Comment produire une politique de sécurité efficace

Une politique de sécurité de l'information est le fondement d'un programme de sécurité d'entreprise, établissant idéalement dans un langage clair ce que l'organisation attend de ses opérations de sécurité en fonction à la fois de sa tolérance au risque et de ses obligations réglementaires.

Malheureusement, les conseillers en sécurité affirment que de nombreuses organisations ne prêtent pas suffisamment attention à la rédaction et au maintien de politiques de sécurité des informations sensibles, remplissant plutôt des espaces vides sur des modèles génériques et les classant.

D'un autre côté, les organisations qui adaptent la politique de sécurité de l'information à leurs propres besoins et circonstances en fonction du risque d'entreprise, de la tolérance au risque, des exigences réglementaires et des meilleures pratiques souhaitées et qui choisissent de gérer activement leur politique avec des révisions et des mises à jour planifiées si nécessaire créent une solide base de leur programme de sécurité complet. En conséquence, ils sont mieux placés pour atteindre la posture de sécurité qu'ils recherchent.

Africa Cybersecurity Mag à identifier sept questions courantes sur les politiques de sécurité de l'information. Votre magazine vous propose des réponses à ces sept questions courantes.

1 - Qu'est-ce qu'une politique de sécurité de l'information ?

Une politique de sécurité de l'information est une vue d'ensemble de ce qui doit être fait au sein d'une entreprise en matière de sécurité de l'information.

C'est la référence que les dirigeants utilisent pour définir ce qui est suffisamment sûr pour leur entreprise. On peut la comparer à une charte. Elle permet de déclarer les problèmes que vous allez affronter et donne des conseils sur la façon dont vous les résolvez.

2 - Pourquoi avez-vous besoin d'une politique de sécurité de l'information ?

Les réglementations gouvernementales ainsi que certaines normes commerciales, telles que celles définies par la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), exigent spécifiquement des organisations qu'elles développent une politique de sécurité des informations ainsi que d'autres types de programmes liés à la sécurité.

Une politique, cependant, est plus qu'une exigence de conformité. C'est un outil qui alerte l'organisation sur les risques de sécurité auxquels elle est confrontée et la guide sur la façon dont elle doit les contrer et dans quelle mesure. Elle informe également les gens sur les actions acceptables, celles qui ne le sont pas et les mesures, règles et restrictions à mettre en place pour assurer la sécurité.

Si vous voulez gérer l’ensemble de l’entreprise du point de vue de la sécurité, la politique est le meilleur outil pour y parvenir.

3 - Quel est le but d'une politique de sécurité de l'information ?

La politique peut également supprimer, ou du moins réduire, les incohérences dans l’approche de la sécurité d’une organisation en documentant ce qui est attendu, ce qui est interdit et qui est responsable de quels éléments du programme de sécurité.

À ce titre, les RSSI et leurs équipes de sécurité ainsi que les responsables de la conformité, des risques et du droit peuvent pointer vers les informations contenues dans la politique lorsqu'ils expliquent les besoins liés à la sécurité aux unités commerciales qui pourraient essayer de repousser certaines procédures ou processus mis en place pour atteindre les objectifs de la politique.

En outre, la politique peut être utilisée pour guider les réponses d’une organisation aux clients ou partenaires qui pourraient demander la preuve des efforts de sécurité adéquats avant de tout partenariat.

4 - Comment créer une politique de sécurité de l'information ?

Le RSSI dirige généralement l'élaboration et la mise à jour d'une politique de sécurité, mais il doit également travailler avec des cadres des finances, de la sécurité physique, du juridique, des ressources humaines et d'au moins une unité commerciale pour former un comité ou un groupe de travail pour élaborer la politique. Cependant, l'adhésion doit provenir du reste de l'équipe de direction.

L’équipe doit commencer par une évaluation des risques pour déterminer les vulnérabilités et les domaines de préoccupation de l’organisation, du potentiel de violation de données aux risques d’une panne de système à grande échelle. Elle doit évaluer l'impact de ces incidents potentiels sur la confidentialité, l'intégrité et la disponibilité des données et des systèmes. L’équipe doit également comprendre la tolérance de l’organisation à l’égard des divers risques, en soulignant les préoccupations classées comme à faible risque et celles qui mettraient en péril la survie de l’organisation. Ensuite, l'équipe doit considérer les exigences réglementaires auxquelles elle doit répondre.

