1. Introduction
L'information est devenue l'un des principaux actifs de notre organisation, et c'est pourquoi sa protection et sa conservation sont un objectif absolument prioritaire.
Il est désormais partie intégrante de notre stratégie de maintenir la sécurité de l'information comme un élément critique et fondamental. Ce défi se multiplie en exigence et en importance si nous l'appliquons à un environnement aussi spécifique et critique que le nôtre, où le traitement et la gestion sécurisée de l'information s'imposent comme une nécessité pour concurrencer et s'améliorer à l'avenir.
NAVILENS ET NAVILENS PROJECTS CORP. (ci-après NAVILENS ET NAVILENS PROJECT CORPS.) dépend des systèmes TIC (Technologies de l'Information et des Communications) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui pourraient affecter la disponibilité, l'intégrité, la confidentialité, l'authenticité et la traçabilité des informations traitées ou des services fournis.
L'objectif de la sécurité de l'information est de garantir la qualité de l'information et la continuité des services, en agissant préventivement, en surveillant l'activité quotidienne et en réagissant rapidement aux incidents.
Les systèmes TIC doivent être protégés contre des menaces évoluant rapidement et susceptibles d'affecter la disponibilité, l'intégrité, la confidentialité, l'authenticité et la traçabilité, l'usage prévu et la valeur de l'information et des services. Pour se défendre contre ces menaces, une stratégie qui s'adapte aux changements des conditions environnementales est requise pour assurer la prestation continue des services. Cela implique que les départements doivent appliquer les mesures de sécurité minimales exigées par le Schéma National de Sécurité (ENS) ainsi que par la norme internationale ISO 27001, et effectuer un suivi continu des niveaux de prestation de services, suivre et analyser les vulnérabilités signalées, et préparer une réponse efficace aux incidents pour garantir la continuité des services fournis.
Les différents départements doivent s'assurer que la sécurité des TIC est une partie intégrante de chaque étape du cycle de vie du système, de sa conception à son retrait de service, en passant par les décisions de développement ou d'acquisition et les activités d'exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans les appels d'offres et dans les cahiers des charges pour les projets TIC.
Les départements doivent être préparés à prévenir, détecter, réagir et se rétablir des incidents, conformément à l'article 7 de l'ENS.
1.1 Prévention
Les départements doivent éviter, ou du moins prévenir dans la mesure du possible, que les informations ou les services soient altérés par des incidents de sécurité. Pour ce faire, les départements doivent mettre en œuvre les mesures de sécurité minimales déterminées par l'ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. Ces contrôles, ainsi que les rôles et responsabilités en matière de sécurité de tout le personnel, doivent être clairement définis et documentés. Pour garantir le respect de la politique, les départements doivent :
- Autoriser les systèmes avant leur mise en service.
- Évaluer régulièrement la sécurité, y compris les évaluations des changements de configuration effectués de manière routinière.
- Demander un examen périodique par des tiers afin d'obtenir une évaluation indépendante.
1.2 Détection
Étant donné que les services peuvent se dégrader rapidement en raison d'incidents, allant d'un simple ralentissement à un arrêt complet, les services doivent surveiller le fonctionnement de manière continue afin de détecter les anomalies dans les niveaux de prestation des services et d'agir en conséquence, comme établi à l'article 9 de l'ENS. La surveillance est particulièrement pertinente lorsque des lignes de défense sont établies conformément à l'article 8 de l'ENS. Des mécanismes de détection, d'analyse et de signalement seront mis en place pour informer régulièrement les responsables lorsqu'un écart significatif par rapport aux paramètres préétablis comme normaux se produit.
1.3 Réponse
Les départements doivent :
- Établir des mécanismes pour répondre efficacement aux incidents de sécurité.
- Désigner un point de contact pour les communications concernant les incidents détectés dans d'autres départements ou dans d'autres organismes.
- Établir des protocoles pour l'échange d'informations relatives à l'incident. Cela inclut les communications, dans les deux sens, avec les Équipes d'Intervention d'Urgence (CERT).
1.4 Récupération
Pour garantir la disponibilité des services critiques, les départements doivent élaborer des plans de continuité des systèmes TIC dans le cadre de leur plan général de continuité des activités et de leurs activités de récupération.
2. Objet et champ d'application
L'objectif de cette politique de haut niveau est de définir l'objectif, la direction, les principes et les règles de base pour la gestion de la sécurité de l'information.
