Docaro

Politique de sécurité des systèmes d'information générée par IA pour une utilisation en France
PDF & Word - 2026 Mis à jour

Découvrez notre outil d'IA innovant pour générer une Politique de cybersécurité adaptée aux entreprises françaises, garantissant la protection des systèmes d'information contre les cybermenaces.
Création de documents instantanée et gratuite.
Adapté à la loi de France.
Pas d'inscription ni d'abonnement mensuel.
Exemple d'un Politique de sécurité des systèmes d'information à utiliser dans la France généré par notre modèle d'IA.
Exemple Politique de sécurité des systèmes d'information Produit par Docaro

Docaro Tarification

Basique
Gratuit
Génération de documents
Pas d'inscription
Aucun abonnement
Télécharger le PDF avec filigrane
Premium
$4.99 USD
Génération de documents
Pas d'inscription
Aucun abonnement
Télécharger PDF Net
Télécharger Microsoft Word
Télécharger HTML
Télécharger le texte
Document e-mail
Générez votre document gratuitement. Payez uniquement si vous aimez le résultat et avez besoin d'une version sans filigrane.

Quand avez-vous besoin d'une Politique de sécurité des systèmes d'information en France ?

Pour protéger vos données sensibles
Cette politique aide à sécuriser les informations confidentielles de votre entreprise contre les risques de piratage ou de pertes.
En cas de traitement de données personnelles
Si votre activité implique des données de clients ou d'employés, ce document est essentiel pour respecter les règles de protection des données en France.
Pour éviter les interruptions d'activité
Elle définit des mesures pour prévenir les cyberattaques qui pourraient stopper vos opérations et causer des pertes financières.
Lors de l'expansion de votre entreprise
Avec la croissance, les risques augmentent, et une politique claire assure une sécurité adaptée à votre taille.
Pour respecter les obligations légales
En France, de nombreuses entreprises doivent adopter ces règles pour se conformer aux normes de cybersécurité sans complications.
Pourquoi un document bien rédigé est important
Un texte clair et précis motive toute l'équipe à suivre les bonnes pratiques, renforçant ainsi la sécurité globale de votre organisation.

Règles légales françaises pour une Politique de sécurité des systèmes d'information

Obligation générale de sécurité
Les entreprises doivent protéger leurs systèmes informatiques contre les risques pour éviter les pertes ou les fuites de données.
Règlement RGPD
La loi sur la protection des données impose de sécuriser les informations personnelles des clients et employés pour prévenir les violations.
Loi de Programmation Militaire
Cette loi oblige les opérateurs d'importance vitale à adopter des mesures de cybersécurité pour protéger les infrastructures critiques.
Responsabilité de la direction
Les dirigeants sont responsables de mettre en place une politique de sécurité adaptée à leur entreprise et de la faire respecter.
Référentiels ANSSI
L'Agence nationale de la sécurité des systèmes d'information fournit des guides pratiques pour élaborer une politique de sécurité efficace.
Important

Une structure inadaptée pour un document de politique de cybersécurité peut exposer l'entreprise à des risques réglementaires ou des failles de conformité non anticipées.

Ce qu'une Politique de Sécurité des Systèmes d'Information Doit Inclure

  • Définition de la portée
    Précisez les systèmes, données et personnes concernés par la politique pour en clarifier l'application.
  • Objectifs de sécurité
    Définissez les buts principaux comme la protection des informations et la continuité des opérations.
  • Rôles et responsabilités
    Attribuez clairement les tâches à chaque employé ou service pour assurer une mise en œuvre efficace.
  • Mesures de contrôle d'accès
    Établissez des règles pour limiter l'accès aux données sensibles aux seules personnes autorisées.
  • Gestion des incidents
    Définissez les étapes à suivre en cas de violation ou d'attaque pour une réponse rapide.
  • Formation et sensibilisation
    Prévoir des sessions régulières pour éduquer le personnel sur les bonnes pratiques de sécurité.
  • Conformité réglementaire
    Assurez le respect des lois françaises sur la protection des données comme le RGPD.
  • Audit et révision
    Planifiez des vérifications périodiques pour mettre à jour la politique selon les évolutions.

