Mission et objectifs de SATEC en matière de sécurité de l’information
Agissant au nom de la direction de SATEC, Teresa Taubmann Urquijo, directrice générale de SATEC, est très sensible à l’importance que revêt pour l’entreprise un traitement adéquat de l’information pour arriver à un niveau optimal de qualité, de sécurité, de disponibilité et de continuité dans les prestations de services à ses clients. L’activité de SATEC repose principalement sur la mise en place et le développement d’infrastructures et sur des services pour les systèmes d’information et les télécommunications.
Un incident de sécurité peut causer de réels dommages à SATEC comme une perte d’information, une indisponibilité du service ou des répercussions juridiques, ainsi que des dégâts considérables pour l’image de l’entreprise. La sécurité est une préoccupation fondamentale pour le bon fonctionnement de l’entreprise.
Objectifs de la politique de sécurité de l’information
En matière de sécurité de l’information, SATEC a pour objectifs :
- D’assurer la confidentialité de l’information traitée par SATEC.
- De protéger l’intégrité de l’information dans tous ses domaines d’application lors des prestations de services.
- D’assurer la disponibilité des systèmes d’information sur lesquels sont fondés les services fournis aux clients.
- De vérifier et d’assurer l’authenticité des émetteurs et des récepteurs de l’information.
- De garantir la traçabilité et le suivi des activités et de l’information lors des prestations de services.
- De gérer la sécurité de l’information durant tout le cycle de vie de la prestation.
- D’assurer la réalisation d’analyse des risques pour évaluer les risques existants et sélectionner les mesures de sécurité nécessaires en maintenant un bon rapport coût/bénéfice.
- D’appliquer des mesures de sécurité axées sur la prévention de possibles incidents, d’erreurs ou d’attaques délibérées.
- D’instaurer une gestion efficace des événements et des incidents de sécurité pour minimiser l’impact ou tout dommage collatéral, réagir à temps et en respectant les exigences contractuelles et juridiques, tout en assurant la disponibilité et la continuité de la prestation de service. Des procédures seront établies concernant la prévention, la détection, la réponse et la récupération adéquates pour faire face à tout incident de sécurité.
- De protéger l’information lors d’accès non autorisé, ainsi que de mettre en place les moyens techniques nécessaires pour assurer les lignes de défense exigibles.
- D’encourager la sensibilisation et la formation du personnel sur la sécurité de l’information.
- D’assurer une amélioration continue grâce aux révisions régulières réalisées pour la surveillance, l’audit et le suivi des plans d’amélioration.
Cadre législatif et réglementaire
- Loi 34/2002 du 11 juillet sur les services de la société de l’information et du commerce électronique (LSSI-CE). (BOE 166 du 12/07/2002).
- Loi organique 3/2018 du 5 décembre sur la protection des données personnelles et la garantie des droits numériques (BOE 294 du 06/12/2018).
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et de la libre circulation de ces données, RGPD.
- Décret royal 951/2015 du 23 octobre de modification du décret royal 3/2010 du 8 janvier, qui réglemente le Régime National de Sécurité dans le domaine de l’administration en ligne.
- Décret royal législatif 1/1996 du 12 avril relatif à l’adoption du texte révisé de la loi sur la propriété intellectuelle (LPI), la réglementation, la clarification et l’harmonisation des dispositions en vigueur en la matière. (BOE 97 du 22/04/1996).
- Décret royal 28/2003 du 7 mars relatif à l’adoption du règlement sur le registre central de la propriété intellectuelle (BOE 75 28/03/03). Applicable à tout enregistrement de propriété intellectuelle (d’après le décret royal législatif 1/1996 du 12 avril).
- Loi organique 10/1995 du 23 novembre du code pénal, modifiée le 19/10/2015. Article 31 bis et les suivants.
- Loi 23/2006 du 7 juillet modifiant le texte révisé de la loi sur la propriété intellectuelle, approuvée par le décret royal législatif 1/1996 du 12 avril (LPI). (BOE 162 du 08/07/2006). Loi qui modifie le décret royal législatif 1/1996 du 12 avril.
- Loi 25/2013 sur la mise en place de la facture électronique et la création du registre comptable pour les factures du secteur public et son développement. (BOE 311 du 28/12/2013). Applicable aux services fournis aux administrations publiques.
- Loi 17/2001 du 7 décembre sur les marques. (BOE 294 du 08/12/2001). Applicable à toute protection des signes distinctifs, marques et noms commerciaux de SATEC.
- Loi 24/2015 du 24 juillet sur les brevets. (BOE 177 du 25/07/2015). Applicable à la protection des propriétés industrielles.
Organisation de la sécurité
Coordination de la sécurité de l’information :
Responsable de l’information
Le responsable de l’information est le responsable, dans son champ d’application, de :
- Déterminer les besoins et normes de sécurité de l’information traitée.
- Surveiller l’utilisation adéquate de l’information et sa protection.
Ce dernier ne pourra pas déléguer l’approbation des niveaux de sécurité de l’information.
Ils seront déterminés par la direction générale en fonction de la nature de l’information.
