POLITIQUE DE CYBERSÉCURITÉ

Notre politique de sécurité informatique décrit nos lignes directrices et nos dispositions pour préserver la sécurité de nos données et de notre infrastructure technologique.

Les erreurs humaines, les attaques de pirates informatiques et les dysfonctionnements du système peuvent causer des dommages considérables à l’entreprise. C’est pourquoi nous avons mis en place une politique d’entreprise visant à minimiser ces risques. Cela a été réalisé lors de l’adaptation au règlement GDPR, et a été encore amélioré lors de l’adaptation à la nouvelle directive européenne NIS-2. Tout est documenté et partagé avec les employés et les entreprises ou organisations externes, le cas échéant. En outre, la politique GDPR et la politique de cybersécurité ont été publiées sur notre site web.

L’objectif est de rendre l’infrastructure numérique du terminal stable et sûre, tout en minimisant les surfaces d’attaque. Pour ce faire, nous avons mis en place de nombreux services de sécurité fournis par un fournisseur internationalement reconnu, qui nous permet d’analyser en profondeur et en temps réel l’ensemble du trafic réseau. En interne, nous avons mis à jour presque tous les matériels et logiciels, et optimisé la configuration du réseau pour minimiser les effets d’une attaque. Même dans ce dernier cas, une stratégie de sauvegarde a été adoptée pour permettre une récupération totale dans toutes les situations possibles. En outre, nous avons défini des instructions opérationnelles à l’intention des employés afin de réduire les risques, et l’ensemble du personnel a suivi des cours sur la cybersécurité.

Cette politique s’applique à tous nos employés, fournisseurs et à toute personne ayant un accès permanent ou temporaire à nos systèmes matériels et logiciels.

Pour tous ceux qui, dans le cadre de leurs activités, ont besoin d’accéder à notre infrastructure, un acte de nomination en tant que responsable du traitement des données à caractère personnel a été défini et accepté.

Les principaux critères sont définis dans la documentation susmentionnée :

  • Le traitement des données à caractère personnel
  • Le traitement des données des entreprises
  • L’utilisation des appareils attribués, tels que les ordinateurs de bureau, les ordinateurs portables et les smartphones.
  • L’utilisation du réseau de l’entreprise
  • La gestion des identifiants d’accès aux différents environnements
  • Gestion des courriels
  • Gestion des situations liées à des logiciels malveillants ou à des tentatives de fraude

Il précise également les outils et les configurations adoptés pour la sécurité, tant au niveau du réseau que de la sauvegarde. En particulier, l’analyse des risques a fait apparaître un risque moyen-faible que nous considérons comme acceptable par rapport à notre réalité. Néanmoins, nous avons planifié les interventions nécessaires dans les années à venir pour atténuer les aspects critiques qui sont apparus, dans le but de parvenir à un risque faible. Nous prévoyons également une formation plus spécifique sur notre réalité pour tous les employés.