L'approche RSSI: Politique de sécurité

Engagement de la direction

“L’organisation” atteste, par le biais de son directeur, que la sécurité des systèmes et réseaux d’informations est vitale à son fonctionnement, voire à sa survie. En effet, la disponibilité de certaines données ou de certains outils, la non-divulgation de certaines informations à des tiers ou l’impossibilité de modifier certaines données sont essentielles pour “l’organisation”.

Par conséquent, la direction met en oeuvre le document définissant la politique de sécurité à respecter au sein de “ l’organisation”. La direction s’engage ainsi à soutenir toutes les actions qui s’inscrivent dans ce cadre et à mettre à disposition les moyens nécessaires à leur réalisation, dans la mesure des possibilités financières.

Tous les employés doivent également soutenir cette démarche en:

• connaissant le contenu des politiques qui sont applicables à leurs activités,
• appliquant les politiques dans leurs activités, se tenant informés des évolutions qui pourraient lui être soumises,
• informant leurs collègues et contacts externes des règles qui leur sont applicables,
• vérifiant dans leurs activités quotidiennes l’adéquation des procédures de sécurité et en proposant les améliorations adaptées.

Afin que les politiques et procédures de sécurité applicables soient connues de tous, elles sont affichées dans les parties communes des locaux et sont diffusées par la direction.

Des lieux géographiques précis peuvent être indiqués tels que “secrétariat” ou “hall d’accueil”, de même, des indications plus précises sur les personnes peuvent être mentionnées.

Si la politique de sécurité comprend des informations confidentielles, il convient d’envisager la création d’une version allégée qui serait publique, alors que la version complète resterait dans les mains de la direction et des intervenants spécifiques (informatiques et propriétaires des données).

Revue et évaluation

Ce document (politiques et procédures) est révisé chaque année par la direction conjointement avec les personnes directement impliquées dans la gestion de la sécurité.

La responsabilité de cette révision incombe à la direction. Cette révision vise à vérifier que le contenu du document est toujours en adéquation avec les exigences de “l’organisation” en matière de sécurité des informations.

Il convient notamment de:

• vérifier que les procédures décrites sont effectivement appliquées;

• faire le point sur les événements de sécurité qui ont eu lieu auparavant (analyse des audits, traces des événements, incidents et mesures correctives associées);

• vérifier que les changements qui ont eu lieu au sein de “l’organisation”, qu’ils soient techniques ou organisationnels, ne nécessitent pas d’adaptation des politiques (cela constitue une action préventive);

• organiser la mise en place des modifications qui apparaissent comme nécessaires;

• communiquer les résultats de la révision au personnel.

• Les personnes chargées de la révision peuvent être mentionnées de façon plus précise. L’idéal serait d’indiquer également en quelle occasion cette révision annuelle a lieu et comment les personnes responsables en sont informées. Il est conseillé de choisir ici une date durant une période traditionnellement creuse, pour éviter à tout prix que cette révision ne soit annulée pour des raisons opérationnelles.