Aller au contenu principal
Demander une démo
Politique de Sécurité de l'Information

Politique de Sécurité de l'Information

POLITIQUE

Sécurité de l'information

1. CONTEXTE

L'information constitue pour la quasi-totalité des processus d'affaires de MAPAL SOFTWARE, S.L (ci-après, MAPAL), le fil conducteur indispensable à l'exécution de ces processus avec des garanties d'efficacité et de qualité, atteignant ainsi la réalisation des objectifs stratégiques formellement établis par la Direction.

Les dimensions principales de la sécurité de l'information qui doivent être garanties dans l'exécution de tout processus d'affaires sont :

  • Confidentialité : Garantit que l'information n'est accessible qu'aux personnes, entités ou processus autorisés.
  • Intégrité : Garantit que l'information est générée, modifiée et supprimée uniquement par des personnes, entités ou processus autorisés.
  • Disponibilité : Garantit que l'information est accessible lorsque les personnes, entités ou processus autorisés en ont besoin.
  • Traçabilité : Garantit que les informations relatives aux accès et aux activités réalisées par des personnes, entités ou processus sont disponibles pour toute analyse de modèles de comportement anormaux qui doit être effectuée.

D'autre part, d'autres dimensions de la sécurité, telles que l'authentification des parties ou la non-répudiation, doivent également être garanties lorsque la valeur sécuritaire de l'information dans le contexte du processus d'affaires dans lequel elle est stockée, traitée ou transmise, l'exige.

La Politique de Sécurité de l'Information repose sur l'adoption de principes clairs et bien définis qui assurent le respect des directives stratégiques, des exigences légales, ainsi que des exigences contractuelles formalisées avec des tiers ou des parties prenantes, et constitue donc l'instrument principal sur lequel MAPAL s'appuie pour l'utilisation sécurisée des technologies de l'information et des communications.

La réglementation (norme, procédures et instructions de sécurité) qui émane ou découle de la Politique de Sécurité de l'Information de MAPAL en deviendra partie intégrante une fois qu'elle aura été divulguée, son respect étant obligatoire pour tous les employés et tiers utilisant les informations appartenant à MAPAL.

La Direction de MAPAL veillera à ce que cette Politique de Sécurité de l'Information soit comprise et mise en œuvre dans toute l'organisation, en fournissant les ressources nécessaires pour atteindre les objectifs définis dans ce cadre d'action.

2. OBJECTIFS

La Politique de Sécurité de l'Information est établie comme le document de haut niveau qui formalise les différentes directives d'action en matière de sécurité adoptées par MAPAL, et qui seront développées plus en détail dans la réglementation de sécurité correspondante élaborée à cet effet.

Sous cette prémisse, par conséquent, la Politique de Sécurité de l'Information envisage les objectifs principaux suivants :

  • Respecter la réglementation légale applicable dans le domaine de la sécurité de l'information.
  • Contribuer à atteindre la mission et les objectifs stratégiques formalisés par MAPAL.
  • Aligner la sécurité de l'information comme un actif principal avec les exigences demandées par l'entreprise par la formalisation du modèle de valeur de l'information et l'exécution du processus d'analyse et d'évaluation des risques auxquels sont exposés les différents actifs d'information, atteignant la définition d'une stratégie pour l'atténuation des risques liés à l'environnement de la sécurité de l'information.
  • Garantir la protection adéquate des différents actifs d'information en fonction du degré de sensibilité et de criticité atteint par ceux-ci (valeur de sécurité des actifs d'information selon les différentes dimensions considérées avec l'application du critère d'héritage et du principe de proportionnalité).
  • Garantir une capacité de réponse efficace à d'éventuels incidents de sécurité de l'information, en minimisant l'impact opérationnel, financier et réputationnel respectif.
  • Faciliter le dimensionnement des ressources nécessaires pour la mise en place correcte des mesures de sécurité de nature technique et organisationnelle recueillies dans la réglementation de sécurité documentée à cet effet.
  • Promouvoir l'utilisation de bonnes pratiques en matière de sécurité de l'information, ainsi que créer la culture de sécurité appropriée dans le contexte de la structure organisationnelle de MAPAL.
  • Établir les mécanismes de révision, de surveillance, d'audit et d'amélioration continue afin de maintenir les niveaux de sécurité appropriés exigés par le modèle d'affaires de MAPAL.

3. PORTÉE

La Politique de Sécurité de l'Information englobe la totalité des actifs d'information existants chez MAPAL et qui agissent comme infrastructure de soutien pour la possible exécution des processus d'affaires.

