Pourquoi votre entreprise a besoin d’une politique de securite informatique
Une politique de securite informatique (PSI) est un document qui definit les regles, les procedures et les responsabilites pour proteger les systemes d’information de votre entreprise. Au Senegal, la majorite des PME n’ont aucune politique formalisee, ce qui les rend vulnerables aux cyberattaques, aux pertes de donnees et aux sanctions legales.
La loi senegalaise 2008-12 sur la protection des donnees personnelles et la loi 2008-11 sur la cybercriminalite imposent des obligations aux entreprises. Une PSI vous met en conformite et protege votre activite.
Structure d’une politique de securite informatique
Une PSI complete pour une PME senegalaise doit couvrir ces 10 domaines :
| Domaine | Contenu | Priorite PME |
|---|---|---|
| 1. Gestion des acces | Qui a acces a quoi, comment les acces sont attribues et revoques | Critique |
| 2. Mots de passe | Regles de complexite, de renouvellement et de stockage | Critique |
| 3. Protection des donnees | Classification, stockage, sauvegarde, destruction | Critique |
| 4. Utilisation des equipements | Regles d’usage des PC, telephones, cles USB | Important |
| 5. Reseau et Internet | Regles de navigation, WiFi, VPN | Important |
| 6. Messagerie et communication | Email, WhatsApp, reseaux sociaux professionnels | Important |
| 7. Gestion des incidents | Que faire en cas de piratage, perte de donnees, ransomware | Critique |
| 8. Sauvegardes | Frequence, methode, tests de restauration | Critique |
| 9. Formation et sensibilisation | Programme de formation des employes | Important |
| 10. Conformite legale | Loi 2008-12, CDP, RGPD si clients europeens | Obligatoire |
1. Politique de gestion des acces
Principe du moindre privilege
Chaque employe ne doit avoir acces qu’aux ressources strictement necessaires a son travail :
- Comptable : acces au logiciel comptable (Sage, Wave Accounting), dossiers financiers, pas aux serveurs techniques
- Commercial : acces au CRM, catalogues produits, pas aux donnees comptables detaillees
- Developpeur : acces aux serveurs de developpement, pas aux serveurs de production sans autorisation
- Direction : acces large mais avec 2FA obligatoire sur tous les systemes sensibles
Gestion du cycle de vie des acces
- Arrivee : creation des comptes avec les droits minimums, signature de la charte informatique
- Changement de poste : revue des droits, suppression des anciens acces, attribution des nouveaux
- Depart : desactivation immediate de TOUS les comptes le jour du depart (email, VPN, applications, WiFi). C’est le point le plus souvent neglige dans les PME senegalaises
Cas reel : une PME a Dakar a decouvert qu’un ancien employe, parti 6 mois plus tot, avait toujours acces au Drive partage et aux emails de l’entreprise. Il avait copie la base clients pour un concurrent.
