

👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !