Politique de sécurité de l'information
OBJECTIF
Les informations collectées, analysées, stockées, communiquées et signalées peuvent être volées, mal utilisées, perdues et corrompues. Les informations peuvent être mises en danger par une éducation et une formation insuffisantes et par la violation des contrôles de sécurité. Les incidents liés à la sécurité de l'information peuvent être source d'embarras, de pertes financières, de non-respect des normes et de la législation, ainsi que d'éventuels jugements à l'encontre de Cybervergent.
Cette politique de sécurité de l'information de haut niveau s'ajoute à la politique de protection des données et à d'autres politiques de sécurité des informations connexes pour fournir un aperçu général et une justification des contrôles de sécurité des informations basés sur les risques de Cybervergent.
L'objectif de la politique de sécurité de l'information de Cybervergent est de :
- Protégez les informations sensibles relatives aux employés, aux clients et à toute autre entité associée de Cybervergent, en veillant à prévenir les pertes d'informations essentielles au bon fonctionnement de l'entreprise.
- Établissez des procédures raisonnables et appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des ressources informatiques de Cybervergent.
- Prescrire des mécanismes efficaces pour identifier et prévenir toute atteinte à la sécurité des informations, ainsi que pour mettre fin à l'utilisation abusive des données, des applications, des réseaux et des systèmes informatiques de Cybervergent.
- Définir des mesures robustes qui protègent la réputation de Cybervergent, en facilitant le respect des obligations légales et éthiques liées à la connectivité de ses réseaux et systèmes informatiques à des réseaux externes.
- Fournir des directives et des procédures claires et écrites pour la gestion et le contrôle des informations considérées comme sensibles, quelle que soit leur forme (électronique, papier ou autre).
- Préservez l'intégrité et la validité des données de Cybervergent, en veillant à ce qu'elles restent fiables et exactes.
- Assurez la sécurité et la protection des informations sensibles dont Cybervergent a la garde, qu'elles soient stockées électroniquement, sur papier ou dans d'autres formats.
PORTÉE
La Politique de sécurité de l'information et les contrôles, processus et procédures connexes s'appliquent à toutes les informations utilisées par Cybervergent, dans tous les formats. Cela inclut les informations traitées par d'autres organisations dans le cadre de leurs relations avec Cybervergent.
La Politique de sécurité de l'information et les contrôles, processus et procédures connexes s'appliquent à toutes les personnes qui ont accès aux informations et aux technologies de Cybervergent, y compris les parties externes qui fournissent des services de traitement de l'information à Cybervergent.
Un périmètre détaillé, comprenant une ventilation des utilisateurs, des actifs informationnels et des systèmes de traitement de l'information, est inclus dans la documentation complémentaire du système de gestion de la sécurité de l'information (ISMS).
DÉCLARATION DE POLITIQUE
La politique de Cybervergent est de s'assurer que les informations sont protégées contre la perte de :
- Confidentialité : les informations ne seront accessibles qu'aux personnes autorisées.
- Intégrité : l'exactitude et l'exhaustivité des informations seront maintenues.
- Disponibilité : les informations seront accessibles aux utilisateurs et aux processus autorisés en cas de besoin.
Cybervergent mettra en œuvre un système de gestion de la sécurité de l'information basé sur la norme internationale ISO 27001 pour la sécurité de l'information. Cybervergent fera également référence à d'autres normes si nécessaire, en tenant compte des approches adoptées par ses parties prenantes, y compris ses clients et partenaires.
L'approche fondée sur les risques pour l'application des contrôles comprend :
1. POLITIQUES DE SÉCURITÉ DE L'INFORMATION
- Un ensemble de contrôles, de processus et de procédures de niveau inférieur pour la sécurité de l'information sera défini, à l'appui de la politique de sécurité de l'information de haut niveau et de ses objectifs déclarés. Cette suite de documents justificatifs sera approuvée par la direction de Cybervergent, publiée et communiquée aux utilisateurs de Cybervergent et aux parties externes concernées.
2. ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION
- Cybervergent définira et mettra en œuvre des dispositifs de gouvernance appropriés pour la gestion de la sécurité de l'information. Cela inclura l'identification et la répartition des responsabilités en matière de sécurité pour initier et contrôler la mise en œuvre et le fonctionnement de la sécurité de l'information au sein de Cybervergent.
Cybervergent nommera au moins :
- Un comité directeur de la sécurité de l'information chargé d'influencer, de superviser et de promouvoir la gestion efficace des informations de Cybervergent.
- Un cadre chargé de présider le comité directeur de la sécurité de l'information et de prendre la responsabilité des risques liés à l'information.
- Un spécialiste de la sécurité de l'information chargé de diriger la fonction de sécurité de l'information.
- Les propriétaires des actifs informationnels (IAO) assumeront la responsabilité locale de la gestion de l'information ; et les gestionnaires des actifs informatiques (IAM) chargés de la gestion quotidienne des informations.
3. SÉCURITÉ DES RESSOURCES HUMAINES
- Les politiques de sécurité et les attentes de Cybervergent en matière d'utilisation acceptable seront communiquées à tous les utilisateurs afin de s'assurer qu'ils comprennent leurs responsabilités. Un enseignement et une formation en matière de sécurité de l'information seront mis à la disposition de l'ensemble du personnel, et les comportements inappropriés seront abordés.
Dans la mesure du possible, les responsabilités en matière de sécurité seront incluses dans les descriptions des rôles, les spécifications des personnes et les plans de développement personnel.
