Une politique de sécurité des technologies de l’information (TI) identifie les règles et les procédures pour tous les individus accédant et utilisant les actifs et les ressources TI d’une organisation. Une politique de sécurité informatique efficace est un modèle de la culture de l’organisation, dans laquelle les règles et les procédures découlent de l’approche de ses employés vis-à-vis de leurs informations et de leur travail. Ainsi, une politique de sécurité informatique efficace est un document unique pour chaque organisation, élaboré à partir des perspectives de ses employés en matière de tolérance au risque, de la façon dont ils perçoivent et valorisent leurs informations, et de la disponibilité de ces informations qu’ils maintiennent. Pour cette raison, de nombreuses entreprises trouveront une politique de sécurité informatique passe-partout inappropriée en raison de son manque de considération pour la façon dont les personnes de l’organisation utilisent et partagent réellement les informations entre elles et au public.
Les objectifs d’une politique de sécurité informatique est la préservation de la confidentialité, de l’intégrité et de la disponibilité des systèmes et des informations utilisés par les membres d’une organisation. Ces trois principes composent la triade CIA:
- La confidentialité implique la protection des actifs contre les entités non autorisées
- L’intégrité garantit que la modification des actifs est traitée d’une manière spécifiée et autorisée
- La disponibilité est un état du système dans lequel les utilisateurs autorisés ont un accès continu auxdits actifs
La politique de sécurité informatique est un document vivant qui est continuellement mis à jour pour s’adapter à l’évolution des exigences commerciales et informatiques. Des institutions telles que l’Organisation internationale de normalisation (ISO) et l’Institut national américain des normes et de la technologie (NIST) ont publié des normes et des meilleures pratiques pour la formation de politiques de sécurité. Comme le stipule le Conseil national de la recherche (NRC), les spécifications de toute politique d’entreprise doivent porter sur :
- 1. Les objectifs
- 2. le champ d’application
- 3. les objectifs spécifiques
- 4. les responsabilités en matière de conformité et les mesures à prendre en cas de non-conformité.
Egalement obligatoires pour toute politique de sécurité informatique, les sections dédiées à l’adhésion aux réglementations qui régissent l’industrie de l’organisation. Parmi les exemples courants, citons la norme de sécurité des données PCI et les accords de Bâle dans le monde entier, ou encore la réforme de Dodd-Frank Wall Street, la loi sur la protection des consommateurs, la loi sur la portabilité et la responsabilité des assurances santé et l’autorité de régulation de l’industrie financière aux États-Unis. Nombre de ces entités réglementaires exigent elles-mêmes une politique de sécurité informatique écrite.
La politique de sécurité d’une organisation jouera un rôle important dans ses décisions et son orientation, mais elle ne doit pas altérer sa stratégie ou sa mission. Par conséquent, il est important de rédiger une politique qui soit tirée du cadre culturel et structurel existant de l’organisation pour soutenir la continuité d’une bonne productivité et de l’innovation, et non pas comme une politique générique qui empêche l’organisation et son personnel de remplir sa mission et ses objectifs.