Cette politique s'applique à l'ensemble du système de gestion de la sécurité de l'information (SMSI) et à tous les employés de NAVILENS ET NAVILENS PROJECTS CORP. Elle est également étendue aux tiers qui traitent des informations appartenant à NAVILENS ET NAVILENS PROJECTS CORP.
La Politique de Sécurité s'applique à l'ensemble de l'entreprise et à ses actifs d'information :
- À tous les départements, tant à leurs dirigeants qu'à leurs employés.
- Aux contractants, clients ou tout autre tiers ayant accès aux informations ou aux systèmes de l'organisation.
- Aux bases de données, fichiers électroniques et sur support papier, traitements, équipements, supports, programmes et systèmes.
- Aux informations générées, traitées et stockées, quelle que soit leur support et leur format, utilisées dans les tâches opérationnelles ou administratives.
- Aux informations cédées dans un cadre légal établi, qui seront considérées comme propres aux fins exclusives de leur protection.
- À tous les systèmes utilisés pour administrer et gérer l'information, qu'ils soient propres, loués ou sous licence par l'entreprise.
3. Références et cadre normatif
La direction de NAVILENS ET NAVILENS PROJECT CORPS. s'assure que la documentation d'origine externe présentant un intérêt pour le fonctionnement de l'entreprise est connue des employés concernés, qu'elle est maintenue à jour et disponible à tout moment.
Pour ce faire, les moyens définis dans ce document et les procédures qui en découlent sont utilisés.
En ce qui concerne les normes appliquées pour formaliser les différentes procédures de sécurité établies, les critères des normes internationales suivantes ont été suivis :
- Technologies de l'information. Techniques de sécurité. Systèmes de management de la sécurité de l'information (SMSI). Exigences. UNE-ISO/IEC 27001
- Technologies de l'information. Techniques de sécurité. Code de bonnes pratiques pour le management de la sécurité de l'information. UNE-ISO/IEC 27002
- Exigences des parties prenantes
De plus, le registre « SGSI84_RE07_ Registre de la Réglementation applicable » est créé pour recueillir toutes les informations, les liens d'intérêt et les informations relatives à la Réglementation appliquée. Ci-dessous, un extrait de la réglementation générale applicable :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD), relatif à la protection des données à caractère personnel et à la libre circulation de celles-ci, qui établit des principes tels que la licéité, la transparence, la minimisation, la sécurité et la responsabilité proactive.
- Loi organique 3/2018, sur la protection des données à caractère personnel et la garantie des droits numériques (LOPDGDD), qui complète le RGPD et intègre des droits tels que la déconnexion numérique et la protection contre l'utilisation des données biométriques.
- Loi 34/2002, sur les services de la société de l'information et du commerce électronique (LSSI-CE), qui réglemente les services numériques, l'utilisation des cookies et les communications commerciales électroniques.
- Loi 31/1995, sur la prévention des risques professionnels, qui établit le cadre juridique pour la sécurité et la santé des travailleurs.
- Décret royal 39/1997, approuvant le Règlement des Services de Prévention, qui réglemente l'organisation et le fonctionnement des services de prévention.
- Arrêté TIN/2504/2010, qui développe le Règlement des Services de Prévention concernant l'accréditation des entités spécialisées et l'activité d'audit.
- Loi 10/2010, sur la prévention du blanchiment de capitaux et du financement du terrorisme, qui établit des obligations de diligence raisonnable, de formation, de communication des opérations et de contrôle interne.
- Décret royal 304/2014, approuvant le Règlement d'application de la Loi 10/2010, détaillant les procédures, contrôles et mesures exigibles.
- Décret législatif royal 2/2015, approuvant le texte consolidé du Statut des travailleurs, qui réglemente les droits et devoirs du travail.
- Décret-loi royal 28/2020, sur le travail à distance, qui réglemente le télétravail et ses conditions.
- Décret législatif royal 8/2015, approuvant le texte consolidé de la Loi générale sur la sécurité sociale, qui inclut les prestations et droits en matière de cotisation et de couverture.
- Arrêté ESS/86/2015, qui développe les normes de cotisation à la Sécurité sociale, la protection en cas de cessation d'activité, le Fonds de garantie salariale et la formation professionnelle.
- Réforme du travail de 2021, qui introduit des changements dans l'embauche temporaire, la sous-traitance, la négociation collective et la stabilité de l'emploi.
- Droit à la déconnexion numérique, reconnu légalement comme le droit du travailleur de ne pas consulter les appareils en dehors des heures de travail.
