Politique de sécurité
Version: v8
Approbateur: CEO
Date d’approbation: 04/10/2023
1. Approbation et entrée en vigueur
Texte approuvé le par la Direction.
Cette Politique de Sécurité de l’Information est effective à partir de cette date et jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.
2. Introduction
Ce document définit la politique de sécurité de l’information des entités Ivnosys Soluciones S.L. (Unipersonal) et Signaturit Solutions S.L. (Unipersonal), qui appartiennent au «Groupe Signaturit» et qui considèrent cette politique de sécurité de l’information comme l’ensemble des principes de base et des lignes d’action que les deux organisations s’engagent à respecter, dans le cadre de la norme ISO 27001 et du système national de sécurité (ENS). Dans la suite de ce document, les deux entités seront désignées par le terme «l’organisation”. L’organisation dépend des systèmes TIC (Technologies de l’Information et de la Communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées afin de les protéger des dommages accidentels ou délibérés qui puissent affecter la disponibilité, l’intégrité ou la confidentialité de l’information traitée ou des services fournis.
L’information est un actif critique, essentiel et de grande valeur pour le développement de l’activité de l’organisation. Cet actif doit être correctement protégé, indépendamment des formats, supports, moyens de transmission, systèmes ou des personnes qui interviennent pour sa connaissance, manipulation ou traitement.
L’objectif de la sécurité de l’information est de garantir la qualité de l’information et la prestation continue des services en agissant préventivement, en supervisant l’activité quotidienne et en réagissant rapidement lors d’incidents, afin de garantir la qualité de l’information et la continuité de l’activité, minimiser le risque et permettre de maximiser le retour des investissements et les opportunités commerciales.
Les systèmes TIC doivent être protégés contre les menaces de rapide évolution pouvant potentiellement avoir une incidence sur la confidentialité, l’intégrité, la disponibilité, l’usage prévu et la valeur de l’information et des services. Pour se défendre contre ces menaces, il est nécessaire d’implanter une stratégie qui s’adapte aux changements des conditions du milieu afin de garantir la prestation continue des services. Cela implique que les départements doivent appliquer les mesures minimales de sécurité exigées par le Schéma National de Sécurité et par la norme ISO/IEC 27001 sur les Système de Sécurité de l’Information, ainsi que réaliser un suivi continu des niveaux de prestation des services, suivre et analyser les vulnérabilités reportées et préparer une réponse efficace contre les incidents afin de garantir la continuité des services fournis. Cette Politique de Sécurité de l’Information est effective à partir de cette date et jusqu’à ce qu’elle soit remplacée par une nouvelle Politique.
Les différents départements doivent veiller à ce que la sécurité TIC soit une partie intégrante de chaque étape du cycle de vie du système, depuis sa conception jusqu’à sa mise hors service, en passant par les décisions de développement ou d’acquisition, et les activités d’exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans la demande d’offres aux fournisseurs et dans les mémoires techniques pour les projets de TIC.
Les départements doivent être préparés pour prévenir, détecter, réagir et se remettre des incidents, conformément à l’art. 7 du SNS et au système de Continuité d’activité de la norme ISO 22301.
Cet article fournit les éléments suivants:
Article 7. Prévention, réaction et récupération.
- La sécurité du système doit prendre en considération les aspects de prévention, détection et correction, pour que les menaces sur celui-ci ne se matérialisent pas et n’affectent pas gravement l’information qu’il gère, ou les services fournis.
- Les mesures de prévention doivent éliminer, ou au moins réduire, la possibilité de matérialisation des menaces préjudiciables pour le système. Ces mesures de prévention prévoiront, entre autres, la dissuasion et la réduction de l’exposition.
- Les mesures de détection seront accompagnées de mesures de réaction, de sorte à ce que les incidents de sécurité soient enrayés à temps.
- Les mesures de récupération permettront la restauration de l’information et des services, de sorte à ce que celle-ci puisse être réalisée lors de situations dans lesquelles un incident de sécurité inactive les moyens habituels.
- Tout en sauvegardant les autres principes de base et les exigences minimales définies, le système garantira la conservation des données et des informations sur support électronique.
