Parce que les risques en matière de sécurité informatique n’ont cessé d’augmenter ces dernières années, il est important pour les entreprises de mettre en place une stratégie qui leur permette d’être préparées en cas d’incident et de réduire l’occurrence de ces éventuels incidents.
Les enjeux de la mise en place d’une politique de sécurité informatique
Du bon fonctionnement du système d’information de l’entreprise dépend la disponibilité des informations et des systèmes informatiques, mais aussi la confidentialité des informations, avec le risque de voir le capital informationnel de l’entreprise compromis ou perdu.
On sait désormais que le principal facteur de risque en matière de sécurité informatique, c’est le facteur humain. Comment faire pour travailler sur cet aspect de la sécurité informatique ? Différentes stratégies sont possibles. Dans cet article, nous allons aborder l’élaboration d’une politique de sécurité informatique au sein de l’entreprise, avec des conseils et des bonnes pratiques.
Définition : qu’est-ce qu’une politique de sécurité informatique ?
Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant partie de cette stratégie.
- À distinguer de la charte informatique, qui est un document de recommandations concernant la bonne utilisation des technologies informatiques, et qui est destiné aux employés de l’entreprise
- Ce document est unique et personnalisé, car établi en tenant compte du fonctionnement, de l’environnement, de la composition du système d’information de l’entreprise et des enjeux et des risques informatiques qui lui sont propres
La sécurité du système d’information en général
La mise en place d’une politique de sécurité informatique n’est que l’une des nombreuses mesures possibles pour assurer la sécurité du système d’information de l’entreprise. À titre d’exemple, voici quelques-unes des meilleures pratiques en matière de sécurité informatique pour une entreprise :
- une bonne maintenance du parc informatique
- une responsabilisation du personnel
- la formation du personnel aux bonnes pratiques informatiques
- l’utilisation d’outils permettant d’être prêt face aux attaques informatiques (tels que antivirus, antispam, pare-feux etc.)
- le contrôle des accès Internet de l’entreprise
- le contrôle des accès aux informations de l’entreprise, et notamment aux informations sensibles
- l’hébergement des données dans des environnements sécurisés et monitorés
- la mise en place de sauvegardes adaptées, sécurisées, redondées
Mettre en place une politique de sécurité de système d’information : les bonnes pratiques
Vous trouverez ci-dessous quelques-unes des meilleures pratiques à observer lors de l’élaboration de votre politique de sécurité informatique :
- Désigner un responsable informatique, qui sera en charge de l’élaboration et de la mise en place de cette politique de sécurité
- Définir le périmètre et les objectifs de la politique de sécurité informatique, à des fins d’efficience et de mesure des résultats
- Effectuer une analyse de l’existant, matériel et logiciel, et tenir à jour un registre de l’ensemble des éléments qui composent le système d’information. Ce registre est important lors des modifications des composants de la configuration informatique. En cas d’incident, il peut permettre aux équipes IT de trouver l’origine du problème.
- Effectuer une analyse des risques informatiques, au regard du préjudice possible et de la probabilité d’occurrence de l’incident
- Déterminer les moyens nécessaires pour la réduction des risques et la prise en charge des incidents, qu’il s’agisse de moyens matériels ou humains
- Définir les procédures adaptées, notamment en matière de gestion des incidents, ou de gestion de la continuité d’activité
- Rédiger une charte informatique, à l’attention des collaborateurs
- Communiquer sur la politique de sécurité informatique auprès de l’ensemble de l’entreprise
Téléchargez notre infographie
Découvrez ci-dessous une infographie reprenant l’ensemble de ces bonnes pratiques. N’hésitez pas à la télécharger et à la partager !
Les qualités pour mettre en place une politique de sécurité informatique
Ainsi, mettre en place une politique de sécurité informatique n’est pas une mince affaire, car cela implique de nombreuses tâches et de nombreux acteurs. Cela demande également une analyse fine du système d’information de l’entreprise, et des compétences à la fois techniques, en gestion de projet, en documentation et en communication.
La politique de sécurité informatique de l’entreprise peut donc être réalisée en interne par des techniciens ou par le responsable informatique. Elle peut aussi être réalisée à la demande par une entreprise externe, qui supervisera la conduite du projet, de la réalisation des différents audits, de la mise en place des procédures et de la rédaction de la documentation associée.
La politique de sécurité informatique mise en place par un prestataire externe : quels avantages ?
Il existe un avantage à faire appel à un prestataire externe, c’est celui de la neutralité. C’est sans aucun parti pris que ce dernier établi la hiérarchisation des différents éléments, la définition des différentes procédures et des droits d’accès, ou encore la répartition des tâches et des responsabilités au sein des équipes internes et externes.
Mais dans le cas de la réalisation d’une politique de sécurité informatique par un prestataire, sans aucun doute l’élément le plus important, c’est la contractualisation de la prestation. Il s’agira de définir avec soin le périmètre de cette procédure, ainsi que la charge de travail, les différentes responsabilités et les engagements de chaque acteur du projet.
