Une politique de sécurité informatique définit les règles relatives à l'utilisation des ressources informatiques d'une organisation. La politique doit définir les comportements acceptables et inacceptables, les contrôles d'accès et les conséquences potentielles en cas de non-respect des règles.
Une politique de sécurité informatique doit être basée sur les objectifs de l'entreprise, la politique de sécurité de l'information et la stratégie de gestion des risques. En décrivant les contrôles d'accès et l'utilisation acceptable, une politique de sécurité informatique définit la surface d'attaque numérique de l'entreprise et le niveau de risque acceptable. La politique de sécurité informatique jette également les bases d'une réponse aux incidents en définissant la manière dont les utilisateurs peuvent être surveillés et les mesures qui peuvent être prises en cas de violation de la politique.
Demander une démo Une stratégie pour l'efficacité de la sécurité
L'objectif est de définir clairement les règles et les procédures d'utilisation des actifs de l'entreprise. Il s'agit d'informations destinées à la fois aux utilisateurs finaux et au personnel chargé des technologies de l'information et de la sécurité. Les politiques de sécurité informatique doivent être conçues pour identifier et traiter les risques de sécurité informatique d'une organisation. Pour ce faire, ils s'attaquent aux trois objectifs fondamentaux de la sécurité informatique (également appelés "triade de la CIA") :
Ces trois objectifs peuvent être atteints de différentes manières. Une organisation peut avoir plusieurs politiques de sécurité informatique ciblant des publics différents et traitant de risques et d'appareils variés.
Une sécurité informatique est une trace écrite des règles et politiques de sécurité informatique d'une organisation. Cela peut être important pour plusieurs raisons, notamment :
Les politiques de sécurité informatique d'une organisation doivent être conçues pour répondre aux besoins de l'entreprise. Il peut s'agir d'une politique unique et consolidée ou d'un ensemble de documents traitant de questions différentes.
Malgré cela, les politiques de sécurité informatique de toutes les organisations devraient contenir certaines informations clés. Qu'il s'agisse de documents autonomes ou de sections d'un document plus vaste, la politique de sécurité informatique de l'entreprise doit comprendre les éléments suivants :
Au-delà de ces politiques de base, une politique de sécurité informatique peut également inclure des sections ciblées sur les besoins spécifiques d'une organisation. Par exemple, une entreprise peut avoir besoin de politiques relatives à l'apport de votre propre appareil (BYOD) ou au travail à distance.
Lors de la rédaction d'une politique de sécurité informatique, les meilleures pratiques établies constituent un bon point de départ. Des organisations telles que le SANS Institute ont publié des modèles de politiques de sécurité informatique.
Ces modèles peuvent ensuite être modifiés pour répondre aux besoins spécifiques d'une organisation. Par exemple, une entreprise peut avoir besoin d'ajouter des sections pour traiter des cas d'utilisation uniques ou adapter le langage à la culture de l'entreprise.
La politique de sécurité informatique doit être un document évolutif. Il doit être régulièrement revu et mis à jour pour répondre à l'évolution des besoins de l'entreprise.
Lorsque vous élaborez vos politiques de sécurité informatique, prenez en compte les produits et services de Check Point. Découvrez comment soutenir et appliquer efficacement la politique de sécurité informatique de votre entreprise en lisant ce livre blanc. Ensuite, découvrez la puissance de la plateforme de sécurité intégrée de Check Point en effectuant une démonstration gratuite.