Politique de gestion des actifs - PME

La Politique de gestion des actifs P12S est conçue spécifiquement pour les petites et moyennes entreprises (PME), en reconnaissant les défis propres à ces organisations pour gérer les actifs informationnels avec des ressources techniques et humaines limitées. Reflétant l’ISO/IEC 27001:2022 et d’autres normes internationales, cette politique définit un cadre clair et pratique pour identifier, suivre, protéger et mettre hors service les actifs de l'entreprise, physiques et numériques, tout au long de leur cycle de vie. La politique s’applique à l’échelle de l’entreprise, y compris au matériel (ordinateurs portables, téléphones, USB), aux logiciels (applications, solutions SaaS), aux dépôts de données, aux dispositifs d’accès (cartes à puce, porte-clés), ainsi qu’aux identifiants et services numériques critiques qui soutiennent les opérations quotidiennes. Toutes les parties prenantes — employés, contractants, tiers — qui manipulent les actifs de l'entreprise de l’organisation sont couvertes. La politique prend en compte toutes les formes de travail modernes : au bureau, à distance, hybride, mobile et en informatique en nuage. Ce périmètre étendu garantit que les actifs sont non seulement suivis, mais aussi pris en compte dans les différents environnements où l’activité est menée. Un objectif central est d’établir et de maintenir un inventaire des actifs continuellement mis à jour et exact. Chaque actif doit avoir un propriétaire de l’actif clairement désigné, responsable de sa garde et de son traitement sécurisé. La classification des actifs est mise en avant : les équipements stockant des données clients ou des données sensibles de l’entreprise reçoivent des contrôles de sécurité supplémentaires et un suivi renforcé. Point important pour les PME : toutes les procédures reposent sur des responsabilités gérables et basées sur les rôles. Le Directeur général (DG) assume la responsabilité globale. Un responsable informatique (ou un autre dépositaire désigné) est chargé de la tenue des registres au quotidien, tandis que les responsables hiérarchiques et les employés soutiennent l’attribution des actifs, leur conservation et les processus de récupération des actifs. Cette simplification des rôles garantit l’efficacité même lorsque les organisations ne disposent pas de responsables dédiés à la sécurité ou à l’informatique. La politique détaille strictement les exigences relatives à l’attribution, au retour, à la maintenance, à l’étiquetage et à l’élimination sécurisée des actifs. Les actifs connectés au cloud et les actifs virtuels sont pleinement inclus dans l’approche, tout comme les situations d’usage de terminaux personnels si elles sont approuvées techniquement. Les exceptions (comme le partage informel d’équipements) sont également traitées, nécessitant l’approbation du DG et des mesures compensatoires temporaires pour toute dérogation. Les processus de gouvernance sont pragmatiques : les inventaires structurés doivent inclure des champs pour l’identifiant de l’actif, le type, le statut, la propriété, et plus encore. L’accès à l’inventaire lui-même est strictement contrôlé et soumis à des audits réguliers, physiques et numériques. Des contrôles ponctuels ont lieu au moins tous les six mois, et la politique elle-même est revue annuellement ou lors de l’introduction de nouvelles technologies, de nouvelles obligations réglementaires, ou à la suite d’un incident de sécurité de l'information ou de constatations d'audit. La non-conformité peut entraîner des sanctions disciplinaires, soulignant l’importance d’une gestion sûre et responsable des actifs de l'entreprise de l’organisation. Il s’agit d’une politique PME ClarySec, conforme à l’ISO/IEC 27001:2022 mais spécifiquement adaptée aux organisations ne disposant pas d’effectifs importants en informatique ou en sécurité. Les lignes de responsabilité sont simplifiées tout en maintenant une traçabilité complète, une auditabilité, et un alignement réglementaire au regard de cadres tels que le RGPD, DORA et NIS2.