Déterminer des exigences de sécurité (objectifs de 1er niveau) et des objectifs de 2e niveaux, c’est bien. Ces objectifs sont réunis dans ce qu’on appelle une Politique de Sécurité de l’Information.
La Politique de sécurité est une solution de sécurité qui s’inscrit dans le domaine ‘Légal et réglementaire’
Le format et la taille de la politique importent peu. Elle sert à signaler ce qu’on veut faire à ceux qui manipulent, stockent ou communiquent les informations qui, pour nous ont de la valeur. Cela peut-être nos enfants, notre conjoint, notre famille, nos voisins, notre employeur, nos collègues ou nos employés.
Le contenu de la Politique de Sécurité
Les exigences sont les plus génériques et serviront à préparer une stratégie :
« On veut atteindre tels objectifs pour telle date et on est prêt à investir les moyens pour y parvenir.»
Cela peut être destiné à tout le monde pour ‘’donner le ton’’, pour les informer de nos intentions et de notre volonté.
Les objectifs de 2e niveau sont plus nombreux, plus détaillés, plus spécifiques, plus ‘sensibles’. On en fera ‘la politique’ qui sera destinée, réellement, à ceux qui devront ‘y travailler’.
On y trouve ce qu’on (ne) peut (pas) dire ou faire avec les informations relatives aux personnes, à la famille, aux finances, aux activités professionnelles, à l’entreprise. (Et oui, ce blog attire tous ces profils). La politique règle les questions de confidentialité, de disponibilité et d’intégrité de l’information.
La politique peut être orale, mais si vous voulez qu’on s’en souvienne et vous assurer que tout le monde a bien ‘entendu et compris’, quelques mots et quelques images feront plus l’affaire.
Cinq à dix règles peuvent largement suffire.
Au plus simple, on trouvera quelques lignes bien senties affichées sur la porte du frigo ou à tout endroit ‘de passage’ où on ne peut pas ne pas le voir.
Au plus, on aura un document de quelques pages. La politique devra alors être structurée.
La structure de la Politique de Sécurité
La Politique abordera tous les domaines de sécurité avec, au moins les quatre principaux :
- informationnel :
- humain : quel comportement général adopter pour les informations sensibles et potentiellement dangereuses
- technologique: comment on utilise l’ordinateur, les téléphones et l’internet
- physique : comment on s’assure que les portes, fenêtres et armoires (y compris le coffre-fort) sont fermés quand on n’est pas là pour surveiller
Ne pas crier sur tous les toits ou sur Facebook qu’on part en vacances pour trois semaines ; ne pas donner son adresse et son numéro de portable sur les réseaux sociaux ; garder ‘en famille’ les problèmes de santé et financiers, etc.
On pourra même y trouver la liste des ‘directives particulières’ (domaine ‘légal et réglementaire).
La structure générale de la politique répondra également aux questions suivantes :
- QUI est concerné : qui doit faire ce que dit la politique et qui ne peut pas recevoir les informations
- QUOI quelles informations font l’objet de la politique (il faut laisser suffisamment de liberté d’expression)
- OU la politique est d’application (à la maison, à l’école, au bureau, partout, …)
- QUAND la politique est d’application
- COMMENT ce qu’il faut faire (c’est en fait la liste des ‘règles’) Chaque règle de la politique répond aux critères SMART. Comme cela on est sur que tout est dit.
- POURQUOI la raison qui nous pousse à imposer les règles (éviter l’usurpation d’identité, prévenir le harcèlement ou l’intimidation, etc.) et le but général qu’on poursuit (assurer un niveau minimum de sécurité et préserver notre réputation et nos relations sociales).
Voilà, ce n’est pas plus compliqué.
Avez-vous déjà pensé à imposer des règles pour protéger les ‘informations de valeur’ ? Quelles difficultés voyez-vous à mettre cette recommandation en pratique ? Dites-le moi, votre propre expérience pourra aider les autres.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+