Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesModèle
Modèle de politique de protection des données

Modèle de politique de protection des données

Avoir une politique de sécurité des données documentée est une meilleure pratique pour chaque organisation — en particulier celles soumises à des lois strictes sur la confidentialité des données comme le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) de l'UE.

Les politiques de sécurité des données abordent généralement des sujets tels que le chiffrement des données, la protection par mot de passe et le contrôle d'accès. Cependant, elles ne se limitent pas aux mesures techniques ; elles doivent également détailler les contrôles administratifs et physiques utilisés pour protéger les informations sensibles. La politique doit aussi expliquer les rôles et les fonctions liés à la protection des données.

Ci-dessous se trouve un modèle de politique de sécurité des données d'entreprise que vous pouvez librement adapter pour répondre aux exigences uniques de sécurité et de conformité de votre organisation.

Modèle de politique de Data Security

Voici les sections clés à inclure dans votre politique de sécurité des données et quelques exemples de politiques de sécurité des données pour vous aider à explorer.

1. Objectif

Dans cette section, vous expliquez pourquoi cette politique est en place et ce que les gens doivent attendre maintenant qu'elle est utilisée. Par exemple :

L'entreprise doit restreindre l'accès aux données confidentielles et sensibles pour les protéger contre la perte ou la compromission, car tout incident pourrait avoir un impact négatif sur nos clients et entraîner des pénalités pour non-conformité ainsi que nuire à notre réputation. En même temps, nous devons garantir que les utilisateurs puissent accéder aux données comme nécessaire pour qu'ils puissent travailler efficacement.

Il n'est pas prévu que cette politique puisse éliminer tous les vols de données malveillants. Plutôt, son objectif principal est d'accroître la sensibilisation des utilisateurs et d'éviter les scénarios de perte accidentelle, elle décrit donc les meilleures pratiques pour la prévention des violations de données.

2. Portée

2.1 Dans le champ d'application

Dans cette section, vous énumérez tous les domaines qui relèvent de la politique, tels que les sources de données et les types. Voici un exemple de section "Dans le Périmètre" d'une politique de protection des données :

Cette politique de sécurité des données s'applique à toutes les données des clients, données personnelles et autres données de l'entreprise définies comme sensibles par la politique de Netwrix Data Classification de l'entreprise. Par conséquent, elle s'applique à chaque serveur, base de données et système informatique qui traite de telles données, y compris tout appareil régulièrement utilisé pour les e-mails, l'accès au web ou d'autres tâches liées au travail. Chaque utilisateur interagissant avec les services informatiques de l'entreprise est également soumis à cette politique.

2.2 Hors de portée

Cette section est où vous définissez ce qui est exclu de votre politique de sécurité des données. Par exemple :

Les informations classées comme Publiques ne sont pas soumises à cette politique. D'autres données peuvent être exclues de la politique par la direction de l'entreprise en fonction des besoins spécifiques de l'entreprise, comme le fait que la protection des données est trop coûteuse ou complexe.

3. Politique

Ceci est le corps de la politique où vous énoncez toutes les exigences de la politique. Voici un exemple :

3.1 Principes

L'entreprise doit fournir à tous les employés et aux tiers contractés l'accès aux informations dont ils ont besoin pour exercer leurs responsabilités de la manière la plus efficace et efficiente possible.

3.2 Général

a. Chaque utilisateur doit être identifié par un identifiant unique afin que les individus puissent être tenus responsables de leurs actions.

b. L'utilisation d'identités partagées est autorisée uniquement lorsqu'elles sont appropriées, telles que les comptes de formation ou les comptes de service.

c. Chaque utilisateur doit lire cette politique de sécurité des données et signer une déclaration confirmant qu'il comprend les conditions d'accès.

d. Les enregistrements d'accès utilisateur peuvent être utilisés pour fournir des preuves lors des enquêtes sur les incidents de sécurité.

e. L'accès sera accordé sur la base du principe de moindre privilège, ce qui signifie que chaque utilisateur, application et service se verra accorder le moins de privilèges nécessaires pour accomplir leurs tâches.

