Politique de sécurité

Version: v4
Validateur: Adresse
Date de validation: 25/10/2021
 

1. Validation et entrée en vigueur

Texte validé le 25 octobre 2021 par la Direction.

Cette Politique de sécurité de l’information est en vigueur depuis cette date et jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.

2. Introduction

Ce document expose la Politique de sécurité de l’information d’Ivnosys FR S.A.S. comme l’ensemble des principes de base et des lignes d’action auxquels l’organisation s’engage, dans le cadre de la Norme ISO 27001 et du Schéma national de sécurité (ENS).

L’organisation dépend des systèmes TIC (Technologies de l’information et de la communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui peuvent affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

L’information est un actif crucial, essentiel et d’une grande valeur pour le développement de l’activité de l’entreprise. Cet actif doit être protégé de manière appropriée, quels que soient les formats, supports, moyens de transmission, systèmes ou personnes intervenant dans sa connaissance, sa transformation ou son traitement.

L’objectif de la sécurité de l’information est d’assurer la qualité de l’information et la fourniture continue des services en agissant préventivement, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents, afin d’assurer la qualité de l’information et la continuité de l’activité, minimiser les risques et permettre de maximiser les retours sur investissement et les opportunités d’affaires.

Les systèmes TIC doivent être protégés contre les menaces d’évolution rapide qui peuvent avoir une incidence sur la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des informations et des services. Pour se défendre contre ces menaces, une stratégie adaptée aux changements de conditions de l’environnement est nécessaire pour assurer la fourniture continue des services. Cela signifie que les départements doivent appliquer les mesures minimales de sécurité requises par le Schéma national de sécurité et la Norme ISO/IEC 27001 relative aux Systèmes de sécurité de l’information, ainsi qu’un suivi continu des niveaux de prestation de services, suivre et analyser les vulnérabilités signalées et préparer une réponse efficace aux incidents afin d’assurer la continuité des services fournis.

Les différents départements doivent s’assurer que la sécurité des systèmes TIC fait partie intégrante de chaque étape du cycle de vie du système, depuis sa conception jusqu’à son retrait du service, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans la sollicitation d’offres à des fournisseurs et dans les mémoires techniques pour les projets TIC.

Les départements doivent être prêts à prévenir, détecter, réagir et récupérer les incidents, conformément à l’Article 7 de l’ENS et au système de Continuité d’exploitation de la Norme ISO 22301.

Cet article dispose ce qui suit :

Article 7. Prévention, réaction et récupération.

  1. La sécurité du système doit prendre en compte les aspects de prévention, de détection et de correction, afin que les menaces qui pèsent sur le système ne se matérialisent pas, n’affectent pas gravement l’information qu’il gère ou les services fournis.
  2. Les mesures de prévention doivent éliminer ou, du moins, réduire la possibilité que les menaces ne se concrétisent au détriment du système. Ces mesures de prévention devraient notamment prévoir la dissuasion et la réduction de l’exposition.
  3. Les mesures de détection seront accompagnées de mesures de réaction, de sorte que les incidents de sécurité soient rapidement résolus.
  4. Les mesures de récupération permettront de restaurer l’information et les services, de manière à pouvoir faire face aux situations où un incident de sécurité a pour effet de rendre les moyens habituels indisponibles.
  5. Sans préjudice des autres principes fondamentaux et exigences minimales établis, le système assurera la conservation des données et des informations sous forme électronique.

De même, le système maintiendra les services disponibles tout au long du cycle de vie de l’information numérique, par le biais d’une conception et de procédures qui constituent la base de la préservation du patrimoine numérique.

La direction de l’entreprise, consciente de la valeur de l’information, est profondément attachée à la politique décrite dans ce document.

