ISMS Copilot
Glossaire ISO 27001

Qu'est-ce qu'une politique de sécurité de l'information dans l'ISO 27001 ?

Aperçu

Une politique de sécurité de l'information est une déclaration documentée de haut niveau qui définit l'engagement de votre organisation envers la sécurité de l'information et fournit une orientation stratégique pour le SMSI. Requise par la clause 5.2 de l'ISO 27001:2022, elle est approuvée par la direction générale et sert de fondement à toutes les politiques, procédures et contrôles de sécurité.

Cette politique démontre l'engagement du leadership et donne le ton à la culture de sécurité de votre organisation.

La politique de sécurité de l'information en pratique

La clause 5.2 de l'ISO 27001:2022 exige que la direction générale établisse une politique de sécurité de l'information qui :

  • Est appropriée à la finalité de l'organisation

  • Comprend des objectifs de sécurité de l'information ou fournit le cadre pour les établir

  • Comprend un engagement à satisfaire aux exigences applicables en matière de sécurité de l'information

  • Comprend un engagement pour l'amélioration continue du SMSI

La politique doit être documentée, communiquée au sein de l'organisation et mise à la disposition des parties intéressées, le cas échéant.

La politique de sécurité de l'information est un document stratégique, et non une procédure détaillée. Elle fixe l'orientation ; les contrôles et processus spécifiques sont définis dans des politiques et procédures de support.

Éléments requis

1. Contexte et finalité de l'organisation

La politique doit refléter les objectifs commerciaux, le secteur d'activité et l'environnement de risque de votre organisation.

Exemple : « En tant que fournisseur de soins de santé gérant des données de patients sensibles, [Organisation] s'engage à protéger la confidentialité, l'intégrité et la disponibilité des informations de santé conformément à la loi HIPAA et aux meilleures pratiques du secteur. »

2. Cadre des objectifs de sécurité de l'information

Énoncez soit des objectifs spécifiques, soit fournissez le cadre pour les définir.

Exemple : « Nous maintiendrons la certification ISO 27001, atteindrons une disponibilité système de 99,9 % et répondrons aux incidents de sécurité sous 4 heures. »

3. Engagement envers les exigences applicables

Référencez les obligations légales, réglementaires et contractuelles que vous devez respecter.

Exemple : « Nous nous engageons à respecter le RGPD, les exigences SOC 2 Type II et les obligations contractuelles de sécurité de nos clients. »

4. Engagement envers l'amélioration continue

Énoncez votre dévouement à l'amélioration continue du SMSI.

Exemple : « Nous améliorerons continuellement nos pratiques de sécurité de l'information par des évaluations régulières des risques, des audits internes et des revues de direction. »

La politique doit être approuvée et signée par la direction générale (PDG, Directeur Général ou équivalent). La délégation à des niveaux inférieurs entraîne une non-conformité.

Structure et contenu

Bien que l'ISO 27001:2022 n'impose pas de format spécifique, les politiques efficaces comprennent généralement :

Section d'en-tête

  • Titre et version du document

  • Autorité d'approbation et signature

  • Date d'entrée en vigueur et cycle de révision

Objet et portée

  • Pourquoi la politique existe

  • Ce qu'elle couvre (aligné sur le périmètre du SMSI de la clause 4.3)

  • À qui elle s'applique (employés, prestataires, partenaires)

Énoncés de politique

  • Principes fondamentaux de sécurité de l'information

  • Rôles et responsabilités à un haut niveau

  • Cadre pour les objectifs

  • Engagements envers les exigences et l'amélioration

Documents liés

  • Références aux politiques de support (ex : Usage Acceptable, Contrôle d'Accès, Réponse aux Incidents)

  • Lien vers les processus d'évaluation et de traitement des risques

Gardez la politique de sécurité de l'information concise (généralement 2 à 4 pages). Les règles détaillées appartiennent aux politiques et procédures de support, pas à la politique de haut niveau.

Exigences de communication

La clause 5.2 exige que la politique soit :

  • Documentée : Maintenue en tant qu'information contrôlée

  • Communiquée : Mise à disposition de tout le personnel via des formations, l'intranet, les manuels

  • Disponible pour les parties intéressées : Partagée avec les clients, auditeurs, régulateurs au besoin (il peut s'agir d'une version publique ou confidentielle)

Exemples de méthodes de communication :

  • Inclure dans la formation d'intégration des employés

  • Publier sur l'intranet de l'entreprise

  • Référencer dans les contrats de travail

  • Fournir aux clients lors des questionnaires de sécurité

Révision et maintenance

La politique doit être revue et mise à jour :

  • À intervalles planifiés (annuellement est une pratique courante)

  • En cas de changements significatifs (fusions, nouvelles réglementations, incidents majeurs)

  • Dans le cadre de la revue de direction (Clause 9.3)

  • Suite aux conclusions d'audits internes ou externes

Utilisez l'ISMS Copilot pour générer un projet de politique de sécurité de l'information adapté à votre secteur, à votre contexte organisationnel et à vos exigences de conformité. L'outil peut suggérer des objectifs appropriés et un langage d'engagement pertinent.

Politiques de support vs Politique de sécurité de l'information

La politique de sécurité de l'information est le document stratégique de plus haut niveau. Les politiques de support fournissent des exigences détaillées pour des domaines spécifiques :

  • Politique de sécurité de l'information (clause 5.2) : Engagement et direction de haut niveau

  • Politique de contrôle d'accès : Détaille l'authentification, l'autorisation et la gestion des privilèges

  • Politique d'usage acceptable : Définit l'utilisation autorisée des ressources informatiques

  • Politique de réponse aux incidents : Spécifie les procédures de traitement des incidents

  • Politique de continuité d'activité : Traite de la disponibilité et de la reprise

Erreurs courantes à éviter

  • Rendre la politique trop technique ou détaillée (elle doit rester stratégique)

  • Ne pas obtenir l'approbation et la signature de la direction générale

  • Oublier de communiquer la politique à tous les employés

  • Fixer des objectifs qui ne sont ni mesurables ni réalisables

  • Ne pas revoir la politique régulièrement

  • Copier des modèles génériques sans les adapter à votre organisation

Exemple d'énoncé de politique

« [Nom de l'organisation] s'engage à protéger la confidentialité, l'intégrité et la disponibilité des actifs informationnels critiques pour nos opérations commerciales et la confiance de nos clients. Cette politique de sécurité de l'information établit notre cadre pour identifier, évaluer et gérer les risques de sécurité de l'information conformément à l'ISO 27001:2022 et aux exigences réglementaires applicables, y compris le RGPD et SOC 2. Nous nous engageons à améliorer continuellement notre SMSI par des évaluations régulières des risques, des audits internes, des revues de direction et des actions correctives. »

Termes connexes

  • SMSI – Régi par la politique de sécurité de l'information

  • Parties intéressées – Politique mise à la disposition des parties prenantes concernées

  • Triade de la CIA – Principes fondamentaux généralement référencés dans la politique

  • Revue de direction – Examine l'efficacité et les mises à jour de la politique

Cela vous a-t-il été utile ?