Au travail, Les bonnes pratiques en sécurité de l’information font – ou devraient faire – partie des habitudes. Vous devez donc les comprendre pour y adhérer. C’est la raison de cette série d’articles qui présente les points-clés de la norme ISO 27002, le Code de bonnes pratiques pour le management de la sécurité de l’information.
La Politique de Sécurité
Il est essentiel, pour contrôler l’information qui est intangible, immatérielle et virtuelle, de passer de la tradition orale à la tradition écrite. C’est justement le rôle de la Politique de Sécurité de l’Information.
C’est le moyen, pour la direction de l’entreprise, de formaliser les objectifs de sécurité qu’elle désire voir atteints en permanence. Ces objectifs peuvent se trouver dans plusieurs domaines ou activités, que la norme 27002 présente sous forme de chapitres et d’objectifs de contrôle.
La politique de sécurité de l’information tend à pousser l’entreprise
- à réaliser ses objectifs stratégiques,
- à s’aligner sur les attentes du ou des métiers de l’entreprise
- à satisfaire aux attentes des différentes parties prenantes, entre autres l’appétit des actionnaires
- à se conformer aux exigences légales et
- à répondre aux exigences contractuelles.
On oublie trop souvent que si l’un de ces cinq objectifs n’est pas satisfait, l’entreprise souffrira et que notre sécurité d’emploi ou financière pourra en pâtir. C’est la raison pour laquelle chacun d’entre nous devrait garder à l’esprit qu’il est un ‘gardien de la sécurité’ – pas un policier, un espion ou un délateur – parce nous voulons protéger notre emploi et le confort qu’il nous procure.
Ce n’est pas une raison suffisante ?
La politique de sécurité devrait donc être signée par la direction en signe d’approbation et d’engagement de s’y conformer également. Elle devrait aussi être communiquée à tous sous une forme facile et agréable à lire, de sorte que chacun la connaisse et accepte de l’appliquer. Certaines sessions de sensibilisation (nous y reviendrons) servent justement à faire connaître et expliquer les objectifs de la politique de sécurité.
Révision de la Politique
Mais pourquoi, faut-il revoir et mettre à jour la politique de sécurité ?
Pour certains c’est évident. Expliquons cela.
En quelques mots : tout change en permanence. C’est même la seule constante de la vie.
- Les objectifs stratégiques de l’entreprise varient avec les idées des directeurs et des actionnaires, avec le marché (donc les fournisseurs et les clients), avec l’évolution de la technologie et des opportunités qu’elle apporte.
- Les métiers de l’entreprise, la façon de les réaliser, les outils, les techniques, les informations et données prises en compte évoluent.
- Les attentes des parties prenantes – actionnaires, managers, syndicats, personnel, clients, fournisseurs… – et concurrents fluctuent.
- Les lois changent également pour suivre les mutations de la société et des cultures et pour permettre les relations commerciales internationales.
- Les contrats, comme fournisseur ou client, s’adaptent aux attentes, au métier, aux normes et aux lois.
Il en ressort que les objectifs opérationnels (journaliers ou à très court terme), tactiques (à court et moyen terme) et stratégiques (à long terme) varient. Il en est de même avec les objectifs de sécurité de l’information et la Politique de Sécurité doit s’adapter de façon régulière.
Parce que la sécurité est là pour permettre à l’entreprise d’atteindre ses objectifs quelles que soient les situation et circonstances, il faut vérifier si les objectifs et les règles de sécurité ne doivent pas changer en fonction des évènements et des incidents. On aura donc des révision occasionnelles’.
Marquage
Cette Politique de sécurité de l’information porte un titre clair ainsi que le nom ou le logo de l’entreprise.
Elle indique le nom de l’éditeur responsable, la date de publication, le numéro de version (c’est important). Y trouver un historique des mises à jour est souvent fort utile.
Elle ne porte pas de marquage de confidentialité. En effet, tout le monde dans l’entreprise doit la connaître et y adhérer. Cela vaut également pour les personnes qui, même temporairement, occasionnellement ou pour des tâches particulières (par exemple le personnel d’entretien), travaillent dans les locaux, avec des informations ou du matériel de l’entreprise.
D’ailleurs, un objectif, quel qu’il soit n’est pas secret. Ce qui l’est, c’est parfois la raison pour laquelle on veut l’atteindre. La Politique de sécurité, c’est une des lois de l’entreprise.
Comment ces bonnes pratiques sont-elles mises en œuvre dans votre entreprise ? N’hésitez pas à challenger le conseiller ou le responsable de la sécurité de l’information ou à m’écrire si vous avez des questions.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+