4. CADRE RÉGLEMENTAIRE

La formalisation de la Politique de Sécurité de l'Information, ainsi que la réglementation de sécurité qui en découle, prendront en considération et intégreront la réglementation légale suivante applicable :

  • Règlement 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 (ci-après, RGPD – Règlement Général sur la Protection des Données), relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  • Loi organique 3/2018, du 5 décembre 2018, sur la Protection des Données Personnelles et la Garantie des Droits Numériques (ci-après, Loi 3/2018).
  • Loi 34/2002, du 11 juillet, sur les Services de la Société de l'Information et du Commerce Électronique (ci-après, LSSICE).

5. PRINCIPES

Les principes fondamentaux qui doivent être pris en compte pour garantir les dimensions de la sécurité de l'information sont la prévention, la détection, la réponse et la récupération, de sorte que les menaces potentielles existantes ne se matérialisent pas ou, dans le cas où elles se matérialiseraient, n'affectent pas gravement l'information nécessaire à l'exécution des processus d'affaires de MAPAL, en maintenant des niveaux acceptables par rapport à l'impact causé qui ont été formalisés par la Direction.

5.1. PRÉVENTION

En tant que principe primaire de sécurité, MAPAL doit prévenir, et éviter, dans la mesure du possible, que l'information d'affaires soit affectée par des incidents de sécurité. À cette fin, il convient de prioriser les mesures de sécurité de nature préventive dans la stratégie d'implantation considérée après l'exécution du processus d'analyse et d'évaluation des risques. Ces contrôles, ainsi que les rôles et responsabilités formalisés en matière de sécurité afin d'atteindre leur mise en place appropriée, doivent être clairement définis et documentés.

5.2. DÉTECTION

Étant donné que, inévitablement, indépendamment de la formalisation d'une stratégie de sécurité préventive, les actifs d'information peuvent être affectés par la matérialisation de menaces de sécurité (incidents de sécurité), il est fondamental de surveiller en continu l'opération pour détecter les anomalies dans les niveaux de prestation des services et agir en conséquence.

Cette surveillance est particulièrement pertinente lorsque des lignes de défense sont établies dans les termes considérés par les meilleures pratiques de référence dans le domaine de la sécurité de l'information et, par conséquent, agissent comme des mécanismes d'alerte précoce.

Dans l'hypothèse où la dégradation serait directement attribuée à des incidents de sécurité, les mécanismes de rapport appropriés doivent être établis pour permettre la notification au Responsable de la Sécurité pour son analyse et l'investigation de la cause racine en conjonction avec les équipes de réponse aux incidents.

5.3. RÉPONSE

Des mécanismes doivent être établis pour répondre efficacement aux incidents de sécurité. Ainsi, en fonction du type d'incident survenu, le plan de réponse approprié doit être formalisé.

5.4. RÉCUPÉRATION

Afin de garantir la continuité des processus critiques, pour lesquels, dans certains cas, des plans de réponse aux incidents peuvent ne pas être applicables, des plans de contingence doivent être développés dans le cadre du plan général de continuité des affaires et des activités de récupération de l'organisation.

6. APPROCHE DES RISQUES

Les actifs d'information qui composent le champ d'application de la présente Politique de Sécurité de l'Information sont soumis à une analyse et une évaluation des risques, dans le but d'identifier les menaces potentielles auxquelles ils sont exposés, d'évaluer l'impact associé à la matérialisation possible de ces menaces, et de déterminer les situations de risques qui pourraient en découler.

Le résultat de cette analyse et évaluation des risques permettra l'identification et la proposition des mesures de sécurité appropriées comme stratégie pour atténuer ces dernières.

Le Comité de Sécurité de l'Information dirigera l'exécution périodique de l'analyse des risques, en planifiant les ressources techniques, humaines et économiques nécessaires à cet effet.

7. STRUCTURE

La réglementation de sécurité établie par MAPAL est structurée aux niveaux suivants, reliés hiérarchiquement :

  1. Niveau I : Politique de Sécurité de l'Information
  2. Niveau II : Norme de Sécurité de l'Information
  3. Niveau III : Procédures de Sécurité de l'Information
  4. Niveau IV : Instructions de Sécurité de l'Information

Cette structure hiérarchique permet d'adapter efficacement les niveaux inférieurs aux changements dans l'environnement technique et fonctionnel de MAPAL sans nécessité de revoir sa stratégie de sécurité, sauf si des modifications substantielles s'imposent.

