Politique de sécurité de l’information

1. INTRODUCTION

Le présent document définit la Politique de Sécurité des Systèmes d’Informations de Sharp Vision (ci-après PSSI). En tant qu'entreprise responsable, Sharp Vision reconnaît la nécessité de se conformer à la législation pertinente en matière de protection de la vie privée et de s'assurer que des mesures de sécurité efficaces sont en place pour protéger les informations personnelles identifiables (PII) ainsi que la confidentialité, la disponibilité et l’intégrité des systèmes d’informations.

Afin de s’en assurer, Sharp Vision a décidé de la mise en place d’un système de management de la sécurité de l'information (SMSI) conforme à la norme pour la sécurité de l'information ISO/IEC 27001. Le fonctionnement du SMSI présente de nombreux avantages pour l'entreprise, comme par exemple :

• Protection de l'entreprise, de sa réputation et de ses affaires
• Respect des exigences légales et réglementaires
• Garantie de la fourniture de services aux clients

2. POLITIQUE DE SÉCURITÉ DE L’INFORMATION

2.1 EXIGENCES EN MATIERE DE SECURITE DE L'INFORMATION ET DE PROTECTION DES DONNEES PERSONNELLES

La présente politique énonce les exigences relatives à la sécurité de l'information et à la protection des données au sein de Sharp Vision. Elle vise à assurer la confidentialité, l'intégrité et la disponibilité des informations sensibles, ainsi qu'à garantir la conformité aux lois et réglementations applicables en matière de protection des données.

Sharp Vision s’engage à maintenir un niveau de sécurité approprié pour prévenir les incidents de sécurité et à adopter une approche proactive en matière de gestion des risques liés à la sécurité de l'information et à la protection des données.

3. CHAMP D’APPLICATION

Ce contrôle s'applique à tous les systèmes, personnes et processus qui constituent les systèmes d'information de l'organisation, y compris les membres du conseil d'administration, les directeurs, les employés, les fournisseurs et les autres tiers qui ont accès aux systèmes de Sharp Vision. Ce document est révisé annuellement. Il est publié sur l’espace réseau partagé et fait l’objet d’une communication à tous les collaborateurs.

Les politiques et procédures suivantes sont pertinentes pour le présent document :

• Politique de gestion du SMSI
• Politique d’évaluation et de traitement des risques liés à la sécurité de l’information
• Politique sur la sécurité des RH
• Politique de gestion des actifs
• Politique de contrôle des accès
• Processus de gestion des accès des utilisateurs
• Politique de sécurité physique
• Procédure de gestion des vulnérabilités
• Procédure de gestion des incidents de sécurité de l’information
• Politique de sécurité réseau – Network Security Policy
• Politique SSDLC - Secure Software Development Lifecycle Policy
• Procédure pour les audits internes

3.1 OBJECTIFS EN MATIERE DE SECURITE DE L'INFORMATION

Un cycle régulier est utilisé pour la fixation des objectifs de sécurité de l'information. Ces objectifs sont fondés sur une compréhension claire des besoins de l'entreprise, sur la base du processus de la gestion au cours duquel l'avis des parties intéressées peut être obtenu.

Les objectifs de sécurité de l'information sont documentés dans le document « Contexte et périmètre du SMSI ». Ils sont évalués et contrôlés dans le cadre de revues de direction selon des critères d’évaluations définis.

3.2 MESURES DE SECURITE

Conformément à la norme ISO/IEC 27001, les mesures de sécurité sont revues régulièrement à la lumière des résultats des évaluations des risques et conformément aux plans de traitement des risques liés à la sécurité de l'information et de la protection des données personnelles.

Ces mesures de sécurité se retrouvent dans différents documents traitant de la sécurité de l’information définis dans la section 4.5 du présent document.

En outre, des contrôles issus du NIST (NIST 800-53, NIST 800-171, NIST-800-172) peuvent être adoptés et mis en œuvre selon les besoins et contraintes opérationnelles.

