Prix
Essai

Politique de gestion des risques et de sécurité des systèmes d’information

Dans cet article, nous décrirons l'exigence de l'article 21(2)(a) de NIS2, qui demande à votre organisation de mettre en œuvre des politiques de gestion des risques et de sécurité des systèmes d'information.

Politique de gestion des risques et de sécurité des systèmes d’information

Dans cet article, nous décrirons l’exigence de l’article 21(2)(a) de NIS2, qui demande à votre organisation de mettre en œuvre des politiques de gestion des risques et de sécurité des systèmes d’information.

L’objectif de cette exigence est de s’assurer que toutes les organisations ont réfléchi à la manière de gérer les risques et de documenter leur gestion de la sécurité des systèmes d’information par le biais d’une politique.

Politique de sécurité des systèmes d’information

Une politique de sécurité des systèmes d’information définit l’approche de votre organisation en matière de gestion de la sécurité des systèmes d’information et la manière dont elle est mise en œuvre, ce qui inclut des mesures techniques, opérationnelles et organisationnelles.

Exigences

NIS2 exige que votre organisation crée et mette en œuvre une politique de sécurité des systèmes d’information pour son réseau et ses systèmes d’information.

La politique doit adopter une approche fondée sur les risques et garantir un niveau de sécurité approprié qui corresponde à l’objectif de l’organisation. Elle doit tenir compte du contexte de l’organisation, de l’état actuel de la technologie, des coûts de mise en œuvre des mesures et des risques pour la sécurité de vos systèmes qui pourraient nuire à la fourniture de vos services essentiels.

La politique de sécurité du système d’information doit respecter les exigences de la directive NIS2 et soutenir les objectifs commerciaux de l’organisation. En outre, elle doit soutenir les activités et les valeurs fondamentales de l’organisation et prendre en compte les risques les plus importants pour l’organisation.

Une politique de sécurité des systèmes d’information doit

  • décrire la manière dont l’organisation gère la sécurité de son réseau et de ses systèmes d’information, le cadre général dans lequel la sécurité est gérée tant sur le plan stratégique que dans les activités quotidiennes
  • définir les objectifs de la cybersécurité, c’est-à-dire ce que l’organisation souhaite obtenir en matière de cybersécurité
  • inclure un engagement à respecter les exigences en matière de cybersécurité, par exemple les exigences légales comme le RGPD.
  • inclure un engagement à continuer d’améliorer la politique le cas échéant
  • être disponible en tant que documentation pour toutes les parties prenantes concernées

L’organisme peut également créer des politiques spécifiques sur certains sujets si nécessaire, par exemple une politique de sauvegarde ou une politique de contrôle d’accès. Ces politiques doivent toujours être cohérentes avec la politique globale de sécurité du système d’information.

Documentation

La politique de sécurité du système d’information doit être mise à jour chaque année et à chaque fois que des changements significatifs interviennent dans les objectifs de l’organisation ou dans le paysage des menaces.

La politique de sécurité du système d’information doit être approuvée par l’organe de direction de l’organisation afin d’en garantir l’appropriation. Si la direction n’assume pas la responsabilité de la politique de sécurité du système d’information, celle-ci n’aura aucun effet au sein de l’organisation.

Toute politique spécifique à une matière doit être examinée par la direction concernée et le résultat de cet examen, y compris les ajustements éventuels, doit être communiqué à l’organe de direction de l’organisation.

Politique de gestion des risques

L’objectif d’une politique de gestion des risques est de définir des règles et des méthodes claires pour l’identification, l’analyse, l’évaluation et le traitement des risques de l’organisation. Cela devrait permettre de garantir une gestion des risques cohérente et efficace dans tous les domaines ayant un impact sur la fourniture de services essentiels.

Exigences

L’organisme doit disposer d’une politique de gestion des risques qui identifie et traite tous les risques liés à la sécurité de son réseau et de ses systèmes d’information.

L’organisation doit procéder à une évaluation des risques et la documenter, mettre en place un plan de gestion des risques et veiller à ce que ce plan soit revu et mis à jour régulièrement.

Les résultats de l’évaluation des risques, le traitement prévu des risques et le niveau des risques qui subsistent doivent être approuvés par le propriétaire du risque. Cela est particulièrement important si les risques sont susceptibles d’affecter des services critiques. Tous les résultats et toutes les décisions doivent également être communiqués à l’organe de direction de l’organisme.

La politique de gestion des risques doit

  • définir un processus clair de gestion des risques,
  • faire partie intégrante de la gestion globale des risques de l’organisation,
  • couvrir tous les types de menaces et veiller à ce que les risques provenant de tiers, tels que les fournisseurs, soient également pris en compte,
  • établir et maintenir des critères clairs pour l’évaluation des risques,
  • identifier les responsables des risques et documenter leurs responsabilités.

En outre, la politique doit également inclure des méthodes d’évaluation des risques et peut décrire :

  • la manière dont l’organisme identifie et documente les risques pour son réseau et ses systèmes d’information, y compris l’identification des points de défaillance uniques,
  • comment sont analysés les risques pour la sécurité des réseaux et des systèmes d’information,
  • la manière dont les risques identifiés sont évalués par rapport aux critères établis,
  • la manière dont l’organisme identifie et hiérarchise les mesures de sécurité appropriées, sur la base de l’évaluation des risques et de l’efficacité de ces mesures,
  • qui est chargé de veiller à ce que les mesures choisies soient mises en œuvre dans les délais,
  • la manière dont l’organisation documente les mesures choisies et explique l’acceptation des risques qui subsistent.

Documentation

Votre politique de gestion des risques doit être mise à jour régulièrement et à chaque fois que des changements importants interviennent dans les activités, les vulnérabilités ou le paysage des menaces de l’organisation. La politique de gestion des risques doit être rédigée et approuvée par la direction.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.