Une politique de sécurité est-elle requise pour ISO 27001 ?

Oui. La clause 5.2 d'ISO 27001 exige explicitement que la direction etablisse une politique de sécurité de l'information appropriee a l'objectif de l'organisation, incluant un engagement d'amelioration continue et fournissant un cadre pour définir les objectifs de sécurité. La politique doit etre documentee, communiquee et disponible pour les parties interessees.

Quelle est la difference entre une politique de sécurité et une politique d'utilisation acceptable ?

Une politique de sécurité de l'information est un document de haut niveau qui definit l'approche globale de l'organisation. Une politique d'utilisation acceptable (PUA) est une politique specifique et opérationnelle qui definit comment les employes peuvent utiliser les ressources IT. La PUA est typiquement l'une des politiques de soutien qui mettent en oeuvre la politique de sécurité.

A quelle frequence une politique de sécurité doit-elle etre revisee ?

ISO 27001 exige que la politique soit revisee a intervalles planifies ou lors de changements significatifs. La bonne pratique est de la reviser au minimum annuellement, et en plus apres des changements organisationnels majeurs, des incidents de sécurité significatifs, des modifications des exigences réglementaires ou des changements materiels du paysage des menaces.

Qui est responsable de la politique de sécurité ?

ISO 27001 attribue la responsabilite a la direction (Clauses 5.1, 5.2). En pratique, le RSSI ou le responsable de la sécurité de l'information redige et maintient la politique, mais elle doit etre approuvee par la direction executive. NIS2 va plus loin en exigeant explicitement que les membres de l'organe de direction approuvent les mesures de gestion des risques cyber.

Que doit contenir une politique de sécurité ?

Une politique complete doit inclure : (1) Objet et perimetre ; (2) Objectifs de sécurité ; (3) Roles et responsabilites ; (4) Approche de gestion des risques ; (5) Principes cles — classification, contrôle d'accès, gestion des incidents ; (6) Exigences de conformité ; (7) Revue et amelioration ; (8) Consequences du non-respect.

Ai-je besoin de politiques separees pour la conformité NIS2 ?

L'article 21 de NIS2 exige des politiques sur l'analyse des risques et la sécurité des systemes d'information comme premiere des dix mesures de gestion des risques. Bien que NIS2 ne prescrive pas de formats de politique specifiques, vous devez disposer de politiques documentees couvrant les dix domaines : analyse des risques, gestion des incidents, continuite d'activité, sécurité de la chaîne d'approvisionnement, sécurité réseau, gestion des vulnerabilites, évaluation de l'efficacite, cyber-hygiene, cryptographie et sécurité des ressources humaines.

Politique de sécurité de l'information : definition, contenu et redaction

Published 7 mars 2026

By Emre Salmanoglu

Politique de sécurité de l'information : definition, contenu et redaction

Q: Qu'est-ce qu'une politique de sécurité de l'information ?

Une politique de sécurité de l'information est un document formel qui definit l'approche d'une organisation en matiere de protection des actifs informationnels. Elle etablit les objectifs de sécurité, attribue les responsabilites, fixe les regles d'utilisation acceptable et fournit le fondement de tous les autres contrôles de sécurité. C'est le document de plus haut niveau dans un SMSI.

Guide pratique sur les politiques de sécurité de l'information — definition, importance, contenu, redaction conforme aux exigences ISO 27001, NIS2 et SOC 2, et comment les maintenir efficaces au-dela de la certification initiale.

Politique de securite

ISO 27001

NIS2

SOC 2

SMSI

Gouvernance de la securite

Politique de sécurité de l'information : definition, contenu et redaction

Une politique de sécurité de l'information est le document fondateur de tout programme de sécurité. Elle definit ce que votre organisation protege, comment elle le protege et qui en est responsable. Chaque référentiel de conformité — ISO 27001, SOC 2, NIS2, DORA — en exige une, et chaque auditeur la demande en premier.