3.3 DOMAINES DE LA POLITIQUE DE SECURITE DE L’INFORMATION

Sharp Vision a défini les exigences suivantes concernant les divers domaines de la sécurité de l'information énumérés dans l'annexe A de la norme ISO27001:2022. Les exigences définies. Le cas échéant, des exigences supplémentaires sont spécifiées dans des politiques ou des procédures ultérieures.

3.3.1 GOUVERNANCE

• Établir une structure de gouvernance claire avec des rôles et des responsabilités définis pour assurer la prise de décision efficace en matière de sécurité de l'information.
• Mettre en place un processus formel de gestion des risques pour identifier, évaluer et traiter les risques de manière systématique et continue.
• Développer et maintenir une politique de sécurité de l'information qui est alignée sur les objectifs stratégiques de l'organisation et régulièrement révisée et mise à jour.
• Tous les projets doivent faire l'objet d'une analyse documentée des risques liés à la sécurité de l'information lorsque cela est jugé nécessaire par la Direction.

Des exigences supplémentaires en matière de gouvernance du système de management de la sécurité de l’information sont définies dans la « Politique de gestion du SMSI » ainsi que dans la «Politique d’évaluation et de traitement des risques liés à la sécurité de l’information » .

3.3.2 SECURITE DES RESSOURCES HUMAINES

• Mener des vérifications approfondies des antécédents et des références lors du recrutement de nouveaux employés afin de s'assurer de leur intégrité et de leur fiabilité.
• Sensibiliser régulièrement les employés à la sécurité de l'information, en fournissant une formation adéquate sur les politiques, les procédures et les meilleures pratiques de sécurité.
• Mettre en place des politiques et des procédures claires pour la gestion des privilèges d'accès, la gestion des départs et les mesures disciplinaires en cas de violation de la sécurité de l'information.

Des exigences supplémentaires en matière de sécurité des ressources humaines sont définies dans la « Politique sur la sécurité des RH».

3.3.3 GESTION DES ACTIFS

• Identifier et labeliser tous les actifs d'information en fonction de leur valeur, de leur sensibilité et de leur importance pour l'organisation.
• Mettre en place des mesures de protection physiques et logiques appropriées pour prévenir l'accès non autorisé, la modification ou la destruction des actifs d'information.
• Effectuer régulièrement des inventaires et des vérifications des actifs pour s'assurer de leur disponibilité, de leur intégrité et de leur confidentialité.

Des exigences supplémentaires en matière de gestion des actifs sont définies dans la « Politique de gestion des actifs».

3.3.4 GESTION DES IDENTITES ET DES ACCES

• Mettre en œuvre une politique d'attribution des droits d'accès basée sur le principe du « moindre privilège » et du «besoin de savoir », en accordant aux utilisateurs uniquement les droits d'accès nécessaires à l'accomplissement de leurs tâches.
• Mettre en place des procédures de gestion des identités, notamment la création, la modification et la suppression des comptes d'utilisateurs, pour garantir l'exactitude et l'intégrité des informations d'identification.
• Utiliser des mécanismes d'authentification forte, tels que l'authentification à deux facteurs, pour renforcer la sécurité des accès aux systèmes et aux informations sensibles.
• Mettre en place un processus de surveillance pour identifier les adresses Sharp Vision qui ont été affectées par une violation de données « data breach ».

Des exigences supplémentaires en matière de gestion des actifs sont définies dans la « Politique de contrôle des accès» ainsi que dans la « Processus de gestion des accès des utilisateurs ».

3.3.5 SECURITE PHYSIQUE

• Identifier les niveaux de sensibilités des zones d’accès physiques.
• Implémenter des mesures de contrôle d'accès physique, comme des systèmes de verrouillage, des badges d'identification et des caméras de surveillance pour les protéger selon le niveau de sensibilité.
• Monitorer les locaux afin de prévenir tout accès physique non autorisé.

Des exigences supplémentaires en matière de gestion des actifs sont définies dans la « Politique de sécurité physique».