De même, le système maintiendra disponibles les services durant tout le cycle vital de l’information numérique, au travers d’une conception et de procédures de base pour la préservation du patrimoine numérique.
La Direction de l’organisation, consciente de la valeur de l’information, est profondément engagée avec la politique décrite dans ce document.
2.1 Prévention
Les départements doivent éviter, ou au moins prévenir dans la mesure du possible, que l’information ou les services ne soient touchés par des incidents de sécurité. Pour cela, les départements doivent implanter les mesures minimales de sécurité déterminées par le SNS, ainsi que tout contrôle supplémentaire identifié au travers d’une évaluation des menaces et des risques. De plus, et avec la nette intention d’améliorer cette prévention, les départements devront également implanter toutes les conditions nécessaires pour appliquer la norme ISO 27001. Ces contrôles, et les rôles et responsabilités de sécurité de tout le personnel, doivent être clairement définis et documentés.
Pour garantir le respect de la politique, les départements doivent:
- Autoriser les systèmes avant la mise en service.
- Demander l’examen périodique de la part des tiers afin d’obtenir une évaluation indépendante.
- Évaluer régulièrement la sécurité, y compris évaluer les changements de configuration réalisés systématiquement.
2.2 Détection
Étant donné que les services peuvent rapidement se dégrader suite à un incidents, d’un simple ralentissement jusqu’à leur arrêt, les services doivent surveiller l’opération en continu pour détecter des anomalies dans les niveaux de prestation des services et agir en conséquence conformément à l’art. 9. Réévaluation périodique, du SNS, qui indique ce qui suit : « Les mesures de sécurité seront réévaluées et actualisées régulièrement, pour adapter leur efficacité à la constante évolution des risques et des systèmes de protection, jusqu’à revoir l’approche de la sécurité si nécessaire ».
La surveillance est particulièrement importante lorsque sont définies des lignes de défense conformes à l’article 8 du SNS. Seront mis en place des mécanismes de détection, d’analyse et de rapport qui parviendront régulièrement aux responsables et lorsque se produira une déviation significative des paramètres préalablement définis comme normaux.
L’article 8 prévoit:
Article 8. Lignes de défense:
- Le système doit disposer d’une stratégie de protection constituée par de multiples couches de sécurité, disposée de sorte à permettre, lorsqu’une couche échoue, de :
a) Gagner du temps pour une réaction appropriée face aux incidents qui n’ont pu être évités.
b) Réduire la probabilité que le système soit affecté dans son ensemble.
c) Minimiser l’impact final sur celui-ci. - Les lignes de défense doivent être constituées de mesures de nature organisationnelle, physique et logique.
2.3 Réponse
Les départements doivent:
- Définir des mécanismes pour répondre efficacement aux incidents de sécurité.
- Désigner un point de contact pour les communications par rapport aux incidents détectés dans d’autres départements ou d’autres organismes.
- Établir des protocoles pour l’échange d’informations relatives à l’incident.
Pour tout type de communication, internes et/ou externes, il faudra suivre ce qu’indique le Plan de communication, publié sur le Système de Gestion d’Ivnosys, élaboré par l’organisation.
2.4 Récupération
Afin de garantir la disponibilité des services critiques, l’organisation s’est dotée d’un Plan général de continuité d’activité (PCA), publié sur le Système de Gestion, évaluant les éventuels scénarios de désastre possibles et leur stratégie de récupération, et définissant des plans d’urgence régulièrement réexaminés.
3. Portée
Cette Politique de Sécurité s’applique aux systèmes d’information supportant les processus d’installation et d’opération des services de confiance en modalité cloud suivants:
- Système pour la gestion de la réception des notifications électroniques de manière automatique, en se connectant avec les sièges électroniques des différents organismes. Il s’agit d’une application de bureau avec un service cloud centralisé qui donne un support aux applications (base de données, systèmes de fichiers, …)
- Plateforme de communications électroniques entre les organisations avec justificatifs électroniques des différentes transactions. Il s’agit d’un système web commercialisé en mode SaaS.
