Protéger son entreprise
 

Formation et sensibilisation

La formation et la sensibilisation à la sécurité des systèmes d'information et de communication constitue un élément essentiel pour que celle-ci devienne une réalité concrète au sein de notre société.

Politique de sécurité pour PME :

Mesures :

S'organiser

La sécurité d'une entreprise dépend en grande partie des processus métier de celle-ci. Souvent il sera très difficile d'appliquer des règles de sécurité à un processus, qui n'aura pas été pensé pour être sûr. De ce fait il est plus facile, et donc moins cher, de prendre en compte la sécurité depuis la création de l'organisation de la société.
Analysez les processus et essayez de changer ou éliminer ceux qui ne sont pas optimaux, comme par exemple ceux qui nécessiteraient un partage de mot de passe.
L'attribution de rôles spécifiques est ici primordial; l'octroi de responsabilités sur certains actifs, la désignation des personnes responsables de gérer les incidents et la mise en place d'une bonne communication en interne

Protection des locaux

La plupart des organismes disposent de leur propre local ou établissement pour héberger leurs bureaux, dépôts, archives et locaux informatiques. Ils  peuvent ainsi restreindre certains risques dus à des menaces d'origine environnementale, délibérée et accidentelle compromettant les besoins en confidentialité, intégrité ou disponibilité des actifs importants ou vitaux.

 

La mise en place de zones sécurisées, ainsi que la restriction d'accès à ces zones, et donc aux actifs s'y trouvant, réduit nettement le risque provenant de menaces délibérées ou accidentelles.


Les locaux hébergeant des actifs importants ou vitaux doivent également être protégés contre des menaces environnementales, comme notamment les incendies (PME : voir Incendie), les dégâts des eaux, la pollution, la poussière, la corrosion, le gel, les dégâts liés à l'électricité ou des sinistres majeurs.


Voir le chapitre consacré à la  sécurité physique de l'organisme.

Accès physique

Plus un actif est important, plus l'accès physique à celui-ci doit être contrôlé. L'organisme disposera donc d'une zone "publique", accessible aux clients, d'une zone interne, accessible uniquement aux employés ainsi que d'une ou de plusieurs zones sécurisées uniquement accessibles à des personnes autorisées. Les actifs, selon leur importance, seront déployés uniquement dans les zones correspondant à leur degré de protection. Les mesures de sécurité mises en place doivent prévenir des intrusions physiques.

Ainsi un serveur de fichiers, contenant des documents critiques de l'organisme, ne doit pas se trouver dans un local ouvert d'accès. La probabilité d'une manipulation malintentionnée ou accidentelle serait bien trop grande. (PME : voir Vol caractérisé et Pénétration dans les locaux).