top of page

Politique de sécurité de l'information

1-PRÉAMBULE

Afin de mener à bien ses activités, Agence de facturation MB (ci-après « AFMB ») génère, stocke, traite et communique des informations sous de nombreuses formes. Elle reconnaît que ces actifs informationnels, essentiels à son activité, doivent être évalués, utilisés de manière appropriée et protégés adéquatement tout au long de leur cycle de vie. À cette fin, il est nécessaire de mettre en œuvre un ensemble cohérent de mesures de sécurité déterminées par une approche de gestion des risques de sécurité basée sur les meilleures pratiques, dans le respect des exigences législatives et réglementaires.

Les actifs informationnels couverts par la présente politique de sécurité des actifs informationnels comprennent non seulement les informations, mais aussi les équipements et les supports (papier ou numériques). Ils comprennent les données, les documents, les liens de communication internes, les sites d'hébergement, les technologies informatiques (IT) et les appareils mobiles et autres équipements portables.

La politique représente un objectif à atteindre par AFMB dans les 3 ans suivant son adoption.

2-INTRODUCTION

2.1-Définitions

Les définitions des différents termes utilisés dans cette politique et dans d'autres documents associés sont disponibles dans le glossaire de la sécurité de l'information.

2.2-Objectifs

Le présent document constitue la politique de sécurité des actifs informationnels de AFMB (ci-après la "politique") qui établit les pratiques à adopter pour se conformer à diverses obligations légales et administratives et pour protéger tous les actifs informationnels et prévenir les incidents de sécurité potentiels, notamment la fraude, les fuites d'informations, les attaques informatiques, les erreurs accidentelles, les actions délibérées et les atteintes à la vie privée. De cette manière, AFMB protège ses actifs et atténue les risques liés à la confidentialité, à l'intégrité et à la disponibilité des informations.

2.3-Portée

Cette politique s'applique à tout actif informationnel détenu par AFMB y compris les informations recueillies dans le cadre d'activités contractuelles, réglementaires et légales.

Sans limiter ce qui précède, aux fins de la présente politique, seront considérés comme des parties prenantes de AFMB, son personnel, ses administrateurs, ses sous-traitants, ses fournisseurs et ses partenaires.

2.4-Engagement

La présente Politique s'inscrit dans un contexte de prévention et de sensibilisation à la sécurité de l'information. Pour ce faire, la collaboration de tous les intervenants est primordiale. Agence de facturation MB s'engage à prendre tous les moyens nécessaires pour soutenir les actions qui doivent être prises dans la mise en œuvre de la Politique, ainsi que dans la mise en œuvre des encadrements associés.

2.5-Propriétaire de la politique et du cadre de sécurité de soutien

La présente politique et les différents encadrements de sécurité associés relèvent du responsable de la sécurité de l’information. Le responsable de la sécurité de l’information doit en assurer la maintenance, la révision et la communication.

2.6-Suivi et contrôle des activités de sécurité de l'information

Afin de surveiller son exposition aux risques, AFMB doit disposer d'une infrastructure et de processus de surveillance. Elle doit permettre de contrôler en permanence l'efficacité de ses méthodes, processus et mécanismes de protection et de les améliorer en fonction de l'évolution des risques auxquels AFMB est confrontée.

AFMB se réserve le droit, sans préavis, de surveiller tout actif informationnel et toute information détenue, traitée et exécutée sur ses systèmes et appareils mobiles. Ce privilège doit toujours être exercé dans le respect des lois et lorsque des motifs raisonnables le recommandent.

2.7-Conséquences

Le non-respect de la présente politique ou des encadrements de sécurité associés peut amener AFMB à retirer les droits d'accès, fin d’emploi ou de contrat, à un employé ainsi qu'à appliquer des mesures disciplinaires ou juridiques. Toute partie prenante qui a connaissance de la non-conformité ou de l'omission de cette politique doit en informer son responsable ou le responsable de la sécurité de l’information.

2.8-Respect de la politique

Les encadrements doivent être appliqués à l'appui des besoins d’affaires de AFMB et ne doivent en aucun cas devenir une contrainte sans valeur ajoutée ou qui empêche AFMB d'offrir ses services à ses clients.

Compte tenu de ce qui précède, il est possible que, dans le cours normal des opérations, des situations spécifiques rendent impossible le respect de certaines exigences en matière de sécurité de l'information. Dans un tel contexte, une procédure claire de gestion des non-conformités aux exigences de sécurité est nécessaire pour s'assurer qu'elles sont correctement analysées, approuvées et suivies.

3-PRINCIPES GÉNÉRAUX

3.1-Organisation interne

Afin d'assurer une gestion efficace de la sécurité de l'information au sein de AFMB, il est important de définir la structure soutenant la planification, le développement, la mise en œuvre et le contrôle des mesures de sécurité. Le comité de direction est chargé de veiller à ce que cette structure organisationnelle soit définie et mise en œuvre.

