Modèle de politique

de sécurité
et de protection
des données
Disposer d’une politique de sécurité des données documentée est une bonne pratique pour toutes les
organisations, en particulier celles qui sont soumises à des réglementations de confidentialité des données de
plus en plus strictes, comme le RGPD.

Souvent intégrée à une politique de sécurité de l’information ou à une politique de confidentialité plus vaste,
la politique de sécurité des données traite d’aspects tels que le cryptage des données, la protection par mot
de passe et le contrôle d’accès. Toutefois, l’objectif ne se limite pas à décrire les mesures de sécurité ; une
politique de sécurité des données sert également à montrer l’engagement de l’entreprise à respecter les
exigences de conformité. La politique doit notamment définir des mesures organisationnelles en matière de
protection des données sensibles et critiques, par exemple les informations personnelles. Elle doit également
préciser les rôles et les fonctions au sein du processus de protection des données, notamment les
responsabilités du délégué à la protection des données (DPO), pour conformité avec le RGPD.

Voici un modèle de politique de contrôle d’accès aux données que vous pouvez adapter pour répondre aux
exigences juridiques particulières de votre organisation.

Politique de sécurité des données :

contrôle d’accès
Les organisations créent une politique de contrôle d’accès aux données pour s’assurer que les utilisateurs ne
peuvent accéder qu’aux ressources dont ils ont besoin pour faire leur travail – autrement dit, pour appliquer
un modèle du moindre privilège. Habituellement, cette politique est mise en œuvre avec une combinaison de
contrôles techniques et de formation, afin de former les utilisateurs à leurs responsabilités en matière de
protection des données.

Le modèle de politique de sécurité des données ci-dessous offre un cadre pour l’attribution des contrôles
d’accès aux données. Une fois que vous aurez élaboré votre politique à partir du modèle, veillez à l’étendre
aux nouvelles ressources qui s’ajoutent à votre entreprise.

2
Modèle de politique de sécurité
des données
Voici les principales sections à inclure dans votre politique de sécurité des données, ainsi que des exemples
de leur contenu.

1. Objectif
Dans cette section, vous expliquez ce qui motive cette politique. Voici un exemple :

L’entreprise doit restreindre l’accès aux données confidentielles et sensibles pour éviter qu’elles ne soient
perdues ou compromises, de façon à ne pas nuire à nos clients, à ne pas encourir de sanctions pour non-
conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les
utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.

Il n’est pas attendu de cette politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt
de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les
exigences de prévention des fuites de données.

2. Champ d’application

2.1 Dans le champ d’application

Dans cette section, vous dressez la liste de tous les aspects qui relèvent de la politique, par exemple les
sources de données et les types de données. Exemple :

Cette politique de sécurité des données s’applique à toutes les données clients, données personnelles ou
autres données de l’entreprise définies comme sensibles par la politique de classification des données
de l’entreprise. Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui
traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au
Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques de
l’entreprise est également soumis à cette politique.

3
2.2 Hors du champ d’application

Vous indiquez ici ce qui ne relève pas de votre politique de sécurité des données.

Les informations classées comme publiques ne sont pas soumises à cette politique. D’autres données
peuvent être exclues de la politique par la direction de l’entreprise, en fonction d’impératifs spécifiques,
par exemple le fait que la protection des données est trop coûteuse ou trop complexe.

3. Politique

Il s’agit du corps de la politique, où vous indiquez toutes ses exigences.

3.1 Principes

L’entreprise fournira à tous ses employés et à ses sous-traitants l’accès aux informations dont ils ont
besoin pour faire leur travail aussi efficacement que possible.

3.2 Généralités

a. Chaque utilisateur sera identifié par un ID utilisateur unique, afin que tous puissent être tenus pour
responsables de leurs actions.

4
 b. L’utilisation des identités partagées n’est autorisée que là où elle sont appropriées, par exemple pour les
comptes de formation ou les comptes de service.

c. Chaque utilisateur doit lire la présente politique de sécurité des données, ainsi que les directives de
connexion et de déconnexion, et signer une déclaration stipulant qu’ils comprennent les conditions d’accès.

d. Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le
cadre d’une enquête sur incident de sécurité.

e. Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque
programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer
son travail.

3.3 Autorisation de contrôle d’accès

L’accès aux ressources et aux services informatiques de l’entreprise sera accordé par le biais d’un compte
d’utilisateur unique et d’un mot de passe complexe. Le service informatique fournis les comptes d’après les
documents d’activité du service RH.

