Plan d'Assurance Sécurité
Plan d'Assurance Sécurité
Mesures et engagements de sécurité du service Cloud fourni au Client (SaaS).
1. POLITIQUE DE SECURITÉ DE L'INFORMATION ET GESTION DU RISQUE
1.1. Principes
1.1.1. SIGECO opère sa prestation à l’état de l’art, notamment en utilisant des logiciels stables bénéficiant d’un suivi des correctifs de sécurité et paramétrés pour obtenir un niveau de sécurité optimal.
1.2. Politique de sécurité de l’information
1.2.1. SIGECO documente et met en œuvre un programme qualité et sécurité du système d’information (PQSSI) relative au service.
1.2.2. La PQSSI couvre notamment les thèmes abordés aux mesures 2 à 14 du présent PAS.
1.2.3. La direction de SIGECO approuve formellement la PQSSI.
1.3. Appréciation des risques
1.3.1. SIGECO documente une appréciation des risques couvrant l’ensemble du périmètre du service.
1.3.2. La direction de SIGECO accepte formellement les risques résiduels identifiés dans l’appréciation des risques.
2. ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION
2.1. Fonctions et responsabilités liées à la sécurité de l’information
2.1.1. SIGECO documente et met en œuvre une organisation interne de la sécurité pour assurer la définition, la mise en place et le suivi du fonctionnement opérationnel de la sécurité de l’information au sein de son organisation.
2.1.2. SIGECO définit et attribue les responsabilités en matière de protection de données à caractère personnel, en cohérence avec son rôle dans les traitements de données à caractère personnel (responsable, sous-traitant ou co-responsable).
2.2. Séparation des tâches
2.2.1. SIGECO identifie les risques associés à des cumuls de responsabilités ou de tâches, les prendre en compte dans l’appréciation des risques et mettre en œuvre des mesures de réduction de ces risques.
2.3. La sécurité de l’information dans la gestion de projet
2.3.1. SIGECO documente une estimation des risques préalablement à tout projet pouvant avoir un impact sur le service rendu.
2.3.2. Dans la mesure où un projet affecte ou est susceptible d’affecter le niveau de sécurité du service, SIGECO avertit le Client et l’informe par écrit des impacts potentiels, des mesures mises en place pour réduire ces impacts ainsi que des risques résiduels le concernant.
3. SÉCURITÉ DES RESSOURCES HUMAINES
3.1. Sélection des candidats
3.1.1. SIGECO documente et met en œuvre une procédure de vérification des informations concernant son personnel conforme aux lois et règlements en vigueur. Ces vérifications s’appliquent à toute personne impliquée dans la fourniture du service et doivent être proportionnelles à la sensibilité des informations confiées à SIGECO par le Client ainsi qu’aux risques identifiés.
3.2. Conditions d’embauche
3.2.1. SIGECO dispose d’une charte de sécurité, d’éthique et de confidentialité, prévoyant notamment que :
- les prestations sont réalisées avec loyauté, discrétion, impartialité et dans des conditions de confidentialité des informations traitées ;
- les personnels ne recourent qu’aux méthodes, outils et techniques validés par SIGECO ;
- les personnels s’engagent à ne pas divulguer d’informations à un tiers, même anonymisées et décontextualisées, obtenues ou générées dans le cadre de la prestation sauf autorisation formelle des clients ;
- les personnels s’engagent à signaler à SIGECO tout contenu manifestement illicite découvert pendant la prestation.
- les personnels s’engagent à respecter la législation et la réglementation nationale en vigueur et les bonnes pratiques liées à leurs activités.
3.3. Sensibilisation, apprentissage et formations à la sécurité de l’information
3.3.1. SIGECO sensibilise à la sécurité de l’information et aux risques liés à la protection des données l’ensemble des personnes impliquées dans la fourniture du service. Il communique les mises à jour des politiques et procédures pertinentes dans le cadre de leurs missions.
4. GESTION DES ACTIFS
4.1. Inventaire et propriété des actifs
4.1.1. SIGECO tient à jour l’inventaire de l’ensemble des équipements mettant en œuvre le service. Cet inventaire précise pour chaque équipement les informations d’identification (nom, adresse réseau etc.), sa fonction, son modèle et sa localisation.
