La présente politique s’applique à tout le personnel ayant accès aux systèmes d’information ou aux données de HGA, y compris les employés internes de HGA, les consultants externes, les sous-traitants et les fournisseurs tiers qui fournissent des services ou ont accès à la plateforme numérique Humanics Global Advisors ou aux informations connexes. Elle couvre l’ensemble des actifs numériques de HGA (serveurs, bases de données, réseaux, applications et appareils) ainsi que toutes les données sensibles ou confidentielles traitées par HGA. Tous les utilisateurs et partenaires sont tenus de comprendre et de respecter cette politique comme condition d’emploi, de contrat ou de partenariat avec HGA. Tout manquement à cette politique pourra entraîner des sanctions disciplinaires, la résiliation du contrat ou d’autres poursuites judiciaires, selon le cas.

Mise à jour de la politique : La direction générale de HGA est responsable de l’approbation de cette politique et de ses mises à jour. La politique sera révisée au moins une fois par an, ou dès que des changements importants surviendront dans nos activités ou notre environnement de menaces, afin d’en garantir l’efficacité continue et la conformité avec l’évolution de la réglementation et des normes. Les mises à jour de la politique feront l’objet d’un système de gestion des versions et seront communiquées à toutes les parties concernées. L’ensemble du personnel et les tiers associés sont tenus de prendre connaissance de la dernière version de cette politique et de s’y conformer.

1. Rôles en matière de gouvernance et de sécurité

Gouvernance de la sécurité de l’information : HGA maintient un système de gestion de la sécurité de l’information (SGSI) conforme aux principes de la norme ISO/CEI 27001. Ce système comprend un ensemble de politiques, de procédures et de contrôles conçus pour gérer les risques et protéger les actifs informationnels de HGA. La direction générale démontre son soutien à la sécurité de l’information en allouant des ressources suffisantes et en révisant régulièrement les objectifs de sécurité et les évaluations des risques. La gestion des risques de cybersécurité est intégrée aux processus organisationnels, suivant le modèle « Identifier, Protéger, Détecter, Réagir, Restaurer » du cadre de cybersécurité du NIST afin de garantir une approche globale. Une évaluation des risques sera menée périodiquement pour identifier les menaces et les vulnérabilités pesant sur la plateforme numérique et les données de HGA, et des plans de traitement des risques appropriés seront mis en œuvre.

Rôles et responsabilités : Des rôles et des responsabilités clairs en matière de sécurité sont définis afin de garantir la responsabilité au sein de toute l’organisation :

• Direction générale : La responsabilité ultime de la sécurité de l’information entrante à la direction de HGA. Celle-ci approuve la politique de sécurité, définit le niveau de risque acceptable et veille à ce que la sécurité et la confidentialité soient prioritaires dans les décisions commerciales. Elle confère l’autorité et le soutien nécessaire à la mise en œuvre des contrôles de sécurité et garantit la conformité aux obligations légales et réglementaires.
• Responsable de la sécurité des systèmes d’information (RSSI) / Responsable de la sécurité : Le RSSI (ou le responsable de la sécurité désigné) est chargé d’élaborer, de mettre en œuvre et de faire respecter les politiques et procédures de sécurité de l’information. Il supervise les évaluations des risques, les audits de sécurité, la gestion des incidents et les actions de conformité. Le responsable de la sécurité rend compte à la direction de l’état du programme de sécurité et de tout incident ou problème. Il assure également la liaison avec le délégué à la protection des données (DPO) sur les questions de confidentialité (le cas échéant).
• Délégué à la protection des données (DPD) : S’il est désigné , le DPD supervise la conformité au RGPD et à la réglementation sur la protection de la vie privée. Son rôle consiste à veiller au respect des politiques et procédures de protection des données, à conseiller sur les obligations en matière de protection de la vie privée et à assurer la liaison avec les autorités de protection des données conformément au RGPD. (Dans des cas plus restreints, le RSSI ou un autre responsable peut assumer cette fonction.) HGA reconnaît son obligation de traiter les données personnelles de manière licite et une désignation du personnel pour garantir la conformité aux exigences du RGPD et du CCPA [4] .
• Responsable des systèmes informatiques / Administrateurs système : Le responsable des systèmes informatiques et les administrateurs système sont chargés de la configuration et de la maintenance sécurisées de la plateforme et de l’infrastructure numérique de HGA. Ils mettent en œuvre des mesures de sécurité techniques (pare-feu, chiffrement, contrôle d’accès) et effectuent les mises à jour système régulières ainsi que la gestion des correctifs. Ils sont responsables de la supervision de la sécurité de la plateforme, de la mise en œuvre et du suivi des protocoles de sécurité pour protéger les données et les utilisateurs, et de la gestion de toute menace ou violation potentielle [5] . Les administrateurs examinent également les journaux et rapports d’événements de sécurité afin de détecter les anomalies [6] .
• Employés et consultants : Chaque employé, consultant et utilisateur autorisé des systèmes HGA est tenu de respecter la présente politique de sécurité de l’information et les directives associées. Les utilisateurs doivent protéger les informations et les ressources qu’ils utilisent, se conformer à toutes les règles d’accès et d’utilisation, protéger leurs mots de passe et les données sensibles, et signaler sans délai tout incident suspect. Ils sont tenus de suivre une formation en sécurité et de respecter les accords de confidentialité et de protection des données. Aucun employé ni consultant n’est exempté de ces obligations.
• Prestataires et fournisseurs tiers : Les fournisseurs, sous-traitants ou organisations partenaires ayant accès aux systèmes ou aux données de HGA doivent respecter les exigences de sécurité et de confidentialité équivalentes à celles imposées au personnel interne de HGA. Tous les tiers sont tenus de signer des accords incluant des obligations de confidentialité, de protection des données et de conformité, conformément aux politiques de HGA [7] . Le cas échéant, les fournisseurs doivent également mettre en œuvre des pratiques de sécurité adéquates et disposer d’une couverture d’assurance (par exemple, une assurance responsabilité civile et une assurance cyber) proportionnellement aux risques qu’ils présentent [8] . HGA effectuera des vérifications préalables et des évaluations des risques de sécurité des fournisseurs (voir section 6) et s’assurera de disposer de droits contractuels lui permettant d’auditer ou de contrôler les dispositifs de sécurité des fournisseurs, selon les besoins.
• Comité de sécurité de l’information : HGA peut mettre en place un comité ou un groupe de travail interne sur la sécurité, composé de représentants des principaux services (informatique, juridique, RH, etc.), afin d’examiner périodiquement l’état de la sécurité, d’analyser les incidents et les améliorations nécessaires, et de garantir la coordination interfonctionnelle sur les questions de sécurité. Ce comité, s’il est constitué, rendra compte au RSSI et à la direction, contribuant ainsi à la mise en œuvre du SMSI et à la promotion d’une culture de la sécurité.

Chaque personne concernée par cette politique est tenue de comprendre ses responsabilités spécifiques et de solliciter l’avis du responsable de la sécurité ou de la direction en cas de doute. En définissant ces rôles et structures de gouvernance, HGA garantit une gestion proactive de la sécurité de l’information et le maintien de la responsabilité à tous les niveaux.

2. Politique de contrôle d’accès

HGA appliquera des contrôles d’accès stricts afin de garantir que seules les personnes autorisées puissent accéder aux systèmes et aux données, conformément au principe du moindre privilège et aux pratiques de confiance zéro. L’accès à la plateforme numérique HGA et aux systèmes associés est accordé en fonction du rôle et des besoins de l’entreprise, et doit être approuvé, documenté et régulièrement revu.

Gestion des comptes utilisateurs : Tous les comptes utilisateurs (employés, consultants ou fournisseurs) doivent faire l’objet d’une demande et d’une approbation selon une procédure formelle. Un responsable autorisé doit approuver les nouvelles demandes d’accès, en précisant le niveau d’accès requis. Les comptes sont créés par l’administrateur informatique ou le responsable système uniquement après approbation et sont associés à des identifiants utilisateur uniques (aucun compte partagé n’est autorisé). L’accès des utilisateurs est accordé exclusivement en fonction de leur rôle ou de leurs fonctions , garantissant ainsi qu’ils ne peuvent accéder qu’aux informations et aux fonctions nécessaires à l’exercice de leurs fonctions [9] . Les privilèges élevés ou d’administration sont limités au strict minimum de personnel requis et nécessairement l’approbation de la direction.

Authentification – Mots de passe et authentification multifacteurs : tout accès utilisateur aux systèmes HGA doit être authentifié à l’aide de contrôles stricts.

