Politiques de sécurité

Une Direction Générale adopte des stratégies de développement qu’il est nécessaire de communiquer au sein d’une société, ces stratégies pouvant porter sur le développement commercial et se baser sur les enjeux métiers ou des secteurs d’activité. Il en est généralement de même concernant le système d’information utile et nécessaire pour accompagner le développement de la société.

Les enjeux liés à la sécurité de l’information grandissant, il devient primordial de se doter d’une stratégie en la matière couvrant l’ensemble de la société et de ses activités. La Politique de Sécurité des Systèmes d’Information (PSSI) est le document traduisant la stratégie de la Direction Générale en matière de sécurité de l’information et permettant une communication à l’ensemble des utilisateurs du système d’information.

Le premier objectif d’une politique de sécurité et de disposer d’un engagement de la direction sur la mise en place des mesures de sécurité nécessaires pour protéger l’organisme, en accord avec la stratégie de l’organisme, la réglementation, la législation et les contrats en vigueur.

Le second objectif et de définir les règles internes liés à la sécurité pour organiser, cadrer et harmoniser les pratiques sur les thématiques de sécurité tels que la gestion des accès, l’exploitation, le développement, la sécurité des fournisseurs, etc. Elle fixe aussi les objectifs à atteindre en termes de sécurité des systèmes d’information et avec l’engagement de la direction ces règles deviennent opposables pour l’atteinte de ces objectifs.

La construction d’une politique de sécurité doit se faire en tenant compte du contexte de la société, de ses enjeux, des risques de sécurité, de la maturité de l’organisation et de la taille du système d’information.
La politique peut se traduire par un ou plusieurs documents mais doit fixer un cadre général en identifiant au moins un modèle de fonctionnement et des orientations de sécurité pour les domaines liées à la sécurité physique et la sécurité logique.
Pour rédiger une politique de sécurité des systèmes d’information adaptée à une société, Digitemis conseil dans un premier temps de réaliser une analyse de risques ou à minima un audit organisationnel. Cette approche permet de comprendre le contexte de l’organisme et de balayer l’ensemble des mesures et pratiques de sécurité à réglementer.

Le déroulement classique est ensuite une prise d’information du contexte (documents de politique et procédures existantes), des entretiens pour définir le besoin, les attentes et les orientations fixées par la Direction Générale. Sur la base d’un référencement des mesures et pratiques de sécurité en place, une proposition d’une première version de la PSSI est soumise par Digitemis. Elle se suit par une phase d’échange avec les responsables du système d’information ou un référent sécurité pour ajuster le document avant validation par la Direction Générale. L’objectif étant que la PSSI soit réellement applicable et appropriée aux besoins.
Les domaines de la sécurité de l’information peuvent être énoncés à partir de différents référentiels tels que ceux de la PSSIE (Politique de Sécurité des Systèmes d’Information de l’Etat) ou de la norme ISO 27002:2013.

Accompagnement complémentaire