2.1. Prévention

Les départements doivent éviter, ou du moins empêcher, dans la mesure du possible, que les informations ou les services ne soient lésés par des incidents de sécurité. Pour ce faire, les départements doivent mettre en œuvre les mesures minimales de sécurité définies par l’ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. En outre, et dans l’intention claire d’améliorer cette prévention, les départements devront également mettre en œuvre toutes les exigences nécessaires pour satisfaire à la Norme ISO 27001. Ces contrôles, ainsi que les rôles et responsabilités de tous les membres du personnel en matière de sécurité, doivent être clairement définis et documentés.

Pour garantir le respect de la Politique, les départements doivent:

  • Autoriser les systèmes avant d’entrer en activité
  • Évaluer régulièrement la sécurité, incluant les évaluations des changements de configuration effectués régulièrement.
  • Solliciter un examen périodique par des tiers en vue d’obtenir une évaluation indépendante.

2.2. Détection

Étant donné que les services peuvent se dégrader rapidement en raison d’incidents allant d’un simple ralentissement à leur détention, les services doivent surveiller l’opération en permanence afin de détecter les anomalies dans les niveaux de prestation des services et agir en conséquence conformément à l’Article 9. Réévaluation périodique de l’ESN, qui indique : « Les mesures de sécurité seront réévaluées et mises à jour régulièrement, afin d’adapter leur efficacité à l’évolution constante des risques et des systèmes de protection, et même repenser la sécurité, si nécessaire ».

La surveillance est particulièrement importante lorsque des lignes de défense sont établies conformément à l’Article 8 ENS. Des mécanismes de détection, d’analyse et de rapport parvenant de manière régulière aux responsables, et en cas de déviation significative des paramètres définis comme normaux, seront mis en place.
L’article 8 dispose :

Article 8. Lignes de défense:

    1. 1. Le système doit disposer d’une stratégie de protection composée de multiples couches de sécurité, de sorte que lorsque l’une des couches manque, la stratégie puisse permettre de:
      • a) Gagner du temps pour réagir de manière adéquate aux incidents qui n’ont pas pu être évités.
      • b) Réduire la probabilité que le système ne se voit impliqué dans son ensemble.
      • c) Minimiser l’impact final sur le résultat final.
    2. Les lignes de défense doivent être constituées de mesures de nature organisationnelle, physique et logique.

2.3. Réponse

Les départements doivent:

  • Mettre en place des mécanismes permettant de réagir efficacement aux incidents en matière de sécurité.
  • Désigner un point de contact pour les communications relatives aux incidents détectés dans d’autres départements ou dans d’autres organismes.
  • Établir des protocoles pour l’échange d’informations relatives à l’incident.

Pour tout type de communication, interne et/ou externe, il conviendra de suivre les indications du Plan de communication, publié dans le Système de gestion d’Ivnosys, élaboré par l’organisation.

2.4. Récupération

Pour assurer la disponibilité des services essentiels, l’organisation s’est dotée d’un Plan général de continuité d’activité (PCN), publié dans le Système de gestion, évaluant les scénarios possibles de catastrophe et les stratégies de récupération, et la mise en place de plans d’urgence, régulièrement révisés.

3. Portée

La présente Politique de sécurité s’applique aux systèmes d’information qui prennent en charge les processus d’installation et d’exploitation des services de confiance en mode Cloud suivants:

    1. Système de gestion automatique de la réception des notifications électroniques, en reliant les sites électroniques des différents organismes. Il s’agit d’une application de bureau dotée d’un serveur Cloud centralisé qui prend en charge les applications (base de données, système de fichiers, …).
    2. Plate-forme de communications électroniques entre organisations ayant des preuves électroniques des différentes transactions. Il s’agit d’un système web commercialisé en mode SaaS.
    3. Système d’interopérabilité entre administrations publiques. Une administration peut, sous accord préalable, consulter des données émanant de citoyens et d’entreprises détenues par d’autres administrations, pour une utilisation dans ses propres procédures, en évitant que les intéressés ne soient obligés de se déplacer vers une autre administration.
    4. Système de gestion centralisée pour un serveur de clés cryptographiques HSM (certificats numériques) et une API de services Web pour les communications et preuves électroniques, et émission et gestion de cachets.
    5. Gestion du cycle de vie des certificats numériques (émission, validation, maintenance et révocation).

