Politique de gestion des actifs

La Politique de gestion des actifs (P12) établit les exigences organisationnelles pour identifier, classer, gérer et sécuriser tous les actifs informationnels tout au long de leur cycle de vie. Le document vise à fournir une supervision et une gouvernance d'entreprise à l’échelle de l’organisation, couvrant le matériel, les logiciels, les données, les ressources cloud, ainsi que les environnements mobiles, à distance et gérés par des tiers. Son objectif principal est d’assurer une visibilité complète sur le portefeuille d’actifs, afin de permettre des contrôles de sécurité efficaces, l’attribution de responsabilités, la conformité réglementaire et des procédures de mise hors service responsables. Les actifs couverts par cette politique incluent notamment : ordinateurs portables, postes de travail, objets connectés, supports amovibles, imprimantes, équipements réseau, logiciels, bases de données, données de sauvegarde, clés de chiffrement, données structurées et données non structurées, rapports, courriels, propriété intellectuelle, ressources cloud, machines virtuelles, comptes utilisateurs, socle de contrôles de configuration, licences, etc. Tous les employés, contractants, prestataires tiers de services et fournisseurs tiers qui utilisent, gèrent ou accèdent à des actifs informationnels détenus ou contrôlés par l’organisation sont couverts par la politique. Cette couverture s’étend aux actifs dans des environnements à distance, hybrides ou externalisés, afin que la sécurité et la traçabilité des actifs ne soient pas compromises par la localisation. Un objectif fondamental est le maintien d’un registre des actifs centralisé, exact et à jour, géré par le gestionnaire des actifs informatiques et, lorsque possible, intégré à d’autres systèmes de gestion des configurations. Chaque actif enregistré dans cet inventaire doit inclure des métadonnées obligatoires telles que son identifiant unique, sa propriété, sa classification, sa localisation et son statut de cycle de vie. Un propriétaire de l’actif est désigné pour chaque actif et est chargé d’assurer sa classification appropriée, sa protection et la validation périodique des enregistrements. Le processus de classification sous-tend l’ensemble de la politique, en garantissant que les actifs sont étiquetés et gérés selon la sensibilité, la criticité et toute exigence réglementaire pertinente. Des procédures de marquage sont appliquées aux actifs numériques et physiques, et les exigences de traitement (par exemple, chiffrement, stockage verrouillé ou accès restreint) doivent correspondre aux niveaux de classification. La politique détaille les contrôles de sécurité à chaque étape du cycle de vie des actifs : enrôlement, réaffectation, traitement, usage, retour sécurisé lors de la procédure de départ et élimination sécurisée. Elle stipule que l’utilisation des actifs doit respecter l’utilisation acceptable des actifs de l'entreprise et interdit explicitement la réaffectation d’actifs à des fins personnelles, l’installation de logiciel non autorisé ou le contournement de contrôles tels que l’antivirus et le chiffrement. Les règles d’utilisation à distance exigent l’emploi d’un réseau privé virtuel (VPN) ou d’un tunnel de transport sécurisé et peuvent inclure des solutions de gestion des terminaux et de protection des terminaux. Les pratiques de mise hors service et de destruction sécurisées sont clairement définies, exigeant des effacements cryptographiques ou une destruction physique avec confirmation et tenue de registres. Pour soutenir la conformité et la gestion des risques, la Politique de gestion des actifs s’intègre au registre des risques et prend en charge l’appréciation des risques, la gestion des exceptions et les processus d’audit. Les violations, telles que des actifs non enregistrés ou non autorisés, une élimination inappropriée ou la désactivation de contrôles, constituent des motifs d’escalade et peuvent entraîner des mesures disciplinaires, des pénalités fournisseurs ou des contentieux. Les revues périodiques de la politique impliquent plusieurs groupes de parties prenantes et sont déclenchées par des changements réglementaires, des constatations d'audit, des incidents de sécurité ou des changements opérationnels substantiels. Le document se conclut par des références aux politiques connexes (contrôle d’accès, classification des données, conservation et élimination, journalisation et surveillance, réponse aux incidents), afin que la gestion des actifs constitue un pilier central de la structure de gouvernance globale de l’organisation. Cette politique n’est pas spécifiquement étiquetée comme une politique PME. Elle est conçue pour des organisations disposant d’équipes désignées telles que l’exploitation informatique, le Responsable de la sécurité des systèmes d’information (RSSI), le gestionnaire des actifs et divers acteurs de la conformité et des opérations, répondant aux exigences complètes de l’ISO/IEC 27001:2022 et des cadres associés.