Générez Votre Document en 4 Étapes Faciles

1
Répondez à Quelques Questions
Notre IA vous guide à travers les infos nécessaires.
2
Générez Votre Document
Docaro crée un document sur mesure adapté spécifiquement à vos exigences.
3
Réviser et Éditer
Examinez votre document et soumettez les modifications supplémentaires demandées.
4
Télécharger & Signer
Téléchargez votre document prêt à signer au format PDF, Microsoft Word, Txt ou HTML.

Pourquoi utiliser Docaro ?

Génération Rapide
Générez rapidement un Politique de sécurité des systèmes d'information complet, en éliminant les tracas et le temps associés à la rédaction traditionnelle de documents.
Processus Guidé
Notre plateforme conviviale vous guide étape par étape à travers chaque section du document, en fournissant du contexte et des conseils pour vous assurer de fournir toutes les informations nécessaires pour un Politique de sécurité des systèmes d'information complet et précis.
Plus Sûr que des Modèles Légaux
Nous n'utilisons jamais de modèles juridiques. Tous les documents sont générés à partir de principes fondamentaux, clause par clause, garantissant que votre document soit sur mesure et adapté spécifiquement aux informations que vous fournissez. Cela aboutit à un document beaucoup plus sûr et précis que tout modèle juridique ne pourrait offrir.
Formaté Professionnellement
Votre Politique de sécurité des systèmes d'information sera mis en forme selon des normes professionnelles, incluant des en-têtes, des numéros de clauses et une mise en page structurée. Aucune édition supplémentaire n'est requise. Téléchargez votre document en PDF, Microsoft Word, TXT ou HTML.
Adapté à la loi français
Notre modèle d'IA prend en compte les dernières normes et réglementations légales de la France lors du processus de rédaction.
Rentable
Générez et téléchargez une version filigranée de votre document gratuitement. Payez uniquement si vous souhaitez supprimer le filigrane et obtenir un accès complet à votre document. Aucun abonnement mensuel ni frais cachés. Payez une fois et utilisez votre document pour toujours.
Aucune inscription ou abonnement mensuel requis
Aucun paiement ou inscription n'est requis pour commencer à générer votre Politique de sécurité des systèmes d'information.
Besoin de générer un Politique de sécurité des systèmes d'information dans un autre pays ?
Choisir le pays:

Exemple Gratuit Politique de sécurité des systèmes d'information Modèle

Voici un exemple de modèle gratuit d'un Politique de sécurité des systèmes d'information à utiliser dans la France généré par notre modèle d'IA.

Les clauses de votre Politique de sécurité des systèmes d'information réel varieront par rapport à cet exemple, car elles seront entièrement sur mesure selon vos exigences telles que décrites dans le questionnaire que vous remplirez.

Politique de Sécurité des Systèmes d'Information

1
OBJET ET CHAMP D'APPLICATION

1.1

La présente Politique de Sécurité des Systèmes d'Information (PSSI) a pour objet de définir les principes, règles et mesures destinés à protéger les systèmes d'information de l'entreprise contre les menaces internes et externes, en garantissant la confidentialité, l'intégrité, la disponibilité et la non-répudiation des informations traitées. Elle s'inscrit dans le cadre des obligations légales françaises, notamment le Code de la sécurité intérieure issu de la Loi de Programmation Militaire (LPM), la Directive NIS2 (Directive (UE) 2022/2555) relative à un niveau élevé commun de cybersécurité dans l'Union, le Règlement Général sur la Protection des Données (RGPD) ainsi que les réglementations sectorielles applicables. La PSSI est alignée sur les recommandations et guides de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) et sur les exigences de la norme ISO 27001 relative aux systèmes de management de la sécurité de l'information.

2
INTRODUCTION

2.1

La présente Politique de Sécurité des Systèmes d'Information définit les principes et les mesures pour assurer la protection des systèmes d'information de l'entreprise contre les menaces internes et externes en garantissant la confidentialité l'intégrité et la disponibilité des données.