• Politique relative aux mots de passe : Les utilisateurs doivent choisir des mots de passe robustes et complexes, conformes aux normes de HGA (longueur minimale, combinaison de caractères, absence de mots courants). Les mots de passe ne doivent jamais être partagés ni réutilisés pour plusieurs comptes personnels. Le système impose la création de mots de passe robustes et invite régulièrement les utilisateurs à les mettre à jour afin d’éviter l’utilisation d’identifiants obsolètes [10] . Les mots de passe sont stockés dans les systèmes à l’aide d’un hachage sécurisé et jamais en clair. Les mots de passe par défaut de tout système ou application doivent être modifiés immédiatement après l’installation.
• Authentification multifacteurs (AMF) : HGA exige une authentification à deux facteurs pour tout accès interactif à la plateforme numérique et aux autres systèmes sensibles. L’AMF est mise en œuvre pour toutes les connexions utilisateur , ajoutant ainsi une couche de sécurité supplémentaire au-delà des simples mots de passe [11] . Les seconds facteurs acceptables incluent les applications d’authentification, les jetons matériels, les codes à usage unique par SMS/courriel ou les méthodes biométriques, sous réserve d’approbation par le service informatique. Les utilisateurs doivent enregistrer au moins un dispositif d’authentification à deux facteurs lors de leur inscription.
• Gestion des sessions : les sessions utilisateur expirent automatiquement après une période d’inactivité afin de réduire les risques d’utilisation non autorisée. L’accès aux systèmes critiques nécessite une réauthentification si la session reste inactive au-delà du seuil défini.

Examens et révocation des accès : HGA procède régulièrement à un examen des droits d’accès des utilisateurs (au moins trimestriellement ou lors de tout changement de rôle) afin de s’assurer que l’accès de chaque utilisateur demeure appropriée. Les responsables et le responsable de la sécurité certifient les niveaux d’accès des utilisateurs et ajustent ou suppriment les privilèges devenus inutiles. Il est essentiel que, lorsqu’un membre du personnel ou un consultant quitte HGA ou qu’un contrat est résilié, son accès à tous les systèmes soit révoqué sans délai (généralement sous 24 heures) [12] . La révocation rapide des accès est impérative pour des raisons de sécurité et de conformité ; tout manquement à cette obligation pourrait entraîner des risques de sécurité et des anomalies lors des audits [12] . De même, si le rôle d’un utilisateur change ou s’il n’a plus besoin de certains privilèges système, son accès doit être ajusté immédiatement en fonction des besoins actuels. L’équipe informatique met en œuvre des procédures permettant de désactiver rapidement les comptes, y compris les comptes VPN distants, les identifiants de service cloud et les badges d’accès aux bâtiments, dans le cadre du processus de départ des employés.

Principe du moindre privilège et du besoin d’en connaître : tous les systèmes et données sont soumis à une politique de besoin d’en connaître. Par défaut, les nouveaux utilisateurs n’ont aucun accès tant qu’une autorisation explicite ne leur a pas été accordée. Chaque système ou application doit disposer de contrôles d’accès basés sur les rôles afin que les utilisateurs ne voient que les données et les fonctions nécessaires. Dans la mesure du possible, des autorisations granulaires sont utilisées pour séparer les tâches (par exemple, l’accès aux systèmes de développement, de test et de production est réparti entre différents personnels afin de prévenir les conflits d’intérêts). L’accès administratif (tel que les droits d’administrateur de serveur ou de base de données) est limité aux administrateurs système et n’est pas utilisé pour les tâches opérationnelles courantes.

Responsabilité des accès : Les utilisateurs sont responsables des actions effectuées avec leurs identifiants. Tous les événements d’accès (connexion, déconnexion, récupération de données, modifications) doivent être consignés avec l’identifiant de l’utilisateur et l’horodatage. Il est strictement interdit d’utiliser les identifiants d’une autre personne ou d’autoriser quiconque à utiliser les siens. Les comptes génériques partagés sont interdits ; dans les rares cas où un compte partagé est techniquement nécessaire, il doit être approuvé par le RSSI et faire l’objet d’un suivi rigoureux. Des audits périodiques des comptes et des autorisations seront menés afin de détecter tout compte inactif ou inutile, qui sera désactivé sans délai.

Accès aux données sensibles : L’accès à des données particulièrement sensibles (telles que des données personnelles, des informations confidentielles sur les clients ou des données financières) peut nécessiter des contrôles supplémentaires. Cela peut inclure la restriction de ces données à une zone réseau sécurisée, l’exigence d’une authentification multifacteur à chaque accès ou l’exigence d’une autorisation de la direction pour chaque accès. Par exemple, l’accès administratif aux bases de données de production contenant des données personnelles est strictement contrôlé et consigné. Dans la mesure du possible, les données sensibles de production sont masquées ou anonymisées dans les environnements de test afin de limiter leur exposition.

En mettant en œuvre ces mesures de contrôle d’accès, HGA garantit aux utilisateurs des droits d’accès appropriés et minimise les risques d’accès non autorisé ou d’utilisation abusive par des employés. Tous les employés et partenaires sont tenus de respecter les protocoles de contrôle d’accès et de signaler sans délai toute faille connue ou suspectée dans la gestion des accès.

3. Politique de sécurité des réseaux et des applications

HGA protègea ses réseaux, serveurs, applications et données grâce à des contrôles de sécurité techniques robustes. L’objectif est de prévenir les accès non autorisés, de détecter les menaces et de maintenir une configuration sécurisée de tous les actifs technologiques tout au long de leur cycle de vie, conformément aux contrôles « Protect » du NIST et aux contrôles de sécurité de l’annexe ISO 27001. Les principaux aspects de la politique de sécurité des réseaux et des applications sont les suivants :

Contrôles de sécurité réseau : Tous les réseaux HGA, y compris les réseaux basés sur le cloud et les réseaux de bureaux sur site, sont sécurisés par des contrôles périmétriques et internes appropriés.

• Pare-feu et segmentation : Des pare-feu réseau sont déployés aux points clés (par exemple, entre l’Internet public et les systèmes internes de HGA, et entre les différents segments du réseau interne) afin de bloquer le trafic non autorisé et les attaques . Le trafic entrant vers la plateforme numérique HGA transite par des filtres de pare-feu et, le cas échéant, par un pare-feu applicatif web (WAF) pour détecter les charges utiles malveillantes. Les segments du réseau interne sont segmentés en fonction de leur sensibilité (par exemple, les serveurs de bases de données se trouvent sur un VLAN distinct à accès restreint). Les règles de pare-feu sont régulièrement revues afin de garantir qu’elles soient les moins permissives possibles. Toute modification de la configuration des pare-feu est soumise aux procédures de gestion des changements.
• Chiffrement en transit : Toutes les données transmises sur les réseaux doivent être chiffrées afin de garantir leur confidentialité et leur intégrité. Les applications HGA appliquent un chiffrement de bout en bout à l’aide de protocoles conformes aux normes du secteur (par exemple, TLS 1.2/1.3 pour le trafic web). Ceci inclut le chiffrement de toutes les communications web sur la plateforme numérique (HTTPS est obligatoire) et la sécurisation des communications pour toutes les API et intégrations. Le protocole SSL/TLS est utilisé pour toutes les données sensibles en transit , notamment les informations personnelles et les données financières [13] . Les configurations de chiffrement sont régulièrement mises à jour afin d’éviter l’utilisation d’algorithmes obsolètes (par exemple, aucun chiffrement non sécurisé ni aucune version SSL obsolète).
• Chiffrement au repos : Les données sensibles stockées dans les systèmes HGA sont chiffrées au repos afin de limiter les risques de compromission en cas d’accès non autorisé aux supports de stockage ou aux bases de données. HGA utilise des algorithmes de chiffrement robustes (tels que l’AES-256) pour chiffrer les bases de données, le stockage de fichiers et les sauvegardes contenant des données confidentielles ou personnelles [14] . Pour le stockage cloud (par exemple, les documents téléchargés sur la plateforme), les données sont stockées sous forme chiffrée (grâce au chiffrement côté serveur AWS S3 et aux contrôles d’accès) [15] . Les clés de chiffrement sont gérées de manière sécurisée, avec un accès restreint aux systèmes de gestion des clés et une rotation périodique des clés, le cas échéant.
• Configuration réseau sécurisée : les mots de passe par défaut, les chaînes de communauté SNMP et autres paramètres par défaut des fournisseurs sur les équipements réseau sont modifiés lors de l’installation. Les services et ports inutiles sont désactivés afin de réduire la surface d’attaque. Des schémas de réseau et des inventaires des équipements sont régulièrement mis à jour pour une compréhension optimale de l’environnement. Tous les équipements réseau (routeurs, commutateurs, pare-feu) exécutent les dernières versions de leur micrologiciel et bénéficient des mises à jour nécessaires pour se prémunir contre les vulnérabilités connues.

Sécurité des applications et cycle de vie de développement logiciel sécurisé : HGA intègre la sécurité dans son cycle de vie de développement logiciel pour la plateforme numérique et toutes les applications personnalisées.

