Politique de sécurité de l’information

La politique de sécurité de l’information (P01) établit l’engagement fondamental d’une organisation à protéger la confidentialité, l’intégrité et la disponibilité de ses actifs informationnels. En imposant la mise en œuvre d’un Système de management de la sécurité de l'information (SMSI) formel, la politique fixe l’orientation stratégique essentielle au maintien d’une posture de sécurité à l’échelle de l’entreprise, fondée sur les risques, mesurable et soumise à l’amélioration continue. Le domaine d’application de cette politique est complet et contraignant pour tous les employés, prestataires, prestataires tiers de services, ainsi que pour tous les environnements physiques et numériques impliqués dans le traitement des données de l’entreprise. Elle couvre l’ensemble du cycle de vie de l'information, avec des exigences strictes selon lesquelles toute exclusion de ce domaine d’application doit être entièrement documentée et approuvée par la Direction. Cette application contraignante garantit l’uniformité des normes de protection dans l’ensemble de l’activité, quel que soit l’emplacement ou la fonction de l’actif. Les objectifs définis visent non seulement à satisfaire la conformité aux normes internationales telles que l’ISO/IEC 27001:2022, NIST SP 800-53 et COBIT 2019, mais aussi à favoriser une culture où la sécurité est intégrée aux activités quotidiennes, aux partenariats et aux systèmes d'information métier. À cette fin, les rôles et responsabilités attribués clarifient les attentes pour la Direction, le Responsable de la sécurité des systèmes d’information (RSSI), les propriétaires d’actifs, les équipes informatiques et techniques, ainsi que l'ensemble du personnel. Cela garantit que chacun, de la haute direction aux prestataires externes, comprend ses obligations pour maintenir la sécurité de l’organisation et soutenir la réponse aux incidents, la formation et les activités d’audit. La gouvernance au sein du SMSI constitue un pilier critique de la politique, exigeant des structures formalisées, telles que des comités de pilotage et une matrice de responsabilité, afin de superviser l’évaluation continue de la performance du SMSI et de permettre des revues de direction en temps utile. La politique décrit les exigences d’intégration interfonctionnelle, garantissant que la sécurité de l’information n’est pas cloisonnée mais intégrée à la gestion de projet, aux achats, aux Ressources humaines (RH) et aux fonctions juridiques. Les procédures de revue et de mise à jour sont strictement encadrées, avec gestion de versions et validation explicite de la Direction, renforçant ainsi l’autorité et la responsabilité et la défendabilité réglementaire. Pour répondre aux exigences réglementaires, clients et d’audit, la politique impose que l’ensemble des contrôles et de la documentation associée soient à la fois auditables et vérifiables. Des circuits clairs de sélection des mesures de sécurité fondée sur les risques, de gestion des exceptions et d’acceptation du risque résiduel sont détaillés. La mise en application et la conformité sont soutenues par des conséquences concrètes en cas de non-respect, des protections liées au dispositif d'alerte et des programmes de formation obligatoire. Les interconnexions avec d’autres politiques clés de l’organisation — matrice des rôles et responsabilités, Politique d'utilisation acceptable, Politique de contrôle d’accès, cadre de gestion des risques et audit — garantissent un alignement complet au sein du SMSI pour une gestion unifiée des risques et de la conformité.