2.2

La présente politique est adoptée le 15 janvier 2024 et s'applique à l'ensemble des activités de l'entreprise.

2.3

La présente politique est établie en conformité avec le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit RGPD ainsi qu'avec la Loi de Programmation Militaire dite LPM et le droit français applicable.

2.4

L'organisation n'est pas soumise aux obligations d'opérateur d'importance vitale (OIV) au sens de l'article L.1332-1 du Code de la sécurité intérieure. Elle n'est pas non plus identifiée comme entité essentielle ou importante au sens de la Directive NIS2. Par conséquent, les obligations spécifiques telles que les délais de notification renforcés ou le catalogue de mesures de sécurité imposés aux OIV ne s'appliquent pas. La présente PSSI couvre néanmoins l'ensemble des exigences applicables à l'entreprise en matière de cybersécurité et de protection des données.

3
DÉFINITIONS

3.1

Les systèmes d'information désignent l'ensemble des ressources matérielles logicielles organisationnelles et humaines qui collectent traitent stockent et diffusent l'information au sein de l'entreprise.

3.2

La sécurité désigne l'ensemble des mesures et pratiques mises en œuvre pour protéger les systèmes d'information contre les menaces les accès non autorisés et les pertes de données.

3.3

La confidentialité est le principe garantissant que les informations sont accessibles uniquement aux personnes autorisées en protégeant les données sensibles contre toute divulgation non consentie.

3.4

L'intégrité assure que les informations restent complètes précises et non modifiées de manière non autorisée tout au long de leur cycle de vie.

3.5

La disponibilité garantit que les systèmes d'information et les données sont accessibles et utilisables lorsque cela est requis par les utilisateurs autorisés.

3.6

Les données personnelles sont toute information se rapportant à une personne physique identifiée ou identifiable conformément au Règlement Général sur la Protection des Données dit RGPD.

3.7

Un incident de sécurité est tout événement compromettant ou susceptible de compromettre la sécurité des systèmes d'information, notamment en termes de confidentialité, d'intégrité ou de disponibilité des données ou des services.

3.8

Le risque résiduel est le niveau de risque restant après la mise en œuvre des mesures de traitement des risques.

3.9

Les mesures de sécurité désignent les contrôles techniques organisationnels et humains mis en place pour réduire les risques liés à la sécurité des systèmes d'information.

3.10

Le niveau de classification correspond aux catégories (Interne, Confidentiel, Restreint) attribuées aux informations en fonction de leur sensibilité et des impacts potentiels en cas de compromission.

3.11

Le RSSI est le Responsable de la Sécurité des Systèmes d'Information, responsable de la définition et de la mise en œuvre de la PSSI.

3.12

Le DPO est le Délégué à la Protection des Données, chargé de veiller à la conformité au RGPD.

3.13

L'ANSSI est l'Agence Nationale de la Sécurité des Systèmes d'Information, autorité nationale en matière de cybersécurité.

3.14

La non-répudiation est le principe garantissant qu'une action ou transaction ne peut être contestée par l'une des parties impliquées, généralement assuré par des signatures électroniques et certificats numériques.

3.15

Le RBAC (Role-Based Access Control) est le contrôle d'accès basé sur les rôles.

3.16

La MFA (Multi-Factor Authentication) est l'authentification multi-facteurs.

4
PORTÉE

4.1

Cette politique s'applique à l'ensemble des systèmes d'information utilisés pour les opérations quotidiennes incluant les données sensibles et les processus critiques de l'entreprise.

4.2

La politique couvre toutes les opérations en France métropolitaine et dans les bureaux à l'étranger en Europe.

4.3

Les départements inclus sont la Direction Générale les Finances les Ressources Humaines l'IT et la Production.

4.4

Les processus couverts incluent la gestion des commandes clients la comptabilité et la gestion des ressources humaines.

4.5

Les actifs informationnels couverts sont la base de données clients les documents contractuels et les rapports financiers.

4.6

Les actifs techniques couverts sont les serveurs et infrastructure les applications logicielles ainsi que les réseaux et communications.

4.7

La présente politique entre en vigueur le 15 janvier 2024.

