17 conseils sympas pour rédiger une politique de cybersécurité qui ne craint pas

Les politiques de cybersécurité sont, à certains égards, une forme de passe-partout juridique, avec la place de la responsabilité sur l'auteur de la politique. Mais comme tout écrit juridique, rien n'est évidemment vrai ou faux. Il est donc facile de dire que vous avez besoin d'une politique de cybersécurité. C'est plus difficile d'y arriver. Voici 17 étapes pour créer une politique de cybersécurité de haute qualité qui ne craint pas.

Nous connaissons tous l'importance de la cybersécurité, en particulier pour les organisations qui traitent des informations hautement sensibles. Après tout, les pertes d'une seule violation de données peuvent avoir un effet paralysant sur votre entreprise. Mais même en gardant à l'esprit les conséquences potentielles d'une violation, rédiger une politique de cybersécurité efficace peut être un défi.

De nombreux facteurs doivent être pris en compte lors de la création de votre politique, tels que la manière de gérer les violations de signalement ou la procédure à suivre si un employé perd son appareil mobile. La meilleure façon de vous assurer que vous couvrez toutes les bases est de commencer par ces 17 conseils :

1. Ne le trompez pas !

Vous pourriez être tenté de sauter cette étape. Mais si vous comptez mettre en œuvre une politique de cybersécurité, celle-ci doit être claire et approfondie. Si certaines parties de la politique se lisent comme si elles étaient destinées à un autre système ou ont été écrites par quelqu'un d'autre que vous, cela ne fonctionnera tout simplement pas. Assurez-vous que chaque section est courte et répond clairement aux questions que vos employés pourraient avoir.

Recommandé pour vous : 7 façons dont l'erreur humaine peut provoquer des failles de cybersécurité.

2. Ne le compliquez pas trop !

D'un autre côté, si vous essayez de traiter toutes les situations possibles dans votre politique de cybersécurité, il est presque garanti que personne ne la lira jamais complètement. Et à quoi sert une politique si personne ne sait qu'il y en a une ? Gardez les choses simples pour que les gens ne ressentent pas de difficulté.

3. Amusez-vous !

Certaines personnes peuvent ne pas s'en rendre compte. Mais si vous rendez une politique de cybersécurité amusante, plus de gens la liront et essaieront d'en tirer des leçons. Il ne faut pas grand-chose; ajoutez simplement un langage plaisant ici et là ou incluez des images idiotes de chats dans l'annexe. Cette petite touche fera toute la différence pour s'assurer que tout le monde s'engage à respecter les règles !

4. Associez-le à des récompenses !

Si vous voulez que les gens suivent une politique de cybersécurité, associez-la à quelque chose qu'ils veulent vraiment (comme obtenir une augmentation). Ne vous contentez pas de distribuer des augmentations au hasard, faites-les dépendre de la façon dont les employés ont adopté vos règles et directives. Vous les motiverez encore plus que simplement leur promettre une augmentation ne le ferait !

5. Assurez-vous d'obtenir l'adhésion de toutes les personnes impliquées

Ce n'est pas bon si un groupe de personnes sait qu'elles seront tenues responsables de suivre la politique et cela les rend nerveux - s'ils n'ont pas l'impression d'avoir été impliqués dans sa création et qu'ils ne sont pas d'accord avec elle, alors ils ne le suivront pas. Incluez-les dans le processus ; assurez-vous que personne ne se sente exclu afin que ces politiques fonctionnent au mieux pour tout le monde.

6. Commencez par 'Pourquoi'

Notez la ou les raisons pour lesquelles votre entreprise a élaboré ce document. Par exemple, si vous craignez d'être piraté, incluez « assurer la sécurité de notre entreprise » dans l'énoncé de mission de votre entreprise, puis concentrez-vous sur la protection de votre réseau contre les pirates.

7. Connaissez votre public

Qui essayez-vous de protéger avec ce document ? Essayez-vous de protéger les clients ou les employés ? Qu'en est-il des deux ? La définition de votre public vous aide à savoir qui doit lire cette politique et vous aidera également à décider de la langue à utiliser dans certaines sections du document.

8. Utilisez "périmètre réseau" au lieu de "pare-feu"

Cela peut sembler être un petit changement, mais l'utilisation du mot pare-feu met immédiatement votre public sur la défensive. Plus ils sont techniques, plus ils reconnaîtront le pare-feu comme un terme utilisé uniquement par ceux qui se trouvent à l'intérieur du réseau. Pour tout le monde, c'est un mot déroutant qui semble appartenir à un domaine différent.

De plus, si vous voulez éviter de vous lancer dans des discussions compliquées sur ce qui constitue exactement votre « réseau », vous voudrez utiliser un langage moins définitif que « périmètre du réseau ».

9. N'utilisez pas le mot "hacker"

Sauf lorsqu'il s'agit d'une personne ayant une connaissance approfondie des ordinateurs ou des réseaux qui utilise ses compétences à des fins illégales. Ce mot ne fait référence qu'aux criminels informatiques, il n'est donc pas nécessaire de le mentionner dans le reste de votre document et cela créera de la confusion pour vos lecteurs.

Utilisez le terme « attaquant ». Il devrait être évident qu'un attaquant a de mauvaises intentions, tandis qu'un pirate informatique aime simplement trouver des moyens d'exploiter des logiciels et du matériel pour le plaisir et le profit !

10. Utilisez « données » au lieu d'« informations »

Cela peut sembler contre-intuitif puisque «l'information» est techniquement un sous-ensemble de «données», mais vous voulez que les gens considèrent les données comme quelque chose avec une valeur intrinsèque alors que l'information n'a aucune valeur réelle tant qu'elle n'est pas analysée ou combinée avec d'autres éléments d'information.

