La sécurité de l’information est un sujet crucial à notre époque numérique. Pourtant, bien souvent, on s’en rend compte de son importance seulement après avoir été victimes d’une cyberattaque ou d’un incident de sécurité.
La Clause 7.3 de la norme ISO27001 demande à ce que les employés, mais aussi toutes les parties prenantes d’une organisation, ai été sensibilisé à l’importance de la sécurité de l’information.
Tout d’abord, les équipes doivent comprendre les notions de base de la sécurité de l’information au sens large. Cela ne se limite pas à éviter de cliquer sur des courriels d’hameçonnage ou à maintenir nos mots de passe à jour. Il s’agit également de comprendre comment les normes de sécurité, telles que l’ISO 27001, jouent un rôle vital dans la protection des informations sensibles.
Cependant, pour que ces mesures de sécurité soient efficaces, tous les membres de l’organisation doivent être informés de leur rôle. Chacun a une contribution importante à apporter, que ce soit en signalant des incidents de sécurité, en identifiant des non-conformités ou simplement en veillant à ce que les politiques et procédures de sécurité soient suivies au quotidien.
De plus, il est essentiel de voir les conséquences du non-respect des politiques de sécurité. Cela peut aller de la perte de données sensibles à des amendes légales, sans parler du dommage potentiel à la réputation de l’organisation.
Donc, les membres de l’équipe doivent avoir une formation à l’embauche ainsi que durant l’année sur des items appropriés à leur emploi versus la politique de l’entreprise ainsi que les conséquences de non-respect.
La sensibilisation à la sécurité de l’information et à l’ISO 27001 n’est pas une tâche réservée uniquement à l’équipe informatique. Il s’agit d’un effort collectif qui nécessite la participation de tous.
Je n’ai pas le choix d’utiliser la formule, sur utilisé, qu’une chaîne n’est aussi forte que son maillon le plus faible, et dans le domaine de la sécurité de l’information, chaque membre de l’organisation fait partie de cette chaîne.
Les sujets de sensibilisation
Une formation et sensibilisation à la sécurité de l’information pour les nouveaux employés devrait idéalement couvrir les items suivants :
- Introduction à la sécurité de l’information : Expliquer le concept de sécurité de l’information, pourquoi elle est importante et comment elle affecte les opérations quotidiennes de l’entreprise.
- Politiques et directive de sécurité de l’information : Présenter les politiques. Cela pourrait inclure la politique de mots de passe, la politique de courrier électronique, la politique d’accès à distance, etc.
- Responsabilités individuelles : Expliquer le rôle de chaque employé dans la sécurité de l’information et la responsabilité individuelle de se conformer aux politiques et les conséquences d’un non-respect.
- Menaces à la sécurité : Fournir des informations sur les menaces communes à la sécurité, comme l’hameçonnage, les logiciels malveillants, les attaques par déni de service, etc., et comment les reconnaître.
- Réponse aux incidents de sécurité : Expliquer ce qu’un employé doit faire en cas d’incident ou non-respect la sécurité de l’information, y compris qui contacter et quelles informations fournir.
- Gestion des données : Fournir des directives sur le stockage sécurisé des données, le partage de données et la destruction des données, en particulier pour les données sensibles tel que les renseignements personnels.
- Sécurité physique : Expliquer les protocoles liés à la sécurité physique, comme le verrouillage des écrans d’ordinateur lorsqu’ils ne sont pas utilisés, le stockage sécurisé des documents imprimés, l’accès sécurisé aux bâtiments, etc.
- Loi: Informer les employés des lois concernant la sécurité de l’information et le respect de la vie privée. (Loi sur la protection des renseignements personnels dans le secteur privé notamment ici au Québec)
Critères de succès
Afin de déterminer si nous avons bien répondu à la clause 7.3 de la norme ISO27001, voici quelques questions qu’un auditeur peut vous poser:
- Quel type de formation ou de sensibilisation à la sécurité de l’information est fourni aux employés ? À quelle fréquence cette formation est-elle dispensée ?
- Comment l’organisation mesure-t-elle l’efficacité de ses programmes de sensibilisation à la sécurité de l’information ? Quels sont les indicateurs utilisés ?
- Quelles actions sont prises si un employé ne respecte pas les politiques et procédures de sécurité de l’information de l’organisation ? Comment ces incidents sont-ils enregistrés et traités ?
- Comment l’organisation s’assure-t-elle que les employés sont informés des modifications ou des mises à jour des politiques et procédures de sécurité de l’information ?
- Comment l’organisation engage-t-elle les employés à être proactifs dans la signalisation des incidents de sécurité ou des non-conformités potentielles ?
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
