Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →

Politiques vs Normes vs Procédures vs Directives: Quelle Différence?

Quand votre partenaire IT vous demande d'écrire "une politique", veut-il une déclaration d'une page ou un manuel de 20 pages? La confusion entre ces quatre types de documents est l'un des obstacles les plus courants dans la documentation cybersécurité — et se tromper fait perdre beaucoup d'efforts.

Quatre niveaux empilés représentant la hiérarchie des documents
Chaque type de document s'appuie sur le niveau précédent

Les quatre types de documents forment une hiérarchie. Chacun s'appuie sur le précédent. Comprendre quel type vous rédigez détermine qui en est propriétaire, à quelle fréquence il change, et à quel niveau de détail il doit être.

La Hiérarchie en Quatre Niveaux

Niveau 1

Politique

Le "quoi" et le "pourquoi"

Une politique est une déclaration d'intention de haut niveau. Elle dit ce que l'organisation veut atteindre et pourquoi c'est important — mais pas comment. Les politiques appartiennent au management, sont approuvées au niveau du conseil d'administration et changent rarement. Elles tiennent généralement en une ou deux pages.

Exemple

"L'organisation maintiendra des sauvegardes régulières de toutes les données critiques pour assurer la continuité des activités en cas de panne système ou d'incident cyber."

  • Rédigée pour le management et les auditeurs
  • Technologie-agnostique (ne nomme pas d'outils spécifiques)
  • Révisée annuellement ou lors de changements importants
  • La violation entraîne des conséquences formelles
Niveau 2

Norme

Le "combien"

Une norme définit les exigences spécifiques et mesurables qui mettent en œuvre une politique. Elle répond à "combien", "à quelle fréquence", "à quel niveau". Les normes sont plus techniques que les politiques et peuvent référencer des configurations ou seuils spécifiques. Elles sont obligatoires, comme les politiques.

Exemple

"Les données critiques doivent être sauvegardées quotidiennement. Les sauvegardes doivent suivre la règle 3-2-1: 3 copies, sur 2 supports différents, avec 1 copie hors site. La récupération doit être testée trimestriellement."

  • Spécifique et mesurable
  • Peut référencer une technologie ou des produits
  • Obligatoire — pas optionnel
  • Mis à jour lors de changements technologiques ou de nouveaux risques
Niveau 3

Procédure

Le "comment faire"

Une procédure est une description étape par étape de comment accomplir une tâche spécifique pour répondre à une norme. Les procédures sont des documents opérationnels — utilisés par les personnes qui font réellement le travail. Elles changent fréquemment à mesure que les outils et processus évoluent.

Exemple

"Étape 1: Connectez-vous à la console de gestion des sauvegardes à [URL]. Étape 2: Vérifiez que le job de sauvegarde de la nuit dernière s'est terminé avec succès. Étape 3: Si le job a échoué, escaladez vers le partenaire IT dans les 2 heures..."

  • Rédigée pour la personne qui effectue la tâche
  • Spécifique aux outils et détaillée
  • Mise à jour à chaque changement de processus ou d'outil
  • Inclut souvent des captures d'écran ou des checklists
Niveau 4

Directive

L'"approche recommandée"

Les directives sont des recommandations non obligatoires. Elles offrent des bonnes pratiques, des approches suggérées ou du contexte utile — mais les suivre est optionnel. Elles sont utiles dans les situations où des règles rigides n'ont pas de sens car le contexte varie.

Exemple

"Lors de la sélection d'un prestataire de sauvegarde cloud, privilégiez les fournisseurs certifiés ISO 27001 avec des centres de données dans l'UE. Évitez les prestataires stockant des données dans des juridictions à faible protection de la vie privée."

  • Volontaire — pas obligatoire
  • Utile là où le jugement est nécessaire
  • Fournit contexte et justification
  • Mis à jour au fil de l'évolution des bonnes pratiques

Pourquoi Cette Distinction est Importante

Confondre ces types crée deux problèmes courants:

Des politiques rédigées comme des procédures

Une "politique" de 30 pages décrivant chaque étape technique devient ingérable. Quand les outils changent, toute la politique doit être réécrite et ré-approuvée. Gardez les politiques courtes et technologie-agnostiques — les procédures sont là pour les détails.

Des procédures sans politique de base

Si vous avez des instructions étape par étape mais pas de politique sous-jacente, vous n'avez pas de cadre pour les décisions. Quand une exception survient, personne ne sait quelle est l'intention. Les politiques donnent leur autorité aux procédures.

