PolicyForge
Tous les articles
6 min

Comment rédiger une politique de chiffrement

Une politique de chiffrement définit ce que vous chiffrez, avec quels algorithmes, et comment vous gérez les clés. Voici les sections attendues par les auditeurs — avec un modèle gratuit.

Pourquoi une politique de chiffrement

Le chiffrement ne vaut que par les décisions qui le sous-tendent : quelles données, quels algorithmes, qui détient les clés. Une politique de chiffrement consigne ces décisions pour qu'elles soient cohérentes, défendables et auditables — plutôt que laissées à celui qui a configuré chaque système.

Quoi inclure

  1. Périmètre — données au repos, en transit, sauvegardes et supports amovibles.
  2. Algorithmes approuvés — nommez les standards actuels (ex. AES-256 au repos, TLS 1.2+ en transit) et retirez explicitement les faibles.
  3. Gestion des clés — génération, stockage, rotation, révocation et recouvrement ; les clés ne résident jamais à côté des données qu'elles protègent.
  4. Responsabilités — qui détient les clés, qui peut demander un déchiffrement, séparation des tâches.
  5. Données en transit — versions TLS minimales, gestion des certificats, trafic interne.
  6. Postes utilisateurs — chiffrement intégral du disque sur ordinateurs et téléphones.
  7. Exceptions — comment une exception est demandée, approuvée et limitée dans le temps.

Erreurs fréquentes

  • Lister les algorithmes une fois sans jamais retirer les obsolètes (TLS 1.0/1.1, SHA-1).
  • Traiter la gestion des clés comme un détail — c'est la partie la plus difficile et la plus auditée.
  • Aucun processus d'exception, donc les équipes contournent discrètement la politique.

Alignement référentiels

Correspond à l'Annexe A 8.24 d'ISO 27001:2022 (utilisation de la cryptographie), aux critères de confidentialité SOC 2, et à la fonction Protéger du NIST CSF (PR.DS).

Générez-la en quelques minutes

Voir un exemple de politique de chiffrement ou générez la vôtre gratuitement.