Modèle de politique de sécurité et
de protection des données

Nous ne partageons jamais vos données. Privacy Policy

Disposer d’une politique de sécurité des données documentée est une bonne pratique pour toutes les organisations, en particulier celles qui sont soumises à des réglementations de confidentialité des données de plus en plus strictes, comme le RGPD.

Souvent intégrée à une politique de sécurité de l’information ou à une politique de confidentialité plus vaste, la politique de sécurité des données traite d’aspects tels que le cryptage des données, la protection par mot de passe et le contrôle d’accès. Toutefois, l’objectif ne se limite pas à décrire les mesures de sécurité ; une politique de sécurité des données sert également à montrer l’engagement de l’entreprise à respecter les exigences de conformité. La politique doit notamment définir des mesures organisationnelles en matière de protection des données sensibles et critiques, par exemple les informations personnelles. Elle doit également préciser les rôles et les fonctions au sein du processus de protection des données, notamment les responsabilités du délégué à la protection des données (DPO), pour conformité avec le RGPD.

Voici un modèle de politique de contrôle d’accès aux données que vous pouvez adapter pour répondre aux exigences juridiques particulières de votre organisation.

Politique de sécurité des données : contrôle d’accès

Les organisations créent une politique de contrôle d’accès aux données pour s’assurer que les utilisateurs ne peuvent accéder qu’aux ressources dont ils ont besoin pour faire leur travail – autrement dit, pour appliquer un modèle du moindre privilège. Habituellement, cette politique est mise en œuvre avec une combinaison de contrôles techniques et de formation, afin de former les utilisateurs à leurs responsabilités en matière de protection des données.

Le modèle de politique de sécurité des données ci-dessous offre un cadre pour l’attribution des contrôles d’accès aux données. Une fois que vous aurez élaboré votre politique à partir du modèle, veillez à l’étendre aux nouvelles ressources qui s’ajoutent à votre entreprise.

Modèle de politique de sécurité des données

Voici les principales sections à inclure dans votre politique de sécurité des données, ainsi que des exemples de leur contenu.

1. Objectif

Dans cette section, vous expliquez ce qui motive cette politique. Voici un exemple :

L’entreprise doit restreindre l’accès aux données confidentielles et sensibles pour éviter qu’elles ne soient perdues ou compromises, de façon à ne pas nuire à nos clients, à ne pas encourir de sanctions pour non-conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.

Il n’est pas attendu de cette politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les exigences de prévention des fuites de données.

2. Champ d’application

2.1 Dans le champ d’application

Dans cette section, vous dressez la liste de tous les aspects qui relèvent de la politique, par exemple les sources de données et les types de données. Exemple :

Cette politique de sécurité des données s’applique à toutes les données clients, données personnelles ou autres données de l’entreprise définies comme sensibles par la politique de classification des données de l’entreprise. Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques de l’entreprise est également soumis à cette politique.

2.2 Hors du champ d’application

Vous indiquez ici ce qui ne relève pas de votre politique de sécurité des données.

Les informations classées comme publiques ne sont pas soumises à cette politique. D’autres données peuvent être exclues de la politique par la direction de l’entreprise, en fonction d’impératifs spécifiques, par exemple le fait que la protection des données est trop coûteuse ou trop complexe.

3. Politique

Il s’agit du corps de la politique, où vous indiquez toutes ses exigences.

3.1 Principes

L’entreprise fournira à tous ses employés et à ses sous-traitants l’accès aux informations dont ils ont besoin pour faire leur travail aussi efficacement que possible.

3.2 Généralités

a. Chaque utilisateur sera identifié par un ID utilisateur unique, afin que tous puissent être tenus pour responsables de leurs actions.

b. L’utilisation des identités partagées n’est autorisée que là où elle sont appropriées, par exemple pour les comptes de formation ou les comptes de service. 

c. Chaque utilisateur doit lire la présente politique de sécurité des données, ainsi que les directives de connexion et de déconnexion, et signer une déclaration stipulant qu’ils comprennent les conditions d’accès.

d. Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le cadre d’une enquête sur incident de sécurité.

e. Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer son travail.

3.3 Autorisation de contrôle d’accès 

L’accès aux ressources et aux services informatiques de l’entreprise sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe. Le service informatique fournis les comptes d’après les documents d’activité du service RH. 

Les mots de passe sont gérés par le centre d’assistance informatique. Les exigences relatives à la longueur, à la complexité et à l’expiration des mots de passe sont indiquées dans la politique des mots de passe de l’entreprise

Le contrôle d’accès basé sur les rôles sert à sécuriser les accès à toutes les ressources basées sur fichiers dans les domaines d’Active Directory. 

3.4 Accès aux réseaux

a. Un accès aux réseaux doit être accordé à tous les employés et sous-traitants, selon les procédures de contrôle d’accès de l’entreprise et le principe du moindre privilège.

b. Tous les employés et sous-traitants bénéficiant d’un accès distant aux réseaux de l’entreprise doivent être authentifiés par le mécanisme d’authentification du VPN uniquement.

c. Les réseaux doivent être séparés selon les recommandations issues des recherches de sécurité sur les réseaux de l’entreprise. Les administrateurs réseaux doivent regrouper les services et systèmes informatiques et les utilisateurs selon les besoins de cette séparation.

d. Des contrôles de routage des réseaux doivent être mis en place pour appliquer la politique de contrôle d’accès.

