Pourquoi formaliser une politique de sécurité, même pour 5 personnes ?
Une PSI n’est pas un luxe de grande entreprise : c’est un document juridique qui (1) vous protège en cas de litige avec un employé qui aurait fui des données, (2) vous met en conformité avec la loi 2008-12 et la CDP avant un contrôle, et (3) divise par 5 le risque de ransomware ou fuite par négligence. Une PSI de 8 pages signée par tous coûte 0 FCFA à produire (avec ce guide) et peut éviter une perte qui se chiffrerait en millions. C’est l’investissement à plus haut ROI de la sécurité.
Pourquoi votre entreprise a besoin d’une politique de sécurité informatique
Une politique de sécurité informatique (PSI) est un document qui definit les règles, les procedures et les responsabilités pour protéger les systèmes d’information de votre entreprise. Au Sénégal, la majorité des PME n’ont aucune politique formalisee, ce qui les rend vulnerables aux cyberattaques, aux pertes de données et aux sanctions legales.
La loi sénégalaise 2008-12 sur la protection des données personnelles et la loi 2008-11 sur la cybercriminalite imposent des obligations aux entreprises. Une PSI vous met en conformite et protège votre activité.
Structure d’une politique de sécurité informatique
Une PSI complété pour une PME sénégalaise doit couvrir ces 10 domaines :
| Domaine | Contenu | Priorité PME |
|---|---|---|
| 1. Gestion des accès | Qui a accès a quoi, comment les accès sont attribues et revoques | Critique |
| 2. Mots de passe | Regles de complexité, de renouvellement et de stockage | Critique |
| 3. Protection des données | Classification, stockage, sauvegarde, destruction | Critique |
| 4. Utilisation des equipements | Regles d’usage des PC, téléphones, clés USB | Important |
| 5. Réseau et Internet | Regles de navigation, WiFi, VPN | Important |
| 6. Messagerie et communication | Email, WhatsApp, réseaux sociaux professionnels | Important |
| 7. Gestion des incidents | Que faire en cas de piratage, perte de données, ransomware | Critique |
| 8. Sauvegardes | Fréquence, méthode, tests de restauration | Critique |
| 9. Formation et sensibilisation | Programme de formation des employes | Important |
| 10. Conformite legale | Loi 2008-12, CDP, RGPD si clients europeens | Obligatoire |
1. Politique de gestion des accès
Principe du moindre privilege
Chaque employe ne doit avoir accès qu’aux ressources strictement nécessaires a son travail :
- Comptable : accès au logiciel comptable (Sage, Wave Accounting), dossiers financiers, pas aux serveurs techniques
- Commercial : accès au CRM, catalogues produits, pas aux données comptables detaillees
- Développeur : accès aux serveurs de développement, pas aux serveurs de production sans autorisation
- Direction : accès large mais avec 2FA obligatoire sur tous les systèmes sensibles
Gestion du cycle de vie des accès
- Arrivee : création des comptes avec les droits minimums, signature de la charte informatique
- Changement de poste : revue des droits, suppression des anciens accès, attribution des nouveaux
- Depart : désactivation immediate de TOUS les comptes le jour du depart (email, VPN, applications, WiFi). C’est le point le plus souvent neglige dans les PME sénégalaises
Cas réel : une PME a Dakar a découvert qu’un ancien employe, parti 6 mois plus tot, avait toujours accès au Drive partage et aux emails de l’entreprise. Il avait copie la base clients pour un concurrent.