Chef de service
Le chef de service est le responsable, dans son champ d’application, de :
- Déterminer les exigences de sécurité du service fourni.
- Inclure les spécificités de sécurité dans le cycle de vie des services et des systèmes, avec les mécanismes de contrôle correspondants.
- S’assurer que s’appliquent les procédures et les politiques définies.
Ce dernier ne pourra pas déléguer l’approbation des niveaux de sécurité du service.
Ils seront déterminés par la direction de production en fonction de la nature des services.
Responsable du système de gestion de la sécurité
SATEC compte parmi ses employés un responsable du système de gestion de la sécurité (responsable du SGSI) qui est en charge de surveiller et de coordonner tout ce qui se rapporte à la sécurité, de veiller au respect et à la conformité des mesures de sécurité existantes, en plus de proposer et d’effectuer des améliorations pour s’aligner sur la politique de sécurité, les règles et les procédures existantes, en s’appuyant sur les améliorations, les politiques, les règles et les procédures qui sont établies dans le système de gestion général.
Ce dernier peut compter sur :
- Un responsable technique de sécurité dans chaque délégation, qui identifiera, analysera et résoudra toute question technique en lien avec la sécurité.
- Un responsable de la sécurité physique dépendant des services généraux.
- Les chefs de service.
- Les responsables de l’information.
- Les responsables de système.
- Un comité de gestion de la sécurité qui disposera d’une autorité suffisante pour prendre des décisions au niveau organisationnel, décisions qui permettront de garantir la sécurité. Ce comité sera intégré dans le comité du SGSIT. Le comité est composé de façon non-exclusive au moins des membres suivants :
- Le responsable de sécurité.
- Le responsable technique de sécurité.
- Le chef de service (qui en plus représente les responsables de l’information).
Les principales fonctions du responsable de sécurité consistent en :
- Recommander des actions d’amélioration, de prévention et/ou de correction pour résoudre les problèmes détectés et informer le responsable du SG quant à sa gestion.
- Assurer la mise en place des actions définies concernant les améliorations, les objectifs, les actions préventives et correctives, les vulnérabilités détectées et surveiller la bonne exécution des actions.
- Déterminer la gestion des incidents de sécurité.
- Etablir et maintenir des contacts avec les ressources ou des sources externes pour la sécurité.
- Evaluer les changements des actifs et des structures de base, en analysant leurs impacts sur la sécurité avec l’aide du responsable technique de sécurité.
- Créer la structure documentaire du SGSI du département des services de SATEC.
- S’assurer de la mise en place du SGSI dans SATEC et de sa maintenance dans le temps, en collaboration avec le responsable du SG.
- Disposer d’informations concernant l’avancée de la mise en place du SGSI dans le département des services de SATEC et proposer des solutions d’amélioration à partir de :
- Non-conformités.
- Actions correctives.
- Résultats de l’analyse des risques.
- Audits internes.
- Incidents de sécurité.
- Enregistrer les besoins d’amélioration du SGSI, assigner un responsable de solution et effectuer le suivi.
- Clore les actions correctives et préventives du SGSI, en coordination avec le responsable du SG.
- Enregistrer l’avancée des actions correctives et préventives du SGSI.
- Vérifier et contrôler l’analyse des risques et sa gestion.
- Assurer la gestion correcte des ressources, en coordination avec la direction, en ce qui concerne le SGSI du département des services de SATEC.
- Assurer la sécurité de l’infrastructure nécessaire pour le fonctionnement des services IT du département des services de SATEC et les accès physiques.
- Disposer d’informations sur la gestion des communications et des opérations des équipes et des systèmes nécessaires pour le fonctionnement des services IT du département des services de SATEC.
- Être informé sur tout ce qui concerne la gestion des accès aux systèmes du département des services de SATEC.
- Disposer d’informations et participer à l’achat, au développement et à la maintenance des systèmes du département des services de SATEC.
- Déterminer les mécanismes appropriés pour la gestion des incidents de sécurité dans le département des services de SATEC.
- Définir les procédures et les plans pour assurer la continuité commerciale du département des services de SATEC.
- Assurer la conformité technique et légale du SGSI du département des services de SATEC.
- Convoquer les réunions du comité opérationnel de sécurité chaque fois que leur analyse et leurs connaissances sont requises pour toute tâche en lien avec la sécurité.
Responsable de système
Le responsable de système est le responsable de l’opération du système d’information, en tenant compte des mesures de sécurité déterminées par le responsable de sécurité et le responsable technique de sécurité.
Les principales fonctions du responsable de système consistent en :
- Développer, exploiter et maintenir le système d’information durant tout son cycle de vie ; de la définition des spécifications à la mise en place et la vérification de son bon fonctionnement.
- Définir la topologie et la gestion du système ; pour cela, il définira les critères d’utilisation et les services du système d’information.
- S’assurer, avec le responsable de sécurité et le responsable technique de sécurité, que les mesures de sécurité sont bien conformes au cadre de sécurité de l’entreprise.
