🎓 Modèle et guide pratique

Sensibilisation à la cybersécurité : la politique écrite qui ancre les bons réflexes

Par Équipe éditoriale Loi25Simple

La sensibilisation à la cybersécurité a besoin d'un cadre écrit. Une politique fixe les règles : mots de passe, accès, appareils, télétravail, sauvegardes, incidents. Voici un gabarit prêt à adapter.

📝

La politique écrite, pilier d'un programme de sensibilisation

La sensibilisation à la cybersécurité ne tient pas qu'à de la bonne volonté : elle a besoin d'un document de référence. Beaucoup de PME fonctionnent avec des règles implicites : « on ne partage pas son mot de passe », « on fait attention aux courriels suspects ». Le problème, c'est qu'une règle non écrite n'est ni connue de tous, ni appliquée de façon uniforme, ni opposable à un employé qui s'en écarte. La politique écrite est le pilier qui transforme ces bonnes intentions en consignes claires, datées et partagées, autour desquelles bâtir la sensibilisation et la culture de sécurité.

Une politique écrite vous sert concrètement à :

  • Donner aux nouveaux employés un point de référence dès leur arrivée, sans dépendre de la mémoire d'un collègue.
  • Réagir vite et de la même manière en cas d'incident, parce que la marche à suivre est déjà décidée à l'avance.
  • Démontrer votre sérieux à un client, un assureur ou un partenaire qui vous demande comment vous protégez les données.
  • Documenter les mesures de sécurité que vous avez mises en place, ce qui soutient l'obligation de la Loi 25 de prendre des mesures de sécurité raisonnables.

À noter : la Loi 25 n'impose pas nommément une « politique de cybersécurité » ni un programme de sensibilisation. Elle exige des mesures de sécurité propres à assurer la protection des renseignements personnels. Une politique écrite, doublée d'une sensibilisation continue, est l'un des moyens les plus simples de formaliser ces mesures et de prouver qu'elles existent.

Assistance Loi25Simple pour la formation Loi 25

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1re année
En savoir plus →
🔐

Les éléments à couvrir dans une politique de PME

Inutile de viser un document de cinquante pages. Pour une PME, une politique utile couvre sept domaines essentiels. Voici ce que chacun devrait préciser, en règles concrètes plutôt qu'en principes abstraits.

Domaine Ce que la politique doit préciser
Mots de passe Longueur minimale, interdiction de réutiliser un mot de passe personnel, usage d'un gestionnaire de mots de passe, activation de la double authentification sur les comptes sensibles.
Gestion des accès Principe du moindre privilège, qui peut accorder un accès, retrait des accès au départ d'un employé, révision périodique des comptes actifs.
Appareils Mises à jour obligatoires, antivirus, verrouillage automatique, règles d'usage des appareils personnels et des clés USB.
Télétravail Connexion sécurisée, interdiction des réseaux Wi-Fi publics non protégés, écran à l'abri des regards, séparation des usages personnels et professionnels.
Sauvegardes Quoi sauvegarder, à quelle fréquence, où conserver les copies, et test périodique de la restauration.
Gestion des incidents Comment signaler un incident, à qui, dans quel délai, et qui décide des suites. Un courriel suspect cliqué doit être signalé sans crainte de reproche.
Sensibilisation Formation à l'arrivée, rappels réguliers, reconnaissance de l'hameçonnage et des fraudes courantes par courriel ou téléphone.

La rubrique sensibilisation est le cœur du dispositif : la plupart des incidents commencent par une erreur humaine, souvent un courriel d'hameçonnage. La politique fixe les règles, mais c'est la sensibilisation des employés qui les fait entrer dans les habitudes. Pour aller plus loin sur ce volet, consultez notre guide sur la sensibilisation des employés à la cybersécurité.

📄

Structure type d'une politique de cybersécurité

Voici un gabarit de sections que vous pouvez recopier dans un document Word ou Google Docs et remplir avec vos propres règles. Ce n'est pas un fichier à télécharger, mais une trame éprouvée qui couvre l'essentiel pour une PME. Adaptez chaque section à votre réalité plutôt que de copier un modèle générique sans le relire.

  1. Objet et portée. À quoi sert la politique et qui est visé (employés, contractuels, stagiaires).
  2. Rôles et responsabilités. Qui est responsable de la sécurité, à qui signaler un problème, qui approuve les exceptions.
  3. Règles sur les mots de passe et l'authentification. Vos exigences concrètes.
  4. Gestion des accès et des comptes. Attribution, révision et retrait des accès.
  5. Usage des appareils et des logiciels. Postes, téléphones, appareils personnels, logiciels autorisés.
  6. Télétravail et accès à distance. Conditions pour travailler hors du bureau.
  7. Sauvegardes et continuité. Ce qui est protégé et comment vous restaurez les données.
  8. Gestion des incidents. Comment signaler, qui intervient, quels délais.
  9. Sensibilisation et formation. Ce que chaque employé doit suivre et à quelle fréquence.
  10. Suivi, sanctions et révision. Conséquences d'un manquement et date de la prochaine révision.

Ajoutez en première page la date d'entrée en vigueur, le numéro de version et le nom de la personne responsable. Ces trois mentions suffisent à transformer un brouillon en document officiel, daté et opposable.

⚠️

Erreurs fréquentes à éviter

Une politique mal conçue peut donner un faux sentiment de sécurité. Voici les pièges qui reviennent le plus souvent dans les PME.

