P.I.L.O.T.E

2 min de lecture

3.4 Politique de cybersécurité (GV.PO)

Objectif de la catégorie

Cette catégorie a pour but de garantir que l’organisation dispose d’une politique formelle, diffusée et appliquée en matière de gestion des risques cybersécurité, et que cette politique reste alignée avec l’évolution des menaces, des technologies et des missions.

Info

Une politique SSI sans application réelle est un document mort. Une politique vivante est une boussole pour toute l’organisation.

GV.PO-01 : Politique SSI initialement établie, communiquée et appliquée

1. Élaboration de la politique

  • Doit refléter :
    • Le contexte organisationnel (secteur, taille, exigences)
    • La stratégie cybersécurité
    • Les objectifs de gouvernance des risques
  • Structure typique :
    1. Préambule
    2. Champ d’application
    3. Engagement de la direction
    4. Règles générales de sécurité
    5. Responsabilités
    6. Référentiels applicables

2. Communication et diffusion

  • Validation COMEX/DG obligatoire
  • Diffusion à tous les collaborateurs (intranet, formations)
  • Intégration dans les documents RH et d’onboarding

3. Application concrète

  • Transposée en politiques spécifiques :
    • Gestion des accès, sauvegardes, télétravail, mobilité, etc.
  • Mise en œuvre via :
    • Procédures détaillées
    • Contrôles internes (audits, KPI)
    • Sanctions en cas de non-respect

Example

La politique peut exiger que tout accès distant soit soumis à une authentification forte MFA. Cela est ensuite mis en œuvre via la politique d’accès réseau + outils VPN + audit régulier.

GV.PO-02 : Mise à jour de la politique selon les changements

  • Revue au moins annuelle ou en cas d’événement majeur :
    • Nouvelle menace (ex : ransomware spécifique à un secteur)
    • Évolution réglementaire (ex : entrée en vigueur de DORA)
    • Changement d’architecture technique (ex : migration vers le cloud)
  • Implique les parties prenantes concernées :
    • DSI, métiers, conformité, RH, juridique
  • Historique des versions et tableau des modifications

Tip

Utiliser un gestionnaire documentaire (GRC, wiki interne, SharePoint…) pour gérer versionning et validation.

Synthèse opérationnelle

ÉlémentBonnes pratiques
RédactionInspirée ISO 27001 + CSF
ValidationSignée DG + RSSI
ApplicationDéclinée en politiques thématiques
SuiviIndicateurs de conformité + audits
Mise à jourTous les 12 mois ou après tout incident majeur

Vue Graphique