Le personnel de MAPAL aura l'obligation de connaître et de respecter, en plus de la Politique de Sécurité de l'Information, les normes et procédures de sécurité qui peuvent affecter leurs fonctions. Pour cette raison, il recevra la formation spécifique à cet effet selon les responsabilités formellement assignées.

La réglementation de sécurité sera disponible sur le portail informatique de MAPAL.

7.1. NIVEAU I : POLITIQUE DE SÉCURITÉ DE L'INFORMATION

Contenue dans le présent document, elle a été formellement approuvée par la Direction, et détaille les directives d'action en matière de sécurité de l'information dans le but de contribuer à la réalisation de la mission formalisée par la Direction.

7.2. NIVEAU II : NORME DE SÉCURITÉ DE L'INFORMATION

Le deuxième niveau développe la Politique de Sécurité de l'Information en identifiant les objectifs spécifiques de sécurité considérés pour les différents domaines de sécurité :

  • Sécurité relative aux ressources humaines
  • Gestion des actifs d'information
  • Contrôle d'accès
  • Cryptographie
  • Sécurité physique et de l'environnement
  • Sécurité des opérations
  • Sécurité des communications
  • Acquisition, développement et maintenance des systèmes d'information
  • Relations avec les fournisseurs
  • Gestion des incidents de sécurité de l'information
  • Aspects de la sécurité de l'information pour la gestion de la continuité des affaires
  • Conformité

La Norme de Sécurité de l'Information doit être approuvée par le Comité de Sécurité de l'Information avant sa formalisation et sa divulgation, les critères d'évaluation de la conformité (degré de conformité aux objectifs spécifiques de sécurité) étant définis.

7.3. NIVEAU III : PROCÉDURES DE SÉCURITÉ DE L'INFORMATION

Le troisième niveau est constitué de procédures techniques et organisationnelles d'action qui recueilleront l'ensemble des activités et tâches qui doivent être exécutées afin de respecter les objectifs spécifiques de sécurité formalisés par la Norme de Sécurité de l'Information documentée, selon la valeur de sécurité atteinte par l'actif d'information pour les différentes dimensions de sécurité dans l'application de la Norme de Classification de l'Information.

Ces lignes directrices d'action seront spécifiquement applicables selon les différents domaines de sécurité considérés et détaillés dans la Norme de Sécurité de l'Information.

Les procédures de sécurité doivent être approuvées par le Responsable de la Sécurité avant leur formalisation et leur divulgation.

7.4. NIVEAU IV : INSTRUCTIONS DE SÉCURITÉ DE L'INFORMATION

Les instructions de travail spécifiques seront documentées afin de personnaliser l'application d'une procédure pour un contexte ou un actif d'information spécifique, et présenteront donc le détail des activités et tâches à exécuter dans ce cadre, conformément à la procédure de sécurité établie dont découle ladite instruction.

Les instructions spécifiques de sécurité de l'information seront approuvées par le Responsable de la Sécurité après le consensus atteint avec les responsables des actifs d'information concernés.

8. TIERS

Lorsque MAPAL requiert la participation de tiers pour la prestation d'un service, ces derniers seront impliqués dans la réglementation de sécurité qui doit être considérée dans le contexte de cette collaboration, les soumettant aux obligations établies dans ladite réglementation.

Lorsqu'un aspect de la réglementation de sécurité ne peut être satisfait par un tiers, l'autorisation du Responsable de la Sécurité sera requise après identification des risques encourus et de la manière de les traiter, la formalisation du contrat ne pouvant être réalisée avant l'obtention de cette autorisation. Dans tous les cas, ces autorisations, en fonction de leur catégorisation, seront signalées au Comité de Sécurité de l'Information afin que les décisions appropriées soient prises.

9. RÉVISION

La Politique de Sécurité de l'Information sera révisée annuellement par le Comité de Sécurité de l'Information ou lorsqu'un changement significatif (approche de la gestion de la sécurité, circonstances de l'entreprise, changements légaux, changements dans l'environnement technique, recommandations faites par les autorités de contrôle et tendances liées aux menaces et aux vulnérabilités) l'exige.

Dans le cas où une nouvelle version de la Politique de Sécurité de l'Information serait obtenue, l'approbation formelle de la Direction sera requise avant sa divulgation.

10. ENTRÉE EN VIGUEUR

Texte approuvé par la Direction le 6 février 2023.

Son entrée en vigueur implique l'abrogation de toute autre politique qui existait à cet effet.

Jorge Lureña

PDG de Mapal Software