- Système d’interopérabilité entre administrations publiques. Une administration peut, avec un consentement préalable, consulter les données des citoyens et des organisations au pouvoir d’autres administrations, pour réaliser des démarches, évitant ainsi aux intéressés de se déplacer pour les obtenir dans une autre administration.
- Système pour la gestion centralisée sur un serveur HSM de clés cryptographiques (certificats numériques) et une API de services web pour les communications et les justificatifs électroniques, et émission et gestion des time stamps.
- Gestion du cycle de vie des certificats numériques (émission, validation, maintenance et révocation).
- Authentification et vérification de l’identité à l’aide de données biométriques.
La Politique de Sécurité de l’Information est approuvée par la Direction de l’organisation. Son contenu et celui des normes et des procédures qui la développent, doivent obligatoirement être respectés:
- Tous les utilisateurs ayant accès à l’information traitée, gérée ou propriété de l’organisation sont dans l’obligation et dans le devoir de la garder et de la protéger.
- La Politique et les Normes de Sécurité de l’Information s’adapteront à l’évolution des systèmes et de la technologie et aux changements organisationnels, et s’aligneront avec la norme ISO/IEC 27001 et le Schéma National de Sécurité.
- Les mesures de sécurité et les contrôles définis seront proportionnels à la criticité de l’information à protéger et à son classement.
- Seront définies les actions disciplinaires nécessaires contre les personnes qui enfreignent gravement le contenu de la Politique de Sécurité de l’Information ou les normes et procédures complémentaires.
4. Objectif
Comme nous l’avons dit, l’objectif de cette Politique de Sécurité de l’Information est de protéger les actifs d’information de Signaturit, en garantissant pour cela la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité de l’Information et des installations, systèmes et ressources qui les traitent, gèrent, transmettent et stockent, toujours conformément aux exigences de l’activité et à la législation en vigueur.
5. Mission et objectifs
L’information doit être protégée durant tout son cycle de vie, depuis sa création jusqu’à son éventuel effacement ou destruction. C’est pourquoi, sont définis les principes minimums suivants:
- Les systèmes d’information devront uniquement être accessibles aux personnes utilisatrices, organes et entités ou processus expressément autorisés à cela.
- Un engagement d’amélioration continue du SGSI sera établi.
- Un niveau de disponibilité sera garanti dans les systèmes d’information et ceux-ci seront dotés de plans et des mesures nécessaires pour garantir la continuité des services et la récupération face à d’éventuelles contingences graves.
- Un processus continu d’analyse et de traitement des risques sera articulé comme mécanisme sur lequel doit reposer la gestion de la sécurité des systèmes d’information.
- Seront développées des lignes de travail tournées vers la prévention d’incidents liés à la sécurité TIC.
- Les services seront surveillés en continu pour détecter des anomalies dans leurs niveaux de prestation et agir en conséquence.
- Sera analysé le degré de respect des améliorations de sécurité, programmées annuellement, et le degré d’efficacité des contrôles de sécurité TIC implantés, afin de proposer de manière proactive de nouvelles actions d’amélioration.
- Tout le personnel de l’organisation sera sensibilisé sur ses devoirs et ses obligations concernant le traitement sécurisé de l’information et toutes les personnes qui gèrent et dirigent les systèmes d’information et de télécommunications seront formées à la sécurité spécifique TIC.
6. Cadre législatif
- Loi 39/2015, du 1er octobre sur la Procedure Administrative Commune des Administrations Publiques.
- Règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016, concernant la protection des personnes physiques quant au traitement des données personnelles et à la libre circulation de ces données, abrogeant la directive 95/46/CE (Règlement général de protection de données).
- Loi Organique 3/2018, du 5 décembre sur la Protection des Données Personnelles et la garantie des droits numériques.
- Les différentes séries CCN-STIC-400/800 définissant des politiques, procédures et recommandations appropriées pour l’implantation des mesures contemplées dans le Schéma National de Sécurité (RD 3/2010).
- Norme ISO/IEC 27001.
- Décret Royal Législatif 1/1996, du 12 avril qui approuve le texte refondu de la Loi surla.
- Propriété Intellectuelle, régularisant, expliquant et harmonisant les dispositions légales en vigueur en la matière.