- Décret législatif royal 1/1996, approuvant le texte consolidé de la Loi sur la propriété intellectuelle, qui réglemente les droits d'auteur et la protection des œuvres originales.
- Loi 17/2001, sur les Marques, qui réglemente l'enregistrement et la protection des signes distinctifs sur le marché.
- Loi organique 10/1995, du Code pénal, applicable notamment aux délits informatiques, à la divulgation de secrets, aux dommages causés aux systèmes et à la responsabilité pénale de la personne morale.
- Code de commerce, qui réglemente les actes mercantiles, les obligations comptables et les relations commerciales.
- Loi 1/2010, sur les sociétés de capitaux, qui réglemente la constitution, le fonctionnement et la dissolution des sociétés commerciales.
- Loi 3/2004, sur les mesures de lutte contre le retard de paiement dans les opérations commerciales, qui établit des délais de paiement et des mesures pour prévenir les retards de paiement.
- Constitution espagnole de 1978, notamment l'article 18, qui protège l'honneur, la vie privée personnelle et familiale et l'image, ainsi que la protection des données personnelles.
- Loi 14/2011, sur la Science, la Technologie et l'Innovation, qui promeut la recherche, le développement technologique et l'innovation.
- Loi 38/2003, générale sur les subventions, et son Règlement approuvé par le Décret royal 887/2006, qui réglementent le régime juridique des aides et subventions publiques, les obligations de justification et de contrôle.
- Décret-loi royal 12/2018, sur la sécurité des réseaux et systèmes d'information, non applicable à l'entreprise selon son champ d'application actuel.
ITS (Instructions Techniques de Sécurité) ENS :
- ITS d'Audit de la Sécurité des Systèmes d'Information par la Résolution du 27 mars 2018, du Secrétariat d'État à la Fonction Publique (BOE n° 81, du 3 avril 2018).
- ITS de Conformité à l'ENS par la Résolution du 13 octobre 2016, du Secrétaire d'État aux Administrations Publiques (BOE-A-2016-10109).
- ITS de Rapport sur l'État de la Sécurité par la Résolution du 7 octobre 2016, du Secrétariat d'État aux Administrations Publiques (BOE-A-2016-10108).
- ITS de Notification d'Incidents de Sécurité par la Résolution du 13 avril 2018, du Secrétariat d'État à la Fonction Publique (BOE n° 95, du 19 avril 2018).
Conformément au Décret Royal 311/2022, du 3 mai, qui réglemente le Schéma National de Sécurité (ENS), le système de gestion de la sécurité de l'information auquel l'organisation s'engage par le biais de la présente politique est articulé, garantissant que toutes les exigences de sécurité suivantes ont été respectées sans exception :
- Organisation et mise en œuvre du processus de sécurité.
- Analyse et gestion des risques.
- Gestion du personnel.
- Professionnalisme.
- Autorisation et contrôle des accès.
- Protection des installations.
- Acquisition de produits de sécurité et contractualisation de services de sécurité.
- Privilège minimal.
- Intégrité et mise à jour du système.
- Protection de l'information stockée et en transit.
- Prévention contre d'autres systèmes d'information interconnectés.
- Journalisation de l'activité et détection de code malveillant.
- Incidents de sécurité.
- Continuité de l'activité.
- Amélioration continue du processus de sécurité.
4. Organisation de la Sécurité
4.1 Comités : fonctions et responsabilités
Un comité de sécurité est constitué, dont les membres et les adresses électroniques sont réservés de cette publication pour des raisons de sécurité. Néanmoins, il sera communiqué sur l'intranet, et pourra être partagé avec les parties intéressées sur demande.
Il existe une liste de diffusion appelée comiteseguridad@navilens.com pour répondre à tout besoin interne/externe en matière de sécurité de l'information.
Chaque responsable de son domaine pourra modifier et adapter les documents ou procédures relevant de sa compétence sans l'approbation expresse des autres membres du comité, à condition que ces modifications n'altèrent pas de manière significative le fonctionnement du SMSI. Dans tous les cas, le comité doit être informé de ces modifications.
Ci-après, sont énumérées les fonctions et responsabilités du Comité de sécurité.
- La coordination de la sécurité de l'information (SI) en veillant à l'application de la politique de sécurité de l'information, en approuvant les méthodologies, procédures et instructions techniques en matière de protection de la sécurité de l'information, et en établissant une culture de sensibilisation à la sécurité de l'information dans toute l'organisation.
