Qu’est-ce qu’une politique de sécurité?
Elle exprime la stratégie de l’entreprise en matière de sécurité de l’information.
Elle constitue la référence en matière de protection de ses Systèmes d’Information et traduit les exigences de sécurité en règles pragmatiques.
_________ est une déclaration formelle
des règles auxquelles doivent se conformer les
personnes recevant un droit d’accès au capital
technologique et informatif d’une entreprise
Une politique de sécurité
Quels sont les 4 principes récurrents constituant le fondement de toute politique de sécurité :
- adopter une politique de gestion de risques et de sécurité
- créer une structure en charge d’organiser et de piloter la Gestion de la Sécurité des SI
- installer un cadre organisationnel et juridique nécessaire à la responsabilisation collective et individuelle des utilisateurs du SI
- inventorier et classifier les ressources. Cette démarche doit permettre d’optimiser les processus de sécurisation en insistant sur ses composants les plus critiques
Quel est la structure du cadre normatif sectoriel :
1- Stratégique (niveau 1)
2- Tactique (niveau 2, 3 et 4)
3- Opérationnel ( niveau 5)
Quelle structure du cadre normatif sectoriel est dans le niveau stratégique ?
La politique
Quelles sont les structures du cadre normatif sectoriel dans le niveau tactique?
Cadre de gestion
Les directives
Les guides
Quelle est la structure du cadre normatif sectoriel dans le niveau opérationnel
Les procédures
Quelles sont les meilleures pratiques pour une politique de sécurité?
- adopter une politique facile à lire
- Adopter une politique au contenu moins variable comparativement au cadre de gestion
- Adopter une politique au contenu relativement concise
Niveau 1 : Politique de sécurité
- énonce des principes généraux et fixe des responsabilités à l’endroit de certains intervenants clés
- fait référence à d’autres intervenants et aux instances internes de coordination et de concertation,
Niveau 2 : Cadre de gestion de la sécurité de
l’information
• vise à compléter les dispositions de la politique.
• précise l’organisation fonctionnelle en matière de
sécurité de l’information
• décrit les responsabilités de divers intervenants ainsi
que les rôles des comités sectoriels.
Niveau 3 : Les directives de la sécurité de l’information visent à préciser, pour un domaine d’application particulier de sécurité de l’information :
- sécurité des locaux et des équipements, échange sécuritaire de l’information, etc.
- les dispositions à respecter aux fins d’assurer la sécurité de l’information.
- les directives portant sur la gestion des accès à l’information,
- les règles à adopter par les utilisateurs des assistants numériques personnels
- la protection des supports amovibles
Les directives de la sécurité de l’information sont d’application obligatoire
- vrai
Niveau 4 : Les guides de la sécurité visent à faciliter l’application des prescriptions
- de politiques
- de directives
- de normes
sans avoir le caractère contraignant
Niveau 5 : Les procédures de la sécurité de l’information
- un ensemble d’étapes à franchir, de moyens à prendre ou de méthodes à suivre dans l’exécution d’une tâche.
- décrit en détail les étapes d’un processus humain ou technologique d’implantation ou d’application d’une mesure de sécurité, qu’elle soit administrative ou technologique.
Nommez 3 exemples de procédures :
• les procédures se rapportant à la délivrance ou la révocation des cartes
d’accès,
• les procédures se rapportant à la destruction sécuritaire des documents
administratifs
• les procédures se rapportant à l’attribution des mots de passe.
Le cadre légal est constitué :
• de lois, générales ou propres à une organisation,
• de règlements dont les dispositions touchent
spécialement la sécurité de l’information
- la protection des renseignements personnels.
Les guides de la sécurité de l’information ne sont pas obligatoire
- vrai
Le cadre normatif constitué est composé :
• de la Politique-cadre sur la gouvernance et la gestion des ressources
informationnelles des organisations;
• de la Directive sur la sécurité de l’information,
• du cadre de gestion de la sécurité de l’information,
• du cadre de gestion des risques et des incidents
• de l’approche stratégique triennale;
• de standards
• l’interopérabilité ou l’utilisation intégrale du français dans les technologies de l’information et
des communications;
• des pratiques
• la catégorisation de l’information, l’utilisation sécuritaire des assistants numériques
personnels ou la gestion des incidents.
La démarche de réalisation et de mise en œuvre :
1- Étude de contexte
2- Évaluation et révision
3- Validation, approbation et communication
Le cadre normatif sectoriel s’appuie sur 2 autres cadres, quels sont-ils?
- cadre légal
- cadre normatif
De quoi est composé le cadre légal?
• de lois, générales ou propres à une organisation,
• de règlements dont les dispositions touchent
spécialement la sécurité de l’information et la protection
des renseignements personnels.
• La détermination des composantes d’une politique de sécurité de l’information prend appui sur :
- le cadre légal et le cadre réglementaire, gouvernemental et sectoriel;
- les normes et standards de l’industrie;
- la mission de l’organisation et les risques auxquels elle est exposée;
- les priorités d’actions;
- tout autre document pertinent
La détermination des composantes de la politique de sécurité prend appui sur :
- le cadre légal réglementaires
- les normes et les standards de l’industrie
- les risques auxquels l’organisation est exposée.
Pour l’élaboration de leur politique de sécurité de l’information, les organisations pourront s’appuyer sur un modèle « Politique de sécurité de l’information - modèle générique ». Les principaux éléments à considérer dans le cadre de cette étape sont :
• le contexte d’adoption, lequel mettra l’accent sur la nécessité de renforcer le cadre de gouvernance de la sécurité de l’information de l’organisation, en établissant les conditions générales visant à préserver adéquatement la confidentialité, à garantir l’intégrité et à assurer la disponibilité de l’information;
• la terminologie et les acronymes utilisés;
• les lois, les règlements, les directives, les normes et les standards applicables sur lesquels la politique prendra appui;
• l’objectif visé, notamment l’engagement officiel de la haute direction à soutenir la prise en charge des exigences de sécurité de l’information et à mettre de l’avant les moyens nécessaires à leur réalisation;
• le champ d’application de la politique, notamment toute personne, physique ou morale, ayant accès, sur place ou à l’extérieur des locaux de l’organisation, aux actifs informationnels desquels une organisation a la responsabilité d’assurer la sécurité;
• les énoncés de principes généraux, notamment l’adhésion d’une organisation
aux objectifs stratégiques et son engagement à ce que les solutions retenues correspondent aux pratiques exemplaires en matière de sécurité de l’information, tant sur le plan national que sur le plan international;
• les obligations des acteurs clés en matière de sécurité de l’information, comme le dirigeant d’organisation ou le ROSI, et celles des utilisateurs des actifs informationnels de l’organisation, qu’il s’agisse d’un gestionnaire, d’un employé, d’un partenaire d’affaires, d’un fournisseur ou d’un mandataire agissant pour le compte d’une organisation;
• les sanctions auxquelles s’expose tout utilisateur contrevenant aux dispositions de la politique ou à ses directives d’application.
• De telles sanctions devront être conformes aux dispositions des conventions collectives, des ententes et des contrats.
• Elles peuvent inclure la suspension de privilège, la réprimande, etc.;
• les dispositions finales, notamment son approbation par le dirigeant de l’organisation et sa mise en œuvre par le ROSI, sa date d’entrée en vigueur et ses modalités de révision.
