SE-A03·Intermédiaire·12 min

Rediger une politique de securite efficace

Comment rediger, diffuser et faire appliquer une politique de securite adaptee a une PME quebecoise.

👤 Dirigeants · Managers · IT Admin
Objectifs d'apprentissage
  • Identifier les politiques de securite essentielles a avoir dans une PME
  • Rediger une politique claire, concise et applicable par les employes non techniques
  • Implementer un processus de diffusion, de formation et de revision des politiques

Les politiques essentielles pour une PME

Une PME n'a pas besoin d'une bibliotheque de 50 politiques. Les indispensables : Politique de securite de l'information (document chapeau), Politique d'utilisation acceptable (AUP : ce que les employes peuvent faire avec les systemes), Politique de mots de passe et MFA, Politique de gestion des incidents, Politique de sauvegarde et restauration, Politique de teletravail et BYOD, et Politique de classification des donnees. Ces sept politiques couvrent 80 % des besoins d'une PME.

🔔 À retenir : CyberSecure Canada (programme federal) fournit des gabarits de politiques adaptes aux PME canadiennes, disponibles gratuitement. Ces gabarits sont un point de depart a personnaliser, pas a copier-coller.

Rediger pour les employes, pas pour les auditeurs

Une politique efficace est lue et comprise par les employes qui doivent l'appliquer, pas seulement par les auditeurs qui la verifieront. Regles de redaction : langage simple et direct, eviter le jargon technique, utiliser des exemples concrets ('vous devez utiliser un mot de passe de 14 caracteres minimum' plutot que 'des credentials conformes aux standards NIST SP 800-63B'), definir les responsabilites clairement, et indiquer les consequences en cas de non-respect.

⚠ Attention : Faire relire la politique par un employe non technique avant publication : si lui ne comprend pas ce qu'il doit faire, personne ne le comprendra. La politique la plus sophistiquee non appliquee est moins efficace qu'une politique simple respectee.

Diffusion, formation et revision

Une politique non communiquee n'existe pas. Le cycle de vie d'une politique : redaction → validation par la direction → signature des employes (accusé de reception) → formation (pas seulement un email) → tests de conformite → revision annuelle. Les nouvelles politiques doivent etre integrees a l'onboarding des nouveaux employes. La revision annuelle verifie que les politiques restent alignees avec l'evolution de l'organisation et du paysage des menaces.

Checklist pratique

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

  • 7 politiques couvrent 80 % des besoins PME : AUP, MDP/MFA, incidents, sauvegardes, teletravail, classification
  • Rediger pour les employes, pas les auditeurs : une politique incomprise n'est pas respectee
  • Signature = engagement : chaque employe doit accuser reception et comprehension des politiques
  • Revision annuelle obligatoire : les menaces evoluent, les politiques doivent suivre