  • Copier un modèle sans l'adapter. Un document qui parle de services ou d'outils que vous n'utilisez pas perd toute crédibilité auprès de vos employés.
  • Rédiger trop long ou trop technique. Une politique que personne ne lit ne protège personne. Visez des phrases courtes et des règles vérifiables.
  • Oublier le retrait des accès. Les comptes d'anciens employés restés actifs sont une porte d'entrée classique. Prévoyez une procédure de départ.
  • Ne jamais tester les sauvegardes. Une sauvegarde qu'on n'a jamais restaurée n'est qu'une promesse. Planifiez un test au moins une fois par année.
  • Confondre rédaction et application. Le document existe, mais personne ne l'a lu ni signé. Sans diffusion ni formation, la politique reste un fichier oublié.
  • Ne pas dater ni réviser. Une politique sans date de révision finit par décrire des outils et des risques dépassés.
🔁

Faire vivre la politique par la sensibilisation

Rédiger la politique est la moitié du travail. L'autre moitié, c'est la sensibilisation : la faire connaître, ancrer les bons réflexes et maintenir le document à jour. Une politique vivante repose sur trois habitudes simples qui nourrissent la culture de sécurité.

  • Diffuser et faire reconnaître. Présentez la politique à chaque nouvel employé et demandez une confirmation de lecture. Une trace écrite vous sera utile en cas d'incident.
  • Sensibiliser régulièrement. Une sensibilisation à l'arrivée, puis des rappels courts dans l'année, ancrent les bons réflexes mieux qu'un document lu une seule fois. La sensibilisation continue par micro-modules (Slack, Teams, courriel) maintient la vigilance sans mobiliser des journées entières.
  • Réviser au moins une fois par an. Inscrivez une date de révision et vérifiez que les règles correspondent encore à vos outils, vos équipes et les nouvelles menaces.

Pour structurer la sensibilisation et garder une preuve nominative que chaque employé l'a suivie, des plateformes en ligne comme Loi25Simple combinent micro-modules de formation, certificats et tableau de bord. Notre guide complet sur la cybersécurité pour PME situe la politique et la sensibilisation parmi les autres mesures à mettre en place.

🔗

Politique de cybersécurité et politique de confidentialité Loi 25

On confond souvent ces deux documents. Ils sont complémentaires mais distincts, et ne s'adressent pas au même public.

  • La politique de cybersécurité est un document interne. Elle s'adresse à vos employés et décrit les règles techniques et organisationnelles pour protéger vos systèmes et vos données.
  • La politique de confidentialité Loi 25 est un document destiné au public. Elle explique aux personnes concernées quels renseignements personnels vous collectez, pourquoi, et comment elles peuvent exercer leurs droits.

Les deux se renforcent : votre politique de confidentialité peut affirmer que vous prenez des mesures de sécurité, et votre politique de cybersécurité décrit précisément ces mesures. La personne qui pilote l'ensemble est le plus souvent le responsable de la protection des renseignements personnels (RPRP), qui veille à la cohérence entre les deux documents.

Assistance Loi25Simple pour la formation Loi 25

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1re année
En savoir plus →

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

Questions fréquentes sur la politique de cybersécurité

La Loi 25 oblige-t-elle une politique de cybersécurité ? +
La Loi 25 n'exige pas nommément une politique de cybersécurité. Elle impose de prendre des mesures de sécurité raisonnables pour protéger les renseignements personnels. Une politique écrite est l'un des moyens les plus simples de formaliser et de documenter ces mesures.
Quelle est la différence entre une politique de cybersécurité et une politique de confidentialité ? +
La politique de cybersécurité est un document interne destiné aux employés : elle décrit les règles pour protéger les systèmes et les données. La politique de confidentialité est destinée au public : elle explique aux personnes concernées quels renseignements vous collectez et comment exercer leurs droits. Les deux documents sont complémentaires.
Quelle longueur doit avoir une politique pour une PME ? +
Pour une PME, quelques pages suffisent. L'objectif est qu'elle soit lue et appliquée. Mieux vaut un document court avec des règles concrètes et vérifiables qu'un manuel de cinquante pages que personne ne consulte.
Que doit contenir une politique de cybersécurité de PME ? +
Elle devrait couvrir sept domaines : les mots de passe, la gestion des accès, les appareils, le télétravail, les sauvegardes, la gestion des incidents et la sensibilisation des employés. Ajoutez une date d'entrée en vigueur, un numéro de version et le nom de la personne responsable.
À quelle fréquence faut-il réviser la politique ? +
Au moins une fois par année, ou plus tôt si vous changez d'outils, embauchez beaucoup ou faites face à une nouvelle menace. Inscrivez une date de révision dans le document pour qu'elle ne soit pas oubliée.
Existe-t-il un modèle de politique de cybersécurité à télécharger ? +
Cette page propose un gabarit de sections à recopier dans votre traitement de texte et à remplir avec vos propres règles, plutôt qu'un fichier à télécharger. Recopier un modèle générique sans l'adapter à votre réalité est d'ailleurs l'erreur la plus fréquente.
Qui devrait rédiger et maintenir la politique ? +
Dans une PME, le responsable de la protection des renseignements personnels (RPRP) ou le dirigeant pilote généralement la politique, souvent avec l'appui de la personne responsable des TI. L'important est qu'une personne nommée en assure la diffusion, la formation et la révision.