- Adopter ou proposer l'adoption des mesures nécessaires pour que le personnel connaisse les règles de sécurité qui affectent l'exercice de ses fonctions et les conséquences qu'il pourrait encourir en cas de non-respect.
- Mettre à jour la documentation du SMSI et l'adapter à la réglementation en vigueur.
- Être l'organe consultatif pour établir de nouvelles mesures liées à la sécurité de l'information et à la protection des données.
- Adopter ou proposer à la Direction l'adoption des mesures correctives suite aux lacunes détectées lors d'un processus d'audit ainsi que celles approuvées par la Direction.
- Superviser le respect des procédures établies pour autoriser l'utilisation des appareils mobiles et le télétravail.
- Superviser le maintien, selon les procédures établies, d'une liste du personnel ayant accès aux données personnelles, d'une liste du personnel autorisé à accorder, annuler ou modifier les droits d'accès, conformément aux critères établis, et d'une liste du personnel ayant un accès autorisé aux lieux où sont stockés les supports et documents.
- Promouvoir l'information et conseiller l'organisation et le personnel employé qui s'occupent du traitement des obligations qui leur incombent en matière de protection des données et de SI.
- Superviser le respect des dispositions de la réglementation applicable, y compris l'attribution des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits correspondants.
- Superviser la bonne maintenance et mise à jour des Registres d'activités de traitement et autres supports documentaires pour le respect de la législation RGPD.
4.2 Rôles : fonctions et responsabilités
Direction exécutive. Participe à l'élaboration des objectifs et des mesures. Approuve les politiques. Approuve les revues de direction du SMSI. Valide les conclusions des audits de systèmes. La direction exécutive établit l'organigramme de l'organisation qui contient plus de fonctions et de rôles que ceux spécifiés ici. Dans cette politique, nous détaillons les responsables liés à la sécurité de l'information.
Responsable de la sécurité.
- Promouvoir la sécurité de l'information gérée et des services électroniques fournis par les systèmes d'information, avec la responsabilité et l'autorité de s'assurer que le Système de Gestion de la Sécurité de l'Information (SMSI) est conforme aux exigences du Schéma National de Sécurité (ENS).
- Superviser le respect de la présente Politique, de ses normes, des procédures dérivées et de la configuration de sécurité des systèmes.
- Établir des mesures de sécurité adéquates et efficaces pour répondre aux exigences de sécurité établies par les Responsables du Service et de l'Information, en suivant à tout moment ce qui est exigé à l'Annexe II de l'ENS, en déclarant l'applicabilité de ces mesures.
- Promouvoir les activités de sensibilisation et de formation en matière de sécurité dans son domaine de responsabilité.
- Réaliser la coordination et le suivi de la mise en œuvre des projets d'adaptation à la norme ENS, en collaboration avec le Responsable des Systèmes.
- Réaliser, en collaboration avec le Responsable du Système, les analyses de risques obligatoires, de sélectionner les sauvegardes à implanter et de réviser le processus de gestion des risques. De même, avec le Responsable du Système, accepter les risques résiduels calculés dans l'analyse de risques.
- Promouvoir des audits périodiques pour vérifier le respect des obligations en matière de sécurité de l'information et analyser les rapports d'audit, en élaborant les conclusions à présenter au Responsable du Système afin qu'il prenne les mesures correctives appropriées.
- Coordonner le processus de Gestion de la Sécurité, en collaboration avec le Responsable des Systèmes.
- Déterminer la catégorie du système selon la procédure décrite à l'Annexe I de l'ENS et les mesures de sécurité qui doivent être appliquées conformément aux dispositions de l'Annexe II de l'ENS.
- Vérifier que les mesures de sécurité sont adéquates pour la protection de l'information et des services.
Responsable du système.
- Développer, exploiter et maintenir le système d'information tout au long de son cycle de vie, de ses spécifications, de son installation et de la vérification de son bon fonctionnement.
- S'assurer que les mesures de sécurité spécifiques sont correctement intégrées dans le cadre général de sécurité.
- Réaliser des exercices et des tests sur les procédures opérationnelles de sécurité et les plans de continuité existants.
- Mettre en œuvre les mesures nécessaires pour garantir la sécurité du système tout au long de son cycle de vie, en accord avec le Responsable de la Sécurité.
- Réaliser, avec la collaboration du Responsable de la Sécurité, les analyses de risques obligatoires, sélectionner les sauvegardes à mettre en œuvre et revoir le processus de gestion des risques. De même, avec le Responsable de la Sécurité, accepter les risques résiduels calculés dans l'analyse de risques.
