Politique de sensibilisation et de formation à la sécurité de l’information

La Politique de sensibilisation et de formation à la sécurité de l’information (P08) établit un cadre formel, à l’échelle de l’organisation, afin de garantir que l'ensemble du personnel, les contractants et les prestataires tiers de services comprennent leurs responsabilités en matière de sécurité de l'information. Elle impose une formation complète qui soutient la conformité avec ISO/IEC 27001:2022 et d’autres cadres de référence mondiaux. Le document décrit une approche fondée sur les risques, exigeant que la sensibilisation soit traitée en continu via l’enrôlement, la formation de rappel périodique et des tactiques de formation déclenchées par des événements, adaptées à l’évolution des menaces et des obligations réglementaires. Cette politique définit un périmètre clair, stipulant que tous les utilisateurs disposant d’un accès aux systèmes d'information ou aux installations de l’organisation — qu’il s’agisse d’employés internes, de travailleurs temporaires, de contractants ou de fournisseurs — doivent participer. Les exigences précisent une formation initiale de sensibilisation à la sécurité, des modules de formation basés sur les rôles pour des postes tels que développeurs ou utilisateurs à privilèges élevés, ainsi que des campagnes de sensibilisation continues. Les mécanismes de fourniture incluent la formation en ligne, des sessions virtuelles dirigées par un instructeur, des réunions d'information en présentiel, des simulations et des supports multimédias, avec une formation de rappel annuelle obligatoire ou une formation supplémentaire déclenchée par des incidents de sécurité ou des changements juridiques/technologiques majeurs. Des exigences de gouvernance détaillées garantissent que tous les utilisateurs sont guidés par un contenu pédagogique accessible et inclusif couvrant des thèmes essentiels tels que la résistance au hameçonnage, l’hygiène des mots de passe et les obligations réglementaires. Les fonctions Ressources humaines (RH) et Responsable de la sécurité des systèmes d’information (RSSI) sont centrales pour maintenir les enregistrements d’achèvement de formation, s’assurer que les nouveaux arrivants et les personnes concernées par des changements de rôle respectent les dates d’échéance, et suivre l’achèvement via un système de gestion de l'apprentissage. La non-conformité entraîne des mesures disciplinaires progressives, allant des rappels automatisés jusqu’à la révocation des accès et l’escalade vers les Ressources humaines (RH). Des simulations d’hameçonnage et des campagnes de sensibilisation périodiques sont obligatoires ; leurs résultats guident l’amélioration du contenu et l’escalade vers un réentraînement ciblé lorsque des risques sont constatés de manière répétée. La gestion des exceptions est définie via un processus d’approbation documenté et fondé sur les risques, et la politique met fortement l’accent sur des exigences de revue et de mise à jour régulières, des mises à jour de contenu et la préparation à l’audit, afin d’assurer un alignement continu avec ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA et COBIT 2019. Ainsi, la politique soutient une défense mesurable et évolutive contre les vulnérabilités liées au facteur humain, essentielle au maintien de la résilience de l’organisation.