Politique d'utilisation acceptable

La Politique d'utilisation acceptable (AUP) établit les normes d’utilisation responsable, sécurisée et licite des systèmes d’information, des ressources informatiques et des actifs de données d’une organisation. L’objectif général est de définir les activités acceptables et interdites lors de l’utilisation de l’infrastructure informatique de l’entreprise, y compris les postes de travail, les terminaux mobiles, les serveurs, les services d’informatique en nuage et les réseaux. Cette politique garantit que tous les utilisateurs — des employés et contractants aux fournisseurs tiers — connaissent leurs responsabilités pour défendre la confidentialité, l’intégrité et la disponibilité des actifs informationnels de l’organisation. Conformément à la politique, le champ d’application est complet et couvre chaque personne et entité à qui un accès est accordé, ainsi que toutes les formes de technologies et de données de l’entreprise. Elle s’applique de manière uniforme aux bureaux de l’entreprise, aux configurations de télétravail et aux sites sur le terrain. Non seulement les utilisateurs informatiques traditionnels doivent s’y conformer, mais aussi toute personne opérant dans le cadre de l’usage de terminaux personnels ou au sein d’environnements hybrides. Chaque utilisateur doit fournir une attestation de prise de connaissance de la politique comme condition préalable à l’accès aux systèmes et aux données, et cette attestation est conservée à des fins d’audit et de conformité. Les objectifs de la politique soulignent l’importance d’établir des limites claires entre les actions autorisées et interdites. Elle impose la prévention de l’accès non autorisé ou des fuites de données via des menaces liées aux comportements, telles que l’usage négligent, l’installation de logiciels non autorisés ou le contournement des contrôles de sécurité. Pour garantir la conformité, les rôles et responsabilités sont définis pour la direction (approbation et supervision de la politique), les équipes informatiques et de sécurité (mise en application technique, surveillance, enquête), les responsables de département (supervision locale, traitement des violations mineures), les ressources humaines et les affaires juridiques (mesures disciplinaires, légalité de la politique) et tous les utilisateurs (usage éthique, notification des incidents, sécurisation des identifiants d’authentification). Les mesures de gouvernance et de mise en application sont conçues de manière structurée. Les utilisateurs doivent réaliser une attestation formelle et suivre une formation récurrente, renforçant la sensibilisation et le comportement éthique. Les équipes informatiques et de sécurité mettent en œuvre des systèmes de filtrage web et de messagerie, la protection des terminaux et des systèmes de surveillance afin d’appliquer techniquement les règles, tandis que des revues périodiques garantissent que les contrôles restent efficaces. Les activités interdites sont listées explicitement, couvrant l’accès non autorisé, le déploiement de logiciels malveillants, l’utilisation à des fins de profit personnel, l’utilisation excessive des ressources et les tentatives de contournement des mécanismes d’authentification. La politique encadre également strictement l’usage de terminaux personnels, le chiffrement et les pratiques de télétravail, avec des exigences techniques et procédurales pour la sécurité des terminaux et des données. Les mécanismes de réponse aux incidents exigent que les utilisateurs notifient rapidement les événements de sécurité, l’accès non autorisé ou la perte d’équipement via les canaux officiels. Les violations donnent lieu à des mesures disciplinaires proportionnées — du réentraînement et de la suspension d’accès à la résiliation ou à des poursuites — le tout documenté à des fins juridiques et d’audit. La politique protège en outre l’anonymat du dispositif d'alerte et interdit les représailles, favorisant une culture de responsabilité. Alignée sur des normes internationales reconnues telles que l’ISO/IEC 27001:2022 (clause 5.10 et certaines mesures de l’annexe A), NIST SP 800-53, le RGPD, NIS2, DORA et COBIT 2019, l’AUP est conçue pour résister à l’examen des fonctions de conformité, juridiques et d’audit. Elle est régie par des cycles de revue prescrits, la gestion des versions et des exigences de gestion documentaire afin de rester pertinente à mesure que les risques évoluent et que l’environnement réglementaire change. Enfin, la politique établit des liens explicites avec des politiques connexes clés telles que la Politique de contrôle d’accès, la gestion des risques et la Politique de télétravail, garantissant une approche globale et en couches de la gouvernance du risque cyber de l’organisation.