- Élaborer, en collaboration avec le Responsable de la Sécurité, la documentation de sécurité de troisième niveau (Procédures Opérationnelles STIC et Instructions Techniques STIC).
- L'application des procédures opérationnelles de sécurité.
- Assurer que les contrôles de sécurité établis sont strictement respectés, et que les procédures approuvées pour gérer le système d'information sont appliquées.
- Superviser les installations matérielles et logicielles, leurs modifications et améliorations pour s'assurer que la sécurité n'est pas compromise et qu'elles sont à tout moment conformes aux autorisations pertinentes.
- Monitorer l'état de sécurité du système fourni par les outils de gestion des événements de sécurité et les mécanismes d'audit technique implémentés dans le système.
- Informer les Responsables respectifs de toute anomalie, compromission ou vulnérabilité liée à la sécurité.
- Collaborer à l'enquête et à la résolution des incidents de sécurité, de leur détection à leur résolution.
Responsable de la protection des données (DPO).
- Informer et conseiller le responsable de l'information et ses employés sur les obligations qui leur incombent au regard du RGPD et d'autres dispositions en matière de protection des données.
- Superviser le respect des dispositions du présent Règlement, des autres dispositions de protection des données de l'Union ou des États membres et des politiques du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris l'attribution des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits correspondants.
- Offrir les conseils qui lui sont demandés concernant l'évaluation d'impact relative à la protection des données et superviser son application conformément à l'article 35.
- Coopérer avec l'autorité de contrôle.
- Agir en tant que point de contact de l'autorité de contrôle pour les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et effectuer des consultations, le cas échéant, sur toute autre question.
Responsable du service.
- Établir les exigences du service en matière de sécurité, y compris les exigences d'interopérabilité, d'accessibilité et de disponibilité.
- Déterminer les niveaux de sécurité du service, en accord avec le Responsable de la sécurité et le Responsable du système.
- Maintenir la sécurité de l'information gérée et des services fournis par les systèmes d'information relevant de sa responsabilité.
Responsable de l'information.
- Veiller à la bonne utilisation de l'information et, par conséquent, à sa protection.
- Établir les exigences de l'information en matière de sécurité.
- Déterminer les niveaux de sécurité de l'information traitée, en évaluant les conséquences d'un impact négatif.
Utilisateurs et employés.
- Respecter la politique de sécurité de l'information et les règles, procédures et instructions complémentaires.
- Protéger et conserver les informations de l'entreprise, en évitant la divulgation, la diffusion externe, la modification, la suppression ou la destruction accidentelle ou non autorisée, ou la mauvaise utilisation, quel que soit le support ou le moyen par lequel elles ont été consultées ou connues.
- Connaître et appliquer la Politique de sécurité de l'information, les Règles d'utilisation des systèmes d'information et l'ensemble des politiques, règles, procédures et mesures de sécurité applicables.
4.3 Procédures de désignation
Le responsable de la sécurité de l'information sera nommé par la Direction, sur proposition du Comité de Sécurité. La nomination sera révisée tous les 2 ans ou lorsque le poste deviendra vacant. Le Département responsable d'un service fourni électroniquement conformément à la loi 39/2015 (Loi sur la procédure administrative commune) et à la loi 40/2015 (Régime juridique du secteur public) désignera le Responsable du Système, en précisant ses fonctions et responsabilités dans le cadre établi par cette Politique.
4.4 Politique de sécurité de l'information
Le Comité de Sécurité de l'Information est chargé d'élaborer et de maintenir la Politique de Sécurité de l'Information, bien que ce soit la Direction de NAVILENS ET NAVILENS PROJECTS CORP. qui soit responsable de l'approbation et de la publication de ladite Politique, ainsi que de sa distribution à tous les employés et tiers concernés.
Tout changement ou évolution affectant ou pouvant affecter le contenu de la Politique de Sécurité de l'Information sera enregistré dans une nouvelle signature du document d'approbation. Cela concrétise et confirme l'engagement de ces entités envers la sécurité de l'information.
Périodiquement, et en tout état de cause au moins une fois par an, la validité et la pertinence de la présente politique seront révisées et les améliorations, adaptations ou modifications requises seront apportées en fonction des changements organisationnels, techniques ou réglementaires applicables.
4.5 Distribution de la politique de sécurité
La distribution de la politique de sécurité sera effectuée de différentes manières en fonction du groupe d'intérêt auquel elle s'adresse :
Personnel et dirigeants de l'entreprise NaviLens. La politique de sécurité sera distribuée par courrier électronique. Pour s'assurer de sa réception, un accusé de réception du document correspondant sera signé.
