Le présent aide-mémoire a été conçu pour les PME suisses afin de les aider à accroître la sécurité de l’information au sein de leur entreprise.
Cet aide-mémoire s’articule en deux parties:
- les mesures organisationnelles qui augmentent ou garantissent la sécurité de l’information;
- es mesures techniques qui renforcent ou garantissent la sécurité de l’infrastructure informatique.
Les mesures techniques contribuent de manière essentielle à garantir la sécurité de l’information, mais elles doivent être complétées par des mesures d’organisation. En particulier en cas de mesures onéreuses et/ou mobilisant beaucoup de personnel, chaque entreprise doit trouver un juste équilibre entre le coût de ces mesures et les risques encourus en ne les réalisant pas. Les mesures qui ne sont pas mises en œuvre laissent ce que l’on appelle des risques résiduels. C’est pourquoi la direction doit décider de supporter ces risques résiduels ou de fournir les ressources utiles pour continuer à les réduire. Or même si les risques techniques des systèmes informatiques constituent un volet important de la sécurité de l’information, une entreprise ne devrait pas limiter son attention à cet aspect des risques et encore moins considérer que les risques sont du seul ressort de son service informatique. En effet, la responsabilité en matière de gestion des risques, la classification des informations et leur hiérarchisation, avec le cas échéant un déploiement plus ou moins grand de mesures de sécurité, sont autant de tâches fondamentales de la direction.
