Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Solutions IT, Audit et Assistance Douanière

Comment formuler une politique de sécurité informatique pour votre entreprise

8 Septembre 2015 , Rédigé par Antoine TAKOUDJOU Publié dans #Informatique

Comment formuler une politique de sécurité informatique pour votre entreprise

La politique de sécurité d’une entreprise est la fondation sur laquelle repose une bonne sécurité informatique.Une politique de sécurité est une déclaration d’intention concernant les méthodes envisagées pour protéger vos actifs numériques et surveiller l’organisation. Elle représente un
référentiel d’informations central pour la gestion, le personnel et les tiers, et regroupe tout, des processus et procédures à une description des mesures techniques en place et des méthodes de reprise sur sinistre, en passant par les fonctions et responsabilités des employés.

Votre politique de sécurité doit s'appuyer sur une connaissance des menaces les plus sérieuses auxquelles vous êtes confronté.

Considérez la politique de sécurité comme un plan d’action qui décrit dans les grandes lignes
les informations critiques de la société et les méthodes de protection de celles-ci.

Éléments à intégrer

Si les politiques de sécurité varient d’une entreprise à l’autre,elles doivent néanmoins toujours comprendre les éléments suivants :

✓ Une explication claire des principes de la politique, notamment les objectifs finaux et l’importance stratégique de la sécurité de l’information pour l’entreprise.
✓ Une déclaration de soutien de la direction supérieure,démontrant son engagement envers la sécurité de l’information.
✓ De la formation pour permettre aux employés de comprendre la sécurité de l’information et les risques.
✓ Une explication sur les normes de sécurité minimales mettant l’accent sur les procédures à suivre dans les domaines particulièrement importants pour l’entreprise.Chaque politique de sécurité devrait notamment aborder les précautions élémentaires en matière de virus informatiques, les directives sur le comportement à adopter sur Internet, et les instructions pour créer des mots de passe.
✓ Des définitions des fonctions et responsabilités au sein de l’entreprise en matière de sécurité de l’information.
✓ Les procédures à adopter concernant les incidents de sécurité : déclaration, traitement et résolution.
✓ Les plans de continuité des affaires qui expliquent comment l’entreprise peut continuer à fonctionner en cas de panne due à une catastrophe comme un incendie ou une inondation.
✓ Des références aux documents de support, comme les politiques du personnel, les procédures, les directives ou les spécifications et normes sur la sécurité. Par exemple,
si vous désirez expliquer en détail la politique Internet,vous pouvez inclure :
• L’utilisation d’Internet par l’entreprise et les menaces associées
• Les services Internet qui peuvent être utilisés et ceux qui sont interdits
• La personne qui autorise les connexions Internet
• La personne responsable de la sécurité informatique
• Les normes, directives et pratiques à suivre.

La protection des mots de passe est souvent l’un des maillons faibles de la chaîne de sécurité d’une entreprise car les utilisateurs notent leurs mots de passe sur un post-it collé à côté de leur machine ou conservent le mot de passe par défaut. Votre politique de sécurité doit les mettre en
garde contre ce type de comportement risqué et établir des protocoles sécurisés pour la protection des mots de passe.

Par ailleurs, il peut être souhaitable d’établir une politique d’utilisation acceptable au sein de la politique de sécurité. Elle précisera ce que l’entreprise considère comme acceptable et
inacceptable.

Définir l’utilisation acceptable

La protection de vos actifs informatiques commence par les employés à qui vous devez communiquer des directives claires sur l’utilisation acceptable, la confidentialité et les
normes de sécurité. Une politique d’utilisation acceptable stipule ce qui est autorisé et ce qui est interdit pendant les heures de travail et en utilisant les ordinateurs de l’entreprise,et explique les répercussions du non-respect de cette politique.

Sans directive claire, les employés peuvent exposer l’entreprise à des programmes malveillants, partager des informations confidentielles sur Internet ou faire sortir de l’entreprise des informations sensibles sur des ordinateurs portables ou des clés USB.

Les politiques d’utilisation acceptable peuvent sembler draconiennes, mais, tant qu’elles établissent un équilibre entre pragmatisme et contrôle et que l’entreprise communique clairement les risques qu’elle tente d’éviter, les employés comprendront son importance. Vous pouvez même intégrer les employés dans le processus de conception de ces politiques, obtenant ainsi leur adhésion dès le premier jour, et les encourager à communiquer leur opinion sur le fonctionnement ou non de certaines restrictions.

Naviguer sur Internet sans mettre en danger l’entreprise

Vos employés ont besoin d’Internet dans leur travail. Il arrive cependant qu’Internet fasse diminuer la productivité et expose votre entreprise à des menaces. Dans une politique Internet, vous pouvez inclure ce qui suit :
✓ Les délais acceptables et inacceptables d’une utilisation privée d’Internet. Vous pouvez notamment interdire aux employés d’aller sur Facebook pendant les heures de travail.
✓ Les types de contenu interdit (pornographie, obscénité,haine raciale, etc.).
✓ Les méthodes de gestion des informations confidentielles : ne pas les partager en dehors du réseau privé de l’entreprise par exemple.
✓ Les méthodes de traitement des biens de l’entreprise, comme les ordinateurs portables.
✓ Les directives sur le téléchargement et l’installation de logiciels.
✓ Les directives sur la sécurité, comme les réglages de sécurité des navigateurs.
✓ Une interdiction sur le partage et le téléchargement de documents protégés par des droits d’auteur.
✓ Les informations détaillées sur toute activité de surveillance mise en place par l’entreprise.
✓ Les conséquences d’un non-respect de cette politique.