3.3 Contrôle d'accès Autorisation

L'accès aux ressources et services informatiques de l'entreprise sera accordé via un compte utilisateur unique et un mot de passe complexe. Les comptes sont fournis par le département informatique sur la base des dossiers RH.

Le Service Desk informatique gère les mots de passe. Les exigences concernant la longueur, la complexité et l'expiration des mots de passe sont énoncées dans la politique de mots de passe de l'entreprise.

Le contrôle d'accès basé sur les rôles (RBAC) sera utilisé pour sécuriser l'accès à toutes les ressources basées sur des fichiers dans les domaines Active Directory.

3.4 Accès au réseau

a. Tous les employés et les contractants doivent se voir accorder un accès réseau conformément aux procédures de contrôle d'accès aux affaires et au principe du moindre privilège.

b. Tout le personnel et les contractants ayant un accès à distance aux réseaux de l'entreprise doivent être authentifiés uniquement via le mécanisme d'authentification VPN.

c. La ségrégation des réseaux doit être mise en œuvre conformément aux recommandations de la recherche en sécurité réseau de l'entreprise. Les administrateurs réseau doivent regrouper les services d'information, les utilisateurs et les systèmes d'information de manière appropriée pour atteindre la ségrégation requise.

d. Des contrôles de routage réseau doivent être mis en place pour soutenir la politique de contrôle d'accès.

3.5 Responsabilités des utilisateurs

a. Tous les utilisateurs doivent verrouiller leurs écrans lorsqu'ils quittent leur bureau afin de réduire le risque d'accès non autorisé.

b. Tous les utilisateurs doivent s'assurer que leur espace de travail est dépourvu de toute information sensible ou confidentielle lorsqu'ils le quittent.

c. Tous les utilisateurs doivent garder leurs mots de passe confidentiels et ne pas les partager.

3.6 Application et accès aux informations

a. Tout le personnel de l'entreprise et les contractants se verront accorder l'accès aux données et applications nécessaires à leurs responsabilités professionnelles.

b. Tout le personnel de l'entreprise et les contractants ne doivent accéder aux données sensibles et aux systèmes que s'il existe un besoin commercial de le faire et qu'ils ont l'approbation de la haute direction.

c. Les systèmes sensibles doivent être isolés physiquement ou logiquement pour restreindre l'accès au personnel autorisé uniquement.

3.7 Accès aux informations confidentielles ou restreintes

a. L'accès aux données classées comme 'Confidentielles' ou 'Restreintes' doit être limité aux personnes autorisées dont les responsabilités professionnelles le nécessitent, tel que déterminé par la Politique de Sécurité des Données ou la haute direction.

b. La responsabilité de mettre en place des restrictions d'accès incombe au département de la Sécurité informatique.

4. Directives techniques

Les directives techniques de votre modèle de politique de protection des données doivent spécifier toutes les exigences pour les contrôles techniques utilisés pour accorder l'accès aux données. Voici un exemple :

Les méthodes de contrôle d'accès à utiliser doivent inclure :

  • Audit des tentatives de connexion à tout appareil sur le réseau de l'entreprise
  • Permissions NTFS de Windows pour les fichiers et dossiers
  • Modèle d'accès basé sur les rôles
  • Droits d'accès au serveur
  • Autorisations de pare-feu
  • Zones de réseau et ACLs VLAN
  • Droits d'authentification Web
  • Droits d'accès aux bases de données et listes de contrôle d'accès (ACL)
  • Chiffrement au repos et en transit
  • Ségrégation de réseau

Le contrôle d'accès s'applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications web, sites internet, stockages en nuage et services.

5. Exigences de rapport

Cette section décrit les exigences pour signaler tout incident survenu. Tous les employés doivent être tenus d'apprendre comment signaler les incidents.

a. Des rapports d'incident quotidiens doivent être produits par le département de la Sécurité informatique ou l'équipe de réponse aux incidents.

b. Le département de la sécurité informatique doit produire des rapports hebdomadaires détaillant tous les incidents et les envoyer au responsable ou directeur informatique.

c. Les incidents à haute priorité découverts par le département de la Sécurité informatique doivent être immédiatement signalés au responsable informatique.

d. Le département de la sécurité informatique doit également produire un rapport mensuel indiquant le nombre d'incidents de sécurité informatique et le pourcentage qui ont été résolus.

