Une stratégie de sécurité est un ensemble de règles, de directives et de listes de contrôle. Les techniciens réseau et les responsables d'une organisation travaillent ensemble pour développer les règles et les directives relatives à la sécurité de l'équipement informatique. Une stratégie de sécurité comporte les éléments suivants :
- Définition des bonnes pratiques concernant l'utilisation de l'informatique dans l'entreprise.
- Identification des personnes autorisées à utiliser l'équipement informatique.
- Identification des périphériques dont l'installation sur le réseau est autorisée, ainsi que des conditions de cette installation. Les modems et les points d'accès sans fil sont des exemples de matériel qui peuvent exposer le réseau aux attaques.
- Définition des exigences requises pour que les données restent confidentielles sur un réseau.
- Détermination d'une procédure pour qu'un employé acquière un droit d'accès à l'équipement et aux données. Cette procédure peut exiger que l'employé signe un accord relatif aux règles de l'entreprise. Elle répertorie aussi les conséquences du non-respect de ces règles.
Une stratégie de sécurité doit impérativement prévoir la gestion des problèmes de sécurité. Bien que cela puisse varier d'une entreprise à l'autre, certaines questions doivent être posées :
- Quelles ressources doivent être protégées ?
- Quelles sont les menaces possibles ?
- Que faire si une faille est détectée ?
- Quelle formation est proposée aux utilisateurs ?
REMARQUE : une stratégie de sécurité est efficace uniquement si elle est appliquée et respectée par tous les employés.