• Pratiques de codage sécurisé : Les développeurs doivent respecter les bonnes pratiques de codage sécurisé (telles que les recommandations OWASP Top 10) afin de prévenir les vulnérabilités courantes (injection SQL, XSS, CSRF, etc.). Des revues de code sont effectuées pour évaluer les implications en matière de sécurité, et les modifications critiques du code font l’objet d’une relecture par les pairs ou d’une approbation par les développeurs seniors. HGA encourage l’utilisation d’outils d’analyse statique de la sécurité des applications (SAST) pour détecter les vulnérabilités et les erreurs de codage dans le code source.
• Analyse et correction des vulnérabilités : L’équipe de sécurité informatique effectue régulièrement des analyses de vulnérabilité des sites web, applications et périphériques réseau de HGA afin d’identifier les failles connues. Au minimum, des analyses automatisées mensuelles sont réalisées sur les systèmes exposés et trimestrielles sur les systèmes internes, avec une correction rapide de toute vulnérabilité à haut risque. De plus, des tests d’intrusion réalisés par des experts indépendants sont menés périodiquement (au moins une fois par an et après des modifications importantes) afin de détecter les vulnérabilités de la plateforme numérique [16] . HGA gère un programme de correctifs : les correctifs de sécurité pour les systèmes d’exploitation, les bases de données et les applications sont évaluées et appliquées en temps opportun en fonction de leur gravité. Les correctifs critiques (par exemple, ceux corrigeant des vulnérabilités activement exploitées ou à haut risque) sont appliqués dès que possible, idéalement sous quelques jours. Les mises à jour moins critiques sont planifiées lors des fenêtres de maintenance régulières. Tous les systèmes sont configurés pour mettre à jour régulièrement les définitions de logiciels malveillants et autres signatures de sécurité.
• Configuration et renforcement de la sécurité : les serveurs (qu’il s’agisse de machines virtuelles dans le cloud ou sur site) sont renforcés conformément aux normes CIS ou aux normes équivalentes. Cela inclut la désactivation des services inutiles, l’application d’une authentification forte, la limitation de l’accès administrateur/root et la journalisation des actions administratives. Les configurations applicatives (pour la plateforme numérique HGA) sont paramétrées avec des valeurs par défaut sécurisées : par exemple, les messages d’erreur ne révèlent pas les traces de pile sensibles et les interfaces de débogage sont désactivées en production. Le principe de moindre fonctionnalité est appliqué (les systèmes fournissent uniquement les services nécessaires à leur fonction).
• Sécurité du cloud : La plateforme numérique HGA exploite les services cloud, et HGA s’assure que les ressources cloud sont configurées de manière sécurisée. L’accès administratif aux consoles cloud est limité et protégé par l’authentification multifacteur (MFA). Les compartiments de stockage cloud (tels que les compartiments Amazon S3 pour le stockage de documents) sont privés, chiffrés et leurs accès sont consignés [15] . Des groupes de sécurité réseau et des pare-feu virtuels sont utilisés pour restreindre l’accès aux serveurs cloud. HGA utilise les services de sécurité cloud disponibles (par exemple, la surveillance de la sécurité AWS) pour renforcer sa sécurité. Nous vérifions régulièrement les configurations cloud afin de garantir leur conformité aux meilleures pratiques et d’éviter toute divulgation accidentelle de données.
• Protection des terminaux : Tous les terminaux gérés par HGA (ordinateurs portables, postes de travail, appareils mobiles) utilisés par le personnel pour accéder à la plateforme doivent être équipés d’un logiciel de sécurité à jour. Cela inclut une protection antivirus/antimalware, un pare-feu hôte et, si possible, des agents de détection et de réponse aux incidents (EDR) pour détecter les comportements suspects. Les systèmes sont configurés pour recevoir les mises à jour automatiques des systèmes d’exploitation et des applications. Les employés ne disposent pas de droits d’administrateur local sur les ordinateurs portables de l’entreprise, sauf nécessité, afin d’empêcher l’installation de logiciels non autorisés.
• Protection contre les logiciels malveillants : des passerelles de sécurité pour la messagerie et le Web bloquent les logiciels malveillants, le phishing et autres menaces au niveau du périmètre. Toutes les pièces jointes et tous les téléchargements peuvent être analysés. Il est demandé aux utilisateurs de ne pas contourner ces contrôles.
• Gestion des changements : Toute modification apportée à l’infrastructure réseau ou aux applications critiques doit suivre un processus de gestion des changements comprenant l’évaluation de l’impact sur la sécurité et des risques potentiels. Les importants sont examinés par le responsable de la sécurité ou un comité consultatif désigné. Les changements d’urgence doivent être documentés et faire l’objet d’un examen après leur mise en œuvre.

En appliquant ces contrôles de sécurité réseau et applicatifs, HGA vise à prévenir les intrusions et à garantir le fonctionnement sécurisé de sa plateforme numérique. Ces mesures sont conformes à la fonction Protect du NIST et aux exigences de contrôle de la norme ISO 27001 (notamment en matière de sécurité réseau, de cryptographie et de sécurité des acquisitions et du développement de systèmes). L’ensemble du personnel technique est tenu de mettre en œuvre et de maintenir ces contrôles, et tous les utilisateurs doivent contribuer à la sécurité en respectant les bonnes pratiques (par exemple, en s’abstenant de contourner les protections).

4. Politique relative aux appareils et à leur utilisation acceptable

Cette section décrit les conditions d’utilisation des ressources informatiques de HGA et les exigences relatives aux appareils (fournis par l’entreprise ou personnels/BYOD) permettant d’accéder aux systèmes de HGA. L’objectif est de garantir une utilisation sécurisée de tous les appareils et de sensibiliser les utilisateurs à leurs responsabilités quant à l’utilisation éthique et sécurisée des ressources de HGA.

Utilisation acceptable des systèmes de l’entreprise : Toutes les ressources informatiques fournies par HGA (y compris les ordinateurs portables, les appareils mobiles, la messagerie électronique, l’accès à Internet et la plateforme numérique elle-même) doivent être utilisées à des fins professionnelles légitimes, au service de la mission et des clients de HGA. Une utilisation personnelle occasionnelle est autorisée, à condition qu’elle n’interfère pas avec les tâches professionnelles, n’entraîne pas de coûts importants et ne contrevienne à aucune politique ni loi. Les utilisateurs ne doivent pas utiliser les systèmes de HGA pour se livrer à des activités illégales, contraires à l’éthique ou susceptibles de nuire à HGA, notamment :

• Activités interdites : Il est interdit aux utilisateurs d’accéder, de créer, de télécharger ou de diffuser tout contenu diffamatoire, harcelant, obscène, discriminatoire ou portant atteinte aux droits de propriété intellectuelle. L’utilisation des réseaux ou appareils HGA à des fins de harcèlement, de menaces ou d’usurpation d’identité est strictement interdite. Les utilisateurs ne doivent entreprendre aucune action susceptible de dégrader les performances du système ou de perturber l’accès aux services (par exemple, l’introduction de logiciels malveillants, l’envoi massif de courriels perturbant les serveurs, etc.). L’utilisation des ressources HGA à des fins commerciales personnelles ou de propagande politique est également interdite.
• Logiciels et périphériques non autorisés : L’installation de logiciels sur les ordinateurs ou serveurs de HGA doit être certifiée par le service informatique. Les utilisateurs ne sont pas autorisés à installer ou exécuter des programmes ou utilitaires non approuvés susceptibles de compromettre la sécurité (par exemple, des outils de piratage, des programmes de partage de fichiers ou des logiciels sans licence) [17] [18] . De même, seuls les périphériques autorisés et fournis par le service informatique peuvent être connectés au réseau interne de HGA. L’utilisation de clés USB ou de supports de stockage personnels sur les systèmes de l’entreprise est déconseillée et, le cas échéant, ces supports doivent être analysés à la recherche de logiciels malveillants. L’introduction de tout périphérique (y compris les objets connectés) dans les bureaux ou sur les réseaux de HGA doit faire l’objet d’une autorisation préalable si ce périphérique est destiné à se connecter au réseau.
• Gestion des données : Les utilisateurs doivent traiter toutes les données de l’entreprise et des clients comme confidentielles, sauf indication contraire. Les informations sensibles (notamment les données personnelles, les plans d’affaires de HGA, les livrables clients, etc.) ne doivent pas être envoyées par courriel ni transférées à des destinataires non autorisés. Les utilisateurs doivent utiliser les outils de stockage et de communication sécurisés fournis par HGA pour les données sensibles, par exemple OneDrive/SharePoint ou la plateforme de stockage numérique sécurisé pour les fichiers de projet, plutôt que des services cloud grand public. L’impression de données sensibles doit être réduite au minimum et ne jamais être laissée sans surveillance. Tout document papier contenant des informations confidentielles doit être conservé en lieu sûr et détruit lorsqu’il n’est plus nécessaire.
• Utilisation d’Internet et de la messagerie électronique : L’accès à Internet depuis les systèmes HGA est principalement destiné à un usage professionnel. Les utilisateurs ne doivent pas consulter de sites web à risque ou non professionnels susceptibles d’introduire des logiciels malveillants. HGA peut utiliser un système de filtrage de contenu pour bloquer les sites malveillants connus ou les contenus inappropriés. La messagerie professionnelle doit être utilisée de manière responsable : il est interdit d’envoyer des données de l’entreprise vers des adresses électroniques personnelles et de cliquer sur des liens ou des pièces jointes suspectes (les utilisateurs sont formés à la détection des tentatives d’hameçonnage). Les utilisateurs doivent faire preuve de prudence et vérifier la légitimité des courriels inattendus, en particulier ceux demandant des informations sensibles.

