Politique de sécurité informatique
Une politique de sécurité informatique est un plan d’actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration, État, unions d’États…) en matière de sécurité informatique.
Présentation
La politique de sécurité informatique est un des éléments de la politique de sécurité du système d’information. Cette politique est liée à la sécurité de l’information.
Elle définit les objectifs de sécurité des systèmes informatiques d’une organisation.
La définition peut être formelle ou informelle. Les politiques de sécurité sont mises en vigueur par des procédures techniques ou organisationnelles. Une mise en œuvre technique définit si un système informatique est sûr ou non sûr.
La politique de sécurité informatique peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.
Conception globale
Ainsi, la politique de sécurité informatique doit être abordée dans un contexte global :
- la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les anglophones utilisent le terme awareness) ;
- la sécurité de l’information ;
- la sécurité des données, liée aux questions d’interopérabilité, et aux besoins de cohérence des données en univers réparti ;
- la sécurité des réseaux ;
- la sécurité des systèmes d’exploitation ;
- la sécurité des télécommunications ;
- la sécurité des applications (dépassement de tampon), cela passe par exemple par la programmation sécurisée ;
- la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d’information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).