4. GESTION D'ACTIFS
- Tous les actifs (informations, logiciels, équipements de traitement électronique de l'information, services publics et personnes) seront documentés et comptabilisés. Les propriétaires seront identifiés pour tous les actifs et ils seront responsables de l'entretien et de la protection de leurs actifs.
Tous les actifs informationnels seront classés en fonction de leurs exigences légales, de leur valeur commerciale, de leur criticité et de leur sensibilité, et la classification indiquera les exigences de traitement appropriées. Tous les actifs informationnels feront l'objet d'un calendrier de conservation et de destruction défini.
5. CONTRÔLE D'ACCÈS
- L'accès aux systèmes et aux informations sera contrôlé et audité, en fonction des besoins de l'entreprise. L'accès sera accordé, ou des dispositions seront prises pour les utilisateurs en fonction de leur rôle et de la classification des informations, uniquement à un niveau qui leur permettra de s'acquitter de leurs tâches.
Une procédure officielle d'enregistrement et de désenregistrement des utilisateurs sera maintenue pour l'accès à tous les systèmes et services d'information. Cela inclura des méthodes d'authentification obligatoires basées sur la sensibilité des informations consultées et tiendra compte de plusieurs facteurs et des paramètres de l'appareil, le cas échéant.
Des contrôles spécifiques seront mis en œuvre pour les utilisateurs dotés de privilèges élevés, afin de réduire le risque d'utilisation abusive du système par négligence ou délibérée. La séparation des tâches sera mise en œuvre dans la mesure du possible.
6. CRYPTOGRAPHIE
- Cybervergent fournira des conseils et des outils pour garantir une utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité, l'intégrité et l'authenticité des informations et des systèmes.
7. SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
- Les installations de traitement de l'information seront hébergées dans des zones sécurisées, protégées physiquement contre les accès non autorisés, les dommages et les interférences par des périmètres de sécurité définis. Des contrôles de sécurité internes et externes à plusieurs niveaux seront mis en place pour décourager ou empêcher tout accès non autorisé et protéger les actifs, en particulier ceux qui sont critiques ou sensibles. Cela inclut les cas où Cybervergent utilise des services tiers pour traiter les informations.
8. SÉCURITÉ DES OPÉRATIONS
- Cybervergent veillera au bon fonctionnement et à la sécurité des systèmes de traitement de l'information. Cela inclura des procédures opérationnelles documentées ; l'utilisation d'une gestion formelle des changements et des capacités ; des contrôles contre les logiciels malveillants ; une utilisation définie de la journalisation ; la gestion des vulnérabilités.
9. SÉCURITÉ DES COMMUNICATIONS
- Cybervergent maintiendra des contrôles de sécurité du réseau pour garantir la protection des informations au sein de ses réseaux et fournira les outils et les conseils nécessaires pour garantir le transfert sécurisé des informations à la fois au sein de ses réseaux et avec des entités externes, conformément aux exigences de classification et de traitement associées à ces informations.
10. ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DE SYSTÈMES
- Les exigences en matière de sécurité de l'information seront définies lors de l'élaboration des exigences commerciales pour les nouveaux systèmes d'information ou les modifications apportées aux systèmes d'information existants.
Des contrôles visant à atténuer les risques identifiés seront mis en œuvre le cas échéant.
Le développement des systèmes sera soumis au contrôle des modifications et à la séparation des environnements de test, de développement et d'exploitation.
11. RELATIONS AVEC LES FOURNISSEURS
- Les exigences de sécurité des informations de Cybervergent seront prises en compte lors de l'établissement de relations avec les fournisseurs, afin de garantir la protection des actifs accessibles aux fournisseurs.
L'activité des fournisseurs sera surveillée et auditée en fonction de la valeur des actifs et des risques associés.
12. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
- Des directives seront disponibles sur ce qui constitue un incident de sécurité de l'information et sur la manière dont il doit être signalé. Les violations réelles ou présumées de la sécurité de l'information doivent être signalées et feront l'objet d'une enquête. Des mesures correctives appropriées seront prises et tout apprentissage sera intégré au contrôle.
13. ASPECTS RELATIFS À LA SÉCURITÉ DE L'INFORMATION LIÉS À LA GESTION DE LA CONTINUITÉ
- Cybervergent aura mis en place des dispositifs pour protéger les processus métier critiques contre les effets de défaillances majeures des systèmes d'information ou de catastrophes et pour garantir leur reprise rapide conformément aux besoins commerciaux documentés.
Cela inclura des routines de sauvegarde appropriées et une résilience intégrée.
Les plans de continuité des activités doivent être tenus à jour et testés à l'appui de cette politique. Une analyse de l'impact commercial des conséquences des catastrophes, des défaillances en matière de sécurité et de l'absence de disponibilité des services sera entreprise.
CONFORMITÉ
- La conception, le fonctionnement, l'utilisation et la gestion des systèmes d'information doivent être conformes à toutes les exigences de sécurité légales, réglementaires et contractuelles.
À l'heure actuelle, cela inclut la législation sur la protection des données, les directives du gouvernement relatives à la prévention et les engagements contractuels de Cybervergent.
Cybervergent utilisera une combinaison d'audits internes et externes pour démontrer la conformité aux normes et aux meilleures pratiques choisies, y compris par rapport aux politiques et procédures internes.
Cela comprendra des tests d'intrusion, une analyse des lacunes par rapport à des normes documentées, des contrôles internes de la conformité du personnel et des retours des propriétaires des actifs d'information.
CRITIQUE
Une révision de cette politique sera entreprise par l'équipe de sécurité de l'information de Cybervergent chaque année ou plus fréquemment selon les besoins et sera approuvée par la direction de Cybervergent.
Mis à jour en avril 2024