Utilisation des appareils personnels (BYOD) : HGA reconnaît que ses consultants ou employés peuvent parfois utiliser leurs appareils personnels pour accéder à leur messagerie ou aux systèmes de HGA. Tout appareil personnel utilisé pour les activités de HGA doit respecter les exigences de sécurité suivantes afin de protéger les données de HGA :

• Exigences de sécurité relatives aux appareils : L’appareil (ordinateur portable, smartphone ou tablette) doit disposer d’un système d’exploitation et de correctifs applicatifs à jour. Il doit être protégé par un code d’accès robuste ou un verrouillage biométrique. Le chiffrement complet du disque doit être activé sur tout appareil stockant des données sensibles (par exemple, les ordinateurs portables doivent utiliser BitLocker ou FileVault, et les appareils mobiles doivent avoir le chiffrement activé). L’appareil doit être protégé par un logiciel anti-malware, le cas échéant, et ne doit pas être jailbreaké ni rooté (cela compromet la sécurité). Les utilisateurs sont tenus d’installer uniquement des applications provenant de sources fiables et d’éviter d’installer des logiciels provenant de sources non fiables sur les appareils utilisés à des fins professionnelles.
• Contrôle et surveillance par l’entreprise : Pour accéder aux ressources HGA, l’utilisateur consent à la gestion de son appareil personnel. HGA se réserve le droit d’exiger l’installation d’un profil de gestion des appareils mobiles (MDM) ou d’un outil de sécurité similaire sur les appareils personnels accédant à la messagerie ou aux fichiers de l’entreprise. Ceci permet à HGA d’appliquer des paramètres de sécurité (comme le chiffrement et le verrouillage de l’écran) et d’effacer à distance les données de l’entreprise en cas de perte ou de compromission de l’appareil. HGA n’accédera aux données personnelles sur les appareils personnels que dans la mesure nécessaire à la sécurité (par exemple, le modèle et le statut de conformité de l’appareil, mais pas son contenu personnel). Les employés et consultants doivent se conformer rapidement à toute demande de l’administrateur informatique concernant la mise à jour des paramètres ou des applications de sécurité.
• Accès et utilisation sécurisés : Lors de l’utilisation d’un appareil personnel pour des activités liées à HGA, les utilisateurs doivent s’assurer d’accéder aux systèmes de l’entreprise par des méthodes sécurisées (telles que le VPN approuvé ou le portail web sécurisé avec authentification multifacteur). Les données de l’entreprise ne doivent pas être stockées instantanément sur les appareils personnels, sauf en cas d’absolue nécessité ; le cas échéant, elles doivent être chiffrées et supprimées dès que possible. Les utilisateurs ne doivent jamais enregistrer les mots de passe HGA en clair sur leurs appareils personnels ni les partager. Si un appareil personnel est utilisé pour télécharger ou créer des fichiers liés à HGA, ces fichiers doivent être transférés vers un référentiel HGA approuvé dès que possible, puis supprimés de l’appareil personnel.
• Signalement des appareils perdus ou volés : Les utilisateurs doivent immédiatement signaler au service informatique la perte, le vol ou la suspicion de compromission d’un appareil (fourni par l’entreprise ou personnel) ayant accès aux systèmes ou aux données de HGA. Le service informatique peut alors procéder à un effacement à distance des données de l’entreprise présentes sur l’appareil afin de les protéger (dans le cas d’appareils personnels, les données personnelles ne sont généralement pas affectées, mais les courriels ou fichiers professionnels peuvent être effacés). Un signalement rapide est essentiel pour que HGA puisse prendre les mesures nécessaires pour désactiver les identifiants ou effacer les données à distance avant tout accès non autorisé.

Sécurité physique et utilisation des appareils : Les utilisateurs doivent sécuriser physiquement leurs appareils afin d’éviter le vol ou l’espionnage visuel. Les appareils portables, tels que les ordinateurs portables, ne doivent pas être laissés sans surveillance dans les lieux publics ; ils doivent être rangés dans des armoires sécurisées ou gardées sur sol lors des déplacements. Au bureau, les utilisateurs doivent verrouiller leur écran d’ordinateur (Ctrl+Alt+Suppr ou équivalent) lorsqu’ils s’éloignent de leur poste de travail afin d’éviter toute utilisation abusive. Tout le matériel HGA reste la propriété de HGA et doit être restitué sur demande ou à la fin de la période d’emploi/du contrat. Nul n’est autorisé à emporter du matériel appartenant à l’entreprise hors des locaux sans autorisation (à l’exception des appareils portables fournis pour le télétravail).

De plus, en raison du risque d’écoute clandestine, les utilisateurs ne doivent pas se connecter aux réseaux Wi-Fi publics avec leurs appareils HGA, sauf via un VPN d’entreprise. Lors de l’impression de documents confidentiels, veuillez les récupérer immédiatement. Toute violation de ces règles d’utilisation, ou toute utilisation d’appareils mettant en danger les données HGA, doit être signalée et pourra entraîner la suspension de l’accès BYOD ou d’autres sanctions.

En respectant la présente Politique d’utilisation des appareils, les utilisateurs contribuent à préserver l’intégrité et la sécurité des informations de HGA. Tous les utilisateurs sont tenus de lire et d’accepter cette politique, et de suivre une formation de sensibilisation à la sécurité qui renforce ces directives. HGA peut surveiller l’activité du réseau et des appareils afin d’en vérifier la conformité (conformément aux lois applicables et dans le respect de la vie privée) et enquêtera sur tout usage abusif suspecté.

5. Politique d’accès à distance

Étant donné que le personnel et les consultants de HGA travaillent fréquemment sur différents sites, un accès distant sécurisé aux systèmes de HGA est essentiel. La présente politique définit les exigences relatives à la connexion sécurisée aux réseaux et ressources de HGA depuis l’extérieur de ses bureaux. L’objectif est de prévenir tout accès distant non autorisé et de protéger les données transmises sur les réseaux publics.

Méthodes d’accès à distance autorisées : L’accès à distance au réseau interne ou aux systèmes confidentiels de HGA est autorisé uniquement via des méthodes sécurisées approuvées par l’entreprise. La méthode principale consiste à utiliser le réseau privé virtuel (VPN) de HGA , qui fournit un tunnel chiffré pour le trafic réseau. Les utilisateurs doivent utiliser le VPN pour accéder à tout système interne ou aux interfaces de gestion de la plateforme numérique HGA lorsqu’ils se trouvent en dehors du réseau de l’entreprise. Le VPN nécessite une authentification multifacteur (MFA), c’est-à-dire les identifiants de l’utilisateur et un code d’authentification. Dans certains cas, HGA peut fournir une solution de bureau à distance sécurisée ou une infrastructure de bureau virtuel (VDI) ; leur utilisation doit également être protégée par une authentification forte. L’accès direct au bureau à distance ou la redirection de ports depuis Internet sont interdits, sauf via le VPN ou une autre passerelle sécurisée.

Authentification et contrôle d’accès des utilisateurs : Toutes les dispositions de la politique de contrôle d’accès (article 2) s’appliquent aux connexions distantes. Les utilisateurs doivent se connecter avec leurs identifiants personnels et l’authentification multifacteur (MFA) ; les comptes d’accès distants partagés ou génériques sont interdits. Les sessions distantes inactives seront automatiquement déconnectées après une période définie afin de réduire les risques. Les tentatives de connexion à distance sont enregistrées et surveillées. Les tentatives de connexion infructueuses répétées entraîneront le verrouillage du compte et alerteront l’équipe de sécurité, soupçonnant une tentative d’attaque par force brute.

Exigences relatives aux appareils pour l’accès à distance : Seuls les appareils de confiance doivent être utilisés pour l’accès à distance. Idéalement, les utilisateurs utiliseront des ordinateurs portables fournis par HGA et dotés de contrôles de sécurité complets pour le télétravail. Si des appareils personnels (BYOD) sont utilisés pour établir des connexions VPN ou d’autres sessions à distance, ils doivent respecter les critères de sécurité décrits dans la section 4 (système d’exploitation à jour, logiciel anti-malware, chiffrement, etc.). HGA peut restreindre l’accès VPN aux appareils connus ou exiger une authentification supplémentaire pour les nouveaux appareils. L’équipe informatique se réserve le droit d’inspecter les appareils (ou d’exiger une attestation de sécurité) avant de leur accorder l’accès au réseau. Les connexions provenant d’appareils ne respectant pas les normes de sécurité (par exemple, logiciel obsolète ou présence de logiciels malveillants) peuvent être bloquées.

