Pourquoi une politique de sécurité est indispensable
La politique de sécurité de l'information (PSI) est le document fondateur de votre programme de sécurité. C'est le premier document que demandent les auditeurs ISO 27001, les évaluateurs SOC 2, et les clients qui vous envoient un questionnaire de sécurité.
Sans PSI, vous ne pouvez pas :
- Obtenir la certification ISO 27001 (exigence clause 5.2)
- Passer un audit SOC 2 (critère CC1.1)
- Répondre sérieusement à un questionnaire de sécurité enterprise
- Démontrer votre engagement sécurité à vos clients et partenaires
Que doit contenir une politique de sécurité
1. Portée et objectifs
Définissez clairement le périmètre : quels systèmes, quelles données, quels employés sont couverts. Énoncez les objectifs de sécurité de l'entreprise alignés avec la stratégie business.
2. Rôles et responsabilités
- Direction : approuve la politique, alloue les ressources
- RSSI/CISO : définit et supervise la mise en œuvre
- Managers : font appliquer dans leurs équipes
- Employés : respectent la politique au quotidien
- DPO : supervise la conformité RGPD
3. Classification des actifs
Définissez les niveaux de classification : Public, Interne, Confidentiel, Strictement Confidentiel. Chaque niveau doit avoir des règles de manipulation, de stockage et de partage claires.
4. Contrôle d'accès
Principe du moindre privilège, RBAC, MFA obligatoire, processus d'onboarding/offboarding, revue trimestrielle des accès.
5. Chiffrement
Standards de chiffrement au repos (AES-256) et en transit (TLS 1.2+), gestion des clés, politique de rotation.
Automatisez vos questionnaires de sécurité
Compli.st répond à vos questionnaires ISO 27001, SOC 2 et GDPR en quelques minutes grâce à l'IA.
Essayer gratuitement6. Gestion des incidents
Procédure de détection, escalade, confinement, éradication, récupération. Délais de notification (72h RGPD, 24h NIS 2). Rôles dans l'équipe de réponse.
7. Continuité d'activité
RPO/RTO définis, stratégie de sauvegarde, plan de reprise d'activité, tests annuels.
8. Sécurité des ressources humaines
Vérification des antécédents, formation à l'embauche et annuelle, procédure de départ (révocation des accès sous 24h).
9. Gestion des fournisseurs
Évaluation sécurité des sous-traitants, clauses contractuelles, revue annuelle, liste des sous-processeurs.
10. Conformité et audit
Cadre réglementaire applicable, programme d'audit interne, amélioration continue, revue annuelle de la politique.
Alignement avec les référentiels
| Section de la PSI | ISO 27001 | SOC 2 |
|---|---|---|
| Portée et objectifs | Clause 5.2, A.5.1 | CC1.1 |
| Rôles et responsabilités | Clause 5.3, A.6.1 | CC1.2, CC1.3 |
| Contrôle d'accès | A.9 | CC6.1-6.3 |
| Chiffrement | A.10 | CC6.1 |
| Gestion des incidents | A.16 | CC7.3-7.5 |
| Continuité d'activité | A.17 | A1.1-A1.3 |
Erreurs courantes
- Copier une politique générique sans la personnaliser : les auditeurs le voient immédiatement
- Ne jamais la mettre à jour : une politique doit être revue au minimum annuellement
- Ne pas la faire approuver par la direction : exigence ISO 27001 explicite
- Rédiger un document de 50 pages que personne ne lit : soyez concis et actionnable
Obtenez votre template gratuit
Compli.st génère automatiquement une politique de sécurité personnalisée pour votre entreprise, alignée sur ISO 27001 et SOC 2. Créez votre compte gratuit pour y accéder.