5 conseils pour mettre en place votre politique de sécurité informatique

Cybersécurité Administrateur IT/Réseau
Cybersécurité Administrateur IT/Réseau

Temps de lecture : 4 minutes

Publié le 2 août 2017

C’est souvent le problème, avec la sécurité informatique:  quand on s’en préoccupe, il est déjà trop tard.  Il ne reste plus qu’à essayer de récupérer ses données et tenter de limiter le temps – et l’argent- perdu. Si on changeait cette fatalité en prévenant les incidents ou lieu de les guérir ? Si on mettait en place une politique de sécurité des systèmes d’information (PSSI) efficace dans l’entreprise ?

Livre Blanc

Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger le livre blanc

La politique de sécurité informatique d’une entreprise prend la forme d’un plan d’actions visant à protéger la société et ses données et ressources essentielles, en déterminant des objectifs à atteindre pour contrer les principaux risques auxquels elle est confrontée :

  • Une panne électrique locale ou une panne du réseau interne.
  • L’infiltration de virus, vers ou chevaux de Troie affectant le matériel.
  • Une menace intérieure causée par l’insouciance ou la malhonnêteté.

Voici quelques conseils et bonnes pratiques pour vous aider à concevoir la politique de votre PME en matière de sécurité informatique !

1. Préparer la sécurité informatique en amont

La politique de sécurité informatique ne s’improvise pas à la dernière minute dans la précipitation qui suit une cyberattaque, par exemple. Elle doit être conçue sereinement et en étant conscient de ses enjeux, pour évaluer les menaces et leurs conséquences prévisibles ainsi que les vulnérabilités actuelles de l’organisation et son environnement.

Lors de son élaboration,  la charte ou le plan d’action doit contenir tous les éléments utiles à l’analyse des risques, la sécurisation des données et les mesures à mettre en place pour poursuivre les activités de l’entreprise sans interruption… Ou tout au moins les reprendre le plus rapidement possible et dans les meilleures conditions.

Afin de bénéficier d’un dispositif de protection efficace, le plan d’actions ne peut se limiter à un simple mode d’emploi pour choisir des mots de passe ou sauvegarder des documents. Il doit au contraire aborder de manière globale l’ensemble des thématiques relatives à la sécurité : réseaux, applications, messagerie, données, terminaux mobiles, cloud, moyens d’accès, infrastructures, etc.

Webinar

Améliorez la sécurité de vos PC dans le Cloud avec Windows

76% des décideurs IT en charge de PC et technologies prévoient d’augmenter les investissements au cours des deux prochaines années dont 36 % s’attendent à un double investissement.

Je m’inscris

2. Définir le périmètre et les objectifs

Le plan d’actions doit tout d’abord préciser les objectifs que l’entreprise se fixe pour réduire les risques informatiques relatifs aux stations de travail du personnel, aux déplacements professionnels et au réseau en lui-même : pour chaque situation envisagée, quel est le niveau de protection souhaitable ?

Il convient aussi de définir quels éléments du système d’information doivent être protégés : faut-il sécuriser tous les documents ou uniquement les fichiers sensibles essentiels ? Pour cela, il est utile de procéder à un audit des données de l’entreprise afin de les catégoriser en fonction de leur typologie. Sont-elles indispensables, aisément reproductibles ou duplicables ?

3. Déterminer les moyens nécessaires

L’entreprise doit réfléchir aux moyens de parvenir aux objectifs fixés, tout en maintenant les coûts engagés pour sa protection à un niveau raisonnable.

Cela peut passer par la mise en place de diverses mesures :

  • Un pare-feu individualisé ou collectif (au niveau du routeur), un réseau virtuel privé (VPN) et un contrôle d’accès au réseau interne avec des profils protégés par mots de passe.
  • Des supports ou des serveurs de sauvegarde stockés sur place ou chez un prestataire et un dispositif de protection pour l’accès aux données sauvegardées.
  • Un système d’alimentation électrique secondaire (sans coupure) capable de fournir une réserve de quelques minutes, pour mémoriser tous les documents cruciaux.

  • Livre Blanc

    Soins de santé : impliquez les patients au numérique

    Pour répondre aux nouvelles attentes des clients, le secteur de la santé a su innover et leur proposer une approche personnalisée.

    Télécharger le livre blanc

4. Développer des procédures adaptées

Il faut également indiquer dans le plan d’actions quels sont les rôles et responsabilités de chacun via la mise en place de règles de sécurité à appliquer par les salariés de l’entreprise concernant l’acquisition et l’utilisation de logiciels, le paramétrage du courrier électronique, la sauvegarde automatique des documents ou l’accès aux locaux par des personnes extérieures.

De même, il est nécessaire de mettre en place des procédures en cas d’attaques et de les diffuser les plus largement possible dans l’entreprise. Ainsi, chaque collaborateur saura exactement ce qu’il doit faire et comment régir si un problème de sécurité se présente.

5. Désigner un responsable de la sécurité informatique

S’il n’en assura pas lui-même le rôle, le chef d’entreprise peut enfin désigner un responsable de la sécurité des systèmes d’informations chargé de veiller à l’application de la politique de sécurité informatique et à sa mise à jour périodique pour conserver un niveau de protection optimal.

Ce responsable pourra si besoin mener une enquête après chaque intrusion ou encore réaliser des tests d’intrusion pour vérifier le niveau de sécurité de l’entreprise le bon fonctionnement de la politique mise en place et la réaction des collaborateurs, puis procéder aux corrections qui s’imposent le cas échéant.

Questions Fréquentes

Qu’est ce qu’une politique de sécurité informatique ?

La politique de sécurité informatique d’une entreprise prend la forme d’un plan d’actions visant à protéger la société et ses données et ressources essentielles. Le tout, en déterminant des objectifs à atteindre pour contrer les principaux risques auxquels elle est confrontée (panne électrique, virus, menace interne, …). 

Quels sont les 5 conseils à mettre en place pour concevoir la politique de sécurité informatique de votre entreprise ?

1. Préparer la sécurité informatique en amont.
2. Définir le périmètre et les objectifs (se fixer des objectifs pour réduire les risques informatiques).
3. Déterminer les moyens nécessaires (déterminer des coûts raisonnables mais permettant d’accomplir ces objectifs).
4. Développer des procédures adaptées (définir les rôles et responsabilités de chacun).
5. Désigner un responsable de la sécurité informatique. 

Livre Blanc

Création d’une ville hyperconnectée

Quelle sont les bonnes pratiques et les défis liés de la création d’une ville hyperconnectée ? Cet Ebook interactif et collaboratif vous dévoile son analyse sur les villes hyperconnectées. 

Télécharger le livre blanc

 

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.
Cybersécurité PME-TPE
Cybersécurité PME-TPE

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.
Cloud
Cloud

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article
Voir tous les articles Lire tout les articles