3.5 Responsabilités des utilisateurs

a. Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quittent leur bureau, pour réduire le risque d’accès non autorisé.

b. Tous les utilisateurs doivent veiller à ne laisser aucune information sensible ou confidentielle autour de leur poste de travail.

c. Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

3.6 Accès aux applications et aux informations

a. Tous les employés et sous-traitants de l’entreprise doivent bénéficier d’un accès aux données et aux applications nécessaires à leur fonction professionnelle.

b. Tous les employés et sous-traitants ne doivent accéder aux données et systèmes sensibles qu’en cas de nécessité professionnelle et avec l’accord de la direction.

c. Les systèmes sensibles doivent être physiquement ou logiquement isolés afin d’en restreindre l’accès au personnel autorisé uniquement.

3.7 Accès aux informations confidentielles et restreintes

a. L’accès aux données classées comme « confidentielles » ou « restreintes » doit être limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction. 

b. Le service de sécurité informatique est responsable d’instaurer les restrictions d’accès. 

4. Directives techniques

Les directives techniques spécifient toutes les exigences relatives aux contrôles techniques utilisés pour accorder l’accès aux données. Voici un exemple :

Les méthodes de contrôle d’accès à utiliser incluent :

  • Audit des tentatives de connexion à tout appareil connecté au réseau de l’entreprise
  • Autorisations Windows NTFS pour les fichiers et dossiers
  • Modèle d’accès basé sur les rôles
  • Droits d’accès aux serveurs
  • Autorisations relatives aux pare-feux
  • Listes de contrôle d’accès aux zones du réseau et au réseau local virtuel
  • Droits d’authentification Web
  • Droits d’accès et listes de contrôle d’accès aux bases de données
  • Chiffrement des données au repos et en transit
  • Séparation des réseaux

Le contrôle d’accès s’applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications Web, sites Web, stockages Cloud et services.

5. Exigences de reporting

Cette section décrit les exigences de documentation des incidents.

a. Des rapports d’incidents quotidiens doivent être produits et traités par le service de sécurité informatique ou l’équipe d’intervention sur incident.

b. Des rapports d’incidents hebdomadaires détaillés doivent être produits par le service de sécurité informatique et envoyés au DSI.

c. Les incidents hautement prioritaires découverts par le service de sécurité informatique doivent être immédiatement remontés. Le DSI doit être contacté aussi vite que possible.

d. Le service de sécurité informatique doit également produire un rapport mensuel indiquant le nombre d’incidents de sécurité informatique et le pourcentage d’entre eux qui ont été résolus.

6. Propriété et responsabilités

Vous indiquez ici qui est propriétaire de quoi et qui est responsable de quelles actions et de quels contrôles.

  • Les propriétaires de données sont des employés dont la principale responsabilité est de gérer les informations qu’ils possèdent ; il peut s’agir par exemple d’un cadre, un chef de service ou un chef d’équipe.
  • L’administrateur de la sécurité des informations est un employé chargé par les responsables informatiques d’assurer un soutien administratif pour l’implémentation, la supervision et la coordination des procédures et systèmes de sécurité, conformément aux ressources informatiques spécifiques.
  • Les utilisateurs comprennent tous ceux qui ont accès aux ressources informatiques, par exemple les employés, les entités de confiance, les sous-traitants, les consultants, les employés à l’essai, les employés temporaires et les bénévoles.
  • L’équipe d’intervention en cas d’incident doit être dirigée par un cadre et inclure des employés de services tels que, par exemple : infrastructure informatique, sécurité des applications informatiques, juridique, financier et ressources humaines.

7. Application

Ce paragraphe doit préciser les pénalités pour les violations du contrôle d’accès.

Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au licenciement. Tout partenaire ou sous-traitant tiers surpris en infraction peut voir sa connexion au réseau suspendue.                     

8. Définitions

Ce paragraphe définit tous les termes techniques utilisés dans la présente politique.

  • Liste de contrôle d’accès (ACL) – Liste des règles ou des entrées de contrôle d’accès (ACE). Chaque ACE d’une ACL identifie une entité de confiance et précise ses droits d’accès autorisés, refusés ou contrôlés.
  • Base de données – Ensemble organisé de données, généralement stocké et accessible électroniquement depuis un système informatique.
  • Chiffrement – Processus de codage d’un message ou d’autres informations afin que seules les parties autorisées puissent y accéder.
  • Pare-feu – Dispositif permettant d’isoler un réseau d’un autre. Les pare-feu peuvent être des systèmes autonomes ou inclus dans d’autres dispositifs, par exemple des routeurs ou des serveurs.
  • Séparation du réseau – Division du réseau en unités logiques ou fonctionnelles appelées zones. Par exemple, vous pouvez avoir une zone pour les ventes, une zone pour le support technique et une autre zone pour la recherche, chacune ayant des besoins techniques différents.
  • Contrôle d’accès basé sur les rôles (RBAC) – Mécanisme de contrôle d’accès neutre en termes de politique, défini selon les rôles et les privilèges.
  • Serveur – Programme ou appareil informatique qui fournit des fonctionnalités à d’autres programmes ou appareils, appelés clients.
  • Réseau privé virtuel (VPN) – Connexion à un réseau privé sécurisé via un réseau public.
  • VLAN (réseau local virtuel) – Groupement logique d’appareils au sein d’un même domaine de diffusion.

9. Documents connexes

Cette section répertorie tous les documents liés à la politique, avec des liens vers ces derniers. Voici une liste d’exemples de politiques que vous pouvez intégrer :

10. Historique des révisions

Chaque révision d’une politique doit être signalée dans cette section.

VersionDate de révisionAuteurDescription des modifications
1.012 juin 2019J.Smith, DSIVersion initiale
    
    

Conclusion

En vous appuyant sur ce modèle, vous pouvez créer une politique de sécurité d’accès aux données pour votre organisation. N’oubliez pas que les politiques de sécurité doivent être concrètes et réalisables, et également accessibles, concises et faciles à comprendre. Efforcez-vous d’atteindre un bon équilibre entre la protection des données, la productivité et le confort des utilisateurs.