Clients, partenaires, fournisseurs et autres parties prenantes : la politique de sécurité sera incluse dans une section du site web de l'entreprise (www.navilens.com), où elle pourra être consultée à tout moment.
4.6 Niveau de sécurité de l'information
L'Organisation dispose d'une politique « SGSI05_PO02 - Politique de classification, d'étiquetage et de manipulation de l'information », qui définit le système de classification, les critères d'attribution basés sur la nature, la sensibilité, l'impact et les exigences légales, ainsi que les contrôles associés à chaque niveau.
L'organisation dispose d'une procédure de catégorisation du système formellement définie sur la base du Guide CCN-STIC 803: Évaluation des systèmes par laquelle il est conclu que SGSI192_PR029 - Procédure de catégorisation du système : « Conformément au Décret Royal 311/2022, du 3 mai, et aux directives du Guide CCN-STIC 803, la catégorie d'un système est déterminée par le niveau le plus élevé des dimensions évaluées (Confidentialité, Intégrité, Disponibilité, Traçabilité et Authenticité) pour tous les services et les informations associées.
Dans ce cas :
- Les dimensions sont identifiées à un niveau élevé, ce qui constitue le niveau maximal à suivre. Par conséquent, une adaptation à l'ENS niveau élevé est réalisée.
- Ainsi, selon l'ENS, la catégorie du système est Haute, ce qui implique que les mesures de sécurité correspondantes à cette catégorie, figurant à l'Annexe II de l'ENS, doivent être mises en œuvre.
5. Sanctions
Toute violation préméditée ou négligente des politiques et normes de sécurité et qui entraînerait un préjudice potentiel, réalisé ou non, à NAVILENS Y NAVILENS PROJECTS CORP., sera sanctionnée conformément aux mécanismes prévus par la convention d'entreprise et la réglementation légale, contractuelle et corporative en vigueur.
Toutes les actions compromettant la sécurité de NAVILENS ET NAVILENS PROJECTS CORP. et non prévues par cette politique devront être examinées par la Direction Exécutive et par le Responsable de la Sécurité de l'Information afin de rendre une décision conforme aux critères de l'entreprise et à la législation prévue.
Les actions disciplinaires en réponse aux manquements à la Politique de Sécurité de l'Information relèvent de la Direction Exécutive de NAVILENS ET NAVILENS PROJECTS CORP. et des organes de gouvernement selon la législation applicable.
Un canal de dénonciation et un protocole de gestion des incidents sont mis à disposition des employés, permettant à tout membre de l'entreprise de signaler un incident ou un manquement potentiel au comité de sécurité ou au responsable de la sécurité.
Ladite infraction et la sanction correspondante seront communiquées à l'infracteur par un membre de la direction par courrier électronique avec demande de confirmation de réception.
6. Mission
En réponse à un nouvel environnement technologique où la convergence entre l'informatique et les communications facilite un nouveau paradigme de productivité pour les entreprises, NAVILENS ET NAVILENS PROJECTS CORP. s'engage fortement à maintenir la promotion de projets de recherche, développement technologique et innovation, dans un environnement de qualité, où le développement de bonnes pratiques en matière de sécurité de l'information est fondamental pour atteindre les objectifs de disponibilité, d'intégrité, de confidentialité, d'authenticité, de traçabilité et de légalité de toutes les informations gérées. En conséquence, NAVILENS ET NAVILENS PROJECTS CORP. définit les principes d'application suivants à prendre en compte dans le cadre du Système de Gestion de la Sécurité de l'Information (SMSI) :
La Direction de NAVILENS ET NAVILENS PROJECTS CORP. considère son devoir de garantir la sécurité de l'information comme un élément essentiel pour le bon fonctionnement des services de l'organisation, et soutient donc les objectifs et principes suivants :
- Mettre en œuvre la valeur de la Sécurité de l'Information dans l'ensemble de l'Organisation.
- Contribuer, chaque personne de NAVILENS ET NAVILENS PROJECTS CORP., à la protection de la Sécurité de l'Information.
- Préserver la disponibilité, l'intégrité, la confidentialité, l'authenticité et la traçabilité et la résilience de l'information, dans le but de garantir le respect des exigences légales, réglementaires et de nos clients, relatives à la sécurité de l'information ; et de manière spécifique en ce qui concerne les données à caractère personnel :
- Les données seront traitées de manière licite, loyale et transparente à l'égard de la personne concernée (Légalité, loyauté et transparence).