5
PRINCIPES GÉNÉRAUX DE SÉCURITÉ

5.1

L'entreprise applique le principe de confidentialité en utilisant le chiffrement des données sensibles en limitant l'accès aux informations selon les rôles des employés et en formant le personnel à la protection des données personnelles conformément au RGPD.

5.2

L'entreprise assure l'intégrité des données par la mise en place de contrôles de validation lors des entrées et des modifications ainsi que par l'utilisation de sauvegardes régulières pour prévenir toute altération non autorisée.

5.3

Pour garantir la disponibilité l'entreprise implémente des systèmes redondants des plans de continuité d'activité et des mesures de protection contre les attaques DDoS afin d'assurer un accès ininterrompu aux services critiques.

5.4

La non-répudiation est appliquée par l'entreprise au moyen de signatures électroniques et de certificats numériques pour toutes les transactions importantes permettant de tracer et de vérifier l'authenticité des actions effectuées.

5.5

L'entreprise accorde une priorité élevée au principe de confidentialité dans sa politique de sécurité.

5.6

L'entreprise prévoit pour l'intégrité des données les mesures suivantes : contrôles de hachage signatures numériques et journaux d'audit.

5.7

L'entreprise prévoit de revoir les principes de sécurité tous les douze mois.

6
GOUVERNANCE ET ORGANISATION

6.1

L'entreprise nomme Marie Dupont en qualité de Responsable de la Sécurité des Systèmes d'Information dit RSSI.

6.2

Marie Dupont a été officiellement nommée en qualité de RSSI le 15 janvier 2024.

6.3

L'entreprise institue le Comité de direction sécurité et le Comité d'audit sécurité pour superviser la sécurité des systèmes d'information.

6.4

Le RSSI est responsable de la définition et de la mise en œuvre de la politique de sécurité.

6.5

La direction générale supervise les décisions stratégiques relatives à la sécurité des systèmes d'information.

6.6

Les comités de gouvernance évaluent régulièrement les risques et les mesures de sécurité.

7
GESTION DES RISQUES

7.1

L'entreprise adopte les méthodes EBIOS et les ateliers avec parties prenantes pour l'identification des risques liés aux systèmes d'information.

7.2

Le processus d'évaluation des risques commence par l'identification des actifs critiques suivie d'une analyse des menaces et vulnérabilités potentielles.

7.3

Chaque risque est ensuite évalué en termes de probabilité et d'impact sur les opérations en utilisant une matrice de risques pour prioriser les actions.

7.4

L'entreprise évalue les risques liés aux systèmes d'information tous les douze mois.

7.5

L'entreprise priorise dans le traitement des risques les risques cybernétiques et les risques de conformité.

7.6

L'entreprise met en place un plan formel de traitement des risques avec des actions et responsables assignés.

7.7

Le Directeur des Systèmes d'Information dit DSI M. Jean Dupont est désigné comme responsable principal de la gestion des risques pour les systèmes d'information.

8
POLITIQUE DE SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE

8.1

Les installations de l'entreprise incluent un bâtiment principal de deux étages abritant les serveurs et un data center dédié avec accès restreint.

8.2

L'entreprise définit un périmètre de sécurité physique autour des bâtiments.

8.3

L'entreprise implémente les systèmes de contrôle d'accès suivants : badges magnétiques et biométrie.

8.4

Les bâtiments disposent de trois points d'accès principaux.

8.5

L'entreprise met en place un enregistrement systématique des accès aux bâtiments.

8.6

Tous les visiteurs doivent s'enregistrer à l'accueil porter un badge visiteur et être accompagnés par un employé autorisé.

8.7

L'entreprise inclut les mesures de contrôle environnemental suivantes : conditionnement d'air et protection contre les surtensions.

8.8

La température minimale autorisée dans les salles des serveurs est de 18 degrés Celsius.

8.9

La température maximale autorisée dans les salles des serveurs est de 27 degrés Celsius.

8.10

L'entreprise vérifie les contrôles environnementaux tous les sept jours.