3.3.6 CONFIGURATION SECURISEE

• Implémenter des standards de configuration sécurisée (du type CIS Benchmarks) pour les systèmes, les réseaux et les applications, en s'assurant que seules les fonctionnalités nécessaires sont activées et que les paramètres de sécurité appropriés sont appliqués.
• Mettre en œuvre des mécanismes de contrôle de l'intégrité des configurations, tels que des outils de gestion des configurations ou des journaux d'audit, pour détecter et prévenir les modifications non autorisées.
• Mettre en place des mécanismes de cryptographie robustes pour protéger les données sensibles en transit et au repos, en utilisant des algorithmes et des protocoles de chiffrement conformes aux meilleures pratiques de l'industrie et aux normes de sécurité reconnues.
• Sharp Vision se conforme aux lois et réglementations en vigueur concernant le chiffrement établies par la France, l'Union Européenne et les pays où elle exerce ses activités.

Des exigences supplémentaires en matière de gestion de chiffrement sont définies dans la « Politique de sécurité réseau».

3.3.7 GESTION DES MENACES ET DES VULNERABILITES

• Effectuer des évaluations régulières des vulnérabilités pour identifier les faiblesses potentielles dans les systèmes, les réseaux et les applications, et prendre les mesures correctives nécessaires.
• Mettre en place un processus de surveillance et de veille des menaces « Threat Intelligence » pour rester informé des nouvelles vulnérabilités et des attaques émergentes et prioriser le processus de remédiation des vulnérabilités.
• Établir des procédures de réponse aux incidents de sécurité pour réagir rapidement en cas de détection de menaces ou d'exploitation de vulnérabilités, en minimisant l'impact sur les systèmes et les informations sensibles.

Des exigences supplémentaires en matière de gestion des vulnérabilités sont définies dans la «Procédure de gestion des vulnérabilités».

3.3.8 GESTION DES EVENEMENTS LIES A LA SECURITE DE L'INFORMATION

• Mettre en place des mécanismes de collecte et de stockage des journaux d'événements de sécurité pour faciliter la détection et l'analyse des incidents de sécurité.
• Utiliser des outils de corrélation des événements pour détecter les schémas ou les indicateurs d'attaques potentielles à partir des données des journaux d'événements.
• Établir des procédures d'investigation et de gestion des incidents de sécurité pour assurer une réponse rapide et efficace en cas d'incidents de sécurité identifiés à partir des événements enregistrés.

Des exigences supplémentaires en matière de gestion des vulnérabilités sont définies dans la «Procédure de gestion des incidents de sécurité de l’information».

3.3.9 SECURITE DES SYSTEMES ET DES RESEAUX

• Mettre en place des mesures de sécurité dans une approche de « zero trust » afin de protéger les systèmes d'exploitation, les serveurs, les équipements réseau et les dispositifs de stockage des données contre les menaces internes et externes.
• Appliquer des mises à jour régulières des logiciels et des correctifs de sécurité pour prévenir les vulnérabilités connues et les attaques exploitant ces failles.
• Configurer des pare-feu, des systèmes de détection d'intrusion et d'autres dispositifs de sécurité réseau pour contrôler le trafic entrant et sortant et détecter les activités suspectes.
• Mettre en œuvre un filtrage web afin de réduire la surface d'attaque.
• Déployer des mesures de protection contre les logiciels malveillants.

Des exigences supplémentaires en matière de sécurité des systèmes et des réseaux sont définies dans la «Politique de sécurité réseau – Network Security Policy».

3.3.10 SECURITE DES APPLICATIONS

• Appliquer les principes de « Security by default » et de « Security by design » dès la phase de conception de l’application.
• Mettre en place des procédures de développement sécurisé des applications, en intégrant des bonnes pratiques de sécurité tout au long du cycle de vie du développement.
• Effectuer des tests de sécurité des applications pour identifier les vulnérabilités potentielles, telles que les failles de sécurité, les injections SQL ou les vulnérabilités de script entre sites.
• Mettre en œuvre des mécanismes de contrôle et de validation des données en entrée pour prévenir les attaques basées sur les données malveillantes ou non valides.

Des exigences supplémentaires en matière de sécurité des applications sont définies dans la «Politique SSDLC - Secure Software Development Lifecycle Policy».