Pratiques de travail à distance sécurisés : Les utilisateurs se connectant à distance doivent veiller à travailler dans un environnement sécurisé. Lorsqu’ils accèdent aux systèmes HGA depuis leur domicile ou des lieux publics, ils doivent être vigilants quant aux personnes susceptibles d’observer leur écran ou leurs communications. Il est recommandé d’utiliser des filtres de confidentialité ou de se positionner de manière à éviter toute observation non autorisée de données sensibles. Il est également déconseillé de discuter d’informations confidentielles lors d’appels dans des lieux publics où l’on pourrait être entendu. Les ordinateurs publics (par exemple, dans les bornes interactives ou les bibliothèques) ne doivent jamais être utilisés pour se connecter aux comptes HGA, car leur sécurité n’est pas garantie. Les réseaux Wi-Fi publics ou non sécurisés (comme ceux des cafés ou des aéroports) présentent des risques ; les utilisateurs doivent impérativement activer le VPN avant d’accéder à leurs courriels ou données HGA via ces réseaux afin de garantir le chiffrement du trafic.

Tout accès à distance doit respecter la politique de HGA en matière de gestion des données. Par exemple, le téléchargement de fichiers sensibles à distance doit être limité au strict minimum ; dans la mesure du possible, travaillez directement sur les fichiers stockés sur les systèmes sécurisés de HGA plutôt que de les télécharger sur votre ordinateur. Si des copies locales sont nécessaires, elles doivent être correctement chiffrées et supprimées lorsqu’elles ne sont plus utiles. Conformément à la politique relative aux appareils, les utilisateurs doivent signaler immédiatement toute perte ou tout vol d’appareil, car ces derniers représentent un risque pour les canaux d’accès à distance.

Accès administratif distant : Le personnel administratif (administrateurs informatiques, développeurs, etc.) nécessitant un accès distant aux serveurs ou à l’infrastructure cloud doit appliquer des mesures de sécurité renforcées. Celles-ci peuvent inclure des serveurs de rebond/bastion configurés avec une sécurité renforcée pour tous les accès administratifs. Les connexions administratives distantes doivent utiliser une authentification par clé (telle que des clés SSH ou des certificats) en plus de l’authentification multifacteur (MFA), et ces clés doivent être protégées. L’accès administratif direct via des protocoles distants (SSH, RDP) depuis Internet est interdit ; il doit transiter par un VPN ou un service bastion approuvé. Toutes ces séances doivent être consignées en détail. Les actions administratives effectuées à distance sur les systèmes critiques doivent être accompagnées d’une demande de modification ou d’un enregistrement d’approbation.

Surveillance et contrôles : HGA surveille les points d’accès distants afin de détecter toute activité inhabituelle. Cela inclut la surveillance des journaux de connexion VPN pour repérer les anomalies d’heure, de lieu ou de durée. Tout accès distant provenant de l’étranger ou d’adresses IP inconnues peut être signalé pour vérification afin de s’assurer de son autorisation. L’équipe de sécurité peut utiliser un système de détection d’intrusion sur les connexions VPN afin de repérer les signes de compromission. Nous veillons également à ce qu’après la cessation d’activité d’un employé ou d’un consultant, ses comptes VPN et d’accès distant soient désactivés sans délai (comme indiqué dans la section 2). Des audits périodiques des comptes d’accès distants actifs et des journaux sont effectués afin de vérifier que tous les comptes actifs sont conformes aux attentes et utilisations de manière appropriée.

En respectant cette politique d’accès à distance, HGA garantit que la flexibilité du lieu de travail ne se fait pas au détriment de la sécurité. Les employés et les consultants sont tenus de suivre scrupuleusement ces directives. Toute question ou exception relative à l’accès à distance doit être examinée et approuvée par le responsable de la sécurité et documentée (par exemple, si un projet nécessite une configuration de connexion à distance spécifique, il doit faire l’objet d’une évaluation des risques et d’une approbation). Le non-respect des exigences d’accès à distance peut entraîner la suspension des privilèges d’accès à distance ou d’autres mesures disciplinaires.

6. Politique de sécurité des tiers et des fournisseurs

HGA fait appel à des fournisseurs, prestataires de services et consultants indépendants pour diverses prestations, mais conserve la responsabilité de la protection de ses données, même lorsqu’elles sont traitées par ces niveaux. La présente politique définit la manière dont HGA gère la sécurité des données des tiers et garantit que les fournisseurs respectent les normes de sécurité et les obligations légales (notamment le RGPD et le CCPA) lorsqu’ils interagissent avec les systèmes ou les données de HGA. Elle s’applique aux fournisseurs de logiciels/SaaS, aux hébergeurs de données, aux prestataires de services informatiques externalisés, aux consultants de la plateforme et à tout autre tiers ayant accès aux informations de HGA.

Vérification préalable de la sécurité des fournisseurs : Avant d’intégrer un nouveau fournisseur ou prestataire de services apportant à traiter des informations sensibles ou à fournir des services critiques, HGA effectue une vérification préalable de la sécurité. Cette vérification consiste à évaluer le niveau de sécurité informatique du fournisseur, par exemple en lui en voyant une liste de contrôle ou un questionnaire de sécurité (voir annexe B) ​​​​et en analysant ses réponses. HGA examine si le fournisseur dispose de politiques de sécurité appropriées (par exemple, un programme de sécurité de l’information, des contrôles d’accès, une gestion des incidents), de certifications ou d’audits pertinents (tels que la certification ISO 27001 ou les rapports SOC 2), et s’il est conforme aux lois sur la protection des données (RGPD, CCPA le cas échéant). La réputation du fournisseur et tout incident de sécurité antérieur seront également pris en compte. Seuls les fournisseurs qui satisfont aux exigences de sécurité de HGA ou qui sont disposés à corriger les failles identifiées peuvent être engagés.

Exigences contractuelles de sécurité : Tous les contrats ou accords de service conclus avec des tiers doivent inclure des clauses de sécurité et de confidentialité appropriées afin de protéger les données de HGA. À tout le moins, les fournisseurs doivent signer des accords de confidentialité/non-divulgation pour protéger les données de HGA qu’ils reçoivent. Les fournisseurs qui traitent des données personnelles pour le compte de HGA seront tenus de signer des accords de traitement des données (ATD) lorsque le RGPD l’exige, les liant ainsi à des obligations de protection des données équivalentes à celles du RGPD. Les contrats préciseront que le fournisseur doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données de HGA et pourront faire référence à des normes spécifiques (par exemple, exiger le chiffrement, le contrôle d’accès, la gestion des sous-traitants, la notification des violations de données, etc.). Les tiers doivent s’engager par écrit à respecter les exigences de confidentialité, de conformité et de sécurité de HGA [7] , y compris les règles de contrôle des exportations, le cas échéant (aucun fournisseur ne peut exposer les données de HGA aux pays ou aux personnes faisant l’objet de sanctions). Pour les consultants ou sous-traitants adhérant à HGA fait appel, les conditions générales des contrats de consultants de HGA (qui incluent des clauses de confidentialité et de protection des données) s’appliquent ; tout sous-traitant engagé par un consultant doit également accepter ces obligations [7] .

HGA inclut également dans ses contrats l’obligation pour les fournisseurs de l’informer rapidement en cas d’incident de sécurité ou de violation de données affectant ses données. Cette obligation est conforme à celle de HGA en matière de signalisation des violations et garantit une communication rapide (généralement sous 24 à 72 heures après la découverte, conformément au RGPD et aux bonnes pratiques). Par ailleurs, HGA se réserve le droit d’auditer la conformité du fournisseur ou d’en demander la preuve. Les contrats peuvent autoriser HGA à réaliser des audits de sécurité ou des tests d’intrusion sur l’environnement du fournisseur, ou à examiner ses rapports d’audit et de certifications. Les fournisseurs sont tenus de coopération avec HGA dans le cadre de ses demandes de conformité et de corriger toute faille de sécurité identifiée.

Principe du moindre privilège pour les fournisseurs : L’accès des fournisseurs et partenaires aux systèmes et données de HGA sera limité au strict minimum nécessaire. Si un fournisseur se voit attribuer un compte sur les systèmes de HGA (par exemple, un prestataire de support ayant besoin d’accéder à un serveur), un compte dédié avec des privilèges minimaux sera créé et désactivé lorsqu’il n’est pas utilisé. L’authentification multifacteur (MFA) est obligatoire pour les comptes fournisseurs lorsqu’elle est prise en charge. Si un tiers a besoin d’accéder aux données de production pour le dépannage, les données doivent être, dans la mesure du possible, anonymisées ou une session supervisée utilisée plutôt qu’un accès étendu. Tout accès fournisseur doit être limité dans le temps et activé uniquement pendant la durée nécessaire. Les activités des fournisseurs sur les systèmes de HGA sont consignées et peuvent faire l’objet d’un examen.