8.11

L'entreprise installe les systèmes de protection contre les incendies suivants : détecteurs de fumée extincteurs à gaz inerte et plans d'évacuation.

8.12

L'entreprise planifie des tests annuels des systèmes de protection contre les incendies.

8.13

M. Jean Dupont Directeur des Opérations est le responsable désigné pour la sécurité physique et environnementale.

9
GESTION DES ACTIFS D'INFORMATION

9.1

Marie Dupont dont l'adresse électronique est marie.dupont@entreprise.fr est nommée personne responsable de la gestion des actifs d'information.

9.2

L'inventaire des actifs d'information est effectué mensuellement.

9.3

L'entreprise implémente les niveaux de classification des actifs d'information suivants : Interne Confidentiel et Restreint.

9.4

La procédure d'inventaire commence par l'identification de tous les actifs informationnels y compris les documents numériques et physiques.

9.5

Chaque actif est répertorié dans un registre centralisé avec des détails comme le nom le type le propriétaire et la date de création.

9.6

L'inventaire est réalisé par l'équipe IT sous la supervision de la personne responsable avec une vérification trimestrielle pour s'assurer de l'exactitude des données.

9.7

La prochaine révision de la politique de gestion des actifs est fixée au 30 juin 2025.

9.8

L'entreprise inclut dans la procédure les mesures de protection des actifs informationnels suivantes : chiffrement des données contrôles d'accès et sauvegardes régulières.

10
CLASSIFICATION ET MAÎTRISE DES SUPPORTS D'INFORMATION

10.1

L'entreprise applique une classification des informations selon trois niveaux : Interne, Confidentiel et Restreint. Chaque niveau implique des exigences spécifiques en matière d'étiquetage, de manipulation, de stockage, de transmission et de destruction.

10.2

Tout document ou support d'information doit être étiqueté de manière visible et non modifiable (mention explicite du niveau de classification en en-tête, pied de page ou sur le support physique). L'étiquetage doit être conforme aux recommandations de l'ANSSI.

10.3

La manipulation des informations classifiées est réservée aux personnes autorisées. Les supports physiques (disques, clés USB, documents papier) doivent être protégés contre le vol, la perte ou la consultation non autorisée.

10.4

Le stockage des informations doit être réalisé sur des supports sécurisés (chiffrement pour les supports numériques, armoires sécurisées pour les supports papier). L'accès est contrôlé et tracé.

10.5

La transmission d'informations classifiées doit s'effectuer par des canaux sécurisés (chiffrement de bout en bout, protocoles approuvés par l'ANSSI). Les transmissions par courrier électronique non chiffré sont interdites pour les niveaux Confidentiel et Restreint.

10.6

La destruction des supports d'information doit être irréversible et conforme au niveau de classification : broyage pour le papier, effacement certifié ou destruction physique pour les supports numériques. Un registre de destruction doit être tenu.

10.7

Ces règles sont mises en œuvre en conformité avec les guides de l'ANSSI et les exigences du RGPD relatives à la protection des données personnelles, notamment les principes d'intégrité et de confidentialité.

11
CONTRÔLES D'ACCÈS

11.1

L'entreprise utilise un système d'authentification centralisée via Active Directory pour gérer les accès aux systèmes et applications.

11.2

Les données sensibles sont protégées par des permissions basées sur les rôles avec des contrôles d'accès aux fichiers via NTFS sur les serveurs Windows.

11.3

L'entreprise applique strictement le principe du moindre privilège dans tous les contrôles d'accès.

11.4

L'entreprise implémente le contrôle d'accès basé sur les rôles dit RBAC et l'authentification multi-facteurs dite MFA.

11.5

L'entreprise impose l'authentification multi-facteurs pour tous les accès sensibles.

11.6

La durée de validité des mots de passe des utilisateurs est de quatre-vingt-dix jours.

11.7

L'entreprise met en place un audit régulier des logs d'accès.

11.8

L'entreprise distingue les niveaux de privilège suivants pour les utilisateurs : accès standard utilisateur accès administrateur et accès invité ou temporaire.