2. Politique de mots de passe
| Regle | Exigence minimum | Recommandation |
|---|---|---|
| Longueur | 10 caracteres | 14+ caracteres pour les comptes sensibles |
| Complexite | Majuscule + minuscule + chiffre | Phrase de passe : « Mon-Bureau-Dakar-2024! » |
| Unicite | Unique par service | Gestionnaire de mots de passe obligatoire |
| Renouvellement | Tous les 6 mois | A la demande si compromission suspectee |
| Stockage | Jamais en clair, jamais sur Post-it | Bitwarden Teams pour toute l’equipe |
| 2FA | Obligatoire sur email et banque | Obligatoire sur tous les services cloud |
| Partage | Interdit | Comptes nominatifs, jamais de comptes partages |
3. Politique de protection des donnees
Classification des donnees
| Niveau | Exemples | Protection requise |
|---|---|---|
| Confidentiel | Donnees bancaires, mots de passe, contrats, bilans financiers, NINEA | Chiffrement, acces restreint, journalisation |
| Interne | Procedures internes, organigramme, plans projets | Acces employes uniquement, pas de partage externe |
| Public | Site web, brochures, offres commerciales publiees | Aucune restriction d’acces |
Regles de stockage
- Les donnees confidentielles ne doivent jamais etre stockees sur un PC personnel sans chiffrement
- Utiliser Google Drive / OneDrive avec des dossiers partages et des permissions definies
- Interdire le stockage de donnees professionnelles sur des cles USB non chiffrees
- Les donnees clients doivent etre stockees dans un systeme avec journalisation (qui a accede quoi et quand)
4. Politique d’utilisation des equipements
Equipements de l’entreprise
- Chaque PC doit avoir un mot de passe de session et un verrouillage automatique apres 5 minutes d’inactivite
- L’antivirus (Windows Defender au minimum) doit etre actif et a jour
- Les mises a jour Windows et applications doivent etre installees dans les 7 jours suivant leur publication
- Interdiction d’installer des logiciels non autorises (pas de logiciels pirates)
- Les disques durs doivent etre chiffres (BitLocker) pour les PC portables
BYOD (Bring Your Own Device)
Si les employes utilisent leurs telephones personnels pour le travail (cas tres courant au Senegal) :
- Le telephone doit avoir un code de verrouillage (PIN ou biometrie)
- Les applications professionnelles (email, Drive, WhatsApp Business) doivent etre protegees par mot de passe
- En cas de perte ou vol, l’employe doit signaler immediatement pour que les acces soient revoques
- Separation des donnees personnelles et professionnelles (profil professionnel Android si possible)
5. Politique reseau et Internet
- WiFi bureau : mot de passe WPA3 de 20+ caracteres, change tous les 3 mois. Reseau invite separe pour les visiteurs
- VPN : obligatoire pour tout acces a distance aux ressources de l’entreprise
- WiFi public : interdit pour acceder aux ressources de l’entreprise sans VPN
- Filtrage : bloquer les sites a risque (jeux, streaming pendant les heures de travail si necessaire)
- Telechargements : interdire les telechargements de logiciels depuis des sites non officiels
6. Politique de messagerie et communication
Email professionnel
- Utiliser exclusivement l’email professionnel pour les communications d’entreprise (pas de Gmail/Yahoo personnel)
- Ne jamais ouvrir de pieces jointes .exe, .bat, .vbs, .js. En cas de doute, demander a l’expediteur de confirmer par un autre canal
- Ne jamais envoyer de donnees confidentielles (mots de passe, numeros de compte) par email non chiffre
- Verifier l’adresse email de l’expediteur avant de repondre a une demande sensible
WhatsApp et messageries
Au Senegal, WhatsApp est souvent utilise pour les communications professionnelles :
- Utiliser WhatsApp Business avec un numero dedie pour l’entreprise
- Ne jamais partager de mots de passe, codes d’acces ou informations bancaires par WhatsApp
- Les groupes WhatsApp professionnels doivent avoir un administrateur qui controle les ajouts
- Rappel : meme si WhatsApp est chiffre, les captures d’ecran et les sauvegardes non chiffrees restent des risques
7. Politique de gestion des incidents
Procedure en cas d’incident de securite
- Detection : l’employe constate une anomalie (PC lent, fichiers chiffres, email suspect ouvert, compte pirate)
- Alerte : prevenir immediatement le responsable IT ou la direction. Ne pas essayer de resoudre seul
- Confinement : deconnecter le PC du reseau (debrancher le cable, desactiver le WiFi) pour empecher la propagation