Comité de gestion de la sécurité
Ses principales fonctions sont :
- Faire des rapports au comité de gestion, à la direction et au comité de direction si besoin est.
- Elaborer la politique de sécurité de SATEC et les normes de sécurité.
- Elaborer les procédures de sécurité.
- Informer la direction sur la gestion de la sécurité de l’information.
- Etablir les critères d’acceptation des risques et obtenir l’accord préalable pour les stratégies d’atténuation des risques qui devront être approuvées en dernier lieu par la direction des services.
- Coordonner l’analyse des risques, les plans d’urgence et de recouvrement de service.
- Développer des objectifs et des stratégies de sécurité à moyen et à long terme.
- Elaborer annuellement un plan de gestion de la sécurité en mentionnant les ressources correspondantes pour le soumettre à l’approbation de la direction.
- Suivi des accords de la dernière réunion de revue de la direction du SGSI du département des services de SATEC.
- Analyse des audits internes réalisés.
- Analyse de l’avancée des actions préventives et des actions correctives, en vérifiant que ces dernières sont réalisées dans un laps de temps approprié.
- Analyse de l’évolution et de la réalisation des objectifs de sécurité.
- Assurer la communication avec tout le personnel sur l’importance de connaître les objectifs de sécurité en conformité avec les normes de sécurité et leurs responsabilités.
- Analyse de la conformité avec les règles et les procédures de sécurité du SGSI et de leur validité. D’éventuelles modifications sont étudiées ; sinon, les objectifs souhaités se poursuivent.
- Revoir les conclusions de la correction du SGSI et les actions correctives et/ou préventives qui seraient nécessaires pour répondre aux besoins rencontrés, en désignant les responsables de leur mise en œuvre et les délais à respecter.
Procédure de répartition des responsabilités
La direction des services sera responsable de répartir les responsabilités en matière de sécurité pour le département des services et d’établir la liste des personnes propriétaires de l’information, ainsi que des personnes autorisées à mobiliser les ressources et à accorder les permis.
Formation et sensibilisation
La direction de SATEC s’engage à faciliter l’accès aux ressources nécessaires à une formation et une sensibilisation adéquates en matière de sécurité pour tous les employés de SATEC, en fonction des rôles et responsabilités de chacun en lien avec ce sujet.
De même, des mises à jour des connaissances nécessaires seront assurées pour les responsables de sécurité, de l’information et des systèmes d’information.
Gestion des risques
Tous les systèmes d’information et tous les éléments nécessaires aux prestations de services soumis à cette politique devront faire l’objet d’une analyse des risques, en évaluant les menaces et risques auxquels ils sont exposés.
Concernant sa fréquence, cette analyse des risques sera réalisée :
- Au moins une fois par an.
- Lorsque l’information traitée change.
- Lorsque les services ou le système de sécurité de l’information évoluent.
- Lorsque survient un incident de sécurité grave.
- Lorsque des vulnérabilités graves sont signalées.
En ce qui concerne la traçabilité des analyses des risques, le comité de sécurité établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis. La direction des services veillera à la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en fonction du rapport coût/bénéfice.
Données à caractère personnel
La direction de SATEC est consciente de l’importance d’avoir un traitement approprié de l’information pour arriver à proposer aujourd’hui un service client optimal. Il existe notamment des données nécessaires au développement des activités de SATEC qui relèvent de la définition juridique des données à caractère personnel, au sujet desquelles une attention particulière doit être apportée pour leur collecte, leur traitement, leur mise à jour et leur destruction.
Le registre des activités de traitement auquel seules les personnes autorisées auront accès comprend les fichiers concernés et les responsables correspondants. Tous les systèmes d’information de SATEC seront ajustés aux niveaux de sécurité en fonction de la classification de l’information et des exigences réglementaires sur la nature et la finalité des données personnelles collectées dans le registre de traitement des données personnelles susmentionné.
Tiers
Dans le cas où SATEC fournit des services à d’autres entreprises ou traite des données et des informations provenant d’autres organisations, celles-ci seront communiquées et inclues dans cette politique de sécurité, en établissant les canaux de communication nécessaires, ainsi que la définition des plans d’action face à des pertes accidentelles de service ou des incidents de sécurité.
De même, dans le cas où SATEC a besoin des services de tiers ou transmet des informations, les exigences applicables et envisagées dans cette politique et dans les procédures et politiques qui la constituent leur seront communiquées, les tiers étant soumis aux obligations établies dans le présent règlement. Dans tous les cas, la connaissance et la sensibilisation des employés pouvant être impliqués dans la prestation de services doivent être assurées.
Obligations du personnel
La direction de SATEC énonce expressément sa connaissance et son approbation de la politique, ainsi que tout ce qui s’y rapporte, afin que les employés la connaissent et la prennent en compte dans le cadre de leurs fonctions.
Elaboration et revue de la politique
Cette politique figure dans le manuel des politiques du SGSI, ainsi que dans les différentes procédures de sécurité établies par SATEC.
La conformité de cette politique sera réexaminée au moins une fois par an lors de la revue de la direction
