(Parce que « Conformément aux exigences légales applicables… » n'est pas une façon courante de s'exprimer.)
Vous l'avez vu cent fois.
La politique de sécurité de l'information
qui se trouve dans SharePoint et que personne n'a ouverte depuis 2019.
La politique d'utilisation acceptable qui commence par « Il est strictement interdit... » et se termine par un soupir.
Le PDF de 12 pages qui vous permet de passer l'audit, mais qui n'a aucun sens pour les personnes qu'il est censé guider.
Soyons honnêtes : la plupart des politiques échouent non pas parce que les gens s'en moquent, mais parce qu'elles sont rédigées pour les auditeurs, et non pour les êtres humains.
Si votre objectif est d'amener les gens à réellement respecter une politique, et pas seulement à en prendre connaissance une fois par an, voici comment y parvenir.
1. Rappelez-vous pourquoi les politiques existent
Une politique n'est pas un artefact de conformité. C'est une boussole décisionnelle.
Elle existe pour s'assurer que les gens agissent de manière cohérente même lorsque personne ne les observe.
Lorsque vous commencez un projet politique par la phrase suivante :
« Nous en avons besoin pour l'ISO. »
tu as déjà perdu.
La bonne mentalité est la suivante :
« Nous en avons besoin pour que les gens cessent de deviner ce qu'on attend d'eux. »
Ce petit changement (passer d'une approche axée sur l'auditeur à une approche axée sur le comportement) change tout dans la manière dont vous rédigez, structurez et maintenez vos politiques.
2. Cessez d'écrire pour Auditor
Si votre première phrase commence par « conformément aux obligations légales, réglementaires et contractuelles applicables », félicitations : vous venez de faire perdre tout intérêt à vos lecteurs.
Ce n'est pas de la clarté, c'est du camouflage.
Écrivez comme si vous expliquiez cela à un nouveau collègue lors de son premier jour.
-
Utilisez des phrases courtes.
-
Utilisez des verbes actifs.
-
Dites « vous » ou « nous », et non « l'utilisateur » ou « l'organisation ».
Exemple :
❌ Tous les employés sont tenus d'assurer la protection des informations sensibles conformément aux obligations internes et externes.
✅ Protégez les données sensibles. Ne les partagez pas en dehors de l'entreprise sans autorisation.
Vous voyez ? Toujours conforme. Mais maintenant, cela ressemble à une conversation entre deux personnes.
3. Connaître la différence : politique ≠ procédure ≠ processus
Cette confusion ruine la moitié des projets de documentation.
Voici le détail :
|
Niveau |
Objectif |
Exemple |
|---|---|---|
|
Politique |
Définit la règle (le « quoi ») |
« Toutes les informations doivent être classifiées avant d'être stockées. » |
|
Procédure |
Explique comment l'appliquer |
« Utilisez le modèle de classification à 4 niveaux de l'entreprise. » |
|
Processus |
Décrit le déroulement opérationnel |
« Le système classe automatiquement les fichiers par niveau de classification. » |
Cessez d'intégrer des procédures dans les politiques.
Les politiques vous indiquent ce que vous devez faire, pas comment cliquer sur le bouton.
4. Attribuez la propriété ou regardez-le mourir
Chaque politique doit être associée à un nom, à une personne responsable de son application.
Sinon, il se décomposera lentement dans un disque partagé jusqu'à ce que le prochain audit ISO le déterre.
Gouvernance minimale viable :
-
Responsable de la politique – veille à ce que le contenu soit à jour.
-
Approbateur – valide et signe.
-
Fréquence des révisions – généralement une fois par an, ou chaque fois qu'un changement survient.
Si une police ne désigne pas de propriétaire, elle est considérée comme inactive. Elle existe, mais n'est pas en vigueur.
5. Soyez concis (très concis)
Si votre politique de sécurité de l'information fait 12 pages, ce n'est pas une politique, c'est un essai.
Visez une page par sujet.
Et pour plus de clarté : pas de voix passive, pas de remplissage, pas de jargon juridique.
Exemple de réécriture rapide :
❌ « L'organisation se réserve le droit de surveiller l'utilisation d'Internet par ses employés lorsqu'elle le juge approprié. »
✅ « Nous surveillons l'activité réseau afin d'assurer la sécurité des systèmes. N'utilisez pas l'Internet de l'entreprise à des fins personnelles. »
Une seule ligne. Claire, transparente, défendable.
6. Donnez-lui un foyer (et de la visibilité)
Les politiques meurent dans les PDF.
Donnez-leur vie :
-
Mettez-les sur l'intranet.
-
Reliez-les à partir de votre intégration.
-
Transformez les règles en infographies ou en publications Teams.
-
Organisez un petit quiz une fois par an.
Il ne s'agit pas de campagnes de sensibilisation, mais plutôt de répétition et de visibilité.
Les gens ne peuvent pas suivre ce qu'ils ne voient jamais.
7. Utilisez le cadre stratégique à six éléments
Voici la structure que nous utilisons dans le cadre de nos formations et de nos projets concrets.
Toute bonne politique devrait inclure :
-
Objectif – Pourquoi existe-t-il ?
-
Champ d'application – À qui et à quoi s'applique-t-il ?
-
Principes / Règles – Ce qui doit être fait.
-
Responsabilités – Qui fait quoi.
-
Exceptions / Application – Comment gérer les écarts.
-
Références – Procédures, normes ou directives associées.
C'est tout.
Pas de préambule, pas de jargon. Juste un document clair, vérifiable et lisible.
👉 Si votre modèle de politique ne comprend pas ces six éléments, recommencez depuis le début.
8. Rendez-le humain
Si vous voulez que les gens respectent les politiques, ils doivent pouvoir s'y reconnaître.
Utilisez leur langage.
Faites preuve d'empathie.
Et n'oubliez pas : le « ton utilisé » relève également de la gouvernance.
On peut être sérieux sans être robotique.
Vous pouvez être conforme sans être ennuyeux.
Car en fin de compte, la conformité n'est pas une question de documents, mais plutôt une question de personnes qui agissent correctement même lorsque personne ne les surveille.
9. Aide-mémoire pour la rédaction de politiques
|
✅ Faire |
❌ Ne pas |
|---|---|
|
Écrivez pour les humains |
Écrire pour les auditeurs |
|
Ne dépassez pas une page. |
Copier-coller le texte ISO |
|
Utilisez des verbes, pas des noms |
Se cacher derrière des « mesures appropriées » |
|
Attribuer la propriété |
Laissez cela à « l'organisation ». |
|
Réviser chaque année |
Laissez-le pourrir jusqu'au prochain audit. |
10. La culture prime sur la conformité
Vous pouvez avoir la meilleure politique au monde, si les dirigeants l'ignorent, tout le monde fera de même.
Les politiques ne dictent pas la culture, elles la reflètent.
Avant de publier votre prochaine politique, posez-vous donc la question suivante :
« Est-ce que je suivrais personnellement cette recommandation ? »
Si la réponse est « pas vraiment », réécrivez-la.
Si votre politique nécessite l'intervention d'un agent de police pour fonctionner, ce n'est pas une politique, c'est une menace.
👇 Conclusion
Rédiger des politiques que les gens respectent réellement n'est pas une question de créativité, mais plutôt de clarté, d'appropriation et de respect envers le lecteur.
La bonne nouvelle ? Vous pouvez apprendre la structure, le ton et le format qui fonctionnent.
C'est exactement ce que nous enseignons dans :
Et oui, nous incluons un pack de modèles de politiques que nous utilisons dans nos projets de conseil réels.
👉 Contactez l'équipe et rejoignez la prochaine promotion en direct
