Sections Types D’Une Politique De Cybersécurité En France
Intitulé de la section | Objectif de la section | Public concerné | Niveau de priorité | Validation formelle requise |
|---|---|---|---|---|
Gouvernance | ||||
Objet et finalité de la politique | Définir les objectifs de sécurité et le cadre général. | Tous les collaborateurs Direction générale | Essentiel | true |
Périmètre d’application | Préciser les entités, systèmes et usages couverts. | Tous les collaborateurs Prestataires externes | Essentiel | true |
Rôles et responsabilités SSI | Attribuer clairement les responsabilités de sécurité. | Direction générale Équipe informatique Responsables métiers | Essentiel | true |
Gestion des risques cyber | Organiser l’identification et le traitement des risques. | Direction générale Responsables métiers Équipe informatique | Essentiel | true |
Protection des données | ||||
Classification des informations | Adapter les protections selon la sensibilité des données. | Tous les collaborateurs Responsables métiers | Essentiel | true |
Gouvernance, Sécurité technique | ||||
Inventaire des actifs numériques | Maintenir la liste des équipements, applications et données. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Gestion des accès | ||||
Gestion du cycle de vie des comptes | Encadrer création, modification et suppression des comptes. | Équipe informatique Responsables métiers Administrateurs systèmes | Essentiel | false |
Authentification et mots de passe | Définir des exigences d’authentification robustes. | Tous les collaborateurs | Essentiel | false |
Authentification multifacteur | Imposer un facteur supplémentaire pour les accès sensibles. | Tous les collaborateurs Administrateurs systèmes | Essentiel | false |
Gestion des accès, Sécurité technique | ||||
Gestion des privilèges | Limiter et contrôler les droits d’administration. | Administrateurs systèmes Équipe informatique | Essentiel | true |
Gestion des accès | ||||
Revue des habilitations | Vérifier régulièrement la pertinence des accès accordés. | Responsables métiers Équipe informatique | Essentiel | false |
Principe du moindre privilège | Accorder uniquement les droits nécessaires. | Tous les collaborateurs Équipe informatique Administrateurs systèmes | Essentiel | false |
Protection des données, Conformité | ||||
Sécurité des données personnelles | Prévoir des mesures adaptées aux risques RGPD. | Tous les collaborateurs Responsables métiers Équipe informatique | Essentiel | true |
Minimisation des données | Limiter les données collectées et conservées. | Responsables métiers Tous les collaborateurs | Essentiel | true |
Durées de conservation et purge | Encadrer l’archivage, la purge et la suppression. | Responsables métiers Équipe informatique | Essentiel | true |
Protection des données, Sécurité technique | ||||
Chiffrement des données | Protéger les données au repos et en transit. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Continuité d’activité, Sécurité technique | ||||
Sauvegardes et restaurations | Assurer la récupération des données critiques. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Sécurité technique, Gestion des incidents | ||||
Journalisation et traçabilité | Tracer les actions sensibles et détecter les anomalies. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Gestion des incidents | ||||
Détection et réponse aux incidents | Organiser l’alerte, l’analyse et le traitement. | Tous les collaborateurs Équipe informatique Direction générale | Essentiel | true |
Gestion des incidents, Conformité, Protection des données | ||||
Notification des violations de données | Définir l’escalade et la notification à la CNIL. | Direction générale Équipe informatique Responsables métiers | Essentiel | true |
Gestion des incidents, Continuité d’activité | ||||
Gestion de crise cyber | Structurer la décision et la communication de crise. | Direction générale Équipe informatique Responsables métiers | Essentiel | true |
Continuité d’activité | ||||
Plan de continuité d’activité | Maintenir les activités critiques en mode dégradé. | Direction générale Responsables métiers Équipe informatique | Essentiel | true |
Continuité d’activité, Sécurité technique | ||||
Plan de reprise informatique | Définir les priorités et délais de reprise SI. | Équipe informatique Administrateurs systèmes Direction générale | Essentiel | true |
Sécurité technique | ||||
Sécurité des postes de travail | Durcir et protéger les terminaux utilisateurs. | Tous les collaborateurs Équipe informatique | Essentiel | false |
Sécurité technique, Protection des données | ||||
Sécurité des équipements mobiles | Encadrer smartphones, tablettes et supports nomades. | Tous les collaborateurs Équipe informatique | Essentiel | false |
Gestion des accès, Sécurité technique | ||||
Télétravail et accès distant | Sécuriser les connexions hors site. | Tous les collaborateurs Équipe informatique | Essentiel | true |
Sécurité technique | ||||
Sécurité réseau et segmentation | Limiter les communications et cloisonner les zones. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Gestion des correctifs | Déployer les mises à jour de sécurité prioritaires. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Sécurité technique, Gouvernance | ||||
Gestion des vulnérabilités | Identifier, qualifier et corriger les failles. | Équipe informatique Administrateurs systèmes | Essentiel | false |
Sécurité technique | ||||
Sécurité du développement applicatif | Intégrer la sécurité dans le cycle de développement. | Équipe informatique Prestataires externes | Recommandé | false |
Gestion des tiers, Sécurité technique, Protection des données | ||||
Sécurité des services cloud | Encadrer l’usage et la sélection des services cloud. | Direction générale Équipe informatique Responsables métiers | Recommandé | true |
Gestion des tiers, Conformité | ||||
Exigences de sécurité des prestataires | Imposer des obligations contractuelles de sécurité. | Prestataires externes Direction générale Responsables métiers | Essentiel | true |