2. Politique de mots de passe
| Regle | Exigence minimum | Recommandation |
|---|---|---|
| Longueur | 10 caracteres | 14+ caracteres pour les comptes sensibles |
| Complexité | Majuscule + minuscule + chiffré | Phrase de passe : « Mon-Bureau-Dakar-2026! » |
| Unicite | Unique par service | Gestionnaire de mots de passe obligatoire |
| Renouvellement | Tous les 6 mois | A la demande si compromission suspectee |
| Stockage | Jamais en clair, jamais sur Post-it | Bitwarden Teams pour toute l’équipe |
| 2FA | Obligatoire sur email et banque | Obligatoire sur tous les services cloud |
| Partage | Interdit | Comptes nominatifs, jamais de comptes partagés |
3. Politique de protection des données
Classification des données
| Niveau | Exemples | Protection requise |
|---|---|---|
| Confidentiel | Données bancaires, mots de passe, contrats, bilans financiers, NINEA | Chiffrement, accès restreint, journalisation |
| Interne | Procedures internes, organigramme, plans projets | Accès employes uniquement, pas de partage externe |
| Public | Site web, brochures, offres commerciales publiees | Aucune restriction d’accès |
Regles de stockage
- Les données confidentielles ne doivent jamais être stockees sur un PC personnel sans chiffrement
- Utiliser Google Drive / OneDrive avec des dossiers partagés et des permissions definies
- Interdire le stockage de données professionnelles sur des clés USB non chiffrees
- Les données clients doivent être stockees dans un système avec journalisation (qui a accédé quoi et quand)
4. Politique d’utilisation des equipements
Equipements de l’entreprise
- Chaque PC doit avoir un mot de passe de session et un verrouillage automatique après 5 minutes d’inactivite
- L’antivirus (Windows Defender au minimum) doit être actif et a jour
- Les mises a jour Windows et applications doivent être installees dans les 7 jours suivant leur publication
- Interdiction d’installer des logiciels non autorises (pas de logiciels pirates)
- Les disques durs doivent être chiffres (BitLocker) pour les PC portables
BYOD (Bring Your Own Device)
Si les employes utilisent leurs téléphones personnels pour le travail (cas très courant au Sénégal) :
- Le téléphone doit avoir un code de verrouillage (PIN ou biometrie)
- Les applications professionnelles (email, Drive, WhatsApp Business) doivent être protégées par mot de passe
- En cas de perte ou vol, l’employe doit signaler immédiatement pour que les accès soient revoques
- Separation des données personnelles et professionnelles (profil professionnel Android si possible)
5. Politique réseau et Internet
- WiFi bureau : mot de passe WPA3 de 20+ caracteres, change tous les 3 mois. Réseau invite séparé pour les visiteurs
- VPN : obligatoire pour tout accès a distance aux ressources de l’entreprise
- WiFi public : interdit pour accéder aux ressources de l’entreprise sans VPN
- Filtrage : bloquer les sites a risque (jeux, streaming pendant les heures de travail si nécessaire)
- Telechargements : interdire les téléchargements de logiciels depuis des sites non officiels
6. Politique de messagerie et communication
Email professionnel
- Utiliser exclusivement l’email professionnel pour les communications d’entreprise (pas de Gmail/Yahoo personnel)
- Ne jamais ouvrir de pieces jointes .exe, .bat, .vbs, .js. En cas de doute, demander a l’expediteur de confirmer par un autre canal
- Ne jamais envoyer de données confidentielles (mots de passe, numéros de compte) par email non chiffré
- Vérifier l’adresse email de l’expediteur avant de répondre a une demande sensible
WhatsApp et messageries
Au Sénégal, WhatsApp est souvent utilise pour les communications professionnelles :
- Utiliser WhatsApp Business avec un numéro dedie pour l’entreprise
- Ne jamais partager de mots de passe, codes d’accès ou informations bancaires par WhatsApp
- Les groupes WhatsApp professionnels doivent avoir un administrateur qui contrôle les ajouts
- Rappel : même si WhatsApp est chiffré, les captures d’écran et les sauvegardes non chiffrees restent des risques
7. Politique de gestion des incidents
Procedure en cas d’incident de sécurité
- Détection : l’employé constate une anomalie (PC lent, fichiers chiffres, email suspect ouvert, compte piraté)
- Alerte : prévenir immédiatement le responsable IT ou la direction. Ne pas essayer de résoudre seul
