Politique d'utilisation acceptable - PME

La Politique d'utilisation acceptable (AUP) – version PME (document P03S) est conçue pour établir des normes claires, pratiques et applicables pour l’utilisation autorisée des ressources informatiques fournies par l’entreprise au sein des petites et moyennes entreprises (PME). Son objectif principal est de garantir que toutes les personnes, y compris les employés, prestataires, personnel temporaire et même les prestataires tiers de services, comprennent pleinement leurs obligations et attentes comportementales lorsqu’elles accèdent aux systèmes d'information de l'organisation, que ce soit sur site, en accès à distance ou dans des environnements hybrides. Cette politique est explicitement adaptée aux PME, comme en témoigne l’utilisation de rôles de gestion génériques tels que le Directeur général plutôt que des responsables informatiques ou de sécurité spécialisés, ce qui la rend accessible aux organisations sans équipes internes dédiées à l’informatique ou à la sécurité, tout en recherchant une conformité rigoureuse à l’ISO/IEC 27001:2022. De manière exhaustive, l’AUP définit ce qui constitue une utilisation acceptable versus inacceptable des équipements appartenant à l’entreprise, des appareils personnels (usage de terminaux personnels), des réseaux, des plateformes cloud et de tous les outils logiciels utilisés. Elle détaille largement des mécanismes de gouvernance, tels que des inventaires de matériel et de logiciels approuvés, des exigences d’approbation préalable et de configuration sécurisée pour les terminaux personnels, ainsi que le maintien de journaux d’activité pour tracer les violations ou incidents. La surveillance est réalisée par le Gestionnaire des changements ou un prestataire externe autorisé, mais toujours dans les limites des intérêts commerciaux légitimes et des lois applicables en matière de protection des données. Cette approche établit un équilibre entre sécurité, protection des données et faisabilité organisationnelle. La politique définit également un cadre complet de traitement des risques et de gouvernance des dérogations : des risques tels que l’infection par des logiciels malveillants, les violations de données et le préjudice réputationnel résultant d’un usage abusif sont atténués par des contrôles techniques en couches et des programmes de sensibilisation. Les demandes de dérogation, telles que l’utilisation de logiciel non autorisé, doivent être formellement documentées, faire l’objet d’une appréciation des risques, être limitées dans le temps et explicitement approuvées, généralement par le Directeur général ou le prestataire informatique. L’accent mis sur la documentation, les déclencheurs de revue et la révalidation annuelle de la politique garantit que la politique reste efficace à mesure que les technologies, les menaces et les exigences légales évoluent. Les dispositions de mise en application sont robustes. Toutes les violations suspectées ou observées doivent être signalées rapidement, avec une escalade claire vers le Gestionnaire des changements ou le Directeur général. Les mesures de mise en application peuvent inclure le verrouillage du système ou des accès, des avertissements verbaux ou écrits, et même la résiliation du contrat pour le personnel et les prestataires tiers de services. Le caractère contractuellement contraignant de la politique pour les tiers garantit une application cohérente des normes de sécurité dans la chaîne d’approvisionnement de l’organisation. Enfin, l’intégration de l’AUP avec d’autres politiques PME essentielles — Politique de contrôle d’accès, Politique de sensibilisation et de formation à la sécurité de l’information, Politique de télétravail, Politiques de protection des données et Politique de réponse aux incidents (P30) — assure une couverture globale des responsabilités de sécurité. Le résultat est un cadre facile à mettre en œuvre, aligné sur l’ISO 27001:2022, pour les entreprises recherchant la conformité et la réduction du risque même sans grands départements informatiques ou de sécurité.