Politique de sécurité informatique au sein de notre web agency et de notre pôle hébergement

Politique de sécurité

	Documentation et articles réalisés par SUPRALOGIC.COM
	Conseils en ligne
	Devis gratuit
	Notre offre

" La politique de sécurité " des systèmes informatiques est un ensemble de règles définissant le comportement des utilisateurs. L'objectif de cette politique est la préservation et la sécurisation de l'intégralité du système informatique avec ses bases de données.

Notre politique de sécurité se base sur les normes et les documents suivants :

- RFC 2196 "Site Security Handbook".
- FIPS PUB 191 "Federal Information Processing Standards Publication 191 - Standard for: Guideline for the Analysis of Local Area Network Security".
- Publications professionnelles concernant la sécurité des systèmes informatiques.

Les règles définies par la politique de sécurité concernent tout le processus du traitement et de consultation des informations, indépendamment des moyens de collecte et du traitement des données.

Nous menons une activité de conseil auprès de la direction informatique des entreprises désirant adopter une politique de sécurité informatique. Ainsi, nous conseillons la direction informatique à toutes les étapes de l'analyse nécessaire à la mise en place d'une politique de sécurité. L'acceptation par la direction générale des règles de la politique de sécurité est l'un des éléments les plus importants de la réussite de la politique de sécurité.

Dans le processus de la conception et de l'intégration de la politique de sécurité , il est important de designer une personne appartenant à l'entreprise. Cette personne, en général un informaticien de haut niveau, va être le responsable de la sécurité des informations circulant dans le système informatique.

Les étapes de la conception et de l'intégration de la politique de sécurité :

1. L'estimation de la valeur des informations traitées par le système informatique.

C'est une étape essentielle de la conception d'une politique de sécurité. Dans le cadre de cette étape, nos spécialistes vont créer une base de données contenant les informations relatives aux différentes sortes d'informations traitées par le système informatique ainsi que les applications et le matériel utilisés pour leur traitement.

Les informations collectées pendant cette étape permettront de réaliser les autres étapes de la mise en place de la politique de sécurité.

2. La valorisation et la classification des informations stockées et traitées.

Les informations collectées lors de la première étape sont classifiées selon leur valeur pour l'entreprise. Les critères dont nous tenons compte sont notamment le degré de confiance, les conséquences de la transmission d'une information donnée à une personne non autorisée, les conséquences de la perte ou de la modification d'une information donné.

L'analyse conduite permet de classifier les informations traitées par le système informatique en 5 groupes :

- Les informations non classifiées (qui sont publiées)
- Les informations non classifiées (protégées, qui ne seront pas publiées)
- Les informations classifiées
- Les informations confidentielles
- Les informations secrètes

Même si la valorisation des informations pourrait présenter un risque dans certains cas, elle est un élément indispensable de la création d'un système de protection des données.

3. La définition de la meilleure circulation des informations à l'intérieur comme à l'extérieur de l'entreprise.

En possédant les données relatives aux différentes sortes de l'information du système, nous devons analyser les sens de circulation des informations. Cette analyse permet de créer le schéma de la circulation des informations, pour en déterminer les points faibles. Aussi, cette analyse nous permet de diviser le système informatique en " domaines " en indiquant les sens de la circulation des informations.

4. L'analyse du risque : une classification en catégories de risques avec les moyens permettant de les éviter.

Cette classification permet l'établissement d'un plan d'action. Celui-ci nous permettra d'utiliser la quasi-totalité des moyens existants pour prévenir les risques les plus probables. Lors de cette analyse de risque , nous attribuons des degrés de priorité aux diverses menaces qui peuvent avoir une conséquence sur le fonctionnement du système informatique de votre entreprise.

Suite à cette analyse, nous rédigeons un document opérationnel. Voici les informations que comporte ce document:

- La description du risque potentiel
- Les conséquences potentielles
- Le coût de réparation des dommages
- La probabilité de la réalisation du risque
- Les actions prioritaires
- La description des actions préventives
- Le coût des éléments de sécurisation

5. Elaboration d'une méthode de protection des informations adaptée aux spécificités du système informatique de l'entreprise.

La réalisation de cette étape commence par la définition des trois principaux niveaux de sécurité :

- Le niveau de la procédure
- Le niveau physique
- Le niveau logique

L'intégration de la méthode de sécurité est réalisée à chaque niveau en utilisant les meilleurs moyens de sécurisation (physiques, techniques, et juridiques).

6. L'élaboration d'une " police de sécurité ", c'est-à-dire d'un ensemble de documents décrivant la politique de sécurité.

Outre la partie générale de la police de sécurité qui comprend les normes relatives aux méthodes d'une utilisation sécurisée du système informatique, la police de sécurité comprend les documents destinés aux utilisateurs finaux et aux groupes d'utilisateurs, établis en fonction des tâches concrètes accomplies par chacune de ces personnes. Chaque salarié devrait approuver avoir pris connaissance de ce document.

Une police de sécurité bien conçue remplit trois fonctions principales:

- Elle doit comporter les règles concernant chaque utilisateur.
- Elle devrait pouvoir être utilisée comme source des connaissances en matière des meilleures méthodes de travail dans le système informatique.
- Elle constitue une référence en terme de l'intégration de la politique de sécurité dans l'entreprise.

7. L'intégration d'une politique de sécurité suppose deux principaux modes d'action.

- L'installation du matériel et des logiciels indispensables au maintient d'un haut niveau physique de sécurité des données stockées et traitées par le système informatique. Nous sommes en mesure non seulement de vous aider dans le choix des meilleures solutions matérielles et logicielles, mais aussi de vous indiquer les fournisseurs voire de vous livrer, installer, tester et déployer des solutions concrètes.

- La formation des futurs utilisateurs du système informatique sécurisé. En effet, les utilisateurs du système informatique devraient être formés aussi bien au niveau général qu'au niveau pratique. Pour ce faire, nous préparons des outils pédagogiques et nous formons les utilisateurs. Notre entreprise est partenaire avec quelques uns des meilleurs spécialistes de la sécurité des systèmes informatiques en Europe. Les formations peuvent avoir lieu dans les locaux de votre entreprise, à l'aide du matériel et des logiciels, qui vont ensuite être utilisés par le personnel dans son travail quotidien.

8. L'évolution de la politique de sécurité et la maintenance du système des protections doivent être contrôlées régulièrement.

Avec le temps, de nouvelles menaces apparaissent et des modifications sont apportées au système informatique (le remplacement du matériel ou des logiciels, l'intégration des nouvelles fonctionnalités, la rotation du personnel). La politique de sécurité doit en permanence prendre en compte tous ces changements, sinon elle deviendra complètement inutile.

SUPRALOGIC.COM

[notice légale] [recrutement] [publicité] [partenariats] [contact]

Ressources

Livres

Logiciels

Sites web

Magazines