La sécurité, pour une application plus fiable

rack.jpg

Notre volonté est de consolider la confiance de toutes les parties avec lesquelles nous collaborons (utilisateurs, partenaires, fournisseurs, …) et de protégrer les données sensibles. 

Notre système de management de la sécurité de l'information (SMSI) couvre tous les processus métier critiques indispensables à la sécurisation des données liées à notre application software.  Ce système est conforme à la norme ISO/IEC 27001:2013 et sa mise en œuvre répond aux exigences de notre déclaration d'applicabilité d’octobre 2018.

 

12 domaines spécifiques et principes de base

que nous appliquons en matière de protection des données informatiques pour minimiser les risques de violation de la sécurité liés au traitement des informations et l'impact sur l'activité des dommages qui peuvent en résulter.

1. Définition et communication des politiques, normes et procédures de sécurité informatique

Actia met en place des politiques, normes (standards) et procédures spécifiques qui forment la base de la protection des données. Ces documents sont mis à la disposition de tous les collaborateurs internes et externes qui s'engagent à les suivre.

Dans le cadre de nos activités commerciales, notre Manuel Qualité-Sécurité et la Déclaration d'applicabilité peuvent être partagés.

2. Organisation de protection des données

Tout le personnel interne et externe doit être conscient de la protection des données. Market-IP définit les rôles et responsabilités spécifiques afin de parvenir à une gestion efficace et cohérente des processus de protection des données.

3. Sécurité informatique liée aux ressources humaines, gestion des actifs

Actia exige le respect de ces procédures et normes lorsqu'un nouveau membre du personnel interne ou consultant est employé afin d'assurer une pratique cohérente en matière de protection des données. Chaque utilisateur/collaborateur de l'infrastructure informatique doit être conscient des principaux risques et vulnérabilités susceptibles de mettre en danger les informations ainsi que des règles et responsabilités en matière de protection des données qui leur incombent dans le cadre de leur travail. Ils doivent également disposer d'une formation adéquate leur permettant d'utiliser de manière sûre et efficace les systèmes d'information auxquels ils ont accès.
Actia s’assure aussi de la protection des intérêts de l’organisation en cas de modification ou rupture du contrat.

4. Classification, gestion et contrôle des accès

Actia met en place un inventaire et une classification des actifs informatiques sensibles et nomme un propriétaire chargé d'approuver l'accès, de définir l'impact métier et les contrôles relatifs aux actifs informatiques en sa possession.
Actia met en place des contrôles pour l'accès physique et logique et les met en place pour tous les actifs informatiques et ressources informatiques afin de garantir que l'accès est basé sur le besoin réel et sur la spécification de chaque employé, interne ou consultant externe. Le propriétaire des actifs informatiques est responsable des droits d'accès. La validation de la direction générale est nécessaire pour l'obtention de certains droits.

5. Cryptographie

La cryptographie est mise en place au niveau des accès crypté https, SSL, FTPS. Les communications boîtiers passent par un APN privé et sécurisé. Certains boitiers, selon les modèles, peuvent être cryptés via l’activation d’une option.

6. Sécurité physique et environnementale

Actia prend les mesures nécessaires pour assurer la protection physique afin d'empêcher l'accès non autorisé, les dommages et les perturbations dans les bâtiments, y compris les ressources informatiques (en particulier les systèmes de données et d'information).

 
7. Gestion de la sécurité des systèmes d’exploitation

Actia conserve un répertoire de documents de politiques informatiques et de procédures adéquates et les applique à travers les différentes activités de gestion et d'utilisation des systèmes d'information, en particulier les changements et incidents affectant les systèmes. La séparation des rôles empêche un collaborateur d'avoir tous les privilèges et droits d'accès pour effectuer des opérations critiques.
Un processus adéquat de gestion des systèmes d'information est mis en place, notamment en ce qui concerne les garanties et les dispositions relatives au développement technique et au traitement des incidents.

  • Les environnements de développement, de production et de tests sont séparés pour réduire l’accès non-autorisé.
  • Des systèmes de back-up automatiques sont en place.
  • Un système de monitoring surveille la disponibilité de l’information et notifie les évènements et vulnérabilités techniques.
  • Un processus de gestion d’incidents recense les incidents et permet un management maitrisé.

8. Sécurité des informations

Outre les mesures prises en matière de contrôles pour l'accès physique et logique, une politique de protection de l’information existe incluant la classification des informations et la notion de confidentialité.
La sécurité des communications est transversale à la politique sécurité et est définie en plusieurs points comme Gestion des accès, contrat de travail, …

9. Développement et maintenance

Les exigences en matière de protection existent pour chacun de nos processus et sont définies en collaboration avec le département de la sécurité informatique avant tout développement ou modification substantielle de systèmes d'information impliquant des risques. En fonction de la classification des données, des risques potentiels et de leur impact (analyse des risques), des mesures d'atténuation sont mises en œuvre afin de réduire les risques à un niveau acceptable.

10. Relations fournisseurs

Actia veille à la protection des données sensibles dans ses relations fournisseurs

 
11. Plan de continuité des affaires/ de sécurité de l’information

Actia développe et maintient des procédures d'urgence pour assurer la continuité de ses services et systèmes d'information en fonction des exigences spécifiques et des risques potentiels. Ces plans permettent à Actia de poursuivre ses activités et de s'assurer que les processus, systèmes, réseaux et équipements essentiels continuent de fonctionner. Ils garantissent qu'un personnel suffisant est toujours présent pour résoudre tous les problèmes critiques dans le temps imparti.

12. Conformité

Actia garantit que les mesures relatives à la sécurité informatique sont conformes à la législation externe et aux exigences internes.

 

En savoir plus sur notre politique de sécurité?