Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

vendredi 30 septembre 2016

Les politiques de sécurité

Bien avant les TIC, l'information représentait déjà une valeur importante devant être protégée. Avec l'arrivée des TIC et la mise en ligne systématique des informations, les méthodes et pratiques d'accès à ces informations ont considérablement évolué
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

La valeur de l'information

L'utilisation des TIC par les entreprises et organisations a considérablement augmenté la valeur de leurs informations. En effet, au-delà de sa valeur intrinsèque, l'information se voit adjoindre une plus value importante liée à l'échange et au partage à travers les systèmes informatiques et réseaux. L'information acquiert ainsi une valeur supplémentaire parce qu'elle aide les collaborateurs à agir plus rapidement et efficacement pour atteindre les objectifs poursuivis.

Cette valeur peut prendre diverses formes:

  • une meilleure connaissance des clients d'un secteur d'activité donné,
  • des informations partagées avec des fournisseurs ou des partenaires,
  • les bases de données de l'entreprise,
  • les connaissances du personnel,
  • les chiffres d'affaires, les brevets, etc.

Bien qu'il soit difficile d'associer cette valeur à l'évaluation comptable traditionnelle, la perte, la manipulation ou le vol d'informations peuvent considérablement affaiblir une organisation et remettre en question ses perspectives d'avenir. C'est pourquoi il faut considérer l'information au même titre que les biens physiques qui sont plus faciles à évaluer. A une époque où la plupart des PME, PMI, organisations gouvernementales ou communales sont dépendantes de leurs systèmes d'information et de leur ouverture aux réseaux externes, notamment l'Internet, et aux réseaux de partenaires ou d'organismes de tutelle, la valeur de leur information devient véritablement critique.

Face à ce constat, les techniques et procédés permettant de garantir la disponibilité, l'intégrité et la confidentialité de l'information élecronique ont heureusement considérablement progressé.

Qu'est ce qu'une politique de sécurité de l'information?

Chaque entreprise ou organisme doit se doter d'un ensemble de règles de bon usage et de principes de contrôles visant à protéger ses biens matériels et immatériels (information). Dans le contexte des TIC, la description de ce code de bonnes pratiques et des principes de contrôle s'appelle "politique de sécurité de l'information" (Security Policy). Il s'agit également d'une question de crédibilité face à ses clients, fournisseurs, partenaires et actionnaires ou autorités de tutelle. En incitant les employés à respecter des procédures de sécurité, l'organisation dicte une ligne de conduite en matière de sécurité de l'information et des systèmes informatiques mis en place.

Afin de mettre en place une politique de sécurité efficace, il convient de respecter des lignes de conduite fondamentales:

  • obtenir un soutien clair de la direction générale grâce à un document signé par le patron qui indiquera aux employés les intentions de l'organisation en termes de sécurité de l'information et les moyens qui seront mis en oeuvre pou y arriver,
  • solliciter la participation des différents niveaux hiérarchiques. Les procédures mise en place seront mieux acceptées par les employés si leurs responsables les approuvent et les appliquent,
  • communiquer la pertinence des procédures de sécurité et leurs avantages dans un langage simple "orienté métier",
  • mettre en place les nouvelles procédures de façon progressive et non brutale. Il ne faut pas perdre de vue que les employés ont d'autres missions à accomplir et qu'il s'agit avant tout de développer un esprit de "culture informatique" au travers de la conviction et non de la contrainte,
  • prendre en compte les besoins réels de l'organisation afin de mettre en place des procédures réalistes en fonction du niveau de risque. Il est inutile de protéger démesurément son domicile ou sa voiture comme s'il fallait resister à une tentative d'effraction de James Bond en personne.

Exprimer une politique de sécurité de l'information, c'est faire partager à l'ensemble de l'entreprise ou de l'organisme les principes d'organisation et de comportement à aborder dans le contexte des TIC. L'importance de la définition d'une politique de sécurité de l'information est similaire à la définition d'une politique de qualité. La définition et la diffusion d'une politique de sécurité informatique doit incontestablement être associée à un programme de sensibilisation à la sécurité. Il est aussi important qu'un tel programme soit destiné à l'ensemble du personnel de l'organisation et non seulement aux individus affectés aux TIC. Finalement, il est essentiel de s'assurer que la politique est respectée. Ceci par la mise en place d'un suivi régulier et des contrôles.

La fonction la plus apte à la mise en place, au suivi et au contrôle d'une politique de sécurité informatique est celle de "Responsable Sécurité des Systèmes d'Information" (RSSI). En effet, le RSSI a la responsabilité opérationnelle d'appliquer les règles à l'ensemble du domaine informatique. En effet, il dispose du savoir-faire d'architecte technique de la sécurité et d'une parfaite connaissance des processus accociés aux systèmes d'information. Quand le poste de RSSI n'existait pas, la fonction de sécurité de l'information etait assurée par une direction des systèmes d'information sur un plan uniquement technique et souvent au coup par coup, par exemple par la mise en oeuvre de solution antivirus ou d'un pare-feu pour site Internet.

La charte informatique

Une première approche généralement adoptée avant la véritable mise en oeuvre d'une politique de sécurité de l'information est l'introduction du concept de Charte Informatique. Une telle charte peut faire l'objet de différentes appellations:

  • charte d'utilisation des technologies de l'information,
  • charte "sécurité informatique",
  • charte d'utilisation des moyens informatiques,
  • charte Internet,
  • etc.

Cette charte a pour objectif de définir, pour tous les membres du personnel, les modalités:

  • d'utilisation des systèmes d'information et de communication,
  • de l'accès à l'Intranet/Internet,
  • de l'utilisation de la messagerie électronique.

Ce document, doit être considéré comme un document technique permettant les bons usages des systèmes informatiques mis à la disposition du personnel. Néanmoins, il ne faut pas perdre de vue que ce document constitue souvent une modification du réglement interne de l'organisation car il traite de sujets liés aux droits et devoirs du personnel.

Lors de la définition d'une telle charte, il est important de prendre en compte un certain nombre de critères tels que:

  • les évolutions juridiques,
  • les nouveaux types de risques,
  • les nouvelles technologies disponibles (usage de certificats, messagerie instantanée, cryptage personnel, support amovible de haute capacité comme la clé USB, etc.).
Portail de la Région wallonne