3.2-Évaluation et gestion des risques liés aux actifs informationnels

Outre la gestion des risques de l'entreprise, les mesures de sécurité mises en place sont fondées sur l'évaluation, l'analyse périodique et le traitement par AFMB des risques liés à la confidentialité, à l'intégrité et à la disponibilité des informations.

Une évaluation des risques doit être réalisée avant de procéder à l'acquisition de nouveaux systèmes ou d'effectuer un changement susceptible d'avoir un impact sur la sécurité des actifs informationnels de AFMB. Dans tous les cas, cette évaluation doit être documentée en suivant un processus défini.

3.3-Sécurité des ressources humaines

AFMB doit établir des processus de sécurité des ressources humaines dans le but de réduire le risque d'erreur humaine, de vol, de fraude ou d'utilisation abusive des actifs informationnels de AFMB avant l'embauche, pendant la période d'emploi et après le départ de l'employé.

3.4-Gestion des actifs informationnels

Afin de mettre en place et de maintenir une protection appropriée, chaque actif informationnel doit être inventorié et attribué à un propriétaire qui connaît sa valeur et son importance pour AFMB. Le propriétaire établira sa classification en fonction de sa valeur et de son importance pour AFMB afin d'établir un niveau de protection approprié.

3.5Contrôle d'accès aux actifs informationnels

3.5.1-"Principe du « besoin de savoir »

Les informations ne doivent être divulguées qu'aux personnes qui ont besoin de ces informations dans le cadre de leurs fonctions et conformément aux obligations législatives et réglementaires.

3.5.2-Gestion de l'accès

La gestion des accès doit être effectuée selon des processus et des procédures formels, convenus et communiqués aux personnes concernées.

Lorsqu'un utilisateur change de poste (notamment en cas de licenciement, de mutation, de promotion ou de congé de longue durée), son responsable doit revoir son accès.

Les propriétaires, en collaboration avec le responsable de la sécurité de l’information, doivent veiller à ce qu'un examen périodique des comptes d'utilisateurs soit effectué.

3.5.3-Contrôles d'accès

Tout actif informationnel qui conserve des informations non classées comme publiques doit disposer d'un mécanisme d'authentification actif pour garantir que ces informations ne sont pas indûment divulguées, modifiées, supprimées ou rendues indisponibles.

Les utilisateurs doivent disposer d'un identifiant unique et ne doivent en aucun cas le partager.

3.6-Sécurité physique et environnementale

Tous les actifs informationnels doivent être protégés par des mesures de sécurité physique en fonction de leur niveau de sécurité, des risques associés ainsi que de leur valeur pour AFMB.

L'accès aux bureaux et aux salles informatiques contenant des informations non classées comme publiques doit être physiquement limité par un mécanisme de sécurité approprié.

3.7-Gestion des opérations informatiques et télécommunications

À moins qu'elles n'aient été désignées comme "publiques", toutes les informations doivent être protégées contre toute divulgation non autorisée à des tiers. Les tiers peuvent avoir accès aux informations non classées comme publiques uniquement si un besoin a été démontré et si cette divulgation a été autorisée par le propriétaire ou par la loi.

3.8-Acquisition, développement et mise à jour des systèmes

Les exigences de sécurité à respecter lors de l'acquisition, du développement, de la mise en œuvre et de la maintenance d'un actif informationnel doivent être déterminées. Les exigences de sécurité doivent tenir compte des évolutions technologiques et des nouveaux défis en matière de sécurité.

3.9-Gestion des incidents

AFMB doit établir et définir les responsabilités et les procédures à mettre en œuvre en cas d'incident de sécurité afin de garantir une réponse efficace et pertinente tout en assurant la mise en place d'une équipe capable de traiter les incidents.

3.10-Reprise après sinistre

AFMB doit mettre en œuvre un plan de reprise des technologies de l'information (ci-après, "plan de reprise après sinistre") visant à réduire l'impact de l'indisponibilité d'un actif informationnel et à assurer ainsi une reprise des opérations dans les meilleurs délais. Les mesures de récupération doivent être vérifiées périodiquement afin de s'assurer de leur efficacité et de leur pertinence.

3.11-Formation et sensibilisation

AFMB doit informer les employés des menaces et des conséquences d'une violation de la sécurité afin que chacun puisse reconnaître les situations à risque et agir en conséquence.

AFMB doit également fournir une formation spécialisée dans les domaines liés à la sécurité de l'information afin de maintenir un niveau de risque acceptable au sein de AFMB.

Un programme de formation et de sensibilisation à la sécurité de l'information adapté aux différents rôles des employés doit être défini.

