Politique de protection des terminaux et contre les logiciels malveillants - PME

Cette Politique de protection des terminaux – logiciels malveillants (P20S) est spécifiquement conçue pour les petites et moyennes entreprises (PME) recherchant une protection robuste, pratique et alignée sur les normes contre les menaces de logiciels malveillants visant les équipements terminaux. Marquée par le « S » dans son numéro de document et par la délégation de la responsabilité principale au Directeur général, cette politique reflète une approche rationalisée adaptée aux organisations sans Responsable de la sécurité des systèmes d’information (RSSI), Centre opérationnel de sécurité (SOC) ou équipes informatiques à temps plein, tout en restant pleinement conforme aux principaux référentiels, notamment l’ISO/IEC 27001:2022. L’objectif de cette politique est d’établir des normes minimales claires et applicables pour sécuriser tous les équipements terminaux, y compris les ordinateurs portables, postes de travail, tablettes, smartphones et supports amovibles. En couvrant les éléments techniques, procéduraux et comportementaux de la sécurité des terminaux, elle vise à atténuer des risques courants tels que les rançongiciels, les logiciels espions, les enregistreurs de frappe et les logiciels malveillants via USB. La politique est rédigée pour soutenir les objectifs de cyber-résilience de l’organisation et faciliter la conformité réglementaire, notamment au RGPD, à NIS2, à DORA et à COBIT 2019. Le champ d’application est complet : il couvre les équipements de l’organisation et l’usage de terminaux personnels, qu’ils soient sur site, à distance, connectés au cloud ou hors ligne. L'ensemble du personnel, les prestataires de services gérés, les contractants et les stagiaires sont soumis à ses exigences. La politique détaille la gouvernance pour les équipements appartenant à l’entreprise et les équipements personnels, avec un accent particulier sur les contrôles Usage de terminaux personnels, tels que l’antivirus obligatoire ou des agents de type MDM, l’application de correctifs à jour, le stockage chiffré et l’application du verrouillage d’écran. Les exigences opérationnelles clés incluent l’exécution de solutions antivirus ou Détection et réponse sur les terminaux (EDR) approuvées sur tous les terminaux, des analyses complètes hebdomadaires, des mises à jour automatiques des signatures, le blocage des types de fichiers suspects, la désactivation des services inutilisés et l’analyse USB en temps réel. Si un logiciel malveillant est détecté, la déconnexion immédiate, la notification à l’informatique, le confinement, les actions de remédiation et les procédures de notification des incidents sont clairement décrits. Des contrôles supplémentaires imposent une formation régulière de sensibilisation du personnel et des simulations d’hameçonnage continues afin de réduire les risques d’infection liés aux utilisateurs. La politique stipule en outre que les événements critiques (tels que des protections désactivées ou des tentatives d’infection répétées) sont journalisés et font l’objet d’alertes automatisées, que les éléments probants d’audit de conformité sont conservés pour l’audit pendant au moins 12 mois, et que les dérogations sont strictement documentées et limitées dans le temps. Une revue annuelle et des mises à jour déclenchées par des événements garantissent que la politique reste efficace face à l’évolution des menaces et des changements réglementaires. L’ensemble de ces contrôles est adapté aux PME, en fournissant au Directeur général et aux prestataires de support informatique des mesures de sécurité actionnables et gérables répondant aux attentes des principaux cadres réglementaires.