La Politique de sécurité de l’information est approuvée par la Direction de l’entreprise et son contenu, et les règles et procédures y faisant référence, sont obligatoires:

    • Tous les utilisateurs ayant accès aux informations traitées, gérées ou détenues par l’entreprise ont l’obligation et le devoir de les conserver et de les protéger.
    • La Politique et les Normes de sécurité de l’information seront adaptées à l’évolution des systèmes et de la technologie ainsi qu’aux changements organisationnels et seront alignées sur la norme ISO/IEC 27001 et le Schéma national de sécurité.
    • Les mesures de sécurité et les contrôles établis seront proportionnels à la criticité de l’information à protéger et à sa classification.
    • Les mesures disciplinaires nécessaires seront prises à l’encontre des personnes pouvant gravement enfreindre le contenu de la Politique de sécurité de l’information ou les normes et procédures complémentaires.

4. Objet

Comme vu auparavant, cette Politique de sécurité de l’information a pour but de protéger les actifs d’Ivnosys en matière d’information, en garantissant la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations et des installations, systèmes et ressources qui les traitent, gèrent, transmettent et stockent, toujours conformément aux exigences de l’entreprise et de la législation en vigueur.

5. Mission et objectifs-cadres

Les informations doivent être protégées pendant toute leur durée de vie, depuis leur création jusqu’à leur éventuel effacement ou destruction. Les principes minimum suivants sont ainsi établis:

  • Les systèmes d’information ne devront être accessibles qu’aux utilisateurs, organes et entités ou processus expressément autorisés à cet effet.
  • Un engagement en faveur d’une amélioration continue du SGSI sera pris.
  • Un niveau de disponibilité devra être assuré dans les systèmes d’information et les plans et mesures nécessaires devront être mis en place pour assurer la continuité des services et la récupération en cas d’imprévus graves.
  • Un processus continu d’analyse et de traitement des risques sera mis en place comme mécanisme sur lequel doit reposer la gestion de la sécurité des systèmes d’information.
  • Des lignes de travail visant à prévenir les incidents liés à la sécurité TIC seront développées.
  • Les services seront surveillés de façon continue afin de détecter les anomalies dans les niveaux de prestation de ces services et d’agir en conséquence.
  • Le degré de conformité aux améliorations de sécurité, prévues sur une base annuelle, et le degré d’efficacité des contrôles de sécurité TIC mis en place seront analysés, dans le but de proposer de nouvelles actions d’amélioration de manière proactive.
  • L’ensemble du personnel de l’organisation sera sensibilisé à ses devoirs et obligations en matière de traitement sécurisé de l’information et toutes les personnes gérant et administrant les systèmes d’information et de télécommunications seront formées à la sécurité TIC.

