Définition
Une politique de sécurité est un document formel qui définit les règles, les responsabilités et les procédures qu'une organisation doit respecter pour protéger ses actifs informatiques. La conformité (compliance) consiste à vérifier que l'organisation respecte les exigences des normes, réglementations et standards de sécurité applicables (NIST, ISO 27001, PCI DSS, RGPD, etc.).
Contexte
Les mesures techniques (pare-feu, IPS, chiffrement) ne sont efficaces que si elles s'inscrivent dans un cadre organisationnel structuré. Les politiques de sécurité fournissent ce cadre, tandis que les audits de conformité vérifient qu'il est respecté. La certification CCST attend du candidat qu'il comprenne les concepts fondamentaux des politiques et des frameworks de sécurité.
Détails techniques
Types de politiques de sécurité
| Politique |
Description |
Exemple |
| Politique d'utilisation acceptable (AUP) |
Règles d'utilisation des ressources IT par les employés |
« L'accès aux réseaux sociaux est limité aux pauses » |
| Politique de mots de passe |
Exigences de complexité, rotation, stockage |
Minimum 12 caractères, rotation tous les 90 jours, MFA obligatoire |
| Politique d'accès réseau |
Qui peut accéder à quoi, depuis où |
VPN obligatoire pour l'accès distant, 802.1X sur le LAN |
| Politique de sauvegarde |
Fréquence, rétention, tests de restauration |
Backup quotidien, rétention 30 jours, test mensuel |
| Politique de réponse aux incidents |
Procédure en cas de compromission |
Isolation, analyse, notification, remédiation, post-mortem |
| Politique BYOD |
Règles pour les appareils personnels sur le réseau d'entreprise |
MDM obligatoire, segment réseau séparé |
| Politique de gestion des changements |
Processus d'approbation des modifications |
Change Advisory Board, fenêtre de maintenance, rollback plan |
Frameworks et standards de sécurité
| Framework |
Éditeur |
Description |
| NIST CSF (Cybersecurity Framework) |
NIST (USA) |
5 fonctions : Identify, Protect, Detect, Respond, Recover |
| ISO/IEC 27001 |
ISO |
Système de management de la sécurité de l'information (SMSI), certifiable |
| CIS Controls |
Center for Internet Security |
18 contrôles prioritaires classés par niveau de maturité |
| PCI DSS |
PCI Council |
Exigences pour la protection des données de cartes bancaires |
| SOC 2 |
AICPA |
Audit de contrôles pour les fournisseurs de services cloud |
| RGPD |
Union Européenne |
Protection des données personnelles des citoyens européens |
NIST Cybersecurity Framework — les 5 fonctions
| Fonction |
Objectif |
Exemples d'activités |
| Identify |
Connaître les actifs et les risques |
Inventaire des actifs, évaluation des risques |
| Protect |
Mettre en place les protections |
ACL, chiffrement, MFA, formation |
| Detect |
Détecter les incidents |
IDS/IPS, SIEM, monitoring |
| Respond |
Réagir aux incidents |
Plan de réponse, communication, containment |
| Recover |
Rétablir les services |
Restauration, post-mortem, amélioration |
Principe de moindre privilège (Least Privilege)
Chaque utilisateur, processus ou système ne reçoit que les permissions minimales nécessaires à l'accomplissement de sa tâche. C'est un principe transversal applicable à tous les niveaux :
- Réseau : ACL qui autorisent uniquement le trafic nécessaire.
- Système : comptes utilisateurs sans droits administrateur par défaut.
- Cisco : niveaux de privilège (0, 1, 15) et RBAC (Role-Based Access Control).
| Étape |
Description |
| Définition du périmètre |
Quels systèmes, quels standards |
| Collecte des preuves |
Configurations, logs, procédures documentées |
| Analyse des écarts (gap analysis) |
Comparer l'existant aux exigences |
| Remédiation |
Corriger les non-conformités |
| Certification |
Audit formel par un tiers (si certifiable) |
Métriques de sécurité courantes
| Métrique |
Description |
| MTTD (Mean Time to Detect) |
Temps moyen pour détecter un incident |
| MTTR (Mean Time to Respond) |
Temps moyen pour répondre et contenir |
| Patch compliance rate |
% de systèmes à jour |
| Nombre de vulnérabilités critiques ouvertes |
Indicateur de risque résiduel |
| Taux de faux positifs IDS/IPS |
Indicateur de qualité du tuning |
Exemple concret
Scénario : une PME de 200 employés prépare sa conformité ISO 27001.
- Gap analysis : un consultant identifie 45 écarts par rapport aux 114 contrôles de l'Annexe A.
- Politique de mots de passe (contrôle A.9) : implémenter MFA sur tous les accès VPN et cloud, complexité minimum de 12 caractères.
- Politique d'accès réseau (contrôle A.13) : déployer 802.1X sur tous les ports switch avec authentification RADIUS.
- Gestion des vulnérabilités (contrôle A.12) : scanner mensuel Nessus, patch des vulnérabilités critiques sous 72h.
- Réponse aux incidents (contrôle A.16) : documenter le processus, désigner une équipe CSIRT, réaliser un exercice de simulation.
- Audit de certification : après 6 mois de remédiation, un organisme de certification audite et délivre le certificat ISO 27001.