- Confinement : deconnecter le PC du réseau (debrancher le cable, désactiver le WiFi) pour empecher la propagation
- Évaluation : le responsable IT evalue la gravite et l’etendue de l’incident
- Remediation : nettoyer, restaurer depuis les sauvegardes, changer les mots de passe compromis
- Communication : informer les parties prenantes (direction, clients affectés si données compromises, CDP si données personnelles)
- Documentation : écrire un rapport d’incident (date, nature, impact, actions prises, lecons apprises)
Contacts d’urgence
| Situation | Contact | Délai |
|---|---|---|
| Tout incident IT | Responsable IT interne ou prestataire | Immédiat |
| Piratage de comptes bancaires | Votre banque + Wave (33 869 65 65) / OM (145) | Immédiat |
| Violation de données personnelles | CDP (Commission des Données Personnelles) | 72 heures maximum |
| Cybercriminalite | Division Speciale de Cybersecurite (Police) | Des que possible |
8. Politique de sauvegardes
La règle 3-2-1
- 3 copies de chaque donnée importante
- 2 supports différents (disque dur interne + cloud, ou NAS + cloud)
- 1 copie hors site (cloud ou disque dur stocké ailleurs)
Fréquence de sauvegarde recommandee
| Type de données | Fréquence | Méthode |
|---|---|---|
| Comptabilite (Sage, Excel) | Quotidienne | Sauvegarde automatique vers Google Drive ou NAS |
| Base de données site web | Quotidienne | Script automatise mysqldump + envoi cloud |
| Fichiers de travail | Continue (sync cloud) | Google Drive / OneDrive synchronise |
| Emails | Hebdomadaire | Export ou solution de backup email |
| Configuration serveurs | Après chaque modification | Scripts + documentation |
Tests de restauration
Regle absolue : une sauvegarde qui n’a jamais ete testee ne vaut rien. Testez la restauration au minimum une fois par trimestre :
- Restaurez un fichier aleatoire depuis la sauvegarde et vérifiez son integrite
- Testez la restauration complété de la base de données sur un environnement de test
- Mesurez le temps de restauration (RTO : Recovery Time Objective)
9. Formation et sensibilisation
Programme de formation recommande
| Fréquence | Contenu | Public |
|---|---|---|
| A l’embauche | Présentation de la PSI, signature de la charte, formation mots de passe et phishing | Tous les employes |
| Trimestriel | Rappel des bonnes pratiques, exemples d’attaques recentes au Sénégal | Tous les employes |
| Semestriel | Test de phishing interne (envoyer un faux email et mesurer qui clique) | Tous les employes |
| Annuel | Mise a jour de la PSI, nouvelles menaces, bilan des incidents | Direction + IT |
10. Conformite legale au Sénégal
Loi 2008-12 sur les données personnelles
- Déclaration des fichiers de données personnelles aupres de la CDP (cdp.sn)
- Consentement des personnes avant collecte de leurs données
- Droit d’accès, de rectification et de suppression des données
- Obligation de sécurité : protéger les données personnelles contre les accès non autorises
- Notification en cas de violation de données
Si vous avez des clients europeens (RGPD)
- Le RGPD s’applique si vous collectez des données de residents europeens, même depuis le Sénégal
- Politique de confidentialite obligatoire sur votre site web
- Consentement explicite pour les cookies et newsletters
- Possibilité de designer un DPO (Delegue a la Protection des Données) même s’il n’est pas obligatoire pour les petites structures
Modèle de charte informatique a faire signer
Chaque employe doit signer une charte informatique qui résume ses obligations. Points essentiels a inclure :
- Engagement a respecter la politique de mots de passe
- Interdiction d’installer des logiciels non autorises
- Obligation de signaler tout incident de sécurité immédiatement
- Regles d’usage des equipements professionnels et BYOD
- Confidentialite des données de l’entreprise et des clients
- Consequences en cas de non-respect (avertissement, sanction, licenciement selon la gravite)
- Acceptation de la surveillance des systèmes informatiques dans le cadre legal
Erreurs fréquentes
1. PSI calquée sur un modèle américain ou européen
Cause : on télécharge un template SANS-XYZ ou ISO 27001 anglais et on le traduit. Résultat : 80 pages que personne ne lit, des références à des lois inapplicables, et des contraintes (HIPAA, PCI-DSS) hors-sujet pour la PME sénégalaise.