6. Cadre réglementaire

  • Loi 39/2015, du 1er octobre, de la Procédure administrative commune des Administrations publiques.
  • Loi 40/2015, du 1er octobre, sur le Régime juridique du Secteur public.
  • DR 1671/2009, du 6 novembre, [d’application partielle de la loi 11/2007].
  • DR 3/2010, du 8 janvier, portant réglementation du Schéma national de sécurité dans le domaine de l’Administration électronique.
  • Règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques quant au traitement des données à caractère personnel et à la libre circulation de ces données, et dérogeant la directive 95/46/CE (Règlement général sur la protection des données).
  • Loi Organique 3/2018, du 5 décembre, sur la Protection des données à caractère personnel et la garantie des droits numériques.
  • Les différentes séries CCN-STIC-400/800, qui établissent les politiques, procédures et recommandations appropriées pour la mise en œuvre des mesures visées dans le Schéma national de sécurité (DR 3/2010).
  • Norme ISO/IEC 27001.
  • Décret Royal 1/1996, du 12 avril, portant approbation du texte de la Loi sur la propriété intellectuelle, en régularisant, clarifiant et harmonisant les dispositions légales en vigueur en la matière.
  • Loi 2/2019, du 1er mars, modifiant le texte de la Loi sur la propriété intellectuelle, telle qu’elle a été modifiée par le Décret Royal 1/1996, du 12 avril, et mettant en œuvre la Directive 2014/26/UE du Parlement européen et du Conseil dans l’ordre juridique espagnol, du 26 février 2014, et la Directive (UE) 2017/1564 du Parlement européen et du Conseil, du 13 septembre 2017.
  • Décret Royal 14/2019, du 31 octobre, qui prévoit des mesures urgentes pour des raisons de sécurité publique en matière d’administration numérique, de marchés publics et de télécommunications.
  • Loi 6/2020, du 11 novembre, qui réglemente certains aspects des services électroniques de confiance.
  • Règlement (UE) N° 910/2014 du Parlement européen et du Conseil, du 23 juillet 2014, relatif à l’identification électronique et aux services de confiance pour les transactions électroniques dans le marché intérieur et abrogeant la Directive 1999/93/CE.

7. Organisation de la sécurité

7.1. Comités : fonctions et responsabilités

Ivnosys dispose d’une procédure de gestion et d’organisation des responsabilités internes et externes dans le domaine de la sécurité de l’information, qui définit le Comité du système de gestion, dont la mission principale est l’approbation, le contrôle du respect des obligations, la gestion et la diffusion des normes et politiques de l’organisation, ainsi que le suivi et la gestion des incidents et risques actuels, en matière de sécurité de l’information.

Les fonctions du Comité du SG relèvent du Système de gestion de l’organisation.

Le Comité du SG se réunit au moins tous les six mois et les membres obligatoires qui le composent sont le Directeur Général, le Directeur IT, le responsable du Système de gestion et responsable de la sécurité.

Ivnosys dispose d’un délégué interne à la protection des données, nommé auprès de l’AEPD, poste occupé par un professionnel qui répond aux exigences d’expérience et de formation nécessaires aux fonctions à exercer.

En outre, d’autres responsables/fonctions dont l’intervention est nécessaire du fait qu’ils sont affectés par le Schéma national de sécurité, par le RGPD ou par toute autre règle relative à la sécurité de l’information, tels que le responsable du service et l’administrateur de sécurité, pourront être mis à la disposition du Comité.

7.2. Rôles : fonctions et responsabilités

Étant donné que la sécurité devra engager tous les membres de l’organisation, comme le reflètent l’article 12 de l’ENS et l’Annexe II de l’ENS, dans sa section 3.1, la Politique de sécurité doit identifier des responsables clairs pour veiller à son application et être connue de tous les membres de l’organisation.

Le Système de gestion d’Ivnosys dispose d’une section qui permet d’identifier les membres du Comité du SG et d’indiquer leurs fonctions spécifiques.

7.3. Procédures de désignation

La direction attribuera, renouvellera et communiquera les responsabilités, les autorités et les rôles en matière de sécurité de l’information, en déterminant dans chaque cas les motifs et la durée de validité, et gèrera les conflits pouvant survenir. Elle veillera également à ce que les utilisateurs connaissent, assument et exercent les responsabilités, les autorités et les rôles qui leur sont assignés.

7.4. Révision et approbation de la Politique de sécurité de l’information

La révision annuelle de cette Politique de sécurité de l’information et la proposition de révision ou de maintien de cette politique seront du domaine de la mission du Comité du SG.

