Il n'y a malheureusement pas de recette miracle.
Toute information est susceptible d'être captée, modifiée, détruite, etc. Personne n'est à l'abri. Les ordinateurs de certaines des plus puissantes entreprises, ou même d'organisations devant assurer la sécurité d'un très grand pays ont étés piratés. Bien avant les ordinateurs l'espionnage existait et a réussi des exploits similaires.

Cependant, l'expérience a montré que certains facteurs sont capitaux dans la réussite de l'implémentation d'une politique de sécurité au sein d'une organisation. Le respect de ces quelques règles simples augmente considérablement les chances de succès :

  1. Une politique de sécurité, avec des cibles et des activités qui reflètent clairement les objectifs de l'organisation.
  2. Une approche de l'implémentation de la politique de sécurité qui soit cohérente avec la culture de l'entreprise.
  3. Un support et un engagement visibles de la part de l'encadrement et de la direction.
  4. Une bonne compréhension des nécessités et de la gestion de la sécurité.
  5. Une bonne présentation (ou « vente » ) de la sécurité à tous les dirigeants et employés.
  6. La distribution de guides pratiques d'information sur les règles et standards de sécurité à tous les employés et contractants.
  7. La fourniture d'une formation appropriée à l'ensemble des intervenants.
  8. Une méthode détaillée et équilibrée pour mesurer les performances du système de sécurité de l'information et prendre en compte les retours et suggestions d'amélioration.

Il est important de montrer l'implication de l'entreprise, par exemple par un document décrivant la politique de sécurité de l'entreprise (C'est d'ailleurs une des recommandation de la norme ISO 17799).

Ce document doit être approuvé par la direction et largement diffusé dans l'entreprise à destination de tous les employés. Son but est de décrire les engagements et définir l'approche du problème. Il doit au minimum inclure :

  1. Une définition de la sécurité de l'information, des objectifs généraux, et de l'importance de la sécurité dans les mécanismes de partage de l'information.
  2. Un rapport sur les intentions de la direction, énonçant les principes et objectifs de la sécurité de l'information.
  3. Une rapide explication des politiques, principes, standards de sécurité et des impératifs les plus importants pour l'organisation, comme :
    1. La conformité avec les obligations légales et contractuelles.
    2. Les connaissances indispensables sur la sécurité.
    3. La prévention, détection, élimination des virus et autres programmes indésirables.
    4. La continuation de l'activité.
    5. Les conséquences des violations de la politique de sécurité.
  4. Une définition des responsabilités générales et spécifiques pour la gestion de la sécurité, y compris la tenue des rapports d'incidents de sécurité.
  5. Des références à des documents qui traitent de la sécurité, par exemple décrivant plus en détail la politique de sécurité, les procédures selon les systèmes d'informations spécifiques, ou les règles de sécurité que les usagers doivent respecter.