Supervision et contrôle des fournisseurs : HGA tient à jour un registre de ses prestataires de services tiers, notamment ceux ayant accès aux données sensibles. Chaque fournisseur inscrit se voit attribuer un niveau de risque (élevé, moyen ou faible) en fonction de la nature de l’accès et de la sensibilité des données. Les fournisseurs présentant un risque plus élevé font l’objet d’évaluations plus fréquentes. HGA peut réaliser des audits de sécurité annuels auprès de ses principaux fournisseurs, ce qui peut inclure l’envoi de questionnaires actualisés ou l’exigence d’attestations de conformité à jour. Pour les fournisseurs de services cloud ou SaaS, HGA surveille les annonces relatives aux problèmes de sécurité et veille à l’application des correctifs ou des mesures d’atténuation (en coordination avec le fournisseur). Dans la mesure du possible, des dispositions contractuelles permettent à HGA de mettre fin à la relation contractuelle si le fournisseur présente des failles de sécurité ou subit une violation de données grave.

Niveaux du personnel : Les fournisseurs doivent s’assurer de la fiabilité de leurs employés intervenant sur les projets HGA. HGA exige que les fournisseurs effectuent des vérifications d’antécédents sur leur personnel ayant un accès important aux données sensibles. Les fournisseurs doivent également dispenser à leur personnel concerné une formation de sensibilisation à la sécurité, conforme aux normes de formation de HGA. Dans certains cas, HGA peut exiger que le personnel des fournisseurs suive sa formation de sécurité avant d’accéder à ses systèmes. Chaque membre du personnel des fournisseurs doit disposer d’un identifiant unique (pas d’identifiants génériques) pour accéder aux systèmes HGA, afin que ses actions puissent être attribuées.

Chaîne d’approvisionnement et sous-traitants : Si un fournisseur fait appel à des sous-traitants pour la prestation de services impliquant des données HGA, il est tenu de leur imposer les mêmes exigences de sécurité. Par exemple, si le fournisseur de services cloud de HGA fait appel à un opérateur de centre de données, ce dernier doit respecter les normes équivalentes. Les fournisseurs doivent obtenir l’accord de HGA pour toute sous-traitance importante impliquant des données HGA et assumer l’entière responsabilité de leurs sous-traitants. Ceci garantit la sécurité de l’ensemble de la chaîne d’approvisionnement.

Conformité aux lois sur la protection des données : Les tiers qui traitent des données personnelles de HGA (telles que les informations personnelles des consultants ou les données clients sur la plateforme) doivent se conformer au RGPD, au CCPA et aux autres lois applicables en matière de protection des données. Cela implique le respect des droits des personnes concernées (si HGA ou une personne concernée demande la suppression ou l’accès à ses données personnelles, le prestataire doit y répondre dans les meilleurs délais) et l’application du niveau de protection requis aux informations personnelles. Le contrat précisera ces obligations et les prestataires pourront être mentionnés sur leurs mécanismes de conformité au RGPD/CCPA lors de l’audit préalable.

En résumé, HGA ne collabore qu’avec des tiers démontrant un engagement en matière de sécurité conforme à ses propres normes. Nous sommes conscients que le risque lié aux tiers représente une part importante du risque global de sécurité de l’information et nous le gérons par une sélection rigoureuse, des accords solides, une surveillance continue et la capacité de faire respecter nos exigences. Les employés en charge des relations avec les fournisseurs doivent veiller à ce que ces étapes soient suivies en coordination avec le responsable de la sécurité et le service juridique de HGA. Si un fournisseur ne respecte pas nos exigences de sécurité ou subit un dysfonctionnement de sécurité majeure, HGA prendra les mesures appropriées, pouvant aller jusqu’à la suspension du partage de données, l’exigence de mesures correctives, voire la rupture définitive de la relation afin de protéger HGA et ses clients.

7. Politique de confidentialité et de protection des données (Conformité au RGPD et au CCPA)

HGA s’engage à protéger les données personnelles et à garantir le respect de la vie privée dans toutes ses activités. Lors du traitement des informations personnelles (qu’elles appartiennent à ses consultants, clients, employés ou utilisateurs finaux de la plateforme numérique), HGA se conforme aux lois applicables en matière de protection des données, notamment le Règlement général sur la protection des données (RGPD) de l’UE et la loi californienne sur la protection de la vie privée des consommateurs (CCPA) . La présente politique décrit comment HGA protège les données personnelles, gère la confidentialité et respecte ses obligations légales en vertu de ces réglementations.

Traitement licite et équitable des données : HGA ne collectea et ne traitera les données personnelles qu’à des fins spécifiques, explicites et légitimes liées à son activité (telles que la facilitation des missions de conseil, la gestion des relations clients et les obligations administratives). Les données personnelles seront traitées de manière loyale et transparente. Les personnes dont les données sont recueillies (personnes concernées) présentent des informations claires sur les finalités de la collecte, les types de données recueillies et leurs droits. Par exemple, la politique de confidentialité de HGA (disponible sur son site web ou sa plateforme) détaillera, de manière facilement accessible, comment les données des consultants et des clients sont utilisées et protégées. HGA s’engage à la transparence de ses politiques de confidentialité et de ses accords d’utilisation , en décrivant clairement comment les données des utilisateurs sont utilisées et protégées [19] . Si une utilisation secondaire des données est envisagée au-delà de la finalité initiale, HGA obtiendra le consentement des utilisateurs ou s’assurera de l’existence d’une autre base légale, le cas échéant.

Minimisation et exactitude des données : HGA ne collecte que les données personnelles pertinentes et limitées à celles nécessaires aux fins matérialisées. Dans la mesure du possible, les données sont anonymisées ou pseudonymisées afin de limiter l’impact sur la vie privée. Les informations personnelles figurant dans les dossiers de HGA sont tenues à jour et exactes. Les personnes concernées (telles que les consultants utilisant la plateforme) sont invitées à mettre à jour leurs informations, et HGA dispose de procédures pour corriger ou supprimer les données inexactes dès leur identification.

Protection de la confidentialité et de l’intégrité : Conformément aux mesures de sécurité générales décrites dans la présente politique, HGA met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès ou divulgation non autorisés [20] . Ces mesures comprennent le contrôle d’accès (seul le personnel autorisé peut accéder aux données personnelles), le chiffrement des données personnelles lors de leur transmission et de leur stockage (par exemple, le stockage des données personnelles dans des bases de données chiffrées) [14] , ainsi que des mesures de sécurité du réseau pour prévenir les violations de données. Les données personnelles sont traitées comme une catégorie d’informations hautement confidentielles. Les employés et les sous-traitants de HGA sont tenus de traiter les données personnelles avec la plus stricte confidentialité ; toute utilisation abusive ou divulgation non autorisée de données personnelles est passible de sanctions disciplinaires. De plus, les données personnelles sont considérées comme une catégorie particulière d’informations confidentielles nécessitant une protection permanente : même lorsque le niveau de sensibilité d’autres données confidentielles de l’entreprise expire, les données personnelles restent protégées [21] .

Compliance with GDPR Principles: For personal data subject to GDPR, HGA adheres to its core principles (lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, integrity/confidentiality, and accountability). Concretely: – HGA has identified valid legal bases for processing personal data (e.g., consent from consultants for using their CV data in proposals, or legitimate interests for internal administrative contacts). Where consent is relied on, it is obtained through a clear affirmative action and can be withdrawn. – Data Subject Rights: HGA upholds the rights of individuals under GDPR. This includes the right to access (individuals can request a copy of their personal data we hold), right to rectification (correct inaccurate data), right to erasure (“right to be forgotten”, to delete personal data upon request when applicable), right to restrict processing, right to data portability, and right to object to certain processing. HGA’s platform features are designed to facilitate some of these rights (for example, providing users easy access to review their personal profile data, and a mechanism to request account deletion)[22]. Internally, HGA has procedures for handling such requests within the required time frames (typically one month for GDPR requests). We verify the identity of requestors to protect against unauthorized access when fulfilling data requests. – Data Transfers: If personal data is transferred across international borders (e.g., between the EU and the U.S.), HGA will ensure adequate safeguards are in place as required by GDPR. This might include using EU Standard Contractual Clauses with service providers or verifying that transfers fall under an approved mechanism. The Consultant Contract explicitly notes consent to transfer personal data internationally as needed for business, in compliance with applicable laws[23]. – Data Protection by Design and Default: HGA incorporates privacy considerations in the design of its systems (for example, making certain personal fields optional if not strictly needed, or masking data in reports that do not require full detail). By default, only necessary personal data is collected and stored.

