Politique de sécurité
Le Top management adopte des stratégies business haut niveau, mais aussi les grandes lignes de la stratégie du système d’information, et en particulier celle de sa sécurité. Cette stratégie sera l’étoile de nord du responsable de la sécurité du SI de l’entreprise pour établir des politiques plus en détail, qui s’approchent le plus de l’opérationnel, comme le ferai le responsable Marketing ou Commercial.
Vu les enjeux liés à la sécurité de l’information, il devient important que la stratégie de sécurité soit globale, couvrant toutes les activités de l’entreprise, sous tous leurs aspects. La politique de sécurité du SI est le document qui reprend en détail les grandes lignes tracées par le top management, et qui est communiqué à l’ensemble des utilisateurs du SI, internes et même quelques fois, externes (exemple : les prestataires de services).
Ce document est un contrat impliquant la direction de l’entreprise vis à vis de toutes les autres parties intéressées qui implique que la direction mettra tous les moyens qu’il faut, et en sa capacité, pour garantir la sécurité du SI du mieux qu’elle peut ou qu’elle en a connaissance. En contrepartie, ça implique des règles à respecter, des limites à observer et des pratiques à harmoniser par tous les intervenants vis à vis de la sécurité du SI, pour garantir que les efforts consentis donnent les résultats escomptés.
Bien sûr, la politique n’est pas la même pour toutes les entreprises, mais doit prendre en considération le contexte de l’entreprise en question, ses enjeux stratégiques, la taille de son SI ainsi que la maturité de toute l’organisation.
Pour bien mener le projet de rédaction de la politique de sécurité d’une entreprise, PRO IT Consulting recommande de passer d’abord par un diagnostic de l’entreprise dans son contexte à travers un audit organisationnel, qui épouse bien cette démarche.
Suite à cette action, l’étude des politiques et procédures déjà existantes permettra de faire le tour des pratiques existantes de la sécurité d’information. Une première version de la politique de sécurité peut alors être proposée par PRO IT Consulting et discutée avec les responsables du SI et de la sécurité du SI. Une fois ces échanges terminés, la politique peut être alors proposée à la direction pour validation finale. La norme ISO 27002 est la base des domaines de la sécurité de l’information préconisée pour développer une telle politique.
Politiques Opérationnelles
Pour garantir une bonne mise en œuvre du Système d’Information, il est nécessaire d’avoir des politiques opérationnelles, notamment pour les différentes équipes agissant sur le SI. En se basant que la politique de sécurité et ses directives, des politiques à un niveau opérationnel, appelées aussi manuels, permettent de donner des directives concrètes aux différents acteurs pour être en ligne avec la politique de sécurité globale de l’entreprise. Comme exemple de ces politiques : politique des mots de passe (complexité, durée de vie…), politique de backup, politique d’usage de périphériques de stockage amovibles…
PRO IT Consulting peut vous accompagner dans la rédaction de ces politiques tenant compte des différentes contraintes métier, constructeur ou de logiciel, afin d’uniformiser comment la sécurité de votre SI est abordée. C’est le seul moyen permettant indirectement de documenter des informations opérationnelles autrement connues que par quelques personnes dans l’entreprise. A la suite de la rédaction de ces documents par PRO IT Consulting, elles sont discutées avec les responsables métiers et de sécurité du SI avant validation finale.