11.9

La procédure pour accorder ou révoquer les accès aux employés commence par une demande écrite du manager via un formulaire en ligne approuvée par le département RH et le responsable IT.

11.10

Une fois approuvée l'accès est accordé dans les quarante-huit heures via l'outil de gestion des identités.

11.11

Pour la révocation elle est automatique lors de la fin de contrat ou sur demande avec une revue trimestrielle des accès actifs.

12
GESTION DES OPÉRATIONS ET DES COMMUNICATIONS

12.1

L'entreprise autorise l'utilisation de médias amovibles comme les clés USB dans ses opérations quotidiennes.

12.2

Les médias amovibles doivent être scannés avec un antivirus avant utilisation.

12.3

Une autorisation préalable est requise pour tout transfert de données et les médias sont stockés dans un coffre sécurisé après usage.

12.4

L'entreprise implémente une séparation stricte entre les environnements de production et de test.

12.5

L'entreprise adopte les méthodes de séparation des environnements suivantes : réseaux virtuels séparés et serveurs physiques distincts.

12.6

L'entreprise exige le chiffrement de toutes les communications internes et externes.

12.7

L'entreprise spécifie les protocoles de communication sécurisés suivants : TLS 1.3 pour les communications web SSH pour l'accès distant et IPsec pour les VPN.

12.8

L'entreprise programme les sauvegardes des opérations tous les sept jours.

12.9

L'entreprise intègre les outils de monitoring des communications et opérations suivants : SIEM open-source et solutions cloud natives.

12.10

L'entreprise inclut des audits périodiques des communications dans les opérations quotidiennes.

13
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX

13.1

L'entreprise utilise les systèmes d'exploitation suivants : Windows Server et Linux Ubuntu Red Hat etc.

13.2

L'entreprise active les mises à jour automatiques pour les systèmes d'exploitation.

13.3

L'entreprise met en place les contrôles d'accès aux systèmes d'exploitation suivants : authentification à deux facteurs dite 2FA gestion centralisée des mots de passe et audit des logs d'accès.

13.4

L'entreprise utilise principalement MySQL pour les applications web PostgreSQL pour les données analytiques et une instance Oracle pour les systèmes legacy.

13.5

L'entreprise implémente le chiffrement des données dans ses bases de données.

13.6

L'entreprise effectue les sauvegardes de ses bases de données tous les sept jours.

13.7

L'entreprise utilise principalement un réseau de type cloud hybride.

13.8

L'entreprise a installé des pare-feu pour sécuriser ses réseaux.

13.9

Les applications critiques utilisées par l'entreprise sont l'ERP interne SAP le CRM Salesforce et la plateforme de gestion des stocks.

13.10

L'entreprise applique à ses applications les mesures de sécurité suivantes : tests de pénétration réguliers validation des entrées utilisateur et mises à jour des bibliothèques tierces.

13.11

L'entreprise programme la revue mensuelle de sécurité des systèmes et réseaux le quinzième jour de chaque mois.

14
GESTION DES INCIDENTS DE SÉCURITÉ

14.1

L'entreprise a mis en place une procédure formelle pour la détection des incidents de sécurité.

14.2

L'entreprise fixe un délai de vingt-quatre heures pour la déclaration d'un incident majeur à l'ANSSI.

14.3

L'entreprise inclut une obligation de déclaration systématique des incidents à l'ANSSI.

14.4

Le point de contact dédié pour les déclarations à l'ANSSI est Jean Dupont avec l'adresse électronique jean.dupont@entreprise.fr et le numéro de téléphone +33 1 23 45 67 89.

14.5

Le processus complet de réponse aux incidents suit le plan formel d'intervention en cas d'incident de sécurité (annexé à la présente PSSI) et inclut les phases suivantes sous la coordination du RSSI : détection (via outils de monitoring et alertes), analyse (qualification de l'incident et évaluation de sa gravité), confinement (isolement des systèmes affectés pour limiter la propagation), éradication (suppression des causes racines telles que malwares ou vulnérabilités), récupération (restauration des systèmes et données à partir de sauvegardes vérifiées), et revue post-incident (analyse des leçons apprises, mise à jour des mesures de sécurité et documentation dans le registre des incidents). L'ensemble du processus respecte les obligations de notification à l'ANSSI et à la CNIL dans les délais légaux (généralement 72 heures pour les violations de données personnelles au titre du RGPD).