Il incombe à AFMB de fournir à toute personne devant accéder aux actifs informationnels les directives nécessaires pour comprendre ses responsabilités en matière de sécurité de l'information.

Tous les documents pertinents doivent être communiqués aux employés, y compris la présente politique et les encadrements associés.

4-ROLES ET RESPONSABILITÉS

4.1-Comité de direction

Le Comité de direction de AFMB est chargé de veiller à ce que des encadrements de sécurité adéquats soient élaborés et maintenus au sein de AFMB. Le comité est chargé d'approuver cette politique et de prendre tous les moyens nécessaires pour la mettre en œuvre ainsi que les autres documents associés.

4.2-Responsable de la sécurité de l’information

Le responsable de la sécurité de l’information est le principal représentant de AFMB pour toutes les questions relatives à la sécurité des actifs informationnels.

Sans limiter la généralité de ce qui précède, le responsable de la sécurité de l’information doit, entre autres choses :

  • Rendre compte chaque année au comité de direction de la conformité à la politique et soumettre un rapport de conformité.

  • Tenir la Politique à jour en fonction des besoins, des obligations et des préoccupations de AFMB.

  • Veiller à l'implication des différentes parties prenantes dans l'élaboration de cette Politique et des autres encadrements associés.

  • Définir les critères de sécurité pour les technologies utilisées au sein de AFMB.

  • Fournir des conseils en matière de sécurité de l’information.

  • Réaliser des évaluations des risques et des vulnérabilités dans tous les projets impliquant un actif informationnel permettant de définir les besoins de sécurité pour assurer la protection des actifs informationnels.

  • Sensibilisez tous les utilisateurs à la sécurité des informations.

  • Assurer une gestion efficace des incidents de sécurité et la maintenance du plan de reprise après sinistre (DRP) basé sur le plan de continuité des activités (BCP).

4.3-Propriétaire de l'actif informationnel

Le propriétaire des actifs informationnels est le responsable d'un secteur d'activité de AFMB. Il est responsable, d'un point de vue métier, des actifs informationnels qui sont nécessaires à la conduite des activités de son département tels que :

  • Déterminer la valeur de ses actifs informationnels pour sa gestion et assurer leur classification conformément à celle-ci.

  • Identifier et assurer la mise en œuvre de mesures et de contrôles de sécurité pour garantir la protection des actifs informationnels en fonction du niveau de sécurité attribué et des évaluations des risques.

  • Assurer le maintien des mesures de sécurité pour tous ses actifs tout au long de leur cycle de vie (création, entretien, conservation, destruction, etc.).

  • Approuver l'attribution des droits d'accès aux actifs informationnels sous sa responsabilité en fonction des besoins requis.

  • S'assurer qu'un plan de reprise après sinistre, spécifique à ses actifs informationnels, est en place et est testé régulièrement.

 

4.4-Utilisateur d'un actif informationnel

L'utilisateur d'un actif informationnel (ci-après : "utilisateur") est une personne à qui un propriétaire a accordé l'accès à un ou plusieurs actifs informationnels de AFMB. Un utilisateur peut être un employé permanent ou temporaire, un administrateur, un pigiste, un consultant ou un tiers.

Lorsque la valeur de l'actif informationnel le justifie, des arrangements spéciaux avec un tiers (tels que des accords de confidentialité) doivent avoir été conclus avant l'attribution ou la cession du contrat.

Son rôle consiste, entre autres, à effectuer les tâches suivantes :

  • N'utiliser les actifs informationnels qu'à des fins expressément approuvées par le propriétaire.

  • Respectez toutes les mesures de sécurité en place.

  • S'abstenir de divulguer les informations en leur possession (sauf si elles ont été désignées comme publiques) sans l'autorisation préalable du propriétaire.

  • Informer le responsable de la sécurité de l’information de toutes les situations où il pense que la sécurité d'un actif informationnel est vulnérable ou a été compromise.

  • Se conformer à la présente politique et à tout autre document qui s'y réfère ou la soutient.

 

5-RÉVISION ET APPROBATION

La présente Politique entre en vigueur dès son adoption par le Comité de direction et peut être révisée à tout moment par le Responsable de la protection des renseignements personnels.

Des modifications peuvent être proposées par diverses parties prenantes de AFMB, qui doivent être soumises par écrit au Responsable de la sécurité de l’information.

La présente Politique devrait être révisée au moins tous les deux ans pour garantir sa pertinence compte tenu de la mission de AFMB, des activités de ses utilisateurs et lors de tout changement substantiel apporté à la législation ou aux exigences réglementaires.

6-DATE D’ENTRÉE EN VIGUEUR

La présente Politique entre en vigueur le 1er juillet 2023. Elle annule et remplace tous les encadrements à ce sujet précédemment en vigueur.

bottom of page