01 82 73 03 40

Politique de confidentialité

/ Politique de confidentialité

1. Objectif

Le cabinet doit restreindre l’accès aux données confidentielles et sensibles pour éviter qu’elles ne soient perdues ou compromises, de façon à ne pas nuire à nos clients, à ne pas encourir de sanctions pour non-conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.

Il n’est pas attendu de cette politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les exigences de prévention des fuites de données.

2. Champ d’application

2.1 Dans le champ d’application

Cette politique de sécurité des données s’applique à toutes les données clients, données personnelles ou autres données du cabinet définies comme sensibles par la direction du cabinet. Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques du cabinet est également soumis à cette politique.

2.2 Hors du champ d’application

Les informations classées comme publiques ne sont pas soumises à cette politique. D’autres données peuvent être exclues de la politique par la direction du cabinet, en fonction d’impératifs spécifiques, par exemple le fait que la protection des données est trop coûteuse ou trop complexe.

3. Politique

3.1 Principes

Le cabinet fournira à tous ses employés et à ses sous-traitants l’accès aux informations dont ils ont besoin pour effectuer leur travail aussi efficacement que possible.

3.2 Généralités

a. Chaque utilisateur sera identifié par un ID utilisateur unique, afin que tous puissent être tenus pour responsables de leurs actions.

b. L’utilisation des identités partagées n’est autorisée que là où elles sont appropriées, par exemple pour les comptes de formation ou les comptes de service. 

c. Chaque utilisateur doit lire la présente politique de sécurité des données, ainsi que les directives de connexion et de déconnexion, et signer une déclaration stipulant qu’ils comprennent les conditions d’accès.

d. Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le cadre d’une enquête sur incident de sécurité.

e. Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer son travail.

3.3 Autorisation de contrôle d’accès 

L’accès aux ressources et aux services informatiques du cabinet sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe. Le service informatique fournis les comptes à la demande de la direction. 

Les mots de passe sont gérés par le centre d’assistance informatique. Les exigences relatives à la longueur, à la complexité et à l’expiration des mots de passe sont indiquées dans la charte informatique. 

Le contrôle d’accès basé sur les rôles sert à sécuriser les accès à toutes les ressources basées sur fichiers dans les domaines d’Active Directory. 

3.4 Accès aux réseaux

a. Un accès aux réseaux doit être accordé à tous les employés et sous-traitants, selon les procédures de contrôle d’accès du cabinet et le principe du moindre privilège.

b. Les réseaux doivent être séparés selon les recommandations issues des recherches de sécurité sur les réseaux du cabinet. Les administrateurs réseaux doivent regrouper les services et systèmes informatiques et les utilisateurs selon les besoins de cette séparation.

c. Des contrôles de routage des réseaux doivent être mis en place pour appliquer la politique de contrôle d’accès.

3.5 Responsabilités des utilisateurs

a. Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quittent leur bureau, pour réduire le risque d’accès non autorisé.

b. Tous les utilisateurs doivent veiller à ne laisser aucune information sensible ou confidentielle autour de leur poste de travail.

c. Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

3.6 Accès aux applications et aux informations

a. Tous les employés et sous-traitants du cabinet doivent bénéficier d’un accès aux données et aux applications nécessaires à leur fonction professionnelle.

b. Tous les employés et sous-traitants ne doivent accéder aux données et systèmes sensibles qu’en cas de nécessité professionnelle et avec l’accord de la direction.

c. Les systèmes sensibles doivent être physiquement ou logiquement isolés afin d’en restreindre l’accès au personnel autorisé uniquement.

3.7 Accès aux informations confidentielles et restreintes

a. L’accès aux données classées comme « confidentielles » ou « restreintes » doit être limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction. 

b. Le service de sécurité informatique est responsable d’instaurer les restrictions d’accès.

4. Directives techniques

Les méthodes de contrôle d’accès à utiliser incluent :

  • Autorisations Windows NTFS pour les fichiers et dossiers
  • Modèle d’accès basé sur les rôles
  • Droits d’accès aux serveurs
  • Autorisations relatives aux pare-feux
  • Droits d’accès et listes de contrôle d’accès aux bases de données
  • Séparation des réseaux

Le contrôle d’accès s’applique à tous les réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications Web, sites Web, stockages Cloud et services.

5. Propriété et responsabilités

  • Les propriétaires de données sont des employés dont la principale responsabilité est de gérer les informations qu’ils possèdent ; il peut s’agir par exemple d’un cadre, un chef de service ou un chef d’équipe.
  • L’administrateur de la sécurité des informations est un employé chargé par les responsables informatiques d’assurer un soutien administratif pour l’implémentation, la supervision et la coordination des procédures et systèmes de sécurité, conformément aux ressources informatiques spécifiques.
  • Les utilisateurs comprennent tous ceux qui ont accès aux ressources informatiques, par exemple les employés, les entités de confiance, les sous-traitants, les consultants, les employés à l’essai, les employés temporaires et les bénévoles.
  • L’équipe d’intervention en cas d’incident doit être dirigée par un cadre et inclure des employés de services tels que, par exemple : infrastructure informatique, sécurité des applications informatiques, juridique, financier et ressources humaines.
  •  

6. Application

Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au licenciement. Tout partenaire ou sous-traitant tiers surpris en infraction peut voir sa connexion au réseau suspendue.

7. Définitions

Ce paragraphe définit tous les termes techniques utilisés dans la présente politique.

  • Liste de contrôle d’accès (ACL) – Liste des règles ou des entrées de contrôle d’accès (ACE). Chaque ACE d’une ACL identifie une entité de confiance et précise ses droits d’accès autorisés, refusés ou contrôlés.
  • Base de données – Ensemble organisé de données, généralement stocké et accessible électroniquement depuis un système informatique.
  • Chiffrement – Processus de codage d’un message ou d’autres informations afin que seules les parties autorisées puissent y accéder.
  • Pare-feu – Dispositif permettant d’isoler un réseau d’un autre. Les pares-feux peuvent être des systèmes autonomes ou inclus dans d’autres dispositifs, par exemple des routeurs ou des serveurs.
  • Séparation du réseau – Division du réseau en unités logiques ou fonctionnelles appelées zones. Par exemple, vous pouvez avoir une zone pour les ventes, une zone pour le support technique et une autre zone pour la recherche, chacune ayant des besoins techniques différents.
  • Contrôle d’accès basé sur les rôles (RBAC) – Mécanisme de contrôle d’accès neutre en termes de politique, défini selon les rôles et les privilèges.
  • Serveur – Programme ou appareil informatique qui fournit des fonctionnalités à d’autres programmes ou appareils, appelés clients.
  • Réseau privé virtuel (VPN) – Connexion à un réseau privé sécurisé via un réseau public.
  • VLAN (réseau local virtuel) – Groupement logique d’appareils au sein d’un même domaine de diffusion.
  •  

8. Historique des révisions

Chaque révision d’une politique doit être signalée dans cette section.