Les mots de passe sont gérés par le centre d’assistance informatique. Les exigences relatives à la longueur, à
la complexité et à l’expiration des mots de passe sont indiquées dans la politique des mots de passe de
l’entreprise.

Le contrôle d’accès basé sur les rôles sert à sécuriser les accès à toutes les ressources basées sur fichiers
dans les domaines d’Active Directory.

3.4 Accès aux réseaux

a. Un accès aux réseaux doit être accordé à tous les employés et sous-traitants, selon les procédures de
contrôle d’accès de l’entreprise et le principe du moindre privilège.

b. Tous les employés et sous-traitants bénéficiant d’un accès distant aux réseaux de l’entreprise doivent
être authentifiés par le mécanisme d’authentification du VPN uniquement.

5
 c. Les réseaux doivent être séparés selon les recommandations issues des recherches de sécurité sur les
réseaux de l’entreprise. Les administrateurs réseaux doivent regrouper les services et systèmes
informatiques et les utilisateurs selon les besoins de cette séparation.

d. Des contrôles de routage des réseaux doivent être mis en place pour appliquer la politique de contrôle
d’accès.

3.5 Responsabilités des utilisateurs

a. Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quittent leur bureau, pour réduire
le risque d’accès non autorisé.
b. Tous les utilisateurs doivent veiller à ne laisser aucune information sensible ou confidentielle autour de
leur poste de travail.
c. Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

3.6 Accès aux applications et aux informations

a. Tous les employés et sous-traitants de l’entreprise doivent bénéficier d’un accès aux données et aux
applications nécessaires à leur fonction professionnelle.
b. Tous les employés et sous-traitants ne doivent accéder aux données et systèmes sensibles qu’en cas de
nécessité professionnelle et avec l’accord de la direction.
c. Les systèmes sensibles doivent être physiquement ou logiquement isolés afin d’en restreindre l’accès au
personnel autorisé uniquement.

3.7 Accès aux informations confidentielles et restreintes

a. L’accès aux données classées comme « confidentielles » ou « restreintes » doit être limité aux
personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la
Politique de sécurité des données ou la direction.

b. Le service de sécurité informatique est responsable d’instaurer les restrictions d’accès.

6
4. Directives techniques

Les directives techniques spécifient toutes les exigences relatives aux contrôles techniques utilisés pour
accorder l’accès aux données. Voici un exemple :

Les méthodes de contrôle d’accès à utiliser incluent :

• Audit des tentatives de connexion à tout appareil connecté au réseau de

l’entreprise
• Autorisations Windows NTFS pour les fichiers et dossiers
• Modèle d’accès basé sur les rôles
• Droits d’accès aux serveurs
• Autorisations relatives aux pare-feux
• Listes de contrôle d’accès aux zones du réseau et au réseau local virtuel
• Droits d’authentification Web
• Droits d’accès et listes de contrôle d’accès aux bases de données
• Сhiffrement des données au repos et en transit
• Séparation des réseaux

Le contrôle d’accès s’applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables,
appareils mobiles, applications Web, sites Web, stockages Cloud et services.

5. Exigences de reporting

Cette section décrit les exigences de documentation des incidents.

a. Des rapports d’incidents quotidiens doivent être produits et traités par le service de sécurité
informatique ou l’équipe d’intervention sur incident.

b. Des rapports d’incidents hebdomadaires détaillés doivent être produits par le service de sécurité
informatique et envoyés au DSI.

7
 c. Les incidents hautement prioritaires découverts par le service de sécurité informatique doivent être
immédiatement remontés. Le DSI doit être contacté aussi vite que possible.

d. Le service de sécurité informatique doit également produire un rapport mensuel indiquant le nombre
d’incidents de sécurité informatique et le pourcentage d’entre eux qui ont été résolus.

6. Propriété et responsabilités

Vous indiquez ici qui est propriétaire de quoi et qui est responsable de quelles actions et de quels contrôles.

ƒ Les propriétaires de données sont des employés dont la principale responsabilité est de gérer les
informations qu’ils possèdent ; il peut s’agir par exemple d’un cadre, un chef de service ou un chef
d’équipe.
ƒ L’administrateur de la sécurité des informations est un employé chargé par les responsables
informatiques d’assurer un soutien administratif pour l’implémentation, la supervision et la coordination
des procédures et systèmes de sécurité, conformément aux ressources informatiques spécifiques.
ƒ Les utilisateurs comprennent tous ceux qui ont accès aux ressources informatiques, par exemple les
employés, les entités de confiance, les sous-traitants, les consultants, les employés à l’essai, les employés
temporaires et les bénévoles.
ƒ L’équipe d’intervention en cas d’incident doit être dirigée par un cadre et inclure des employés de
services tels que, par exemple : infrastructure informatique, sécurité des applications informatiques,
juridique, financier et ressources humaines.