Solution : partez du contexte local : lois 2008-11 et 2008-12, CDP, BCEAO, ARTP. Une PSI de 6-10 pages adaptée vaut mieux qu’un document de 80 pages générique.
2. Pas de procédure de départ d’employé
Cause : un employé part en weekend, ne revient jamais, et 6 mois plus tard ses accès Google Workspace, Wave Pro et Drive partagé sont toujours actifs. Risque de fuite ou sabotage.
Solution : checklist offboarding signée le jour J : désactivation comptes, récupération badges/clés/téléphone pro, transfert des données critiques, changement des mots de passe partagés, révocation 2FA. Un seul responsable avec ce check-list, applicable en moins de 2 heures.
3. Politique signée mais jamais relue ni mise à jour
Cause : on rédige la PSI en 2022, on la fait signer, et plus personne n’y touche. Trois ans plus tard, elle mentionne Twitter, des plafonds Wave de 500 000 FCFA et l’ancien hébergeur.
Solution : revue annuelle obligatoire (date inscrite dans la PSI). Mise à jour après chaque incident significatif. Document dans un dossier collaboratif (Notion, Confluence, Google Docs) avec historique.
4. Charte informatique présentée mais jamais signée
Cause : on présente la PSI à l’oral en réunion mais sans signature individuelle. En cas de litige, l’employé pourra dire qu’il « n’avait pas vu » le document.
Solution : chaque employé signe une charte informatique (1-2 pages) lors de l’embauche. Document conservé dans son dossier RH. Signature numérique acceptable (DocuSign, Acrobat Sign, ou même un PDF + photo signée).
5. Mots de passe administrateur partagés en clair dans un Excel
Cause : « mots-de-passe-it.xlsx » sur le Drive partagé contient les credentials du serveur, du WiFi, du VPS Hetzner et de l’admin WordPress. Tout employé du Drive y a accès.
Solution : Bitwarden Teams ou 1Password Business (gratuit jusqu’à 10 utilisateurs sur certains plans). Permissions par dossier, journalisation des accès, partage temporaire pour les prestataires.
Checklist de mise en place pour une PME
- Rediger la politique de sécurité informatique (adapter ce guide a votre contexte)
- Faire valider par la direction
- Présenter a tous les employes lors d’une reunion
- Faire signer la charte informatique individuelle
- Déployer un gestionnaire de mots de passe (Bitwarden)
- Activer le 2FA sur tous les comptes critiques
- Mettre en place les sauvegardes 3-2-1
- Tester les sauvegardes
- Programmer la premiere session de sensibilisation
- Vérifier la conformite avec la loi 2008-12 (déclaration CDP si nécessaire)
- Planifier la revue annuelle de la politique
À lire ensuite
- Créer des mots de passe inviolables — base technique de la politique mots de passe.
- Configurer la 2FA partout — application directe de la PSI.
- Protéger votre entreprise contre les ransomwares — section gestion d’incidents.
- Protéger vos données personnelles en ligne — pour bien comprendre la loi 2008-12 / CDP.
- Cadre officiel : CDP Sénégal et CISA — Cyber Essentials Toolkit.
- Modèles gratuits : SANS Information Security Policy Templates (à adapter au contexte sénégalais).
Démarrer en production sur un VPS
Pour passer du local à un serveur réellement accessible en ligne, Hostinger propose des plans VPS abordables avec sauvegarde automatique.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.