Conformité aux exigences du CCPA : Pour les données personnelles des résidents californiens, HGA applique des droits et protections similaires à ceux prévus par le CCPA (et le CPRA, tel que modifié). Cela comprend : – L’information des consommateurs californiens sur les catégories de données personnelles collectées et leurs finalités (généralement via la politique de confidentialité du site web). – Le respect du droit de savoir (divulgation, sur demande, des catégories de données personnelles collectées, vendues ou partagées, le cas échéant), du droit à l’effacement des données personnelles (procédure similaire à celle prévue par le RGPD, à quelques exceptions près) et du droit de s’opposer à la vente de ses données personnelles. HGA ne vend pas de données personnelles à des tiers contre rémunération. Si HGA devait partager des données d’une manière constituant une « vente » au sens du CCPA, un mécanisme d’opposition serait mis en place. Un lien « Ne pas vendre ni partager mes informations personnelles » est inclus sur les interfaces utilisateur concernées, le cas échéant. – Si des données personnelles de mineurs (moins de 16 ans) étaient traitées (ce qui est peu probable dans le cadre des activités de HGA), une autorisation expresse serait obtenue conformément au CCPA. – Non-discrimination : HGA ne fera aucune discrimination à l’encontre des personnes exerçant leurs droits à la vie privée (aucune différence de service ou de prix, au-delà de ce qui est autorisé par la loi, par exemple en ce qui concerne la valeur des données).

Conservation et suppression des données : HGA conserve les données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou conformément aux exigences légales ou aux besoins légitimes de l’entreprise (tels que la tenue des registres contractuels, la conformité ou le règlement des litiges). Des durées de conservation sont appliquées aux différentes catégories de données. Par exemple, les données du profil d’un consultant sur la plateforme peuvent être conservées pendant toute la durée de sa mission, plus une période raisonnable par la suite ; les données contractuelles des clients peuvent être conservées pendant plusieurs années à des fins d’archivage légal. Lorsque les données personnelles ne sont plus nécessaires, HGA s’assure de leur suppression ou destruction sécurisée. Cela inclut le déchiquetage des documents physiques et l’utilisation de méthodes d’effacement sécurisées pour les données électroniques. Les données de sauvegarde antérieures à leur durée de conservation sont également purgées, ou, si une suppression immédiate est impossible, elles sont protégées de manière sécurisée jusqu’à ce que leur suppression soit possible.

Notification d’incident/de violation : En cas de compromission de données personnelles malgré nos mesures de sécurité, HGA dispose d’un plan de réponse aux incidents (voir section 9) comprenant des procédures spécifiques pour la gestion des violations de données. Les deux parties (HGA et ses consultants/fournisseurs) s’informent mutuellement sans délai de toute violation ou incident de sécurité concernant les données personnelles de l’autre partie [24] . Si une violation atteint le seuil de notification prévu par le RGPD (risque potentiel d’atteinte aux droits des personnes physiques) ou le CCPA (accès non autorisé à certains types de données personnelles), HGA en informera les autorités réglementaires compétentes (généralement dans les 72 heures suivant la découverte de la violation pour le RGPD) et les personnes concernées sans délai indu, conformément à la loi. Notre notification précisera la nature de la violation, les données concernées, les mesures correctives mises en œuvre et, le cas échéant, des conseils aux personnes concernées pour se protéger.

Responsabilités des employés et des prestataires : Tous les employés, consultants et fournisseurs de HGA doivent comprendre la sensibilité des données personnelles et sont tenus de respecter les politiques de confidentialité et de sécurité. Ils ne peuvent utiliser les informations personnelles qu’à des fins professionnelles légitimes pour HGA et ne doivent en aucun cas les divulguer à des tiers non autorisés. Conformément à nos accords, les consultants s’engagent également à respecter la législation sur la protection des données lors du traitement des données personnelles reçues de HGA ou de ses clients [25] . Une formation régulière (voir section 11) est dispensée sur la protection des données afin de garantir la connaissance des obligations. Toute question relative au traitement des données personnelles doit être adressée au délégué à la protection des données ou au responsable de la sécurité pour obtenir des conseils.

Gouvernance et responsabilité en matière de protection des données : La direction de HGA reconnaît sa responsabilité au titre du RGPD/CCPA. Nous documentons nos activités de traitement (en tenant un registre des activités de traitement conformément à l’article 30 du RGPD, répertoriant les catégories de données, les finalités, les destinataires, etc.). Des analyses d’impact relatives à la protection des données (AIPD) sont réalisées pour tout traitement à haut risque (comme l’utilisation à grande échelle de données sensibles, bien que HGA évite généralement de traiter des données personnelles sensibles telles que les données de santé). HGA a désigné des délégués à la protection des données (DPO ou responsable de la protection des données) et veille à ce que la conformité en matière de protection des données soit intégrée à ses audits et examens internes. Le cas échéant, HGA se soumet au contrôle des autorités de protection des données et démontre facilement sa conformité (par exemple, par le biais de ses politiques, de ses mesures de sécurité techniques, de ses dossiers de formation et de ses contrats avec les fournisseurs).

En respectant cette politique de confidentialité et de protection des données, HGA se conforme non seulement aux réglementations telles que le RGPD et le CCPA, mais renforce également la confiance des personnes dont nous traitons les données. La protection de la vie privée est au cœur des valeurs et des activités de HGA, et chaque membre de l’organisation ainsi que ses partenaires contribuent au respect de ces normes.

8. Politique de sauvegarde et de reprise après sinistre

HGA doit garantir la résilience de ses données et systèmes critiques face aux sinistres, aux pertes de données et autres incidents perturbateurs. Cette section de la politique décrit l’approche adoptée en matière de sauvegarde des données et de planification de la reprise après sinistre (PRA), qui, ensemble, assurent la disponibilité des données, un aspect fondamental de la sécurité de l’information. L’objectif est de garantir à HGA la capacité de rétablir rapidement ses activités normales après un incident et d’éviter toute perte définitive d’informations importantes.

Stratégie de sauvegarde des données : HGA effectue des sauvegardes régulières de tous les systèmes et données critiques . Les bases de données essentielles (telles que la base de données de la plateforme numérique contenant les profils des consultants, les données de projet, les enregistrements de transactions, etc.) sont sauvegardées fréquemment, selon un calendrier conçu pour respecter nos objectifs de point de restauration (RPO). Au minimum, des sauvegardes incrémentielles des bases de données sont effectuées quotidiennement (voire plus fréquemment pour les systèmes à forte évolution), et des sauvegardes complètes sont réalisées chaque semaine. Toutes les sauvegardes de données critiques sont chiffrées et stockées en toute sécurité , soit sur des serveurs de sauvegarde chiffrés, soit sur des bandes magnétiques, soit dans un espace de stockage cloud sécurisé, afin d’empêcher tout accès non autorisé au contenu des sauvegardes [26] . Les fichiers de sauvegarde sont protégés par des contrôles d’accès, de sorte que seul le personnel informatique autorisé puisse y accéder ou les restaurer. Nous utilisons une combinaison de sauvegardes sur site et hors site : des sauvegardes locales pour une restauration rapide et des sauvegardes hors site/dans le cloud pour se prémunir contre les sinistres affectant l’ensemble du site. Par exemple, les sauvegardes de la base de données de production sont automatiquement copiées vers un stockage cloud hors site situé dans une autre région. De même, les documents et fichiers importants stockés sur le serveur S3 de la plateforme sont configurés avec un système de versionnage et des sauvegardes instantanées périodiques.

HGA conserve des sauvegardes pendant une période définie, conforme aux besoins de l’entreprise et aux exigences légales. Les sauvegardes les plus anciennes sont régulièrement supprimées et détruites de manière sécurisée afin d’optimiser le stockage et la sécurité. L’intégrité des sauvegardes est testée régulièrement : le service informatique effectue des tests de restauration d’une sauvegarde de test au moins une fois par trimestre pour vérifier la récupération des données et l’absence de corruption des sauvegardes. Les journaux et rapports de sauvegarde sont surveillés afin de garantir la bonne exécution de chaque sauvegarde planifiée ; toute défaillance est traitée immédiatement.

Plan de reprise d’activité : HGA dispose d’un plan de reprise d’activité (PRA) afin de garantir la continuité des opérations en cas d’incident majeur (catastrophe naturelle, panne matérielle importante, cyberattaque entraînant une interruption de service, etc.). Ce PRA définit nos objectifs de temps de reprise (OTR) – la durée maximale d’indisponibilité visée pour les services critiques – et décrit les processus et les ressources nécessaires pour les atteindre. Pour la plateforme numérique, l’objectif de HGA pourrait être, par exemple, de rétablir les fonctionnalités essentielles de la plateforme dans un délai de 24 à 48 heures après une panne catastrophique et de garantir une perte de données n’excédant pas 24 heures (en fonction de la fréquence des sauvegardes et de la réplication).