- Loi 2/2019, du 1er mars qui modifie le texte refondu de la Loi sur la Propriété Intellectuelle, approuvé par le Décret Royal Législatif 1/1996, du 12 avril qui incorpore à l’ordre juridique espagnol la Directive 2014/26/UE du Parlement Européen et du Conseil, du 26 février 2014, et la Directive (UE) 2017/1564 du Parlement Européen et du Conseil, du 13 septembre 2017.
- Décret Royal espagnol – Loi 14/2019 du 31 octobre qui adopte des mesures d’urgence pour des raisons de sécurité publique en matière d’administration numérique, marchés publics et télécommunications.
- Loi 6/2020, du 11 novembre régulant certains aspects des services électroniques de confiance.
- Règlement (UE) Nº 910/2014 du Parlement Européen et du Conseil du 23 juillet 2014 concernant l’identification électronique et les services de confiance pour les transactions électroniques sur le marché intérieur, abrogeant à Directive 1999/93/CE.
- Ordonnance ETD/465/2021, du 6 mai, réglementant les méthodes d’identification vidéo à distance pour la délivrance de certificats électroniques qualifiés.
- Décret royal 311/2022, du 3 mai, réglementant le système de sécurité nationale.
7. Organisation de la sécurité
7.1. Comités : fonctions et responsabilités
Signaturit dispose d’une procédure pour la gestion et l’organisation des responsabilités aussi bien internes qu’externes, dans le domaine de la sécurité de l’information, qui détermine le Comité du Système de Gestion, dont la principale mission est l’approbation, la supervision du respect, la gestion et la diffusion des normes et des politiques de l’organisation, ainsi que le suivi et la gestion des incidents et des risques présents, en matière de sécurité de l’information.
Les fonctions du Comité du SG sont définies dans le Système de Gestion de l’organisation.
Le Comité du SG se réunit au minimum chaque semestre et les membres qui le composent obligatoirement sont le Directeur Général, le Directeur IT, le responsable du Système de Gestion et le responsable sécurité.
Signaturit possède un Délégué de Protection des Données interne, nommé auprès de l’AEPD, poste occupé par un professionnel qui réunit les exigences d’expérience et de formation nécessaires pour les fonctions à réaliser.
De plus, le Comité pourra avoir recours à toute autre responsable/rôle dont l’intervention soit nécessaire pour être affecté par le Schéma National de Sécurité, par le RGPD ou toute autre norme liée à la sécurité de l’information, comme par exemple le responsable du service et l’administrateur de sécurité.
7.2. Rôles : fonctions et responsabilités
Comme la sécurité doit impliquer tous les membres de l’organisation, conformément à l’article 12 du SNS et à l’Annexe II de l’SNS section 3.1, la Politique de Sécurité doit identifier les responsables de son respect et les faire connaître de tous les membres de l’organisation. Le Système de Gestion d’Ivnosys dispose d’une section pour identifier les personnes qui occupent les rôles qui composent le Comité du SG et recueillir leurs fonctions spécifiques.
7.3. Procédures de désignation
La Direction désignera, renouvellera et communiquera les responsabilités, autorités et rôles quant à la sécurité de l’information, en déterminant dans chaque cas les raisons et la durée de validité, et gérera les conflits pouvant survenir. Elle veillera également à ce que les utilisateurs connaissent, assument et exercent les responsabilités, autorités et fonctions assignées.
7.4. Révision et approbation de la Politique de Sécurité de l’Information
Le Comité du SG sera chargé de la révision annuelle de cette Politique de Sécurité de l’Information et de la proposition de révision ou maintien de celle-ci.
La Politique sera approuvée par la Direction de l’organisation et, puisqu’il s’agit d’un document à caractère public, conformément à la Politique de Classement de l’information d’Ivnosys (disponible sur le Système de Gestion), sera diffusée par le Département de communications pour information de toutes les parties concernées et mise à disposition des tiers au travers du site Web de l’organisation : www.signaturit.com.
De plus, elle pourra être réexaminée lorsque se produiront des changements significatifs affectant la sécurité, les services que fournit l’organisation, des changements normatifs ou tout autre point important.
