Politique d'usage acceptable
Définit les usages acceptables et interdits des systèmes, équipements et réseaux de l'entreprise.
Bibliothèque
60 modèles bilingues couvrant 38 référentiels de conformité. Générez la politique adaptée à votre contexte en quelques minutes.
60 modèles
Définit les usages acceptables et interdits des systèmes, équipements et réseaux de l'entreprise.
Définit comment les utilisateurs obtiennent, modifient et perdent l'accès aux systèmes et aux données.
Définit comment les employés peuvent utiliser les outils d'IA générative et de machine learning — chatbots publics, copilotes, assistants intégrés.
Définit comment les systèmes d'IA sont conçus, évalués, déployés et supervisés — aligné avec le règlement européen sur l'IA et ISO/IEC 42001.
Interdit la corruption sous toutes ses formes, aligné avec FCPA (US), UK Bribery Act, Sapin II (France) et ISO 37001.
Établit comment le workforce reconnaît, signale et est protégé contre phishing, vishing, smishing et attaques d'ingénierie sociale.
Définit les exigences de sécurité pour les API internes et externes, de la conception à la mise hors service.
Définit comment les actifs IT sont inventoriés, classés, attribués et mis hors service.
Définit la vérification d'antécédents pré-embauche adaptée à la sensibilité du rôle, en conformité avec le droit du travail et de la vie privée.
Définit comment les données sont sauvegardées, conservées et restaurées pour assurer la continuité d'activité.
Établit le système de management de la continuité aligné sur ISO 22301 — BIA, plans, exercices, gouvernance.
Définit l'usage acceptable des équipements personnels au travail, avec contrôles de sécurité et conditions de remboursement.
Garantit que la capacité des systèmes est surveillée et planifiée pour répondre à la demande métier actuelle et prévisionnelle (ISO 27001 A.8.6, SOC 2 A1).
Détaille les droits des consommateurs et les pratiques de données selon les lois CCPA et CPRA de Californie.
Définit comment les changements en production sont proposés, revus, déployés et annulés.
Aligne l'organisation avec la Cybersecurity Maturity Model Certification (CMMC) pour les contractants et sous-traitants du DoD américain.
Définit comment les configurations de référence sont établies, déployées et protégées contre tout changement non autorisé (famille NIST CM, ISO 27001 A.8).
Indique les cookies déposés sur votre site, leur finalité, leur durée et comment les visiteurs peuvent les gérer.
Établit le cadre organisationnel pour répondre aux événements graves — cyber, sécurité, réputation, juridique — au-delà de la continuité d'activité.
Définit le cycle de vie complet des clés cryptographiques aligné sur NIST SP 800-57 et FIPS 140-3.
Documente les cinq contrôles techniques exigés par les certifications britanniques Cyber Essentials et Cyber Essentials Plus du NCSC.
Définit les contrôles pour détecter et prévenir l'exfiltration non autorisée de données sensibles via e-mail, postes, cloud et sorties réseau.
Définit comment les données personnelles et sensibles sont collectées, traitées, stockées et protégées, en alignement avec les exigences RGPD.
Définit la durée de conservation des données, sa justification et la destruction sécurisée à l'expiration.
Définit le processus disciplinaire cohérent et proportionné pour les violations des politiques de sécurité de l'information par le workforce.
Définit l'usage acceptable, sécurisé et professionnel de la messagerie d'entreprise.
Définit les standards cryptographiques pour les données au repos, en transit, et la gestion des clés.
Aligne une offre cloud avec les exigences d'autorisation FedRAMP pour usage par les agences fédérales américaines.
Aligne l'organisation avec la certification française HDS pour l'hébergement de données de santé à caractère personnel.
Établit les protections pour les informations de santé protégées (PHI) en alignement avec les règles Security et Privacy de HIPAA.
Aligne la protection de l'information sur le HITRUST CSF, standard de facto pour la santé aux États-Unis.
Gère le risque lié aux prestataires TIC en alignement avec DORA — évaluation de criticité, registre et stratégies de sortie.
Établit les principes IAM, le contrôle d'identité, l'authentification, l'autorisation, la fédération et la gestion du cycle de vie.
Définit qui communique quoi, à qui et quand lors d'un incident cyber — interne, client, régulateur et public.
Définit comment l'organisation détecte, répond et tire les leçons des incidents de sécurité.
Définit comment l'information est classée par sensibilité et les protections requises par niveau.
Étend les contrôles ISO 27001 avec les recommandations cloud d'ISO/IEC 27017 et définit la responsabilité partagée pour la sécurité des services cloud.
Met en œuvre les protections pour le traitement des PII en tant que sous-traitant cloud public, en alignement avec ISO/IEC 27018.
Définit ce qui est journalisé, comment les logs sont protégés et conservés, et comment la surveillance alimente la détection et la réponse.
Définit la segmentation, les contrôles périmétriques et latéraux, la connectivité sécurisée et les principes zero trust.
Établit les mesures de gestion du risque cyber exigées par la directive UE 2022/2555 (NIS2) pour les entités essentielles et importantes.
Définit comment les dépendances open-source sont évaluées, approuvées, surveillées et contribuées.
Établit le cadre pour identifier, protéger, détecter, répondre, restaurer et tirer des leçons des perturbations opérationnelles (aligné DORA / NIS2).
Définit les exigences et les pratiques de gestion des mots de passe.
Définit comment les correctifs d'OS, d'applications et de firmware sont évalués, testés, déployés et vérifiés.
Protège les données de carte (CHD) et l'environnement (CDE) en alignement avec PCI DSS v4.0.
Établit le programme de tests de sécurité offensifs autorisés sur les systèmes et applications.
Définit la protection des locaux, des équipements et de l'environnement des systèmes d'information (ISO 27001 Annexe A.7).
Établit un Système de Management de la Protection de la Vie Privée (PIMS) aligné sur ISO/IEC 27701, en complément d'ISO 27001.
Régit la création, la classification, la conservation, l'accès et la destruction des documents organisationnels (plus large que la rétention de données).
Définit les attentes de sécurité et opérationnelles pour les employés en télétravail.
Définit comment les risques sont identifiés, évalués, traités, surveillés et reportés (aligné NIST RMF et ISO 27005).
Intègre la sécurité tout au long du cycle de développement logiciel (NIST SSDF, ISO/IEC 27034).
Aligne le prestataire de services cloud avec les exigences de qualification SecNumCloud de l'ANSSI.
Définit les actions de sécurité pour les arrivées, mobilités internes et départs — du provisioning des accès au déprovisioning et entretiens de sortie.
Définit la formation cybersécurité obligatoire, les campagnes de sensibilisation et la mesure d'efficacité.
Aligne la sécurité de l'information sur le catalogue TISAX utilisé dans l'industrie automobile européenne.
Définit comment les fournisseurs et tiers sont évalués, contractualisés, surveillés et désengagés.
Établit comment les vulnérabilités sont découvertes, priorisées, corrigées et vérifiées sur l'ensemble du stack technique.
Fournit des canaux de signalement internes et externes sûrs et des protections anti-représailles, alignés avec la directive UE 2019/1937 et les transpositions nationales.
Créez un compte gratuit et commencez à rédiger vos politiques en quelques minutes.
Commencer gratuitement