3.3.11 SECURITE DANS LES RELATIONS AVEC LES FOURNISSEURS

• Afin d’évaluer la capacité des fournisseurs à protéger les informations sensibles et à respecter les exigences de sécurité de sécurité de l’information, la sélection des fournisseurs doit être effectuée en considération des critères suivants :
  • Préférence pour les Solutions Leader du Marché :
    • Favorisez les solutions reconnues comme leaders sur le marché. Cela assure que les fournisseurs choisis ont une expérience avérée dans la fourniture de solutions performantes et fiables.
    • S’assurer que les solutions sélectionnées disposent d’une stratégie d’exit appropriée.
  • Mise en Avant des Solutions SaaS :
    • Dans la mesure du possible, les solutions de type Software as a Service (SaaS) doivent être privilégiées, au vu du fait qu’elles intègrent souvent des mesures de sécurité et des mises à jour, contribuant ainsi à une meilleure gestion de la sécurité de l'information.
  • Protocoles d'Authentification et de Chiffrement Robustes :
    • Les solutions sélectionnées doivent impérativement disposer de protocoles d'authentification et de chiffrement solides, afin de garantir la protection des informations sensibles lors de leur transmission et de leur stockage.
  • Intégration du Single Sign-On (SSO) :
    • Les solutions offrant la fonctionnalité de Single Sign-On (SSO) doivent être privilégiées, afin de réduire la nécessité de plusieurs identifiants et mots de passe.
  • Certifications en Sécurité de l'Information et Protection des Données :
    • Les solutions certifiées conformes en matière de sécurité de l'information et de protection des données doivent être privilégiées (ISO 27001, SOC II, PCI-DSS, RGPD).
• Inclure des clauses de sécurité dans les contrats avec les fournisseurs, spécifiant les mesures de sécurité requises, les obligations de confidentialité et les mécanismes de gestion des incidents de sécurité.
• Mettre en place un processus de surveillance et d'évaluation régulière des fournisseurs critiques pour s'assurer de leur conformité aux exigences de sécurité et de la continuité des services.

3.3.12 GESTION DE LA CONTINUITE

• Au vu de l'approche "Cloud-first" de Sharp Vision, les aspects relatifs à la gestion de la continuité de la sécurité de l’information sont principalement délégués à ses partenaires Cloud.

Des exigences supplémentaires en matière de gestion de la continuité sont définies dans la « Politique de gestion de la continuité. »

3.3.13 JURIDIQUE ET CONFORMITE

• Maintenir une connaissance et une conformité aux lois, réglementations et obligations légales applicables en matière de protection de l'information.
• Établir des procédures pour traiter les violations de la sécurité de l'information, y compris la notification aux autorités compétentes et aux parties prenantes concernées. Effectuer des audits internes et des évaluations régulières pour s'assurer que les politiques, les procédures et les contrôles de sécurité de l'information sont conformes aux exigences légales et réglementaires.

Des exigences supplémentaires en matière de protection des données personnelles (PII) sont définies dans la « Politique de gestion de la protection des données à caractère personnel ».

3.3.14 ASSURANCE DE LA SECURITE DE L'INFORMATION

• Effectuer des évaluations régulières de la sécurité de l'information pour identifier les faiblesses potentielles, les risques et les zones d'amélioration.
• Mettre en place un processus de certification et d'audit de sécurité pour démontrer la conformité aux normes de sécurité de l'information reconnues.
• Fournir une formation et une sensibilisation régulières aux employés sur les bonnes pratiques de sécurité de l'information, afin de promouvoir une culture de sécurité.

Des exigences supplémentaires relatives à l’assurance de la sécurité de l’information sont définies dans la «Procédure pour les audits internes».

3.3.15 PROTECTION DE L'INFORMATION

• Mettre en place des politiques et des procédures de contrôle de l'accès à l'information, en définissant des droits d'accès appropriés et en restreignant l'accès aux informations sensibles.
• Utiliser des mécanismes de cryptage et d'obfuscation des données (data masking) afin de sécuriser les informations sensibles tout au long de leur cycle, que ce soit lors de leur extraction, de leur stockage, de leur transit ou de leur utilisation.
• Mettre en place des mesures de prévention et de détection des fuites d'informations, telles que des technologies de prévention de la perte de données (DLP) ou des contrôles de sécurité des courriels