8. Données à caractère personnel
Conformément à la réglementation en vigueur sur la protection des données (RÉGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant la protection des personnes physiques quant au traitement des données personnelles ou RGPD et la Loi Organique 3/2018, du 5 décembre sur la Protection des Données Personnelles et la garantie des droits numériques) Ivnosys Soluciones SLU et Signaturit Solutions SL en tant que Responsable du Traitement ou Co-responsables le cas échéant et Responsable du Traitement des données de ses clients, s’engagent à :
– Ce que les données à caractère personnel, aussi bien des clients que des autres employés et collaborateurs soient traitées conformément aux principes de licéité, loyauté et transparence. Les données obtenues et utilisées seront recueillies à des fins explicites et légitimes. Les données obtenues seront pertinentes, appropriées et limitées aux fins définies par ces traitements. Le principe d’exactitude sera respecté et toutes les mesures nécessaires seront adoptées pour leur rectification lorsque nécessaire. Les données ne seront pas conservées plus de temps que nécessaire aux objectifs du traitement, sauf pour des raisons de respect des fins légales.
– Ce que toutes les mesures de sécurité référencées dans cette Politique de Sécurité de l’Information.
– Ce que les données personnelles dont le traitement est réalisé en tant que Responsable du Traitement, les employés s’engagent à respecter et à faire respecter selon leurs responsabilités, toutes les mesures définies dans cette Politique pouvant affecter les données à caractère personnel auxquelles ils peuvent avoir accès de par leur activité professionnelle. De même que les données dont le traitement est réalisé par Signaturit, en tant que Responsable du Traitement.
– Ce que Signaturit, ses employés et ses collaborateurs externes, lorsqu’ils ont besoin, pour fournir un service demandé par ses clients, d’accéder à des données à caractère personnel, dont le stockage sur des fichiers et le traitement sont sous la responsabilité du client (conditions d’accès aux données pour confier le traitement), seront appliquées les conditions recueillies dans les documents « Activités de traitement à réaliser » de chaque service fourni, lesquels seront remis au client, comme ANNEXES aux « Conditions Applicables aux Accès aux Données à Caractère Personnel ».
– Ce que Signaturit, son personnel et ses collaborateurs externes, participent de manière proactive et communiquent, selon les canaux de communication internes et externes définis dans le Plan de Communications, tout incident ou brèche de sécurité dont ils ont connaissance en particulier celles pouvant affecter les données à caractère personnel et collaboreront dans leur gestion et résolution selon le degré de responsabilité assigné.
De même, pour tout ce qui n’est pas expressément recueilli dans cette Politique, Signaturit s’engage, et a l’engagement de tout son personnel, au plus strict respect de toutes les dispositions et principes définis dans la réglementation en vigueur sur la protection des données, citée au début de ce chapitre, et dans toutes les normes qui la modifient ou la remplacent.
Signaturit dispose d’un système pour la gestion de la sécurité de l’information (SGSI) en implantant les meilleures pratiques pour la gestion de la sécurité de l’information conformément au standard UNEISO/IEC 27001 et en appliquant à tous les traitements de données qu’elle réalise, dans le cadre des contrats conclus avec les clients, les contrôles et les mesures visant à garantir la sécurité des données à caractère personnel, responsabilité des clients, auxquelles elle a accès en raison du contrat.
L’organisation garantit qu’elle réalisera les contrôles périodiques et les audits de sécurité nécessaires afin de vérifier que les contrôles et les mesures de sécurité implantés soient efficaces pour le traitement des risques pour lesquels ils ont été implantés.
9. Gestion des risques
Tous les systèmes soumis à cette Politique devront passer une analyse des risques, afin d’évaluer les menaces et les risques auxquels ils sont exposés. Cette analyse sera régulièrement réalisée, au minimum une fois par an. De plus, celle-ci sera répétée dans les cas suivants:
- Lorsque change l’information manipulée.
- Lorsque changent les services fournis.
- Lorsqu’a lieu un incident grave de sécurité.
- Lorsque sont reportées des vulnérabilités graves.
