Une politique de securite est-elle requise pour ISO 27001 ?

Oui. La clause 5.2 d'ISO 27001 exige explicitement que la direction etablisse une politique de securite de l'information appropriee a l'objectif de l'organisation, incluant un engagement d'amelioration continue et fournissant un cadre pour definir les objectifs de securite. La politique doit etre documentee, communiquee et disponible pour les parties interessees.

Quelle est la difference entre une politique de securite et une politique d'utilisation acceptable ?

Une politique de securite de l'information est un document de haut niveau qui definit l'approche globale de l'organisation. Une politique d'utilisation acceptable (PUA) est une politique specifique et operationnelle qui definit comment les employes peuvent utiliser les ressources IT. La PUA est typiquement l'une des politiques de soutien qui mettent en oeuvre la politique de securite.

A quelle frequence une politique de securite doit-elle etre revisee ?

ISO 27001 exige que la politique soit revisee a intervalles planifies ou lors de changements significatifs. La bonne pratique est de la reviser au minimum annuellement, et en plus apres des changements organisationnels majeurs, des incidents de securite significatifs, des modifications des exigences reglementaires ou des changements materiels du paysage des menaces.

Qui est responsable de la politique de securite ?

ISO 27001 attribue la responsabilite a la direction (Clauses 5.1, 5.2). En pratique, le RSSI ou le responsable de la securite de l'information redige et maintient la politique, mais elle doit etre approuvee par la direction executive. NIS2 va plus loin en exigeant explicitement que les membres de l'organe de direction approuvent les mesures de gestion des risques cyber.

Que doit contenir une politique de securite ?

Une politique complete doit inclure : (1) Objet et perimetre ; (2) Objectifs de securite ; (3) Roles et responsabilites ; (4) Approche de gestion des risques ; (5) Principes cles — classification, controle d'acces, gestion des incidents ; (6) Exigences de conformite ; (7) Revue et amelioration ; (8) Consequences du non-respect.

Ai-je besoin de politiques separees pour la conformite NIS2 ?

L'article 21 de NIS2 exige des politiques sur l'analyse des risques et la securite des systemes d'information comme premiere des dix mesures de gestion des risques. Bien que NIS2 ne prescrive pas de formats de politique specifiques, vous devez disposer de politiques documentees couvrant les dix domaines : analyse des risques, gestion des incidents, continuite d'activite, securite de la chaine d'approvisionnement, securite reseau, gestion des vulnerabilites, evaluation de l'efficacite, cyber-hygiene, cryptographie et securite des ressources humaines.

Politique de securite de l'information : definition, contenu et redaction

Published 7 mars 2026

By Emre Salmanoglu

Politique de securite de l'information : definition, contenu et redaction

Q: Qu'est-ce qu'une politique de securite de l'information ?

Une politique de securite de l'information est un document formel qui definit l'approche d'une organisation en matiere de protection des actifs informationnels. Elle etablit les objectifs de securite, attribue les responsabilites, fixe les regles d'utilisation acceptable et fournit le fondement de tous les autres controles de securite. C'est le document de plus haut niveau dans un SMSI.

Guide pratique sur les politiques de securite de l'information — definition, importance, contenu, redaction conforme aux exigences ISO 27001, NIS2 et SOC 2, et comment les maintenir efficaces au-dela de la certification initiale.

Politique de securite

ISO 27001

NIS2

SOC 2

SMSI

Gouvernance de la securite

Politique de securite de l'information : definition, contenu et redaction

Une politique de securite de l'information est le document fondateur de tout programme de securite. Elle definit ce que votre organisation protege, comment elle le protege et qui en est responsable. Chaque referentiel de conformite — ISO 27001, SOC 2, NIS2, DORA — en exige une, et chaque auditeur la demande en premier.

Qu'est-ce qu'une politique de securite de l'information ?

C'est un document formel, approuve par la direction, qui etablit l'approche de votre organisation en matiere de protection des actifs informationnels. Elle repond a trois questions :

Que protegeons-nous ? — Le perimetre des actifs, systemes et processus couverts
Comment le protegeons-nous ? — Les principes, normes et approches suivis
Qui est responsable ? — La structure de gouvernance, les roles et la responsabilite

Pourquoi c'est important

Exigences reglementaires

ISO 27001 Clause 5.2 exige une politique approuvee par la direction
NIS2 Article 21(2)(a) impose des politiques sur l'analyse des risques et la securite des systemes
DORA Article 5 exige des politiques de gestion des risques TIC approuvees par l'organe de direction
SOC 2 CC1.1 attend une structure organisationnelle definie avec des politiques

Valeur pratique

Alignement — Tous travaillent selon les memes attentes de securite
Cadre decisional — Fournit des principes pour resoudre les compromis de securite
Responsabilite — Une attribution claire previent les lacunes
Evidence — Les politiques documentees demontrent la gouvernance

Que doit contenir la politique

1. Objet et perimetre

Definir pourquoi la politique existe et ce qu'elle couvre : quels actifs informationnels, quelles personnes, quels systemes.

2. Objectifs de securite

Objectifs mesurables, coherents avec la politique et suivis.

3. Roles et responsabilites

Role	Responsabilite
Direction executive	Approuver la politique, allouer les ressources, definir l'appetit au risque
RSSI / Responsable securite	Developper et maintenir la politique, gerer le SMSI
Operations IT	Mettre en oeuvre les controles techniques
Responsables de departement	Appliquer la politique dans leurs equipes
Tous les employes	Suivre la politique, completer la formation, signaler les incidents

4. Approche de gestion des risques

Comment les risques sont identifies, evalues et traites.

5. Principes cles de securite

Classification de l'information
Controle d'acces — Moindre privilege, besoin d'en connaitre
Gestion des incidents
Continuite d'activite
Gestion des changements
Securite des fournisseurs

6. Exigences de conformite

Liste des reglementations et normes applicables.

7. Gouvernance de la politique

Frequence de revue, autorite d'approbation, exigences de communication.

8. Application et consequences

Consequences du non-respect pour les employes et les tiers.

Correspondance avec les referentiels

ISO 27001

La clause 5.2 exige que la politique soit appropriee, incluant des objectifs de securite, un engagement de conformite et d'amelioration continue.

NIS2

L'article 21(2)(a) liste les politiques sur l'analyse des risques et la securite comme premiere mesure requise, couvrant dix domaines.

SOC 2

Les criteres communs exigent des politiques documentees a travers tous les domaines des criteres de services de confiance.

Erreurs courantes

Rediger une politique que personne ne lit. Gardez-la concise et actionnable.
Copier des modeles sans personnalisation. Les modeles generiques manquent votre contexte specifique.
Traiter la politique comme statique. Une revue reguliere la maintient alignee.
Pas d'approbation de la direction. Une politique sans approbation executive manque d'autorite.
Deconnexion entre politique et pratique. Si la politique dit une chose et l'organisation fait autre chose, c'est un constat d'audit.

Comment Orbiq soutient les politiques de securite

Trust Center — Publiez votre cadre de gouvernance de securite et vos certifications
Gestion des preuves — Collecte automatisee des preuves de mise en oeuvre des politiques
Surveillance continue — Suivez l'efficacite des controles
Questionnaires IA — Repondez automatiquement aux questions sur vos politiques

Pour aller plus loin

Cadres de gestion des risques — Choisir le bon cadre pour votre SMSI
Automatisation de la conformite — Automatiser la collecte de preuves
Conformite NIS2 — Exigences NIS2 en detail