Symantec France
Sites globaux
Produits et Services
Achats
Support
Partenaires/revendeurs
security response
Tlchargements
propos de Symantec
Recherche
votre avis

 

© 1995-2008 Symantec Corporation.
Tous droits réservés.
Mentions Légales
Politique de Confidentialité
Solutions PME/PMI

Créer une politique de sécurité adaptée aux petites entreprises

Contrairement à l'idée reçue, une politique de sécurité n'est pas un luxe réservé aux grandes entreprises. Les PME aussi peuvent en bénéficier, à condition de savoir rédiger - et de faire accepter par tous les collaborateurs - ce document de référence. Son objectif : décrire les mesures élémentaires de protection et d'utilisation du système d'information de l'entreprise, afin que tout le monde puisse les respecter.

Les politiques de sécurité sont considérées par les PME comme des solutions lourdes (il faut les rédiger), chères (leur création passe souvent par un audit externe) et un peu inutiles : après tout, lorsqu'il s'agit de surfer sur Internet, de lire ses e-mails et de sauvegarder l'unique serveur de fichiers, le bon sens suffit, non ?
Rien n'est plus faux. Pour une PME, une politique de sécurité sera bien souvent tout à la fois le manuel de savoir-vivre de l'utilisateur, son règlement intérieur pour l'informatique et une base solide pour assurer la sécurité du système d'information. Dans les cas extrêmes, elle pourra même aider à dégager la responsabilité de l'entreprise en cas d'abus de la part d'un employé. Tout cela en quelques documents de quelques pages chacun.

La première étape dans la création d'une politique de sécurité est en fait... d'en créer plusieurs ! Il est en effet plus efficace de rédiger plusieurs petits documents (inutile de dépasser deux ou trois pages) que de tout vouloir dire en un gros volume que personne ne lira. Chacun de ces documents pourra concerner un aspect particulier de l'outil informatique : l'utilisation quotidienne des postes de travail, la sauvegarde des données critiques, l'accès à distance ou la protection antivirus. C'est à la direction générale, assistée du responsable de l'informatique, de décider quels domaines devront faire l'objet d'une politique de sécurité, en fonction de l'activité de l'entreprise, de ses priorités et de l'observation sur le terrain : dans quels domaines les utilisateurs sont-ils laissés seuls, sans repères, face à l'outil informatique ?



L'utilisation “acceptable” des moyens informatiques

Cela fait, il faut passer à la rédaction des documents. Concrètement, il ne s'agit que d'une liste de règles à suivre lors de l'utilisation de tel ou tel moyen informatique par telle ou telle catégorie du personnel. La première politique à être rédigée, que l'on retrouve dans toutes les entreprises quelle que soit leur taille, est celle dite “d'utilisation acceptable” des moyens informatiques (“Acceptable Use Policy”). Elle détaille ce que l'employé a le droit de faire et de ne pas faire avec son poste de travail. Elle couvre des sujets tels que les emails personnels, le téléchargement d'images ou de fichiers multimédia, l'installation de logiciels personnels sur le poste, la propriété de l'information qui y est manipulée, etc.

C'est aussi l'occasion de rappeler le contexte légal de l'utilisation de l'outil informatique (droits d'auteurs, stockage de matériel pornographique, interdiction du piratage, du spam, du harcèlement par e-mail, etc). Enfin, ce document peut aussi couvrir les télécoms : quid des appels téléphoniques personnels ? De l'attribution d'une ligne ou de la facturation ? Ce document doit être particulièrement clair, court et accessible à tous. Idéalement, les utilisateurs devraient être consultés durant sa rédaction, afin de faciliter son acceptation par la suite.

Coucher noir sur blanc le bon sens technique

Cette politique d'utilisation acceptable est parfois la seule en vigueur dans les plus petites entreprises. Dans ce cas, elle peut aussi couvrir le choix des mots de passe (longueur, changement régulier, etc), l'usage de l'outil antivirus et même les règles de sauvegarde des documents de travail ! Dans les structures un peu plus importantes viennent ensuite les politiques de sécurité destinées aux administrateurs et autres responsables des moyens informatiques. Il s'agit là tout autant de définir des règles que de documenter grossièrement le travail : quelles informations doivent être sauvegardées, et à quel intervalle ? Qui est responsable de la mise à jour des antivirus, du suivi de la configuration du pare-feu ou des relations avec les prestataires extérieurs en charge de la sécurité ? Quels rapports doivent être produits pour évaluer le niveau de sécurité ? A quels intervalles ? Quelles sont les informations jugées sensibles et qui a le droit d'y accéder ? Comment doivent-elles être protégées ?


L'objectif de ces politiques-là est alors de définir les procédures (et parfois même les outils) nécessaires à la protection du système d'information de l'entreprise. Il s'agit en fait bien souvent de coucher noir sur blanc le simple bon sens technique : ce qui va sans dire va toujours mieux en le disant !


Plus d'information : Des modèles de politiques de sécurité téléchargeables gratuitement :
http://www.sans.org/resources/policies/