Comment faire appliquer cette politique ? Un programme de filtrage des sites Internet peut permettre d’éviter ou de détecter certains problèmes.

Politique sur les e-mails

L’e-mail est devenu la principale méthode de communication commerciale. Vous devez donc faire connaître à vos employés les procédures de sécurité et vous assurer qu’ils les respectent. Parmi les problèmes à aborder :
✓ Utilisation d’une mise en garde dans les e-mails (« ce message est privé et ne représente pas l’opinion de l’employeur... »).
✓ Directives sur l’ouverture et la visualisation des pièces jointes aux e-mails.
✓ Méthodes de gestion des informations confidentielles envoyées par e-mail et les circonstances dans lesquelles les e-mails doivent être cryptés en accord avec les directives de l’entreprise.

Gérer la politique de sécurité

Après avoir établi la politique de sécurité de votre entreprise en fonction d’une évaluation des menaces auxquelles vous êtes confronté, vous devez définir la procédure de gestion de
la sécurité. Elle incombe à différentes personnes et nécessite différentes politiques, procédures et technologies, chacun de ces éléments jouant un rôle essentiel pour assurer la sécurité
globale.
Plus les machines clientes qui équipent votre entreprise sont nombreuses, plus la configuration de votre réseau est complexe, et plus la sécurité informatique devient difficile à assurer. Cela étant dit, la plupart des petites entreprises n’ont pas besoin d’embaucher du personnel supplémentaire pour gérer les systèmes de sécurité informatique. En général,elles attribuent ces responsabilités aux directeurs existants et éventuellement à un conseiller externe, fournisseur de services informatiques.

Un conseiller sur la sécurité informatique va créer un registre des actifs qui mentionne tous les actifs informatiques que possède l’entreprise (ordinateurs, routeurs, disques durs externes) et enregistre les normes et les procédures utilisées par l’entreprise pour leur assurer la plus grande sécurité possible. Ce registre des actifs prend toute son importance quand vous modifiez les composants de votre configuration informatique. En cas d’incident, il peut vous aider à trouver l’origine du problème.

Une planification préalable est essentielle pour établir un système de sécurité de l’information, en imaginant les pires scénarios et les solutions de reprise. En outre, il est beaucoup plus facile de planifier un incident avant qu’il ne survienne plutôt que d’attendre d’être au cœur de la tempête pour tenter d’avoir accès aux bonnes ressources pour restaurer les systèmes, afin que le personnel puisse reprendre le travail.

Rôle des contrôles techniques

Le rôle de la technologie commence avec les actifs informatiques que vous avez identifiés, puis passe aux systèmes de protection dont vous disposez.

Pour s’attaquer à la conception de systèmes de protection et de reprise efficaces, posez-vous les questions suivantes :
✓ Qui est chargé d’assurer la mise à jour des systèmes et l’application des correctifs pour éviter toute attaque ? Qui s’occupe des licences des logiciels que vous utilisez ?
✓ Comment gérez-vous la sauvegarde des données ? Vérifiez que les tâches sont séparées. Ainsi, toute la charge n’incombera pas à une seule personne et vous serez toujours protégé si cette personne est malade ou en congé.

✓ Comment contrôlez-vous l’accès à l’équipement et aux données de la TI ? Comment vous assurez-vous que le personnel respecte vos politiques, notamment la navigation sur Internet ? Comptez-vous sur leur honnêteté pour qu’ils respectent les règles ? Ou instaurez-vous des technologies de filtrage appropriées ?
✓ Disposez-vous d’une procédure pour vous assurer que les modifications apportées au matériel et aux logiciels ne dégradent pas les politiques de sécurité déjà en place ?
✓ Avez-vous établi un plan de reprise après sinistre ? Quelles mesures avez-vous instaurées pour reprendre les activités après un incident grave comme un incendie ou une coupure du réseau ?
✓ Quelle est votre politique sur l’utilisation par les employés de leur propre équipement informatique et le transfert des données à l’extérieur et à l’intérieur de l’entreprise ?

Certaines questions de cette liste peuvent être résolues à l’aide de solutions automatisées qui allègent les tâches administratives pour le personnel. Par exemple, vous pouvez utiliser la gestion des identités pour protéger le contrôle d’accès, en remettant des jetons de sécurité au personnel qui se connecte au réseau de l’entreprise. Vous aurez probablement installé des filtres antispam pour vos e-mails.Les mises à jour des programmes anti-logiciels espions seront
certainement automatisées dans une certaine mesure.

Vous pouvez bloquer des domaines particulièrement sensibles de l’architecture informatique à l’aide de pare-feux.Vos plans de continuité des affaires peuvent inclure une sauvegarde automatique vers un magasin de données en ligne sécurisé. Et vous pouvez employer le cryptage automatique des données dès qu’elles quittent l’entreprise. Vous pouvez également mettre en oeuvre une solution de filtrage des URL (adresse d’une ressource du Web) et des sites Internet pour permettre au personnel d’avoir accès uniquement aux sites Internet adaptés au travail qu’ils doivent effectuer,en réduisant non seulement les failles de sécurité, mais en
augmentant également la productivité du personnel.

Partager cet article

Repost 0

Commenter cet article

idc 10/07/2017 19:29

merci pour toutes ces infos sur la sécurité informatique

société sécurité informatique 02/08/2016 14:45

Merci pour cet article. La sécurisation des données informatiques d'une entreprise est toujours très importante pour le bien déroulement de toutes activités au sein de l'entreprise même mais surtout pour éviter toutes attaques malveillantes, c'est pourquoi certaines grandes entreprises font appel à des spécialistes en sécurité informatique pour mettre en place une stratégie de protection informatiques.

dothazard 18/01/2016 15:30

Merci pour l'info !