itpolicy

Les points essentiels d’une bonne politique informatique

Avec tous les aléas qui impliquent les TCI dans votre entreprise, il est impératif que vous ayez une solide politique informatique en place.

Lorsque cette politique est soutenue par des employés informés et impliqués, elle fera en sorte que votre entreprise reste sûre tout en respectant les normes du secteur.

Une politique informatique complète devrait inclure :

  • Politique d’utilisation acceptable
  • Protection des données
  • Reprise d’activité après un sinistre

Politique d’utilisation acceptable (PUA)

Une PUA détaille l’utilisation acceptable de la technologie au sein de votre entreprise. Elle devrait contenir les lignes directrices de toute la technologie (ordinateurs, téléphones, fax, internet, e-mail et messages vocaux) ainsi que les conséquences en cas de mauvaise utilisation. De cette façon, tous les employés peuvent être tenus pour responsables de leur utilisation de la technologie.  

Il vous faudra inclure la façon dont vous allez faire appliquer la politique, en vous assurant qu’elle serve les intérêts de votre entreprise au mieux et qu’elle ne comporte pas de failles.

Il existe un besoin croissant d’inclure de larges clauses sur les réseaux sociaux dans la PUA ; il est important de revoir les paramètres de sécurité sur les profils associés à votre entreprise, ainsi que d’informer vos employés sur l’utilisation de leurs profils personnels.

Certaines entreprises permettent à leurs employés de consulter les réseaux sociaux quand ils sont en pause mais comme ceci crée un « écart de la norme »  ceci se limite à la pause déjeuner ou s’applique en dehors des heures de travail.

Protection des données

Les huit principes clef mentionnés dans la Loi sur la protection des données de 1998 indiquent que les données devraient être :

  • Utilisées de façon juste et dans le respect de la loi
  • Utilisées à des fins définies, clairement déclarées
  • Utilisées de manière adéquate, appropriée et non excessive
  • Précises
  • Conservées pendant le laps de temps strictement nécessaire uniquement
  • Manipulées selon les droits de protection des données concernant les personnes
  • Gardées dans un endroit sûr et protégé
  • Non transférées en dehors de l’Espace économique européen sans une protection adéquate

Il conviendrait peut-être également d’avertir le Bureau du commissaire à l’information quant aux données que détient l’entreprise. Plus spécifiquement, il vous faudra établir des lignes directrices pour protéger les données sensibles telles que les mots de passe, les niveaux d’accès au réseau et la protection contre les virus.

Il est impératif que toutes les utilisations de données soient en règle avec les lignes directrices émises par le gouvernement, puisque le Bureau du commissaire à l’information a le pouvoir d’«émettre des avis de pénalités financières, demandant aux organisations de payer jusqu’à 500 000 £ pour des manquements sérieux à la Loi de protection de données à partir du 6 avril 2010. 

En août 2015, une fuite de données de l’agence de voyage Thomson engendra la divulgation des données personnelles de 458 personnes au Royaume-Uni dans la sphère publique. Juste trois mois auparavant, la police du sud du Pays de Galles fut sanctionnée par une amende de 160 000 £ pour avoir égaré un enregistrement vidéo versé au dossier des preuves dans le cadre d’une affaire judiciaire. Les disques non cryptés avaient été stockés dans un tiroir de bureau avant de disparaitre.

Le Bureau du commissaire à l’information a encaissé 2 031 250 £ en provenance de 18 amendes en 2015, un chiffre qui sera vraisemblablement atteint en 2016 ; en date du 1er avril de cette année, 8 amendes ont coûté aux entreprises un total de 911 000 £.

Reprise d’activité après un sinistre

La capacité d’une entreprise de récupérer après une sérieuse crise informatique dépend de sa préparation qui, à son tour, est basée sur les trois principes suivants :

Prévention : prendre toutes les mesures possibles afin d’éviter qu’une catastrophe n’ait lieu.

Anticipation : planifier afin de développer des mesures pour contrer les désastres qui pourraient advenir.

Atténuation : gérer les désastres de façon efficace afin que les procédures de fonctionnement normales puissent être restaurées aussi rapidement que possible et sans accrocs.

Les entreprises ont donc besoin d’un solide Plan de reprise d’activité informatique après sinistre. Ceci comprendra un plan complet et détaillé qui devra être mis en place comme pratique standard, pour aider à accélérer le processus de reprise nécessaire.

Ce plan de reprise d’activité après sinistre, qui devra être testé à l’avance, contiendra également les plans sur ce qui se passera durant et après l’avènement d’une urgence. Les objectifs clefs vont comprendre :

  • Minimiser les perturbations du fonctionnement de l’entreprise
  • Minimiser les risques de retard
  • S’assurer que la sécurité est maintenue
  • Garantir un robuste système de secours
  • Faciliter la vitesse de reprise d’activité

Une équipe de reprise d’activité après sinistre sera nécessaire pour diriger les opérations de reprise, avec du personnel pris dans tous les services, même au plus haut niveau de management. L’équipe aura comme responsabilité de mener une évaluation des risques dans l’ensemble de l’entreprise de façon à envisager la probabilité des sinistres et la sécurité des ressources cruciales.

La collecte des données dans l’évaluation des risques devrait inclure un inventaire des politiques, formulaires, équipements, communications, numéros de téléphone importants, coordonnées, ressources clients et toute autre documentation essentielle.

Les entreprises bénéficient d’un grand éventail d’options en termes d’équipements de reprise d’activité après un sinistre informatique, allant des sites traditionnels non-hébergés aux services de colocalisation gérés et aux solutions basées sur le cloud. Le choix final dépendra des besoins et des capacités des entreprises individuelles.

De nombreuses entreprises informatiques construisent des systèmes de sécurité externes. À travers la colocalisation, les entreprises peuvent créer une réplique hors site de l’ensemble de leurs données primaires, pouvant prendre le relais si une perturbation interne avait lieu.

Une politique informatique sûre protègera juridiquement votre entreprise et fera office de ligne directrice interne pour surmonter les imprévus qui peuvent se présenter.

Insights for Professionals vous propose un accès gratuit aux thought leadership les plus récents de marques présentes à échelle mondiale. Nos abonnés bénéficient de contenu spécialisé de haute qualité créé ou regroupé pour les professionnels chevronnés. Pour consulter plus de contenu Informatique, cliquer ici.

Insights for Professionals