Comment Cela se Mappe sur CyFun et NIS2

Les contrôles CyberFundamentals (CyFun) exigent généralement des preuves pour les quatre types de documents:

Contrôle Politique Norme Procédure Directive
Contrôle d'accès Politique de contrôle d'accès Longueur des mots de passe, exigences MFA Comment créer/révoquer des comptes utilisateurs Outils de gestion de mots de passe recommandés
Sauvegarde & Récupération Politique de continuité d'activité Règle 3-2-1, objectifs RTO/RPO Étapes de vérification quotidienne des sauvegardes Options logicielles de sauvegarde suggérées
Réponse aux incidents Politique de réponse aux incidents Délais de réponse, seuils de signalement Playbook de gestion des incidents étape par étape Modèles de communication pour les incidents

Lors d'un audit CyFun ou NIS2, les auditeurs vérifient les quatre couches. Une procédure sans politique de soutien est une lacune. Une politique sans procédures de mise en œuvre est également une lacune.

Par Où Commencer

Le bon ordre est descendant: rédigez d'abord les politiques, dérivez-en des normes, puis des procédures.

1

Identifiez votre périmètre

Quels domaines nécessitent une documentation? Pour CyFun Basic, l'ensemble minimal comprend: contrôle d'accès, sauvegarde, réponse aux incidents, utilisation acceptable et gestion des correctifs.

2

Rédigez d'abord des politiques d'une page

Chaque politique doit répondre à: Que protégeons-nous? Pourquoi est-ce important? Quelle est l'approche globale? Qui est responsable? Restez sous deux pages.

3

Dérivez des normes de chaque politique

Pour chaque politique, listez les exigences spécifiques et mesurables. Que doit-il se passer exactement? À quelle fréquence? À quel seuil? Ce sont vos normes.

4

Rédigez des procédures pour les tâches opérationnelles

Identifiez quelles normes nécessitent une action humaine récurrente. Rédigez des procédures étape par étape pour ces tâches. Assignez un propriétaire.

5

Ajoutez des directives là où le jugement est nécessaire

Pour les décisions où le contexte varie (ex: sélection de fournisseurs, choix d'outils), documentez votre approche recommandée comme directive plutôt que comme règle.

Questions Fréquentes

Les petites PME ont-elles vraiment besoin des quatre types de documents?

Pour la conformité NIS2 et CyFun, oui — les auditeurs s'attendent à voir des politiques et au moins quelques normes et procédures. Les directives sont optionnelles. Mais "quatre types" ne signifie pas une grande quantité de paperasse. Une PME de 10 personnes peut avoir 5 politiques d'une page, 5 documents de normes et 10 courtes procédures. C'est gérable.

Qui doit posséder chaque type de document?

Les politiques appartiennent au management (PDG, COO ou conseil). Les normes sont généralement la propriété de l'IT ou du partenaire IT. Les procédures appartiennent à l'équipe qui fait le travail. Les directives sont souvent la propriété de l'IT ou du MSP.

À quelle fréquence doit-on réviser ces documents?

Politiques: annuellement ou lors de changements importants. Normes: lors de changements technologiques ou de nouveaux risques. Procédures: à chaque changement de processus ou d'outil. Directives: à mesure que les bonnes pratiques évoluent. Pour NIS2, vous devez pouvoir montrer que les documents sont révisés régulièrement — datez-les donc et gardez un historique des révisions.

Notre partenaire IT nous a donné un "document de politique" de 50 pages. Est-ce normal?

C'est courant mais pas idéal. Ce qui se passe généralement est qu'une politique, une norme et une procédure ont été fusionnées en un seul document. Ce n'est pas faux, mais ça rend les mises à jour plus difficiles. À mesure que votre programme de conformité mûrit, envisagez de les séparer. Pour un premier audit, un document consolidé est généralement acceptable.

Easy Cyber Protection aide-t-il avec ces documents?

Oui. La plateforme stocke vos politiques, normes et procédures comme des pages wiki liées à des contrôles CyFun spécifiques. Vous pouvez générer des brouillons de politiques à partir de modèles, suivre quels contrôles ont une documentation et exporter des documents pour les audits.

Articles Connexes

Comment Créer une Politique de Sécurité Guide d'Évaluation des Risques CyFun pour les MSP: le Cadre Cyber Belge Expliqué Étapes de Mise en Œuvre NIS2

Dernière mise à jour: avril 2026

TARS