La politique sera approuvée par la Direction de l’entreprise et, étant donné qu’il s’agit d’un document à caractère public conformément à la Politique de classification de l’information d’Ivnosys (disponible dans le système de gestion), elle sera diffusée par le Département des communications pour être mise à la disposition de toutes les parties concernées et des tiers, par le biais du site Internet de la société : www.ivnosys.com.

En outre, elle pourra être réexaminée en cas de changements significatifs affectant la sécurité, les services fournis par l’organisation, les changements de politique ou toute autre question pertinente.

8. Données à caractère personnel

Les données à caractère personnel, qu’il s’agisse de clients ou d’autres travailleurs ou collaborateurs, seront traitées par Ivnosys en conformité à la réglementation relative à la protection des données à caractère personnel.

Lorsque, pour pouvoir fournir les services engagés par le client, Ivnosys nécessite l’accès à des données à caractère personnel, dont le client est responsable du stockage sur fichiers et du traitement (conditions d’accès aux données pour le traitement), les conditions figurant dans les documents « Activités de traitement à réaliser » de chaque service engagé, qui sont transmis au client, seront applicables comme ANNEXES aux « Conditions applicables aux accès à des données à caractère personnel ».

Ivnosys FR S.A.S., dispose d’un système de gestion de la sécurité de l’information (SGSI) en introduisant les meilleures pratiques de gestion de la sécurité de l’information conformément à la norme UNE-ISO/IEC 27001 et en appliquant à tous les traitements de données qu’elle effectue, dans le cadre des contrats conclus avec les clients, les contrôles et mesures visant à assurer la sécurité des données à caractère personnel, responsabilité des clients, auxquelles elle a accès dans le cadre du contrat.

L’organisation veillera à ce que les contrôles périodiques et les audits de sécurité nécessaires soient effectués pour vérifier que les contrôles et les mesures de sécurité mis en place sont efficaces pour le traitement des risques pour lesquels ils ont été mis en place dans chaque cas.

9. Gestion de risques

Tous les systèmes soumis à cette Politique devront procéder à une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera effectuée régulièrement, au moins une fois par an. En outre, elle pourra être répétée dans les cas suivants:

  • Lors d’un changement des informations traitées.
  • Lors d’un changement des services fournis.
  • En cas d’incident grave de sécurité.
  • Lorsque des vulnérabilités graves sont signalées.

Pour l’harmonisation des analyses de risques, le Comité du SG établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis.

La méthodologie utilisée pour évaluer les risques est MAGERIT et permet de gérer efficacement les incidents qui pourraient se produire dans les différents actifs d’information et affecter l’un quelconque des principes de confidentialité, d’intégrité, de disponibilité, d’authenticité et de traçabilité.

Le Comité du SG développera les ressources disponibles pour répondre aux besoins de sécurité des différents systèmes, en encourageant les investissements horizontaux.

10. Développement de la Politique de sécurité de l’information

Cette Politique de sécurité de l’information complète les politiques de sécurité d’Ivnosys FR S.A.S. dans différents domaines:

  • Politique du système de gestion.
  • Déclarations des pratiques et politiques des services eIDAS.
  • Politique d’utilisation acceptable des actifs.
  • Analyse des risques de sécurité.
  • Gestion des incidents.
  • Gestion des actifs.
  • Sécurité physique et de l’environnement.
  • Contrôle d’accès.
  • Sécurité des communications et des opérations.
  • Organisation de la sécurité.
  • Continuité.
  • Gestion du changement.
  • Classification de l’information.
  • Développement sécurisé.
  • Amélioration continue.

Cette Politique sera mise en œuvre par le biais de règles de sécurité s’attelant à des aspects spécifiques. Les règles de sécurité seront mises à la disposition de tous les membres de l’organisation ayant besoin de la connaître, en particulier de ceux qui utilisent, exploitent ou gèrent les systèmes d’information et de communication.

Cette réglementation (processus, procédures, instructions de travail et toute autre documentation nécessaire) sera publiée dans le Système de gestion sur Confluence ainsi que dans la Wiki d’entreprise d’Ivnosys.