4.1.2. SIGECO tient à jour l’inventaire de l’ensemble des logiciels mettant en œuvre le service. Cet inventaire identifie pour chaque logiciel, sa version et les équipements sur lesquels le logiciel est installé.
4.2. Restitution des actifs
4.2.1. SIGECO documente et met en œuvre une procédure de restitution des actifs permettant de s’assurer que chaque personne impliquée dans la fourniture du service restitue l’ensemble des actifs en sa possession à la fin de sa période d’emploi ou de son contrat.
4.3. Identification des besoins de sécurité de l’information
4.3.1. SIGECO identifie les différents besoins de sécurité des informations relatives au service.
4.4. Gestion des supports amovibles
4.4.1. SIGECO documente et met en œuvre une procédure pour la gestion des supports amovibles, conformément au besoin de sécurité (cf. mesure 4.3.1.).
4.4.2. Les supports amovibles utilisés sur l’infrastructure technique ou pour des tâches d’administration, sont dédiés à un usage.
5. CONTRÔLE D'ACCÈS ET GESTION DES IDENTITÉS
5.1. Politique et contrôle d’accès
5.1.1. SIGECO documente et met en œuvre une politique de contrôle d’accès sur la base du résultat de son appréciation des risques et du partage des responsabilités.
5.2. Enregistre et désinscription des utilisateurs
5.2.1. SIGECO documente et met en œuvre une procédure d’enregistrement et de désinscription des utilisateurs s’appuyant sur une interface de gestion des comptes et des droits d’accès. Cette procédure indique quelles données doivent être supprimées au départ d’un utilisateur.
5.2.2. SIGECO attribue des comptes nominatifs lors de l’enregistrement des utilisateurs placés sous sa responsabilité.
5.3. Gestion des droits d’accès
5.3.1. SIGECO documente et met en œuvre une procédure permettant d’assurer l’attribution, la modification et le retrait de droits d’accès aux ressources du SI du service.
5.4. Revue des droits d’accès utilisateurs
5.4.1. Le prestataire révise annuellement les droits d’accès des utilisateurs sur son périmètre de responsabilité.
5.5. Gestion des authentifications des utilisateurs
5.5.1. SIGECO formalise et met en œuvre des procédures de gestion de l’authentification des utilisateurs (cf. mesure 6), celles-ci notamment portent sur :
- la gestion des moyens d’authentification (émission et réinitialisation de mot de passe, multi-facteurs, etc.).
- les systèmes qui génèrent des mots de passe ou vérifient leur robustesse, lorsqu’une authentification par mot de passe est utilisée.
5.5.2. Tout mécanisme d’authentification prévoit le blocage d’un compte après un nombre limité de tentatives infructueuses.
5.5.3. SIGECO met en place une authentification à double facteur pour l’accès aux utilisateurs SIGECO ayant des privilèges d'administration sensibles.
5.6. Accès aux interfaces d’administration
5.6.1. Les comptes d’administration sous la responsabilité de SIGECO sont gérés à l’aide d’outils et d’annuaires distincts de ceux utilisés pour la gestion des comptes utilisateurs placés sous la responsabilité du Client.
5.6.2. Les interfaces d’administration mises à disposition du Client sont distinctes des interfaces d’administration utilisées par SIGECO.
5.6.3. Les flux d’administration mises à disposition du Client sont authentifiés et chiffrés avec des moyens en accord avec les exigences des mesures 6.2.
5.6.4. Les interfaces d’administration mises à disposition du Client sont différenciées des interfaces permettant l’accès des utilisateurs finaux.
5.7. Restriction des accès à l’information
5.7.1. SIGECO met en œuvre des mesures de cloisonnement appropriées entre ses Clients.
5.7.2. SIGECO met en œuvre des mesures de cloisonnement appropriées entre le SI du service et ses autres SI (bureautique, informatique de gestion, contrôle d’accès physique, etc.).
5.7.3. SIGECO conçoit, développe, configure et déploie le SI du service en assurant au moins un cloisonnement entre d’une part l’infrastructure technique et d’autre part les équipements nécessaires à l’administration des services et des ressources qu’elle héberge.
6. CRYPTOGRAPHIE
6.1. Protection des données stockées
6.1.1. SIGECO défini et met en œuvre un mécanisme de chiffrement empêchant la récupération des données des Clients en cas de réallocation d’une ressource ou de récupération du support physique.