- Elles seront collectées à des fins déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement d'une manière incompatible avec ces fins (Limitation de la finalité).
- Les données seront adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (Minimisation des données).
- Les données devront être exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables seront prises pour que les données à caractère personnel qui sont inexactes au regard des finalités pour lesquelles elles sont traitées soient supprimées ou rectifiées sans tarder (Exactitude).
- Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités du traitement des données à caractère personnel ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (Limitation de la durée de conservation).
- Traitées de manière à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, à l'aide de mesures techniques ou organisationnelles appropriées (Intégrité et confidentialité).
Cette politique sera maintenue, mise à jour et adaptée aux objectifs de l'Organisation, en s'alignant sur son contexte de gestion des risques. À cette fin, elle sera révisée à des intervalles planifiés ou chaque fois que des changements significatifs surviendront, afin de s'assurer de sa pertinence, de son adéquation et de son efficacité.
De même, pour gérer les risques auxquels NAVILENS ET NAVILENS PROJECTS CORP. est confrontée, une procédure d'évaluation des risques formellement définie est établie. Pour leur part, toutes les politiques et procédures incluses dans le SMSI seront examinées, approuvées et promues par la Direction Exécutive de NAVILENS ET NAVILENS PROJECTS CORP.
- Protéger les actifs informationnels de NAVILENS ET NAVILENS PROJECTS CORP. contre les menaces, qu'elles soient internes ou externes, délibérées ou accidentelles, dans le but de garantir la continuité du service offert à nos clients et la sécurité des informations.
- Établir un Plan de sécurité de l'information qui intègre les activités de prévention et de minimisation des risques d'incidents de sécurité sur la base des critères de gestion des risques établis par NAVILENS ET NAVILENS PROJECTS CORP.
- Fournir les moyens nécessaires pour pouvoir mener les actions pertinentes en vue de la gestion des risques identifiés.
- Assumer la responsabilité en matière de sensibilisation et de formation à la sécurité de l'information comme moyen de garantir le respect de cette politique.
- Étendre notre engagement envers la sécurité de l'information à nos employés et fournisseurs.
- Améliorer continuellement la sécurité par l'établissement et le suivi périodique des objectifs de sécurité de l'information.
7. Gestion des Risques
Tous les systèmes soumis à cette Politique devront réaliser une analyse de risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera répétée :
- régulièrement, au moins une fois par an ;
- lorsque les informations traitées changent ;
- lorsque les services fournis changent ;
- lorsqu'un incident de sécurité grave survient ;
- lorsque des vulnérabilités graves sont signalées.
Pour l'harmonisation des analyses de risques, le Comité de Sécurité TIC établira une valorisation de référence pour les différents types d'informations gérées et les différents services fournis. Le Comité de Sécurité TIC dynamisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en promouvant des investissements de caractère horizontal.
8. Développement de la Politique de Sécurité de l'Information
Cette Politique sera développée par des normes de sécurité abordant des aspects spécifiques, ainsi que par d'autres politiques complémentaires. Les normes de sécurité seront mises à la disposition de tous les membres de l'organisation qui ont besoin de les connaître, en particulier ceux qui utilisent, exploitent ou administrent les systèmes d'information et de communication.
9. Obligations du personnel
Tous les membres de NAVILENS ET NAVILENS PROJECTS CORP. ont l'obligation de connaître et de respecter la présente Politique de Sécurité de l'Information et la Réglementation de Sécurité, il est de la responsabilité du Comité de Sécurité TIC de mettre à disposition les moyens nécessaires pour que l'information atteigne les personnes concernées. Tous les membres de NAVILENS ET NAVILENS PROJECTS CORP. participeront à une session de sensibilisation à la sécurité TIC au moins une fois par an. Un programme continu de sensibilisation sera établi pour s'adresser à tous les membres de l'organisation, en particulier les nouveaux arrivants. Les personnes ayant des responsabilités dans l'utilisation, l'exploitation ou l'administration des systèmes TIC recevront une formation pour la manipulation sécurisée des systèmes dans la mesure nécessaire pour l'accomplissement de leur travail. La formation sera obligatoire avant d'assumer une responsabilité, que ce soit pour leur première affectation ou en cas de changement de poste de travail ou de responsabilités au sein du même poste.
La Sécurité de l'Information est un effort conjoint, elle requiert donc l'implication et la participation de tous les membres de l'organisation qui travaillent avec les Systèmes d'Information de l'organisation. Par conséquent, chaque employé doit respecter les exigences de la Politique de Sécurité et de sa documentation associée.