Les données sont un mot plus moderne pour information et sont également plus précises. Les informations peuvent être n'importe quel type de données, mais les données sont toujours structurées dans un certain format. Par exemple, il peut s'agir de nombres stockés dans un fichier de feuille de calcul, d'une série de fichiers sur un répertoire de serveur ou même simplement de texte brut (c'est-à-dire le contenu de cet article).

Le mot données est plus facile à comprendre car il fait directement référence au format spécifique sans impliquer qu'il soit nécessairement complet ou complexe.

Vous aimerez peut-être : Documents et protocoles dont votre entreprise a besoin pour la cybersécurité.

11. N'utilisez pas le mot "vulnérabilité et faiblesse"

L'utilisation de mots qui ont des connotations négatives peut rendre votre écriture peu professionnelle. La vulnérabilité ou la faiblesse peuvent être perçues comme des mots négatifs par vos lecteurs et ne doivent donc pas être utilisées dans une politique de sécurité. Il en va de même pour tout autre mot qui pourrait être considéré comme un mot négatif comme compromis ou menace.

Il est préférable d'utiliser des mots qui ont des connotations positives comme la force ou la protection. Cela aide à établir un ton positif dès le début et aide à diriger l'attention de vos lecteurs vers ce sur quoi vous voulez qu'ils se concentrent : les aspects positifs de la rédaction d'une politique de sécurité.

12. Utilisez "logiciel", pas "application" ou "app"

Le mot « logiciel » est plus professionnel et moins susceptible d'être utilisé à mauvais escient que n'importe lequel de ces autres termes, qui prêtent souvent à confusion. Par exemple, une application est utilisée sur votre ordinateur pour exécuter des programmes, tandis qu'une application est quelque chose comme une application de téléphone mobile que vous utilisez pour jouer à des jeux ou suivre les calories (ce qui n'est PAS ce à quoi vous voulez penser lorsque vous envisagez des problèmes de cybersécurité).

13. Utilisez "base de données relationnelle", et non "système de gestion de base de données relationnelle" ou (c'est-à-dire Oracle)

Ne laissez pas des marques spécifiques s'emparer de votre document ! L'idée ici est d'être descriptive plutôt que spécifique à la marque. Et croyez-nous, si vous écrivez cette politique pour un bureau dans une école ou un complexe commercial avec de nombreux employés, vous serez content de l'avoir fait car tout le monde comprendra ce que vous entendez par une base de données relationnelle, même s'ils utilisent différentes marques dans leur vie professionnelle au quotidien.

14. Allez-y doucement avec le jargon

La plupart des politiques sont destinées au personnel non technique et à la direction, alors essayez d'expliquer les termes techniques en termes simples chaque fois que possible. N'obligez pas les gens à chercher des mots qu'ils ne connaissent pas pour comprendre ce que vous essayez de dire. La politique doit être suffisamment accessible pour qu'ils puissent simplement la lire sans avoir à consulter une source extérieure toutes les quelques phrases.

15. Comprendre vos objectifs

Si vous essayez de vous protéger contre des pertes financières ou d'être poursuivi, il est logique de mettre en place certaines restrictions. Cependant, si vous essayez de vous protéger des poursuites en raison de la négligence ou de l'action d'un employé (par exemple, quelqu'un a accédé à des données qui ont causé un préjudice à des tiers), il est moins probable que vous ayez besoin d'autant de restrictions que possible.

16. Faites court

Les utilisateurs ont une durée d'attention courte. Si votre police comporte plus d'une page, elle est trop longue ; et si c'est plus de cinq pages, c'est probablement trop long pour que la plupart des gens se donnent la peine de le lire. Personne ne veut lire une encyclopédie lorsqu'il essaie d'apprendre quelque chose de nouveau, même si vous essayez de l'éduquer sur quelque chose de vraiment important ! Gardez les choses simples et faciles à lire en gardant votre politique aussi concise que possible.

17. Comprenez vos risques

Afin de concevoir une politique de cybersécurité efficace, une organisation doit comprendre quelles données sont les plus importantes pour elle. Soyez prêt pour le pire scénario concernant la façon dont ces données pourraient être affectées par une cyberattaque. Chaque entreprise est différente. Par exemple, une petite entreprise peut ne pas avoir accès à des secrets commerciaux ou à des informations financières sensibles ; bien qu'il soit toujours important pour eux de protéger les informations qu'ils possèdent.

Vous pourriez également aimer : Comment l'apprentissage automatique est-il utilisé dans la cybersécurité ?

Conclusion

Une fois mis en pratique, ces conseils devraient aider à rendre le processus de rédaction d'une politique formelle de cybersécurité beaucoup moins intimidant et stressant. De la création d'un thème à sa simplicité et sa facilité de compréhension. Ils feront, espérons-le, toute la différence. Ainsi, lorsque vous êtes prêt à aborder votre politique de cybersécurité, assurez-vous de prendre ces 17 conseils en considération ; ils devraient grandement améliorer votre produit final.

 Cet article est écrit par Jasmine Pope. Jasmine est une rédactrice très compétente qui se distingue par sa capacité à créer un contenu convaincant. Elle écrit sur l'actualité et mène des études approfondies sur des sujets pertinents. De nombreux écrivains en herbe ont été encouragés par son dévouement et sa vision optimiste. Elle est restée active sur divers sites Web académiques comme Perfect Essay Writing, où elle a partagé ses connaissances avec des étudiants et des professeurs.