6.1.2. SIGECO utilise une méthode de chiffrement des données respectant les règles de l'ANSSI.
6.1.3. SIGECO met en place un chiffrement des données sur les supports amovibles et les supports de sauvegarde amenés à quitter le périmètre de sécurité physique du SI du service (cf. mesure 7.), en fonction du besoin de sécurité des données (cf. mesure 4.4.).
6.2. Protection des données en transit
6.2.1. SIGECO met en œuvre des mécanismes de chiffrement des flux réseau, en appliquant les règles de l'ANSSI (notamment les guides sur TLS, IPSec et SSH).
6.3. Protection des mots de passe
6.3.1. SIGECO stocke uniquement une empreinte des mots de passe des utilisateurs et des comptes techniques.
6.3.2. SIGECO met en œuvre une fonction de hachage respectant les règles de l'ANSSI.
6.4. Gestion des secrets
6.4.1. SIGECO met en œuvre des clés cryptographiques respectant les règles de l'ANSSI.
6.4.2. SIGECO protège l’accès aux clés cryptographiques et autres secrets utilisés pour le chiffrement des données par un moyen adapté : conteneur de sécurité (logiciel ou matériel) ou support disjoint.
7. SÉCURITÉ DE L'EXPLOITATION
7.1. Procédures d’exploitation documentées
7.1.1. SIGECO documente les procédures d’exploitation, les tient à jour et les rend accessibles au personnel concerné.
7.2. Gestion des changements
7.2.1. SIGECO informe au plus tôt le Client de toute modification à venir sur les éléments du service dès lors qu’elle est susceptible d’occasionner une perte de fonctionnalité pour le Client.
7.3. Séparation des environnements de développement, de test et d’exploitation
7.3.1. SIGECO documente et met en œuvre les mesures permettant de séparer physiquement les environnements liés à la production du service des autres environnements.
7.4. Mesures contre les codes malveillants
7.4.1. SIGECO documente et met en œuvre les mesures de détection, de prévention et de restauration pour se protéger des codes malveillants. Le périmètre d’application de cette exigence sur le SI du service contient les postes utilisateurs sous la responsabilité de SIGECO et les flux entrants sur ce même SI.
7.5. Sauvegarde des informations
7.5.1. SIGECO documente et met en œuvre une politique de sauvegarde et de restauration des données sous sa responsabilité dans le cadre du service. Cette politique prévoit une sauvegarde quotidienne de l’ensemble des données (informations, logiciels, configurations, etc.) sous la responsabilité de SIGECO dans le cadre du service.
7.5.2. SIGECO documente et met en œuvre une procédure permettant de tester régulièrement la restauration des sauvegardes
7.6. Gestion des vulnérabilités techniques
7.6.1. SIGECO documente et met en œuvre un processus de veille permettant de gérer les vulnérabilités techniques des logiciels et des systèmes utilisés dans le SI du service.
7.6.2. SIGECO évalue son exposition à ces vulnérabilités en les incluant dans l’appréciation des risques et applique les mesures de traitement du risque adaptées.
8. SÉCURITÉ DES COMMUNICATIONS
8.1. Surveillance des réseaux
8.1.1. SIGECO dispose de plusieurs sondes de détection d’incidents de sécurité sur le SI du service. Ces sondes permettent notamment la supervision de chacune des interconnexions du SI du service avec des SI tiers et des réseaux publics. Ces sondes sont des sources de collecte pour l’infrastructure d’analyse et de corrélation des événements.
9. RELATIONS AVEC LES TIERS
9.1. Identification des tiers
9.1.1. SIGECO tient à jour une liste de l’ensemble des tiers participant à la mise en œuvre du service (hébergeur, développeur, intégrateur, sous-traitant opérant sur site ou à distance, etc.). Cette liste est exhaustive, précise la contribution du tiers au service et au traitement de données à caractère personnel et tenir compte des cas de sous-traitance à plusieurs niveaux.
9.1.2. SIGECO tient à disposition du Client la liste de l’ensemble des tiers qui peuvent accéder aux données et l’informer de tout changement de sous-traitants (cf. article 28 du RGPD) afin que le Client puisse émettre des objections à cet égard.