À partir de là, le RSSI doit définir le niveau de sécurité requis pour les vulnérabilités et les domaines de préoccupation identifiés, en faisant correspondre le niveau de protection requis avec la tolérance au risque de l’organisation afin que les domaines où la tolérance au risque la plus faible obtiennent les niveaux de sécurité les plus élevés.

Les experts en sécurité conseillent aux RSSI et à leurs équipes d’utiliser des cadres, tels que les normes ISO/IEC 27001 pour les systèmes de gestion de la sécurité de l’information, afin de s’assurer qu’ils traitent tous les éléments pertinents.

5 - Que doit inclure une politique de sécurité de l'information ?

Bien que les experts en sécurité recommandent à chaque organisation de développer sa propre politique, ils conviennent également que toutes les politiques devraient contenir un langage traitant de divers composants fondamentaux universels.

Dans ces conditions, ils disent que toutes les politiques doivent détailler l’objectif de sécurité de l’organisation, la portée de la politique, la classification des actifs, la gestion des actifs, les contrôles d’accès, la gestion des mots de passe, la classification des données, l’utilisation acceptable, la gestion des antivirus et des correctifs et même la sécurité physique.

Certaines organisations peuvent également souhaiter inclure des déclarations sur l'accès à distance, les appareils mobiles, la gestion des fournisseurs et la sécurité du cloud. Il est aussi conseiller aux RSSI de détailler les exigences réglementaires que l'organisation doit respecter, la structure de gestion de la sécurité de l'information et les responsabilités qui relèvent de quels postes.

Les experts en sécurité recommandent également aux RSSI d’élaborer une politique concise et clairement rédigée. Il faut absolument éviter de trop compliquer la politique des SI, c'est une charte qui doit être aussi simple que possible dans la mesure du possible.

6 - Quels documents doivent être inclus dans une politique de sécurité de l'information ?

Les détails sur la manière dont l’organisation satisfera aux objectifs de la politique de sécurité de l’information se trouvent dans diverses sous-politiques, normes, directives et processus. C’est là qu'il faut prendre des décisions concernant certains composants de la politique de sécurité.

Par exemple, la politique de sécurité de l'information peut établir que le chiffrement est requis pour toutes les données classées comme sensibles ou confidentielles, mais un document séparé fournit des détails sur les normes de chiffrement à respecter.

Une politique de sécurité de l'information est globale. On y mentionne la tolérance au risque de l'entreprise et des normes que l'entreprise suivra, des éléments de très haut niveau dont le PDG doit se soucier. Face à la politique relative aux mots de passe par exemple, le PDG n’a pas besoin de connaître les caractères minimaux d’un mot de passe dans l'entreprise. Cette exigence doit exister, mais pas dans la politique [principale]. 

D'autres sujets qui peuvent être détaillés dans les documents justificatifs incluent la stratégie de cybersécurité, la restauration des sauvegardes, la reprise après sinistre, la continuité des activités, la réponse aux incidents, la gestion des données/la prévention des pertes de données et les menaces internes.

7 - À quelle fréquence les politiques de sécurité de l'information doivent-elles être mises à jour ?

Certaines réglementations exigent des examens annuels de la politique de sécurité de l'information, mais les experts en sécurité affirment que le rythme rapide des progrès technologiques et le paysage des menaces en constante évolution nécessitent des révisions et des mises à jour plus fréquentes des normes, des directives, des processus et des procédures de soutien - en plus de la politique elle-même. En effet, la mise à jour des politiques de sécurité n'est pas périodique mais continue.

Les experts reconnaissent qu'il est déraisonnable de s'attendre à ce qu'une organisation effectue une évaluation des risques à grande échelle plus d'une fois par an - en fait, certains ont déjà du mal à le faire sur une base annuelle - mais les organisations doivent être prêtes à mettre à jour ces documents à mesure que de nouvelles lois en vigueur ou les exigences réglementaires sont modifiées ou lorsque de nouvelles menaces émergent.

Il est conseillé aux RSSI de mettre en place un processus, peut-être un processus d'examen par un comité de politique de sécurité de l'information, pour déterminer si des circonstances changeantes nécessitent des mises à jour de la politique de sécurité de l'information ou de l'une des directives, processus, procédures ou normes à l'appui.

La Rédaction d'Africa Cybersecurity Mag