Gestion des tiers, Protection des données, Conformité | ||||
Sous-traitance de données personnelles | Encadrer les traitements confiés aux sous-traitants. | Prestataires externes Responsables métiers Direction générale | Essentiel | true |
Sensibilisation | ||||
Sensibilisation et formation cyber | Former les utilisateurs aux risques et réflexes cyber. | Tous les collaborateurs Prestataires externes | Essentiel | false |
Sensibilisation, Gestion des incidents | ||||
Prévention de l’hameçonnage | Définir les réflexes face aux courriels frauduleux. | Tous les collaborateurs | Essentiel | false |
Gouvernance, Sensibilisation | ||||
Usage acceptable des ressources SI | Encadrer les usages professionnels et personnels tolérés. | Tous les collaborateurs | Essentiel | true |
Conformité, Gouvernance | ||||
Contrôle et surveillance informatique | Encadrer les contrôles dans le respect des salariés. | Tous les collaborateurs Direction générale Équipe informatique | Essentiel | true |
Conformité, Gouvernance, Gestion des incidents | ||||
Exigences NIS 2 applicables | Identifier les obligations cyber des entités concernées. | Direction générale Équipe informatique Responsables métiers | Recommandé | true |
Conformité, Gouvernance, Sécurité technique | ||||
Obligations OSE et OIV | Préciser les règles applicables aux opérateurs critiques. | Direction générale Équipe informatique Administrateurs systèmes | Avancé | true |
Conformité, Gouvernance | ||||
Audits et contrôles de conformité | Vérifier l’application effective de la politique. | Direction générale Équipe informatique Responsables métiers | Recommandé | true |
Gouvernance | ||||
Gestion et mise à jour de la politique | Fixer la périodicité de revue et les approbateurs. | Direction générale Équipe informatique Responsables métiers | Essentiel | true |
Gouvernance, Conformité | ||||
Gestion des dérogations | Encadrer les exceptions aux règles de sécurité. | Direction générale Équipe informatique Responsables métiers | Recommandé | true |
Conformité, Gouvernance | ||||
Manquements et sanctions | Préciser les conséquences d’un non-respect. | Tous les collaborateurs Prestataires externes | Recommandé | true |
Sécurité technique, Protection des données | ||||
Sécurité physique des équipements | Protéger locaux, serveurs et supports contre l’accès non autorisé. | Tous les collaborateurs Équipe informatique Prestataires externes | Recommandé | false |
Protection des données, Sécurité technique | ||||
Supports amovibles et périphériques | Limiter les risques liés aux clés USB et supports externes. | Tous les collaborateurs Équipe informatique | Recommandé | false |
Sécurité technique, Sensibilisation | ||||
Sécurité de la messagerie | Réduire les risques de fraude, malware et fuite. | Tous les collaborateurs Équipe informatique | Essentiel | false |
Protection des données, Sécurité technique | ||||
Échanges d’informations sensibles | Sécuriser les transferts internes et externes. | Tous les collaborateurs Prestataires externes | Essentiel | false |
Effacement et fin de vie des supports | Garantir la suppression sécurisée des données. | Équipe informatique Administrateurs systèmes Prestataires externes | Recommandé | false |
Gouvernance, Protection des données, Conformité | ||||
Sécurité dans les projets | Intégrer sécurité et protection des données dès la conception. | Responsables métiers Équipe informatique Direction générale | Recommandé | true |
Protection des données, Conformité, Gouvernance | ||||
Analyse d’impact AIPD | Identifier les traitements nécessitant une AIPD. | Responsables métiers Direction générale Équipe informatique | Recommandé | true |
Sécurité technique | ||||
Protection contre les logiciels malveillants | Déployer des protections contre virus et rançongiciels. | Équipe informatique Tous les collaborateurs | Essentiel | false |
Gestion des incidents, Continuité d’activité, Sensibilisation | ||||
Prévention des rançongiciels | Prévenir, contenir et réagir aux rançongiciels. | Tous les collaborateurs Direction générale Équipe informatique | Essentiel | true |
Quelles Sections Sont Indispensables Dans Une Politique De Cybersécurité En France ?
Une politique française solide doit prioriser les sections gouvernance, gestion des accès, protection des données, gestion des incidents et continuité d’activité. Ces thèmes couvrent les attentes courantes de l’ANSSI, de la CNIL et des référentiels applicables aux organisations exposées à des obligations de sécurité.
Quelles Sections Doivent Être Validées Par La Direction ?
Les sections relatives au périmètre, aux rôles et responsabilités, à la classification de l’information, à la gestion des risques, au plan de continuité, aux relations avec les prestataires et aux sanctions nécessitent généralement une validation formelle. Elles engagent l’organisation, ses budgets, ses responsabilités et parfois ses relations contractuelles.
Comment Intégrer Le RGPD Et La CNIL Dans La Politique ?
Les sections sur les données personnelles doivent prévoir la minimisation, la sécurité des traitements, la gestion des violations de données, les durées de conservation et les droits des personnes. En France, ces points doivent être cohérents avec le RGPD, la loi Informatique et Libertés et les recommandations de la CNIL.
Pourquoi Prévoir Des Sections Dédiées Aux Prestataires Et Au Cloud ?
Les prestataires externes, infogérants et fournisseurs cloud concentrent des risques élevés : accès privilégiés, hébergement de données, sous-traitance RGPD et dépendance opérationnelle. La politique doit donc imposer des clauses de sécurité, des exigences d’audit, une réversibilité et des mesures de contrôle adaptées.
Quelle Structure Utiliser Pour Un Document Opérationnel ?
Pour rester exploitable, chaque section devrait indiquer qui est concerné, quelle règle appliquer, qui valide, comment contrôler et quoi faire en cas d’écart. Cette approche facilite la diffusion interne, l’audit et la mise à jour régulière de la politique.

FAQs
Vous Pourriez Aussi Être Intéressé Par