9.2. La sécurité dans les accords conclus avec les tiers
9.2.1. SIGECO exige des tiers participant à la mise en œuvre du service, dans leur contribution au service, un niveau de sécurité au moins équivalent à celui qu’il s’engage à maintenir dans sa propre politique de sécurité. SIGECO le fait au travers d’exigences, adaptées à chaque tiers et à sa contribution au service, dans les cahiers des charges ou dans les clauses de sécurité des accords de partenariat. Le prestataire inclut ces exigences dans les contrats conclus avec les tiers
9.3. Engagements de confidentialité
9.3.1. SIGECO documente et met en œuvre une procédure permettant de réviser au moins annuellement les exigences en matière d’engagements de confidentialité ou de non-divulgation vis-à-vis des tiers participant à la mise en œuvre du service.
10. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
10.1. Responsabilités et procédures
10.1.1. SIGECO documente toute violation de données à caractère personnel et en informe le Client dans les délais contractuels définis.
10.2. Signalements liés à la sécurité de l’information
10.2.1. SIGECO documente et met en œuvre une procédure exigeant de ses employés et des tiers participant à la mise en œuvre du service qu’ils lui rendent compte de tout incident de sécurité, avéré ou suspecté ainsi que de toute faille de sécurité.
10.2.2. SIGECO communique sans délai au Client les incidents de sécurité et les préconisations associées pour en limiter les impacts.
10.3. Réponse aux incidents liés à la sécurité de l’information
10.3.1. SIGECO traite les incidents de sécurité jusqu’à résolution et informe le Client conformément à la procédure définie.
11. CONTINUITÉ D'ACTIVITE
11.1. Mise en œuvre de la continuité d’activité
11.1.1. SIGECO documente et met en œuvre des procédures permettant de maintenir ou de restaurer l’exploitation du service et d’assurer la disponibilité des informations au niveau et dans les délais pour lesquels SIGECO s’est engagé vis-à-vis du Client.
11.2. Disponibilité des moyens de traitement de l’information
11.2.1. SIGECO documente et met en œuvre les mesures qui lui permettent de répondre au besoin de disponibilité du service.
12. CONFORMITÉ
12.1. Identification de la législation et des exigences contractuelles applicables
12.1.1. SIGECO identifie les exigences légales, réglementaires et contractuelles en vigueur applicables au service (données à caractère personnel, secret professionnel, abus de confiance, accès ou maintient frauduleux à un SI, etc.).
12.1.2. SIGECO, en fonction de son rôle dans les traitements de données à caractère personnel, justifie et documente les choix de mesures techniques et organisationnelles réalisés en vue de répondre aux exigences de protection des données à caractère personnel.
13. MESURES COMPLÉMENTAIRES
13.1. Localisation des données
13.1.1. SIGECO documente et communique au Client la localisation du stockage et du traitement des données (serveur dédié OHV, back-up SYSFAB).
13.1.2. SIGECO stocke et traite les données du Client au sein de l’UE (Roubaix – RBX7, Paris).
13.1.3. Les opérations d’administration et de supervision du service sont réalisées depuis l’UE, en France.
13.2. Régionalisation
13.2.1. SIGECO s’assure que les interfaces du service accessibles au Client sont disponibles en Français.
13.2.2. SIGECO fournit un support de premier niveau en langue française.
13.3. Fin de contrat
13.3.1. À la fin du contrat liant SIGECO et le Client, que le contrat soit arrivé à son terme ou pour toute autre cause, SIGECO doit assurer un effacement sécurisé de l’intégralité des données du Client. Cet effacement peut être réalisé suivant l’une des méthodes suivantes et délais précisés dans la convention de service :
- effacement par réécriture complète de tout support ayant hébergé ces données
- effacement des clés utilisées pour le chiffrement des espaces de stockage du Client (cf. mesure 6.1.)
13.3.2. À la fin du contrat, SIGECO supprime les données techniques relatives au Client (annuaire, certificats, configuration des accès, etc.)
13.4. Protection des données personnel
13.4.1. SIGECO justifie du respect des principes de protection des données pour les traitements de données à caractère personnel mis en œuvre pour son propre compte (cf. RGPD)
13.4.2. SIGECO justifie, pour les traitements de données à caractère personnel mis en œuvre pour son propre compte, du respect des droits des personnes concernées (cf. RGPD).