15
GESTION DE LA CONTINUITÉ D'ACTIVITÉ

15.1

Jean Dupont est le responsable désigné pour la gestion de la continuité d'activité de l'entreprise.

15.2

L'entreprise dispose d'un plan de continuité d'activité documenté.

15.3

Le plan de continuité vise à couvrir les types de perturbations suivants : panne d'équipement attaque cybernétique et catastrophe naturelle.

15.4

Le temps de reprise maximal acceptable pour les opérations critiques est de quatre heures.

15.5

L'entreprise effectue des tests annuels du plan de continuité d'activité.

15.6

Les principaux fournisseurs critiques pour la continuité des opérations de l'entreprise sont le Fournisseur A pour les serveurs le Fournisseur B pour l'énergie et le Fournisseur C pour les logiciels critiques.

15.7

La fréquence des sauvegardes des données critiques dans le plan de continuité est quotidienne.

16
CONFORMITÉ ET AUDIT

16.1

L'entreprise effectue des audits internes de la conformité de sa politique de sécurité des systèmes d'information.

16.2

L'entreprise prévoit une fréquence annuelle pour les audits internes de sa politique de sécurité.

16.3

L'entreprise planifie des audits externes pour vérifier la conformité de sa politique de sécurité.

16.4

L'entreprise inclut explicitement dans la section de conformité les lois suivantes : le RGPD Règlement Général sur la Protection des Données et la Directive NIS Network and Information Security.

16.5

L'entreprise a désigné un responsable de la conformité au sein de l'entreprise pour superviser les audits et la conformité légale.

16.6

L'entreprise prévoit de réviser la conformité de sa politique de sécurité tous les douze mois.

17
FORMATION ET SENSIBILISATION

17.1

Le programme de formation et sensibilisation commence le 15 janvier 2024.

17.2

Chaque session de formation a une durée de quatre heures.

17.3

Marie Dupont Responsable des Ressources Humaines est désignée responsable du programme de formation et sensibilisation.

18
GESTION DES FOURNISSEURS ET TIERS

18.1

L'entreprise inclut pour la sélection des fournisseurs externes les critères suivants : certification de sécurité telle que ISO 27001 expérience dans le secteur et références clients.

18.2

L'entreprise effectue la supervision des fournisseurs de manière annuelle.

18.3

La prochaine révision de la section Gestion des fournisseurs et tiers est fixée au 1er juin 2025.

19
PROTECTION DES DONNÉES PERSONNELLES

19.1

L'entreprise traite les données personnelles des clients pour la gestion des commandes en ligne incluant les noms adresses email et informations de paiement.

19.2

L'entreprise collecte également des données de navigation sur son site web pour améliorer l'expérience utilisateur via des cookies.

19.3

L'entreprise désigne un délégué à la protection des données dit DPO.

19.4

L'entreprise réalise des analyses d'impact relatives à la protection des données dites AIPD pour les traitements à haut risque.

19.5

L'entreprise traite les types de données sensibles suivants : données de santé et données biométriques.

19.6

L'entreprise a mis en place des procédures pour gérer les droits des personnes concernées tels que l'accès et la rectification.

19.7

L'entreprise accorde un délai de trente jours pour répondre aux demandes d'exercice des droits.

19.8

L'entreprise dispose d'une procédure pour notifier les violations de données à la CNIL et aux personnes concernées.

19.9

L'entreprise prévoit une fréquence annuelle pour les audits de conformité RGPD.

19.10

Le traitement des données personnelles respecte l'ensemble des principes du RGPD : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité (accountability). L'entreprise met en œuvre la protection des données dès la conception (privacy by design) et par défaut (privacy by default). La gestion du consentement est réalisée via des mécanismes clairs, granulaires et facilement révocables. Les transferts internationaux de données, lorsqu'ils ont lieu, sont encadrés par des clauses contractuelles types, des décisions d'adéquation ou des mécanismes appropriés approuvés par la CNIL.

