Du caractère virtuel d’une politique de sécurité

En conclusion de cette présentation de la notion de politique de sécurité, il est important de considérer un dernier aspect fondamental, qui est le caractère très souvent virtuel d’une politique de sécurité. Revenons à la définition donnée : la politique de sécurité des systèmes d’information consiste en un ensemble de règles définies pour atteindre et maintenir un certain niveau de sécurité. Il s’agit donc là d’un document de spécifications, qui ne traduit en rien la réalité de sa mise en œuvre.

Cela ne signifie pas que toutes les mesures de la politique de sécurité ne sont pas appliquées, mais simplement que certaines ne le sont peut-être pas encore. La politique spécifie les mesures à mettre en place pour atteindre un niveau de sécurité, elle ne distingue pas celles qui sont déjà en place de celles qui ne le sont pas encore. Il s’agit là encore d’un engagement, pour, à terme, mettre en place ces mesures, les améliorer de manière à atteindre et maintenir le niveau de sécurité ciblé.

Il convient donc de relativiser la portée d’une politique de sécurité, en analysant, conjointement à la politique, deux éléments complémentaires :...

Pour consulter la suite, découvrez le livre suivant :
couv_DPSECISO.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Points clés d’une politique de sécurité : les pratiques ISO 27002
Suivant
Rappel des points clés