Modele de politique de securite informatique pour TPE

Une politique de securite informatique n'a pas besoin de commencer par un document de 40 pages. Dans une TPE, elle doit surtout repondre a trois questions simples : qui a acces a quoi, comment les donnees sont protegees, et quoi faire quand un probleme arrive.

Le modele ci-dessous sert de base interne. Il ne remplace pas une analyse de risques, mais il aide a poser un cadre lisible pour l'equipe, les prestataires et les clients qui demandent des garanties minimales.

La version courte

Une TPE peut demarrer avec une politique en 6 blocs :

• perimetre des outils et donnees couverts ;
• regles d'acces et de mots de passe ;
• activation de la MFA sur les comptes importants ;
• sauvegardes et restauration ;
• mises a jour et postes de travail ;
• reaction en cas d'incident.

Le document doit etre daté, relu au moins une fois par an, et accessible aux personnes concernees.

Bloc 1 - Perimetre

Commence par lister ce que la politique couvre.

Exemple :

Cette politique s'applique aux outils numeriques utilises par l'entreprise :
messagerie, stockage cloud, CRM, outils de facturation, postes de travail,
telephones professionnels et comptes administrateurs.

Le but n'est pas de faire un inventaire parfait le premier jour. Le but est d'eviter la zone floue : un compte Notion partage, un vieux Google Drive, une boite mail admin connue d'une seule personne.

Bloc 2 - Responsabilites

Dans une petite structure, tout repose souvent sur le dirigeant. C'est normal au debut, mais le document doit nommer un responsable.

Exemple :

Le responsable de la securite operationnelle est le dirigeant.
Il tient a jour la liste des outils critiques, valide les nouveaux acces
et decide des actions a mener en cas d'incident.

Si un prestataire informatique intervient, indique son role : maintenance, support, sauvegardes, configuration MFA, supervision. Evite les formulations vagues comme "il s'occupe de tout".

Bloc 3 - Acces et authentification

Les recommandations publiques de l'ANSSI et de la CNIL insistent sur l'authentification : mots de passe adaptes au contexte, limitation des comptes partages, MFA quand c'est possible, et gestion claire des acces.

Dans une TPE, la regle praticable peut etre :

• un compte nominatif par personne quand l'outil le permet ;
• pas de mot de passe reutilise entre outils ;
• gestionnaire de mots de passe recommande ;
• MFA activee sur messagerie, stockage cloud, banque, facturation, CRM ;
• suppression des acces le jour du depart d'un collaborateur ou prestataire.

Phrase utilisable :

Chaque utilisateur dispose d'un compte nominatif lorsque le service le permet.
Les comptes critiques utilisent une authentification multifacteur.
Les acces sont retires lorsqu'une personne quitte l'entreprise ou n'a plus besoin de l'outil.

Bloc 4 - Sauvegardes

La sauvegarde est souvent la partie la plus utile en situation d'urgence. Cybermalveillance.gouv.fr recommande de sauvegarder regulierement les donnees et de conserver une copie sur un support externe deconnecte. L'ANSSI publie aussi des fondamentaux dedies aux sauvegardes des systemes d'information.

Pour une TPE, la politique doit indiquer :

• les donnees sauvegardees ;
• la frequence ;
• l'emplacement ;
• la personne responsable ;
• la date du dernier test de restauration.

Exemple :

Les dossiers clients, documents administratifs et donnees de facturation
sont sauvegardes chaque semaine. Une restauration test est realisee au
moins une fois par trimestre sur un echantillon de fichiers.

Bloc 5 - Mises a jour et postes

Les mises a jour corrigent des failles connues. La politique doit poser une regle simple : les appareils et logiciels critiques ne restent pas volontairement obsoletes.

Exemple :

Les mises a jour de securite des ordinateurs, telephones et logiciels
professionnels sont appliquees des qu'elles sont proposees, sauf raison
operationnelle documentee. Les applications sont telechargees depuis les
sites officiels ou magasins officiels.

Pour un usage interne, ajoute une colonne "responsable" dans un tableau : dirigeant, collaborateur, prestataire IT.

Bloc 6 - Incidents

La politique ne doit pas promettre une reponse parfaite. Elle doit dire quoi faire dans les premieres minutes.

Exemple :

En cas de suspicion d'incident, l'utilisateur arrete l'action en cours,
previent le responsable, conserve les elements utiles et evite de supprimer
des traces. Le responsable decide s'il faut contacter le prestataire IT,
changer des mots de passe, isoler un appareil ou signaler l'incident aux
autorites competentes.

Pour une TPE, les incidents typiques sont : email de phishing, compte mail compromis, ordinateur chiffre par rancongiciel, perte d'un telephone, document client envoye au mauvais destinataire.

Les erreurs a eviter

Premiere erreur : copier une politique d'un grand groupe. Elle sera trop longue et personne ne l'appliquera.

Deuxieme erreur : creer un document sans responsable. Une politique sans proprietaire devient vite un fichier oublie.

Troisieme erreur : confondre "avoir une politique" et "etre securise". Le document aide a organiser les pratiques, mais il ne remplace pas les controles techniques.

Quatrieme erreur : ne pas dater la politique. Sur un sujet cyber, une information non datee perd vite de sa valeur.

Routine de mise a jour

Une fois par trimestre, fais une revue de 30 minutes :

• nouveaux outils ajoutes ;
• anciens comptes a supprimer ;
• MFA activee sur les comptes critiques ;
• sauvegarde testee ;
• incidents ou presque-incidents notes ;
• changements de prestataires.

Cette routine suffit pour garder le document vivant.

Sources

• Cybermalveillance.gouv.fr - Les 10 mesures essentielles pour assurer votre cybersecurite
• ANSSI - Recommandations relatives a l'authentification multifacteur et aux mots de passe
• ANSSI - Sauvegarde des systemes d'information
• CNIL - Mots de passe

Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Sources officielles ANSSI/Cybermalveillance/CNIL citees.