This example shows approximately 70% of a typical document and is provided for illustrative purposes only. The remaining content has been omitted.

Every document generated by Docaro is tailored to your specific circumstances, jurisdiction and the information you provide. The completed document includes all applicable clauses and provisions required for your situation.

Pour générer le document complet et personnalisé, répondez à une courte série de questions et votre document sera créé instantanément.

Ressources utiles lors de la considération d'un Politique de sécurité des systèmes d'information en la France

Les fiches pratiques sur la cybersécurité
Stratégie nationale de cybersécurité 2026-2030
CNIL: Particulier
Guide de cybersécurité à l'usage des start-up du numérique
Afficher toutes les ressources

France Législation de Référence

La législation suivante est pertinente pour la génération d'un Politique de sécurité des systèmes d'information en la France :
Bien que européen, il est directement applicable en France et impose des exigences strictes en matière de sécurité des données personnelles, intégrées dans les politiques de cybersécurité des entreprises.

FAQ

Une politique de cybersécurité, ou Politique de sécurité des systèmes d'information (PSSI), est un document cadre qui définit les règles, procédures et responsabilités pour protéger les systèmes informatiques, les données et les actifs numériques d'une entreprise contre les menaces cybernétiques. En France, elle est essentielle pour se conformer au RGPD et à la loi de programmation militaire, et aide à prévenir les risques de piratage ou de pertes de données.
Afficher toutes les FAQ

FAQ sur la génération de documents

Docaro est un générateur de documents juridiques et d'entreprise alimenté par l'IA qui vous aide à créer des contrats et accords juridiques entièrement formatés en quelques minutes. Il suffit de répondre à quelques questions guidées et de télécharger votre document instantanément.
Afficher toutes les FAQ
Vous Pourriez Aussi Être Intéressé Par
Document Interne Qui Définit Les Règles De Conduite, Les Droits Et Obligations Des Salariés Au Sein De L'entreprise.
Document Définissant Les Règles De Comportement Éthique Et Professionnel Au Sein D'une Organisation.
Document D'entreprise Définissant Les Règles Et Conditions Du Télétravail Et Du Travail Hybride.
Document Définissant Les Règles D'usage Approprié Des Ressources Informatiques En Entreprise.
Document Interne Définissant Les Étapes Pour Signaler Des Actes Illicites Ou Déviations Éthiques Au Sein De L'entreprise.
Document Définissant Les Règles De Conduite, Les Sanctions Et Les Mécanismes Pour Traiter Les Plaintes Des Employés En Entreprise.
Document Obligatoire Qui Identifie Et Évalue Les Risques Professionnels Pour Prévenir Les Accidents Et Maladies Au Travail.
Document Qui Décrit Les Missions, Responsabilités Et Qualifications Requises Pour Un Poste.
Document Formalisant Un Plan D'amélioration Des Performances D'un Salarié En Cas D'insuffisance Professionnelle, Menant Potentiellement À Un Licenciement Si Non Respecté.
Document D'entreprise Qui Expose Les Principes Directeurs Pour La Politique De Rémunération Des Employés.
Document Interne D'entreprise Justifiant La Promotion D'un Employé Par Ses Mérites Et Performances.
Document D'entreprise Qui Définit Les Procédures Pour Maintenir Les Opérations Critiques Et Restaurer Les Services Après Une Interruption Majeure.
Document Corporatif Qui Définit Les Procédures Et Normes Pour Assurer La Qualité Des Produits Ou Services.
Document D'entreprise Qui Rend Compte Des Performances En Matière De Durabilité Environnementale, Sociale Et De Gouvernance.

Articles associés

Sections types d’une politique de cybersécurité
Découvrez les sections clés d’une politique de cybersécurité en France pour renforcer vos règles, contrôles et responsabilités.
Rôles et responsabilités en cybersécurité
Découvrez les rôles et responsabilités en cybersécurité en France pour mieux organiser la sécurité de votre organisation.
 
COID:61CID:119