Comment établir une politique de sécurité informatique adaptée à ma PME ?
La Politique de Sécurité du Système Informatique ou PSSI est un document établi pour les entreprises afin de mettre en place des objectifs pour sécuriser ses données. Rédigée de manière à être accessible à tous les employés de l’entreprise, elle doit être révisée régulièrement pour protéger pleinement les données sensibles. Mais comment établir une politique de sécurité informatique adaptée à sa PME ? Nous vous donnons tous les bons conseils pour protéger votre entreprise des dangers informatiques.
C'est quoi une politique de sécurité informatique ?
Caractéristiques
Une Politique de Sécurité du Système informatique est un plan d’action mis en place pour pérenniser la protection d’un système ou d’un parc informatique. Il est présenté sous la forme d’un document et offre la vision stratégique de l’entreprise concernant sa protection de données. La politique de sécurité informatique doit être différenciée de la charte informatique qui elle est un document de recommandations destiné aux employés à des fins de bonne utilisation du matériel informatique.
Mission
Le rôle principal de la politique de sécurité informatique est donc de protéger les informations en entreprise. Elle utilise des procédures techniques ou organisationnelles, tout en mettant en pratique des mesures concrètes pour pallier tout problème de sécurité informatique dans l’entreprise. Elle analyse scrupuleusement les systèmes informatiques de l’entreprise pour évaluer ses failles, ses faiblesses mais aussi sa maturité. Ainsi, la PSSI fait en sorte de limiter l’impact négatif sur l’entreprise en cas d’incident ou de cyberattaque.
Avantages
Alors, pourquoi mettre en place une PSSI dans son entreprise ? Parce que les données au sein de l’entreprise sont sensibles et confidentielles, il est essentiel de les protéger de toutes les manières possibles. La politique de sécurité informatique permet de mettre en place des actions pour contrer les menaces (virus, fuite et vol de données, incidents de manipulation, bots, malwares, etc.) mais aussi pour y faire face en cas d’incident avéré. En somme, la PSSI prévient et guérit les maux informatiques de votre PME.
Fonctionnement
Le document établi fait office de compte-rendu personnalisé et prend en considération plusieurs facteurs :
- la composition du système d’information de l’entreprise ;
- sa composition de l'entreprise ;
- son niveau de risques en fonction de son activité et de son implantation.
Il s’agit d’un document unique, propre et entièrement sur-mesure qui présente les enjeux et risques de l’entreprise face à la sécurité des systèmes informatiques.
Intervenant
La mise en place de la politique de sécurité informatique en entreprise peut être réalisée par un responsable informatique en interne et par des techniciens, ou par un un prestataire externe qui se chargera de l’ensemble du projet (audit, rédaction des documents, mise en place des procédures). Cet intervenant doit posséder des qualités expertes et une capacité d’analyse étroite pour personnaliser la politique de sécurité idéale pour l’entreprise.
.
Quelles sont les politiques de sécurité informatique ?
Les différentes parties de la PSSI
En fonction du système informatique présent dans l’entreprise et du secteur d'activité dont elle dépend, la PSSI peut s’articuler en plusieurs parties.
- Les enjeuxIl peut s’agir d’enjeux internes ou externes, mais la PSSI doit clairement définir les objectifs de chaque mesure prise pour assurer ces enjeux.
- Les règlesLa PSSI doit clairement spécifier toutes les règles que l’entreprise doit respecter pour protéger ses données informatiques. Elle stipule également les sanctions encourues en cas de violation des règles.
- Le cadre réglementaireLa politique de sécurité informatique en entreprise utilise un ou plusieurs règlements officiels pour établir ce document. On retrouve, entre autres, le Règlement Européen sur la Protection des Données, ainsi que les ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD).
- La définition des rôles Le document définit les rôles et les fonctions de chaque intervenant dans la sécurité du système informatique de l’entreprise : Direction, Directeur des Systèmes d’Information (DSi), Délégué à la Protection des données (DPO - Data Protection Officer), Responsable de la Sécurité des Systèmes d'Information (RSSI).
- Le cadre de mise en oeuvreUne partie est dédiée au domaine d’application de la PSSI. Le cadre d’intervention peut être limité à l’entreprise ou s’étendre à l’extérieur.
- Les documents associésDes documents annexes concernant la politique de télétravail, de sous-traitance, de sauvegarde et d’archivage de données, des mots de passe, de la cryptographie, des contrôles d’accès, etc.
- Le choix d’un responsableLa politique de sécurité informatique doit être rédigée par un responsable désigné qui doit préciser à qui s’adresse la PSSI (utilisateurs, collaborateurs et même prestataires et freelances).
Les niveaux de sécurité informatique
En plus d’établir un document axé sur l’activité, l’implantation et la stratégie de l’entreprise, la politique de sécurité informatique cible différentes branches de la sécurité. On retrouve la sécurité :
- de l’information ;
- des données ;
- des réseaux ;
- des télécommunications ;
- des systèmes d’exploitation ;
- des applications et de la programmation.
Elle vise également une sécurité physique, c’est-à-dire au niveau des infrastructures et du matériel informatique présent dans l’entreprise.
Comment mettre en place une politique de sécurité en entreprise ?
Procédures simples
Il existe quelques pratiques simples à appliquer pour mettre en place une politique de sécurité en entreprise :
- La formation et la sensibilisation des employés à la sécurité est une base simple mais efficace.