6. Propriété et Responsabilités

Ici, vous devriez préciser qui possède quoi et qui est responsable de quelles actions et contrôles. Voici quelques rôles communs :

  • Les propriétaires de données sont des employés qui ont la responsabilité principale de maintenir les informations qu'ils possèdent, tel qu'un cadre, un chef de département ou un leader d'équipe.
  • Administrateur de la sécurité de l'information est un employé désigné par la direction informatique qui fournit un soutien administratif pour la mise en œuvre, la supervision et la coordination des procédures et systèmes de sécurité concernant des ressources d'information spécifiques.
  • Les utilisateurs comprennent toutes les personnes ayant accès aux ressources d'information, telles que les employés, les administrateurs, les entrepreneurs, les consultants, les employés temporaires et les bénévoles.
  • L'équipe d'intervention en cas d'incident sera présidée par un cadre et inclura des employés de départements tels que l'Infrastructure IT, la Sécurité des Applications IT, Juridique, Services Financiers et Ressources Humaines.

7. Application

Ce paragraphe doit clairement énoncer les pénalités pour les violations du contrôle d'accès afin qu'il n'y ait pas de place pour les malentendus. Par exemple :

Tout utilisateur enfreignant cette politique est sujet à des mesures disciplinaires, pouvant aller jusqu'au licenciement inclus. Tout partenaire ou contractant tiers en violation peut se voir couper sa connexion réseau.

8. Définitions

Ce paragraphe définit tous les termes techniques utilisés dans la politique afin que les lecteurs sachent exactement ce qui est visé. Voici quelques exemples :

  • Liste de contrôle d'accès (ACL) : Une liste d'entrées de contrôle d'accès (ACE). Chaque ACE dans une ACL identifie un mandataire et spécifie les droits d'accès autorisés, refusés ou audités pour ce mandataire.
  • Base de données : Une collection organisée de données, généralement stockée et accessible électroniquement depuis un système informatique.
  • Chiffrement : Le processus de codage d'un message ou d'autres informations afin que seules les parties autorisées puissent y accéder.
  • Firewall: Une technologie utilisée pour isoler un réseau d'un autre. Les firewalls peuvent être autonomes ou inclus dans d'autres appareils, tels que les routeurs ou les serveurs.
  • Ségrégation du réseau : La séparation du réseau en unités logiques ou fonctionnelles appelées zones. La ségrégation aide à empêcher les acteurs de menaces de se déplacer latéralement à travers le réseau.
  • Contrôle d'accès basé sur les rôles (RBAC) : Un modèle pour accorder des privilèges basé sur les fonctions professionnelles d'un utilisateur.
  • Serveur : Un programme informatique ou un appareil qui fournit des fonctionnalités pour d'autres programmes ou appareils, appelés clients.
  • Réseau privé virtuel (VPN) : Une connexion réseau privée sécurisée à travers un réseau public.
  • VLAN (virtual LAN) : Un regroupement logique d'appareils dans le même domaine de diffusion.

9. Documents associés

Cette section répertorie tous les documents liés à la politique et fournit des liens vers ceux-ci. Cette liste peut inclure des liens vers les informations suivantes :

10. Historique des révisions

Une politique de protection des données doit être régulièrement révisée et élargie pour couvrir les nouveaux actifs et opérations à mesure qu'ils sont ajoutés à votre entreprise. Chaque changement doit être documenté, comme illustré ci-dessous.

Version


Date

Auteur

Changements

1.0

12 juin 2019

J.Smith, Responsable informatique

Version initiale

2.0

14 juillet 2022

J. Smith, Responsable informatique

Liste des définitions mises à jour

Conclusion

Ces exemples de politique de protection des données sont conçus pour fournir un cadre permettant de créer une politique unique adaptée à votre organisation. Efforcez-vous de trouver un équilibre entre une protection des données efficace et la productivité ainsi que la commodité des utilisateurs, et assurez-vous que votre politique soit accessible, concise et facile à comprendre.

Netwrix Auditor

Orientez vos efforts de protection des données vers la sauvegarde de vos actifs les plus critiques

Obtenez une démo

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management