Comment mettre en place une bonne politique de sécurité informatique au sein de son entreprise ?
La PSSI (politique de sécurité du système d’information) est un document essentiel pour les entreprises. Souvent perçue comme une contrainte, elle est en réalité un atout : fruit d’une réflexion sur la sécurité du système informatique d’une entreprise, elle fixe des orientations stratégiques, permet de limiter les dangers, et responsabilise les collaborateurs.
Qu’est-ce qu’une politique de sécurité informatique ?
Une politique de sécurité du système d’information (PSSI) est un plan d’action qui vise à préserver la sécurité du système d’information d’un organisme, et qui présente la vision stratégique de l’entreprise en matière de sécurité de ses systèmes d’information. Ce document est établi sur mesure par chaque entreprise. Il prend en compte le fonctionnement et la composition de son système d’information, ainsi que les risques propres à son implantation et à son secteur d’activité.
Élément fondateur de la SSI d’une entreprise, la politique de sécurité informatique définit des objectifs de sécurité ainsi que les moyens à utiliser pour les atteindre. Pour faciliter son application, la politique de sécurité informatique doit décrire des mesures concrètes et réalisables, et être écrite dans un style concis et accessible. Il s’agit, enfin, d’un document évolutif, qui doit être régulièrement révisé. Il doit contenir un historique des révisions, avec la date, l’auteur et les modifications apportées.
Pourquoi mettre en place une politique de sécurité informatique ?
L’objectif principal est de mettre en place des actions qui protègent le système d’information de l’entreprise contre les menaces : virus, bots et malwares, fuite et vols de données, erreurs de manipulation. Une politique de sécurité informatique permet donc aux entreprises d’être préparées en cas d’incident, et de limiter leurs impacts négatifs. Comme l’élaboration d’une politique de sécurité commence par un état des lieux du SI, la PSSI permet également d’évaluer sa maturité, ses failles et ses faiblesses.
En investissant dans la mise en place d’une politique de sécurité informatique, une entreprise montre qu’elle prend les choses en main : elle est prête à envisager le pire pour s’en protéger, elle se pose les bonnes questions, et apporte des solutions concrètes. En plus d’être bénéfique pour la santé du système informatique, elle est un précieux gage de confiance pour vos collaborateurs et partenaires.
Que contient la politique de sécurité du système d’information ?
Une PSSI s’articule en plusieurs parties, plus ou moins longues et détaillées en fonction de l’architecture de votre système informatique et du secteur d’activité de votre entreprise :
Les règles
La politique de sécurité des systèmes d’information spécifie les règles que l’entreprise s’engage à respecter. Elle précise ce que chaque collaborateur a le droit de faire et ce qu’il doit respecter, et les sanctions encourues en cas de manquement aux règles.
Les documents associés
Le PSSI comporte généralement des annexes dédiées à des périmètres précis : politique de la cryptographie, du wifi, du télétravail, de la sous-traitance, de la sauvegarde et de l’archivage, BYOD, liste de contrôle d’accès, politique des mots de passe, etc. Tous ces documents doivent être répertoriés et joints à la PSSI.
Les enjeux internes et externes
La PSSI doit préciser les objectifs de chaque mesure, en décrivant les enjeux internes et externes de la sécurité informatique.
Le domaine d’application de la politique de sécurité informatique
Le document délimite le cadre de la mise en œuvre : une PSSI peut être applicable uniquement au sein de l’entreprise, ou également à l’extérieur de l’entreprise.
Les responsabilités de la politique de sécurité informatique
L’entreprise doit désigner un responsable de la PSSI, qui définit son contenu et rédige le document. Les utilisateurs à qui elle est destinée doivent être précisées : il peut s’agir uniquement des collaborateurs, ou également des prestataires et freelances.
Les référentiels
La politique de sécurité informatique se base sur un ou plusieurs cadres réglementaires, comme le Règlement Européen sur la Protection des Données, la norme ISO/IEC 27001, ISO/IEC 27003 ou ISO/IEC 27005, ou encore, dans le cas des acteurs de la chaîne monétique, la norme PCI-DSS.
La gouvernance
La politique de sécurité informatique identifie clairement les rôles et les fonctions de chacun des acteurs du management de la sécurité du SI : Direction, DSI, DPO, et RSSI. Elle décrit également les instances mises en place pour auditer le système informatique.
Nos conseils pour mettre en place une bonne politique de sécurité informatique
La mise en place d’une bonne politique un processus complexe. Nous vous conseillons de découper le travail en quatre étapes. Dans un premier temps, donnez un cadre à votre démarche, en définissant le périmètre et les enjeux stratégiques de la PSSI. Ensuite, réalisez un inventaire de votre système informatique, c’est-à-dire de l’ensemble des matériels à protéger. La troisième étape consiste à analyser les dangers en utilisant une méthode reconnue, comme EBIOS, une méthode française de référence, ou MEHARI, une méthode harmonisée d’analyse des risques qui répond aux exigences de la norme ISO 27005.
Cela vous permettra de créer une cartographie des risques liés à la gestion de votre système d’information, que vous devrez ensuite hiérarchiser par niveau de criticité. Enfin, vous devez choisir les mesures de sécurité informatique permettant de traiter chaque risque. Nous vous recommandons d’utiliser les thèmes de la norme ISO 27002, qui vous guideront dans ce travail minutieux. N’oubliez pas d’associer chaque mesure à la personne ou à l’équipe qui en aura la responsabilité.
Nos solutions en matière de sécurité informatique
Chez IPE, nous savons qu’élaborer une politique de sécurité informatique est une démarche compliquée, qui demande une réflexion poussée et une fine connaissance de l’informatique. Nous accompagnons les petites et moyennes entreprises dans la gestion de leur SI, mais aussi dans la création et la mise en place de leur politique de sécurité informatique. Nous réalisons un audit complet de vos équipements, avec une méthodologie qui s’appuie sur plusieurs niveaux : la vérification de votre infrastructure informatique (systèmes, réseau et matériel), le contrôle de la configuration des postes, serveurs et messageries, l’analyse de la sécurité physique du système et des solutions de sauvegarde des données, et l’étude des capacités d’évolution de votre SI.
Nous vous aidons également à mettre votre politique informatique en conformité avec les exigences du RGPD, pour protéger vos données personnelles et celles de vos clients. Nous vous épaulons au quotidien, en vous offrant des prestations de maintenance, mais aussi des services de sécurité : gestion des emails, protection web, anti-virus et anti-spam, et analyse dark web. Réactifs et à l’écoute, nos experts en sécurité vous fournissent un accompagnement sur mesure, qui vous apporte sécurité et sérénité.