Pour l’harmonisation des analyses des risques, le Comité du SG définira une évaluation de référence pour les différents types d’information manipulées et les différents services fournis.
La méthodologie employée pour l’évaluation du risque est MAGERIT. Elle permet de gérer efficacement les incidents qui pourraient avoir lieu avec les différents actifs d’information et affecter les principes de confidentialité, d’intégrité, de disponibilité, d’authenticité et de traçabilité.
Le Comité du SG dynamisera la disponibilité des ressources afin de répondre aux besoins de sécurité des différents systèmes, encourageant les investissements à caractère horizontal.
10. Développement de la Politique de Sécurité de l’Information
Cette Politique de Sécurité de l’Information complète les politiques de sécurité de Signaturit dans différentes matières:
- Politique du Système de Gestion.
- Déclarations des Pratiques et des Politiques des services eIDAS.
- Politique d’utilisation acceptable des actifs.
- Analyse des risques de sécurité.
- Gestion des Incidents.
- Gestion des Actifs.
- Sécurité Physique et de l’Environnement.
- Contrôle des Accès.
- Sécurité des Communications et des Opérations.
- Organisation de la Sécurité.
- Continuité.
- Gestion du changement.
- Classement de l’information.
- Développement sécurisé.
- Amélioration continue.
Cette politique sera développée au travers d’une réglementation de sécurité qui s’attaque aux aspects spécifiques. La réglementation de sécurité sera à disposition de tous les membres de l’organisation qui nécessitent la connaître et, en particulier de ceux qui utilisent, opèrent et gèrent les systèmes d’information et de communications.
Cette réglementation (processus, procédures, instructions de travail et tout autre documentation nécessaire) sera publiée sur le Système de Gestion en Confluence, ainsi que sur le Wiki corporatif de Signaturit.
11. Obligations du personnel
Tous les membres de Signaturit sont dans l’obligation de connaître et de respecter cette Politique deSécurité de l’Information et la Réglementation de Sécurité, la responsabilité revenant au Comité de SG de disposer des moyens nécessaires pour que l’information atteigne les personnes concernées.
Tous les membres de Sig., dans le cadre du Programme annuel de formation, assisteront à une séance de sensibilisation en matière de sécurité TIC, au minimum une fois par an. Un programme de sensibilisation continu sera mis en place basé sur la diffusion périodique de courriers en matière de sécurité de l’information, afin d’atteindre tous les membres de Signaturit, et en particulier ceux récemment incorporés. Ce personnel devra également réaliser une formation spécifique et une évaluation des connaissances acquises, comme partie du processus d’incorporation à l’organisation.
Les personnes responsables de l’utilisation, opération ou administration des systèmes TIC recevront une formation pour la manipulation sécurisée des systèmes conformément à leurs besoins pour réaliser leur travail. La formation sera obligatoire avant d’assumer une responsabilité, aussi bien s’il s’agit de la première affectation ou s’il s’agit d’un changement de poste de travail ou de responsabilités dans celuici.
12. Tierces parties
Lorsque Signaturit fournira ses services à d’autres organismes ou gèrera l’information d’autres organismes, elle leur fera part de cette Politique de Sécurité de l’Information, des canaux seront mis en place pour le rapport et la coordination des responsables respectifs, et seront établies des procédures d’action, conformément à la Procédure de gestion des incidents de l’organisation, pour la réaction face aux éventuels incidents de sécurité.
Lorsque Signaturit utilisera des services de tiers ou cèdera l’information à des tiers, elle leur fera part de cette Politique de Sécurité et de la Réglementation de Sécurité qui concernent ces services ou information. Cette tierce partie sera soumise aux obligations définies dans cette réglementation, pouvant développer ses propres procédures opérationnelles pour la satisfaire. Des procédures spécifiques de rapport et de résolution d’incidents seront mises en place. Le personnel tiers devra être correctement sensibilisé en matière de sécurité, au minimum au même niveau que ce que définit cette Politique. Si un aspect de la Politique ne peut pas être respecté par une tierce partie, comme indiqué dans les paragraphes précédents, le Responsable de Sécurité se réunira avec le responsable du service pour définir et préciser les risques encourus et la manière de les traiter.