Qu'est-ce qu'une politique de sécurité informatique ?

Une technologie de l'information (TI) politique de sécurité identifie les règles et les procédures applicables à toutes les personnes qui accèdent aux biens et aux ressources informatiques d'une organisation et les utilisent. Une politique de sécurité informatique efficace est un modèle de la culture de l'organisation, dans laquelle les règles et les procédures découlent de l'approche qu'ont les employés de leurs informations et de leur travail. Ainsi, une politique de sécurité informatique efficace est un document unique pour chaque organisation, élaboré à partir des points de vue de son personnel sur la tolérance au risque, la façon dont il perçoit et valorise ses informations, et la disponibilité de ces informations qu'il maintient en conséquence. C'est pourquoi de nombreuses entreprises jugeront une politique de sécurité informatique passe-partout inappropriée, car elle ne tient pas compte de la manière dont les membres de l'organisation utilisent et partagent les informations entre eux et avec le public.

Les objectifs d'une politique de sécurité informatique sont la préservation de la confidentialité, de l'intégrité et de la disponibilité des systèmes et des informations utilisés par les membres d'une organisation. Ces trois principes constituent la triade de la CIA :

• La confidentialitéy implique la protection des actifs contre les entités non autorisées.
• Intégrité assure que la modification des actifs est traitée d'une manière spécifiée et autorisée
• La disponibilité est un état du système dans lequel les utilisateurs autorisés ont constamment accès auxdits biens.

La politique de sécurité informatique est un document évolutif qui est constamment mis à jour pour s'adapter à l'évolution des exigences des entreprises et des technologies de l'information. Des institutions telles que l'Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST) des États-Unis ont publié des normes et des meilleures pratiques pour l'élaboration des politiques de sécurité. Comme le stipule le Conseil national de la recherche (CNR), les spécifications de toute politique d'entreprise doivent porter sur les points suivants :

1. Objectifs
2. Champ d'application
3. Objectifs spécifiques
4. Responsabilités en matière de conformité et mesures à prendre en cas de non-conformité.

Toute politique de sécurité informatique doit également comporter des sections consacrées au respect des réglementations qui régissent le secteur d'activité de l'organisation. Parmi les exemples courants, on peut citer la norme de sécurité des données PCI et les accords de Bâle dans le monde entier, ou la réforme Dodd-Frank Wall Street, la loi sur la protection des consommateurs, la loi sur la portabilité et la responsabilité en matière d'assurance maladie et l'autorité de régulation de l'industrie financière aux États-Unis. Nombre de ces entités réglementaires exigent elles-mêmes une politique de sécurité informatique écrite.

La politique de sécurité d'une organisation jouera un rôle important dans ses décisions et son orientation, mais elle ne doit pas altérer sa stratégie ou sa mission. Il est donc important de rédiger une politique qui s'inspire du cadre culturel et structurel existant de l'organisation pour soutenir la continuité d'une bonne productivité et de l'innovation, et non pas une politique générique qui empêche l'organisation et son personnel d'accomplir sa mission et ses objectifs.