Qu'est-ce qu'une politique de sécurité de l'information ?

C'est un document formel, approuve par la direction, qui etablit l'approche de votre organisation en matiere de protection des actifs informationnels. Elle repond a trois questions :

Que protegeons-nous ? — Le perimetre des actifs, systemes et processus couverts
Comment le protegeons-nous ? — Les principes, normes et approches suivis
Qui est responsable ? — La structure de gouvernance, les roles et la responsabilite

Pourquoi c'est important

Exigences réglementaires

ISO 27001 Clause 5.2 exige une politique approuvee par la direction
NIS2 Article 21(2)(a) impose des politiques sur l'analyse des risques et la sécurité des systemes
DORA Article 5 exige des politiques de gestion des risques TIC approuvees par l'organe de direction
SOC 2 CC1.1 attend une structure organisationnelle definie avec des politiques

Valeur pratique

Alignement — Tous travaillent selon les memes attentes de sécurité
Cadre decisional — Fournit des principes pour resoudre les compromis de sécurité
Responsabilite — Une attribution claire previent les lacunes
Evidence — Les politiques documentees demontrent la gouvernance

Que doit contenir la politique

1. Objet et perimetre

Definir pourquoi la politique existe et ce qu'elle couvre : quels actifs informationnels, quelles personnes, quels systemes.

2. Objectifs de sécurité

Objectifs mesurables, coherents avec la politique et suivis.

3. Roles et responsabilites

Role	Responsabilite
Direction executive	Approuver la politique, allouer les ressources, définir l'appetit au risque
RSSI / Responsable sécurité	Developper et maintenir la politique, gerer le SMSI
Operations IT	Mettre en oeuvre les contrôles techniques
Responsables de departement	Appliquer la politique dans leurs équipes
Tous les employes	Suivre la politique, completer la formation, signaler les incidents

4. Approche de gestion des risques

Comment les risques sont identifies, évalués et traites.

5. Principes cles de sécurité

Classification de l'information
Contrôle d'accès — Moindre privilege, besoin d'en connaitre
Gestion des incidents
Continuite d'activité
Gestion des changements
Sécurité des fournisseurs

6. Exigences de conformité

Liste des reglementations et normes applicables.

7. Gouvernance de la politique

Frequence de revue, autorite d'approbation, exigences de communication.

8. Application et consequences

Consequences du non-respect pour les employes et les tiers.

Correspondance avec les référentiels

ISO 27001

La clause 5.2 exige que la politique soit appropriee, incluant des objectifs de sécurité, un engagement de conformité et d'amelioration continue.

NIS2

L'article 21(2)(a) liste les politiques sur l'analyse des risques et la sécurité comme premiere mesure requise, couvrant dix domaines.

SOC 2

Les critères communs exigent des politiques documentees a travers tous les domaines des critères de services de confiance.

Erreurs courantes

Rediger une politique que personne ne lit. Gardez-la concise et actionnable.
Copier des modèles sans personnalisation. Les modèles generiques manquent votre contexte specifique.
Traiter la politique comme statique. Une revue reguliere la maintient alignee.
Pas d'approbation de la direction. Une politique sans approbation executive manque d'autorite.
Deconnexion entre politique et pratique. Si la politique dit une chose et l'organisation fait autre chose, c'est un constat d'audit.

Comment Orbiq soutient les politiques de sécurité

Trust Center — Publiez votre cadre de gouvernance de sécurité et vos certifications
Gestion des preuves — Collecte automatisee des preuves de mise en oeuvre des politiques
Surveillance continue — Suivez l'efficacite des contrôles
Questionnaires IA — Repondez automatiquement aux questions sur vos politiques

Pour aller plus loin

Cadres de gestion des risques — Choisir le bon cadre pour votre SMSI
Automatisation de la conformité — Automatiser la collecte de preuves
Conformité NIS2 — Exigences NIS2 en détail