11. Obligations du personnel

Tous les membres d’Ivnosys FR S.A.S. ont l’obligation de connaître et d’appliquer cette Politique de sécurité de l’information et la Réglementation de sécurité, et c’est au Comité du SG qu’il incombe de disposer des moyens nécessaires pour que les informations parviennent aux personnes concernées.

Tous les membres d’Ivnosys FR S.A.S., dans le cadre du Plan annuel de formation, prendront part à une session de sensibilisation à la sécurité TIC, au moins une fois par an. Un programme de sensibilisation continue, fondé sur la diffusion régulière de messages en matière de sécurité de l’information, sera mis en place pour tous les membres d’Ivnosys FR S.A.S., et en particulier pour les nouveaux membres. Pour ce personnel, une formation spécifique et une évaluation des connaissances acquises seront également organisées dans le cadre du processus d’intégration.

Les personnes responsables de l’utilisation, de l’exploitation ou de la gestion des systèmes TIC recevront une formation à la gestion sûre des systèmes dans la mesure où elles en ont besoin pour accomplir leur travail. La formation sera obligatoire avant d’assumer une responsabilité, qu’il s’agisse d’une première affectation ou d’un changement de poste ou de responsabilités dans le travail.

12. Tiers

Lorsqu’Ivnosys FR S.A.S. fournit des services à d’autres organismes ou traite des informations d’autres organismes, ils seront associés à cette Politique de sécurité de l’information, des canaux seront mis en place pour informer et coordonner leurs responsables respectifs et des procédures d’action seront établies, conformément à la Procédure de gestion des incidents de l’organisation, pour la réaction à d’éventuels incidents de sécurité.

Lorsqu’Ivnosys FR S.A.S. utilise des services de tiers ou cède des informations à des tiers, ils seront associés à cette Politique de sécurité et aux Règles de sécurité qui s’y tiennent. Ce tiers sera soumis aux obligations prévues par la présente réglementation et pourra développer ses propres procédures opérationnelles pour y répondre. Des procédures spécifiques de rapport et de résolution des incidences seront établies. Le personnel des tierces parties devra être suffisamment sensibilisé à la sécurité, au moins au même niveau que celui prévu dans cette Politique. Lorsque certains aspects de la Politique ne peuvent être satisfaits par un tiers comme indiqué aux paragraphes précédents, le Responsable de la sécurité, conjointement avec le responsable du service, se réuniront pour définir et préciser les risques encourus et la manière de les traiter.


Configuración de cookies
Ce site web utilise ses propres cookies et ceux de tiers pour le bon fonctionnement et la visualisation du site web par l’utilisateur, ainsi que pour la collecte de statistiques et l’analyse de ses habitudes de navigation, comme indiqué dans la politique en matière de cookies dans la colonne “objectif”. La base du traitement est le consentement, excepté dans le cas des cookies techniques, qui sont essentiels pour la navigation. Cliquez sur Accepter tous les cookies si vous souhaitez les gérer tous. Pour modifier les paramètres cookies, cliquez sur Paramètres des cookies. Pour plus d’informations sur les cookies, vous pouvez consulter notre politique en matière de cookies. Vous pouvez consulter les coordonnées du propriétaire du site web et de la personne responsable de son traitement dans l’Avertissement légal.
Política de cookies
Paramètres des cookies
Accepter tous les cookies
Texto personalizado
Ce site web utilise des cookies pour le bon fonctionnement et la visualisation du site web par l’utilisateur, ainsi que pour la collecte de statistiques et l’analyse de ses habitudes de navigation, comme indiqué dans la politique en matière de cookies dans la colonne “objectif”. La base du traitement est le consentement, excepté dans le cas des cookies techniques, qui sont essentiels pour la navigation.
Política de cookies
Paramètres des cookies
Accepter tous les cookies
Cookies