Les employés qui, délibérément ou par négligence, ne respectent pas la Politique de Sécurité feront l'objet de mesures disciplinaires comme prévu dans ce document.
9.1 Définition des Responsables de l'Information
Informations Clients. Responsable : Direction Commerciale. Fonctions : garantir l'exactitude, l'utilisation appropriée et la mise à jour des informations clients. Sécurité : le Responsable de la Sécurité de l'Information (RSI) veille à leur protection conformément à la classification établie. Accès : accès autorisé uniquement au personnel autorisé, sous engagements de confidentialité et selon le principe du besoin d'en connaître.
Informations Financières. Responsable : Direction Financière. Fonctions : assurer l'intégrité, la disponibilité et la véracité des informations comptables, fiscales et budgétaires. Accès : limité au personnel autorisé, appliquant le principe du moindre privilège. Sécurité : le RSI vérifie l'application de contrôles adéquats (chiffrement, séparation des fonctions, traçabilité des accès).
Informations Ressources Humaines (RH). Responsable : Direction RH. Fonctions : gérer et conserver les données personnelles des employés conformément au RGPD et à la LOPDGDD. Accès : restreint à l'équipe RH et aux responsables spécifiquement autorisés. Sécurité : le RSI supervise l'existence de contrôles renforcés compte tenu de la nature sensible de ces données.
Informations de Développement / R&D / Code Source. Responsable : Direction Technique (CTO) ou la personne responsable du domaine de Développement. Fonctions : protéger le code source, les algorithmes, les designs et la documentation technique. Accès : restreint au personnel technique autorisé ; des contrôles d'authentification et une gestion sécurisée des dépôts sont appliqués. Sécurité : le RSI garantit des mesures de protection, la séparation des environnements et la prévention des fuites d'informations.
Informations Opérationnelles et de Projets. Responsable : Service Opérations ou la personne responsable du projet. Fonctions : maintenir à jour la documentation opérationnelle, de projets et des livrables. Accès : autorisé uniquement au personnel impliqué dans chaque projet. Sécurité : le RSI garantit des contrôles pour prévenir les accès non autorisés.
Informations Marketing et Communication. Responsable : Service Marketing. Fonctions : gérer les contenus d'entreprise internes et externes. Accès : personnel du marketing et direction, selon le cas. Sécurité : le RSI vérifie qu'aucune information sensible n'est diffusée accidentellement.
Informations de Sécurité et Systèmes. Responsable : Service Sécurité de l'Information / Service Systèmes. Fonctions : gérer et conserver les logs, configurations, politiques et registres sensibles. Accès : limité au personnel spécifiquement autorisé. Sécurité : contrôles renforcés, audits périodiques et protections contre les accès indus.
10. Tiers
La présente Politique de Sécurité est portée à la connaissance et doit être respectée par toute personne externe appartenant à des tiers qui effectue tout type de traitement sur des informations appartenant à NAVILENS ET NAVILENS PROJECTS CORP.
Lorsque NAVILENS ET NAVILENS PROJECTS CORP. fournit des services à d'autres organismes ou gère des informations d'autres organismes, ils seront informés de cette Politique de Sécurité de l'Information, des canaux de communication et de coordination des Comités de Sécurité TIC respectifs seront établis, et des procédures d'action pour la réaction aux incidents de sécurité seront mises en place. Lorsque NAVILENS ET NAVILENS PROJECTS CORP. utilise des services tiers ou transfère des informations à des tiers, ceux-ci seront informés de cette Politique de Sécurité et de la Réglementation de Sécurité qui concerne ces services ou informations. Ce tiers sera soumis aux obligations établies dans ladite réglementation, et pourra développer ses propres procédures opérationnelles pour la satisfaire. Des procédures spécifiques de signalement et de résolution des incidents seront établies. Il sera garanti que le personnel des tiers est adéquatement sensibilisé en matière de sécurité, au moins au même niveau que celui établi dans la présente Politique. Lorsque tout aspect de la Politique ne peut pas être satisfait par un tiers comme requis dans les paragraphes précédents, un rapport du responsable de la Sécurité sera demandé, précisant les risques encourus et la manière de les gérer. L'approbation de ce rapport par les responsables des informations et des services concernés sera requise avant de poursuivre.
11. Approbation et Validité
Le présent document a été approuvé par la Direction, avec une validité à partir du 19 décembre 2025.