- Evaluation : le responsable IT evalue la gravite et l’etendue de l’incident
- Remediation : nettoyer, restaurer depuis les sauvegardes, changer les mots de passe compromis
- Communication : informer les parties prenantes (direction, clients affectes si donnees compromises, CDP si donnees personnelles)
- Documentation : ecrire un rapport d’incident (date, nature, impact, actions prises, lecons apprises)
Contacts d’urgence
| Situation | Contact | Delai |
|---|---|---|
| Tout incident IT | Responsable IT interne ou prestataire | Immediat |
| Piratage de comptes bancaires | Votre banque + Wave (33 869 65 65) / OM (145) | Immediat |
| Violation de donnees personnelles | CDP (Commission des Donnees Personnelles) | 72 heures maximum |
| Cybercriminalite | Division Speciale de Cybersecurite (Police) | Des que possible |
8. Politique de sauvegardes
La regle 3-2-1
- 3 copies de chaque donnee importante
- 2 supports differents (disque dur interne + cloud, ou NAS + cloud)
- 1 copie hors site (cloud ou disque dur stocke ailleurs)
Frequence de sauvegarde recommandee
| Type de donnees | Frequence | Methode |
|---|---|---|
| Comptabilite (Sage, Excel) | Quotidienne | Sauvegarde automatique vers Google Drive ou NAS |
| Base de donnees site web | Quotidienne | Script automatise mysqldump + envoi cloud |
| Fichiers de travail | Continue (sync cloud) | Google Drive / OneDrive synchronise |
| Emails | Hebdomadaire | Export ou solution de backup email |
| Configuration serveurs | Apres chaque modification | Scripts + documentation |
Tests de restauration
Regle absolue : une sauvegarde qui n’a jamais ete testee ne vaut rien. Testez la restauration au minimum une fois par trimestre :
- Restaurez un fichier aleatoire depuis la sauvegarde et verifiez son integrite
- Testez la restauration complete de la base de donnees sur un environnement de test
- Mesurez le temps de restauration (RTO : Recovery Time Objective)
9. Formation et sensibilisation
Programme de formation recommande
| Frequence | Contenu | Public |
|---|---|---|
| A l’embauche | Presentation de la PSI, signature de la charte, formation mots de passe et phishing | Tous les employes |
| Trimestriel | Rappel des bonnes pratiques, exemples d’attaques recentes au Senegal | Tous les employes |
| Semestriel | Test de phishing interne (envoyer un faux email et mesurer qui clique) | Tous les employes |
| Annuel | Mise a jour de la PSI, nouvelles menaces, bilan des incidents | Direction + IT |
10. Conformite legale au Senegal
Loi 2008-12 sur les donnees personnelles
- Declaration des fichiers de donnees personnelles aupres de la CDP (cdp.sn)
- Consentement des personnes avant collecte de leurs donnees
- Droit d’acces, de rectification et de suppression des donnees
- Obligation de securite : proteger les donnees personnelles contre les acces non autorises
- Notification en cas de violation de donnees
Si vous avez des clients europeens (RGPD)
- Le RGPD s’applique si vous collectez des donnees de residents europeens, meme depuis le Senegal
- Politique de confidentialite obligatoire sur votre site web
- Consentement explicite pour les cookies et newsletters
- Possibilite de designer un DPO (Delegue a la Protection des Donnees) meme s’il n’est pas obligatoire pour les petites structures
Modele de charte informatique a faire signer
Chaque employe doit signer une charte informatique qui resume ses obligations. Points essentiels a inclure :
- Engagement a respecter la politique de mots de passe
- Interdiction d’installer des logiciels non autorises
- Obligation de signaler tout incident de securite immediatement
- Regles d’usage des equipements professionnels et BYOD
- Confidentialite des donnees de l’entreprise et des clients
- Consequences en cas de non-respect (avertissement, sanction, licenciement selon la gravite)
- Acceptation de la surveillance des systemes informatiques dans le cadre legal
Checklist de mise en place pour une PME
- Rediger la politique de securite informatique (adapter ce guide a votre contexte)
- Faire valider par la direction
- Presenter a tous les employes lors d’une reunion
- Faire signer la charte informatique individuelle
- Deployer un gestionnaire de mots de passe (Bitwarden)
- Activer le 2FA sur tous les comptes critiques
- Mettre en place les sauvegardes 3-2-1
- Tester les sauvegardes
- Programmer la premiere session de sensibilisation
- Verifier la conformite avec la loi 2008-12 (declaration CDP si necessaire)
- Planifier la revue annuelle de la politique
