L’absence de politique de sécurité écrite est l’exposition la plus fréquente constatée pendant les audits de sécurité. Même les sites qui ont une politique écrite le font souvent parce qu’un organisme officiel l’exige. Dans de tels cas, la politique de sécurité est souvent faiblement appliquée ou en train d’amasser de la poussière sur une étagère.

  Trop souvent, la direction se contente de dire un officier de sécurité : « Sécurisez l’ordinateur ». Cette même direction ne dirait jamais à  un programmeur de simplement « écrire un programme » sans lui donner les instructions détaillées décrivant les entrées et sorties correspondantes. De même qu’un programmeur a besoin de spécifications de programme détaillées, un officier de sécurité a besoin d’une politique de sécurité pour comprendre les attentes de la direction.

  Une bonne sécurité informatique suppose que les utilisateurs et le système d’exploitation travaillent ensemble pour protéger les informations. Une politique de sécurité exhaustive prend en compte l’homme et la machine. Plus précisément, le plan doit comporter les trois phases suivantes :

  Une politique de sécurité de haut niveau établit les principes directeurs de l’organisation. Ces principes d’entreprise constituent la base de directives et de standards de politique plus détaillés.

  Les directives des utilisateurs définissent l’aspect humain de la sécurité en indiquant aux utilisateurs ce qu’est un comportement acceptable espéré. Ces directives doivent être bien plus qu’une liste de choses à  faire et à  ne pas faire. Elles doivent fournir aux utilisateurs les renseignements nécessaires pour interagir avec l’ordinateur. Les utilisateurs sont plus enclins à  suivre de bonnes pratiques de sécurité s’ils comprennent leurs finalités.

  Les standards système définissent la partie machine d’une politique de sécurité. Ils fournissent des spécifications détaillées pour définir des paramètres de sécurité pour des valeurs système, des profils utilisateur, des paramètres de droits sur les objets et pour toutes les unités rattachées au réseau d’entreprise – y compris des boîtes non-iSeries comme les routeurs et les imprimantes.

  Au lieu de créer une politique de sécurité à  partir de zéro, on peut fort bien partir d’autres politiques existantes. A cet effet, je propose quatre modèles de documents de politique sur mon site Web (http://www.WOE-vans.com). Vous pouvez télécharger ces documents gratuitement, mais je vous demande de bien vouloir faire un don à  l’organisme caritatif de votre choix.