8
7. Application

Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au
licenciement. Tout partenaire ou sous-traitant tiers surpris en infraction peut voir sa connexion au réseau
suspendue.

8. Définitions

Ce paragraphe définit tous les termes techniques utilisés dans la présente politique.

ƒ Liste de contrôle d’accès (ACL) – Liste des règles ou des entrées de contrôle d’accès (ACE). Chaque ACE
d’une ACL identifie une entité de confiance et précise ses droits d’accès autorisés, refusés ou contrôlés.

ƒ Base de données – Ensemble organisé de données, généralement stocké et accessible électroniquement

depuis un système informatique.

ƒ Chiffrement – Processus de codage d’un message ou d’autres informations afin que seules les parties
autorisées puissent y accéder.

ƒ Pare-feu – Dispositif permettant d’isoler un réseau d’un autre. Les pare-feu peuvent être des systèmes
autonomes ou inclus dans d’autres dispositifs, par exemple des routeurs ou des serveurs.

ƒ Séparation du réseau – Division du réseau en unités logiques ou fonctionnelles appelées zones. Par
exemple, vous pouvez avoir une zone pour les ventes, une zone pour le support technique et une autre
zone pour la recherche, chacune ayant des besoins techniques différents.

ƒ Contrôle d’accès basé sur les rôles (RBAC) – Mécanisme de contrôle d’accès neutre en termes de
politique, défini selon les rôles et les privilèges.

ƒ Serveur – Programme ou appareil informatique qui fournit des fonctionnalités à d’autres programmes
ou appareils, appelés clients.

ƒ Réseau privé virtuel (VPN) – Connexion à un réseau privé sécurisé via un réseau public.

ƒ VLAN (réseau local virtuel) – Groupement logique d’appareils au sein d’un même domaine de
diffusion.

9
9. Documents connexes

Cette section répertorie tous les documents liés à la politique, avec des liens vers ces derniers. Voici une liste
d’exemples de politiques que vous pouvez intégrer :

ƒ Politique de classification des données

ƒ Politique des mots de passe
ƒ Politique de prévention des pertes de données
ƒ Politique de chiffrement
ƒ Politique d’intervention en cas d’incident
ƒ Politique de sécurité des postes de travail

10. Historique des révisions

Chaque révision d’une politique doit être signalée dans cette section.

Description des modifications

1.0 J.Smith, IT Manager Version initiale

10
Conclusion
En vous appuyant sur ce modèle, vous pouvez créer une politique de sécurité d’accès aux données pour votre
organisation. N’oubliez pas que les politiques de sécurité doivent être concrètes et réalisables, et également
accessibles, concises et faciles à comprendre. Efforcez-vous d’atteindre un bon équilibre entre la protection des
données, la productivité et le confort des utilisateurs.

À propos de Netwrix
Netwrix est un éditeur de logiciels qui permet aux professionnels de la sécurité et de la gouvernance de
l’information de reprendre le contrôle des données sensibles, réglementées et stratégiques, quel que soit leur
emplacement. Plus de 10 000 organisations du monde entier s’appuient sur les solutions Netwrix pour
sécuriser leurs données sensibles, tirer pleinement parti des contenus d’entreprise, réussir les audits de
conformité en déployant moins d’efforts et en dépensant moins et améliorer la productivité de leurs équipes
informatiques et de leurs travailleurs du savoir.

Fondée en 2006, Netwrix a obtenu plus de 150 distinctions sectorielles et a été sélectionnée dans les listes
Inc. 5000 et Deloitte Technology Fast 500, qui recensent les entreprises à la croissance la plus rapide aux
États-Unis.
Pour en savoir plus, visitez www.netwrix.fr.

Siège social :
300 Spectrum Center Drive, Suite 200, Irvine, CA 92618
Tél : +33 9 75 18 11 19 Gratuit : 888-638-9749 EMEA: +44 (0) 203-588-3023 netwrix.com/social
11
Protégez vos données
en toute simplicité

Concentrez vos efforts sur la protection

des données qui sont vraiment
importantes.

Minimisez le risque de la violation des données.

Détectez rapidement les menaces envers la sécurité.

Annulez des modifications et facilitez

la restauration des objets.

Assurez et prouvez la conformité.

Télécharger un essai