C'est l'été, pensez à votre politique de sécurité

Avec le mois de juin, c'est l'été qui arrive, et peut-être même des vacances, pour les plus chanceux ! Pour celles et ceux qui restent au bureau et pensent profiter de moments de calme en cette période souvent moins stressante, c'est le moment de faire un peu de ménage et de dépoussiérer les dossiers qui n'ont jamais le temps d'être faits. Un exemple: votre politique de sécurité.

📑 Qu'est-ce qu'une politique de sécurité ?

Certains appellent cela simplement une charte informatique, ou encore une directive SI. Une politique de sécurité est un document (ou une collection de documents) qui définit les règles, procédures et mesures techniques nécessaires à la protection des éléments constitutifs de votre système d'information (SI) d'entreprise. Elle établit le cadre visant à garantir la confidentialité, l'intégrité et la disponibilité de vos données, mais également à formaliser les droits et devoirs des collaborateur-trice-s.

➡️ En quoi c'est important ?

C'est cette politique qui permet d'aligner votre informatique, l'usage que vos collaborateur-trice-s en font et la stratégie de l'entreprise (votre vision et vos objectifs à long terme). En l'absence d'une politique de sécurité, il existe un flou artistique autour de ce qui est, ou n'est pas, autorisé dans l'entreprise. C'est particulièrement important pour permettre la prise de décisions. Parlons d'un sujet que tout le monde aborde en permanence en ce moment : l'IA.

• ⚠️ Une entreprise qui n'a pas de politique de sécurité s'expose à un usage inadéquat de l'IA, le transfert de données sensibles sur les cloud américains, et donc, à terme, la non-conformité avec les lois sur la protection des données (exemple: RGPD, nLPD)
• ✅ Une entreprise qui a une politique de sécurité peut se baser sur celle-ci pour justifier ses choix, favoriser l'avancement ou la retenue quant à la consommation de données, définir les limites quant aux droits et devoirs du personnel en matière d'informatique d'entreprise, et ainsi conserver une meilleure maîtrise de ses procédures et certifications (si elle en a)

En bref: pas de politique de sécurité = open bar pour tous et toutes, et aucun moyen de sanctionner en cas d'abus.

🔍 Qu'est-ce qu'il y a dedans ?

Le contenu d'une politique de sécurité varie d'entreprise en entreprise, et surtout sa sévérité varie en fonction du secteur d'activité. Un cabinet médical ou une industrie auront des règles plus strictes à faire appliquer qu'un artisan menuisier. En règle générale, on adapte donc la politique de sécurité au métier, mais aussi à la sensibilité de la direction qui devra le faire appliquer.

Pour ne pas vous laisser sur votre fin, voici quelques sujets qui sont généralement au menu d'une politique de sécurité :

• Règles concernant les accès et comptes aux systèmes informatiques, les mots de passe
• Règles concernant les sauvegardes, leur fréquence, leur contenu, leur durée de rétention et l'archivage des données
• Règles de classification des informations (définit ce qui est confidentiel de ce qui peut être utilisé publiquement, par exemple)

La politique de sécurité sert de base pour beaucoup d'étapes supplémentaires dans votre entreprise, comme par exemple la sensibilisation des collaborateur-trice-s et le respect de normes réglementaires applicables à votre secteur d'activité.

🏝️ Profitez de l'été !

Vous avez envie de profiter de l'été et absolument pas de vous acharner sur une politique de sécurité, quand bien même vous en comprenez l'intérêt ? Rassurez-vous, il existe une solution très simple : chez iptagone, nous avons une expérience solide dans leur rédaction et leur adaptation pour les besoins de nos clients. N'hésitez pas à nous contacter pour en parler et ainsi renforcer la position cyber de votre entreprise !

Transparence : L'auteur n'a pas fait usage de l'IA (sous quelque forme que ce soit) pour la rédaction de cet article 100% réalisé en interne.