Skip to content

Distinguez une politique, une norme, une procédure et une ligne directrice. Lesquelles sont obligatoires ?

Réponse courte

Une politique est l'énoncé obligatoire de haut niveau de l'intention de la direction ; une norme est une règle obligatoire et spécifique qui applique la politique (par exemple AES-256) ; une procédure est le mode opératoire obligatoire étape par étape ; une ligne directrice est une recommandation facultative. Les politiques, normes et procédures sont obligatoires, tandis que les lignes directrices sont discrétionnaires.

C'est une question de définitions classique du CISSP, et les recruteurs l'utilisent pour vérifier si vous savez parler avec précision aux dirigeants et aux auditeurs. Confondre ces termes signale des fondamentaux de gouvernance fragiles.

La hiérarchie de gouvernance

Voyez ces documents comme une pyramide allant de l'intention à l'exécution :

  • Politique — l'énoncé de plus haut niveau, large, de l'intention et de l'orientation de la direction. Elle dit quoi et pourquoi, est approuvée par la direction générale et évite délibérément les technologies spécifiques pour rester stable pendant des années. Obligatoire.
  • Norme — une règle spécifique et obligatoire qui opérationnalise une politique. « Toutes les données au repos doivent être chiffrées avec AES-256 » est une norme appliquant une politique de chiffrement. Obligatoire.
  • Référentiel de configuration (baseline) — un niveau de configuration minimal acceptable (par exemple une installation d'OS durcie) auquel les normes font référence.
  • Procédure — le mode opératoire détaillé, étape par étape, que le personnel doit suivre pour respecter une norme. Obligatoire.
  • Ligne directrice — une bonne pratique recommandée qui offre de la souplesse là où des règles rigides sont impraticables. Discrétionnaire / facultative.

Pourquoi la distinction compte

La frontière obligatoire/facultatif est le cœur de la réponse. Les auditeurs testent la conformité aux politiques, normes et procédures parce qu'elles sont applicables ; les lignes directrices existent pour aider au jugement dans des situations qu'une norme ne peut pleinement anticiper. Garder les détails technologiques hors des politiques (et les renvoyer vers les normes et référentiels) permet de changer de fournisseur ou d'algorithme sans réécrire des documents approuvés par le conseil.

Ce que recherchent les recruteurs

Des définitions nettes dans le bon ordre, l'affirmation explicite que seules les lignes directrices sont facultatives, et la compréhension que les politiques doivent être neutres sur le plan technologique tandis que les normes et procédures portent les détails.

Questions de suivi probables

  • Où se situent les référentiels de configuration (baselines) dans cette hiérarchie ?
  • Pourquoi une politique devrait-elle éviter de nommer des technologies ou des fournisseurs précis ?
  • Qui devrait approuver formellement une politique de sécurité ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.