- La gestion des mots de passe.
- Les sauvegardes régulières et sécurisées (sur un serveur extérieur appelé data center comme DropBox ou Oodrive.
- Les contrôles d’accès à l’entreprise (informatique mais aussi physique).
- La gestion des incidents et la réalisation d’audits internes ou externes
Les différentes étapes de mise en place d’une PSSI
Les procédures simples énoncées ci-dessus reprennent les bases de la cybersécurité en entreprise, mais ne peuvent parfois pas être suffisantes. Pour mettre en place une politique de sécurité informatique en entreprise, il faut respecter certaines étapes.
| Etape | Mise en oeuvre | |
|---|---|---|
|
1 |
Évaluer des risques |
Faire le point sur les faiblesses, les menaces potentielles et les conséquences d’un probable accident impliquant la cybersécurité |
|
2 |
Définir les objectifs |
Établir une liste d’objectifs concrets et réalisables pour respecter les exigences légales et la réglementation de la politique de sécurité de l’entreprise |
|
3 |
Rédiger la PSSI |
Rédaction de la Politique de Sécurité des Systèmes Informatiques de manière claire et précise. Il doit comporter toutes les règles en matière de sécurité (voir plus haut dans l’article) |
|
4 |
Former et sensibiliser les utilisateurs |
Les employés de l’entreprise doivent pouvoir être formés et sensibilisés sur les risques et les conséquences en cas d’incident de sécurité. Ils doivent pouvoir mettre en place des solutions concrètes pour y remédier |
|
5 |
Mettre en place les procédures de la PSSI |
Suivre et mettre en place les procédures établies dans la rédaction du document de politique de sécurité |
|
6 |
Réaliser des formations continues |
Audits, formations en interne, auto-évaluations |
Quels conseils pour une PSSI adaptée à sa PME ?
Une politique de sécurité informatique à instaurer par étapes
Il est important de mettre en œuvre une politique de sécurité informatique par étape pour ne rien omettre, car il s’agit d’un protocole assez compliqué qui requiert beaucoup d’informations. Vous devez d’abord définir vos objectifs et les enjeux stratégiques de la PSSI. Une fois dressés, faites la liste du matériel informatique et des logiciels à protéger. Ensuite, analysez les dangers potentiels, les risques informatiques (intrusions, cyberattaques) et réalisez un audit. Vous pouvez également faire appel à la méthode EBIOS ou MEHARI, une méthode d’analyse qui répond aux exigences de la norme ISO 27005.
À partir de là, vous avez la possibilité d’établir votre document de PSSI : choisissez une personne compétente et professionnelle qui sera capable de mettre en place les stratégies déterminée par la politique de sécurité.
La charte informatique en complément
Une fois celle-ci réalisée, vous devrez déterminer les procédures adaptées en cas d’incident lié à la sécurité informatique de votre PME et établir les moyens pour les mettre en place de façon concrète et réalisable. La rédaction d’une charte informatique concernant l’utilisation du matériel pour les employés et les collaborateurs est également un bon conseil pour prévenir des risques de sécurité.
Un historique des révisions
Parce que la politique de sécurité des systèmes informatiques est un document non définitif, il est important de mettre en place un historique des révisions qui ont été apportées. Ces modifications interviennent en cas de modification d’un ou plusieurs éléments informatiques dans l’entreprise comme un changement de matériel, un nouveau logiciel, le développement d’une application, etc. Cet historique de révisions peut être réalisé sous forme de tableau :
| Version | Date de révision | Utilisateur et fonction | Description des modification |
|---|---|---|---|
|
2.0 |
18 janvier 2024 |
Paul Dupont, DPO |
Ajout d’un logiciel XY pour la gestion financière |
La mise en place d’une politique de sécurité en entreprise est essentielle pour protéger vos données et celles de vos clients. Aussi, contribuer à son fonctionnement permet de montrer que votre PME se rend compte que les risques sont réels qu’elle est prête à y faire face. Pour se protéger, elle engage des moyens sur le plan humain (formation continue, audits), matériel (protection physique de l’entreprise) et informatique (PSSI, antivirus, VPN). Et pour pérenniser la protection des données mais aussi les clients et les employés, la politique de sécurité du système informatique doit impliquer tous les acteurs de l’entreprise, qu’il s’agisse de la direction, des employés en interne mais aussi des externes, des prestataires et des collaborateurs.
Nos dernières actualités
Découvrir tous les articles
Retraite
Rentes viagères et pilier 3b : optimisez votre fiscalité pour une retraite sereine
Entrée en vigueur le 1er janvier 2025, la réforme sur la fiscalité du pilier 3b permet d'alléger la charge fiscale des détenteurs d'un pilier 3b.
Retraite
Comment préparer sa retraite en Suisse ?
Le départ à la retraite est à la fois un soulagement et parfois une source d’angoisse. Pour appréhender sa retraite, tant sur le plan financier que sur les aspe
Retraite
Qu’est-ce que les prestations complémentaires (PC) en Suisse ?
Lorsque les rentes et autres revenus ne suffisent pas à garantir un niveau de vie correct, il est possible de bénéficier de prestations complémentaires (PC) en
Grâce à notre expertise, vous bénéficiez de solutions parfaitement adaptées à votre situation, sans avoir à jongler entre de multiples interlocuteurs.
Newsletter
Recevez les dernières actualités directement par mail