Les éléments clés du plan de reprise d’activité (PRA) de HGA sont les suivants : – Redondance de l’infrastructure : lorsque cela est possible, les systèmes de production sont conçus avec une redondance. Pour les composants cloud, cela implique des déploiements multi-AZ ou multi-régions. Pour les composants sur site, la redondance peut inclure une alimentation de secours (UPS, générateurs), des connexions réseau redondantes et du matériel de basculement. – Sites de reprise d’activité / Basculement cloud : HGA est en mesure d’opérer depuis un site secondaire en cas de défaillance du centre de données ou de la région cloud principale. Cela peut impliquer le déploiement de notre plateforme dans une autre région cloud à partir des sauvegardes les plus récentes. Les applications critiques disposent de procédures documentées de redéploiement ou d’activation dans l’environnement de reprise d’activité. Par exemple, si la région A du cloud est indisponible, nous disposons de modèles d’infrastructure en tant que code (IaC) pour déployer les serveurs nécessaires dans la région B et restaurer les données à partir des sauvegardes. – Équipes et communication de reprise d’activité : le plan de reprise d’activité définit les rôles, tels que le coordinateur de reprise d’activité, les membres de l’équipe technique de reprise et les responsables de la communication. Il comprend une liste de contacts à jour pour le personnel clé et le support externe (par exemple, les contacts du support du fournisseur cloud). En cas de sinistre, le coordinateur de reprise d’activité pilotera les opérations et assurera une communication régulière (mises à jour de statut) avec la direction et, le cas échéant, les clients impactés. – Procédures de reprise : Des procédures détaillées, étape par étape, sont documentées pour la reprise de chaque système majeur. Ces procédures peuvent inclure : la reconstruction des serveurs à partir d’images de base ou de modèles cloud, l’installation des logiciels nécessaires, l’application des configurations, la restauration des données à partir de la sauvegarde XYZ, la vérification de leur intégrité et la migration du DNS ou du réseau vers le nouvel environnement. Pour la plateforme numérique, la procédure peut décrire la reconstruction de la base de données à partir de la dernière sauvegarde et la reconfiguration des serveurs d’applications pour qu’ils y pointent, etc. Ces procédures sont mises à jour en fonction de l’évolution des systèmes.

Tests réguliers : Un plan de reprise d’activité (PRA) est inutile s’il n’est pas testé. HGA s’engage à tester régulièrement son PRA (au moins une fois par an) [27] . Ces tests peuvent inclure des simulations, des exercices de simulation sur table et des exercices techniques de reprise. Par exemple, l’équipe informatique peut effectuer un test de basculement partiel en simulant la perte de la base de données principale et en s’entraînant à restaurer le service dans l’environnement de reprise d’activité. Les résultats des tests sont documentés et les lacunes ou problèmes identifiés servent à améliorer le plan. Au fil du temps, ces tests permettent de s’assurer que le personnel maîtrise son rôle dans le cadre du PRA et que les objectifs de temps de reprise sont réalistes.

Considérations relatives à la continuité des activités : Bien que cette politique soit axée sur la reprise après sinistre informatique, elle s’inscrit dans une planification plus globale de la continuité des activités. HGA veille à ce que les processus métier critiques (et pas seulement les systèmes informatiques) puissent se poursuivre ou reprendre rapidement après une interruption. Cela inclut la mise en place de procédures de contournement manuelles en cas de panne des systèmes informatiques et la possibilité pour le personnel essentiel de travailler à distance si un bureau est inaccessible. Par exemple, si un bureau régional est touché par une catastrophe naturelle, le personnel peut travailler depuis d’autres sites et accéder aux systèmes en toute sécurité via un accès distant/VPN, à condition que les systèmes principaux soient rétablis conformément au plan de reprise après sinistre.

Alimentation de secours et contrôle environnemental : Les centres de données et les salles réseau de HGA sont équipés d’onduleurs pour pallier les brèves coupures de courant, ainsi que de groupes électrogènes (ou équivalents chez le fournisseur de services cloud) pour les pannes prolongées, afin de protéger le matériel et d’éviter les arrêts brusques susceptibles d’entraîner une corruption des données. Des systèmes de contrôle environnemental (climatisation, protection incendie) protègent les équipements qui font fonctionner notre plateforme.

Priorisation de la restauration : Le plan de reprise d’activité (PRA) définit les systèmes à restaurer en priorité. Généralement, les systèmes sont classés par ordre de criticité. La plateforme numérique destinée aux clients et aux consultants est prioritaire, tandis que les systèmes internes, comme la gestion des feuilles de temps, sont secondaires. Le respect des priorités permet une allocation efficace des ressources limitées en cas de sinistre.

Tous les employés de HGA doivent connaître la procédure à suivre en cas de sinistre. Pendant que les équipes techniques mettent en œuvre les procédures de reprise d’activité, les autres employés doivent connaître les étapes essentielles, comme savoir qui contacter et comment obtenir des informations (par exemple, en cas d’indisponibilité de la messagerie électronique, un système d’appel d’urgence ou un canal de communication externe pourrait être utilisé). Ces informations sont également intégrées à la formation de sensibilisation à la sécurité.

En conclusion, grâce à des sauvegardes robustes et à un plan de reprise d’activité complet et éprouvé, HGA garantit la continuité de ses opérations et la disponibilité de ses données, même en cas d’événements imprévus. Ceci répond non seulement aux exigences de la norme ISO 27001 en matière de continuité d’activité et à la fonction de récupération du NIST, mais surtout, cela préserve la confiance de nos clients et utilisateurs quant à la fiabilité des services HGA. La direction soutient et finance ces activités, consciente de leur importance cruciale.

9. Journalisation, surveillance et réponse aux incidents

La détection précoce des problèmes de sécurité et une réponse rapide et efficace aux incidents sont les piliers du programme de sécurité de HGA. Cette section décrit comment HGA surveille ses systèmes afin de détecter les événements de sécurité (journalisation et surveillance) et le processus de réponse et de gestion des incidents de sécurité. L’objectif est d’identifier et de contenir rapidement les menaces, de minimiser les dommages et de tirer des enseignements des incidents pour améliorer les défenses futures, conformément aux fonctions de détection et de réponse du NIST et aux contrôles de gestion des incidents de la norme ISO 27001.

Journalisation et pistes d’audit : Les systèmes HGA sont configurés pour générer des journaux des activités importantes liées à la sécurité. Cela inclut les journaux d’application, les journaux serveur/système et les journaux des périphériques réseau. Plus précisément : – Journaux d’activité utilisateur : La plateforme numérique HGA enregistre les activités des utilisateurs telles que les connexions, les déconnexions, les modifications de mot de passe, la création ou la consultation de documents sensibles et les actions administratives. L’accès aux documents est journalisé et surveillé afin de détecter toute activité inhabituelle [15] , de même que les transactions critiques (par exemple, toute modification des données financières ou des autorisations). – Journaux système et de sécurité : Les systèmes d’exploitation des serveurs journalisent les événements d’authentification, l’exécution des processus et les erreurs. Les pare-feu et les VPN journalisent les tentatives de connexion (trafic autorisé et bloqué, réussite/échec de la connexion VPN). Si des systèmes de détection/prévention d’intrusion (IDS/IPS) ou un système de gestion des informations et des événements de sécurité (SIEM) sont utilisés, ils agrègent les journaux et signalent les anomalies. – Protection des journaux d’audit : Les journaux sont stockés sur un serveur de journalisation centralisé et protégé contre toute falsification. Seuls les administrateurs autorisés peuvent consulter ou effacer les journaux, et leur intégrité est protégée (idéalement par un stockage à écriture unique ou des services de journalisation dans le cloud). Les journaux des systèmes critiques sont conservés pendant une période définie (par exemple, les journaux d’application et de sécurité sont conservés en ligne pendant au moins un an et archivés si nécessaire) afin de faciliter les enquêtes et les audits de conformité.

• Analyse des journaux : La simple collecte des journaux est insuffisante ; le personnel de HGA (ou des outils automatisés) doit les analyser. L’équipe de sécurité informatique configure des alertes automatisées pour certains événements (par exemple, des tentatives de connexion infructueuses répétées déclenchant une alerte pour une possible attaque par force brute, ou des connexions inhabituelles en dehors des heures de travail par des utilisateurs privilégiés). De plus, une analyse manuelle quotidienne ou hebdomadaire des rapports de synthèse est effectuée afin de détecter les indicateurs plus subtils. Par exemple, les administrateurs examinent les journaux d’accès et les journaux de modifications pour repérer tout changement inattendu.

Surveillance continue de la sécurité : HGA utilise une surveillance continue pour identifier en temps réel les failles de sécurité potentielles et les violations de politiques. Cette surveillance repose sur l’utilisation d’outils et de processus automatisés : – Systèmes de détection d’intrusion (IDS) : Les capteurs IDS du réseau surveillent le trafic entrant et interne afin de détecter les schémas suspects ou les signatures d’attaques connues. De même, la protection IDS/des terminaux basée sur l’hôte peut alerter en cas de comportement suspect sur les serveurs ou les terminaux. – Surveillance de l’intégrité des fichiers : Les fichiers système critiques et les configurations peuvent être surveillés afin de détecter toute modification non autorisée. – Intégration des renseignements sur les menaces : HGA se tient informée des menaces émergentes. Les indicateurs de compromission (IoC) provenant des flux de renseignements sur les menaces (tels que les adresses IP malveillantes ou les hachages de fichiers) peuvent être chargés dans les outils de sécurité afin de signaler leur apparition dans notre environnement. – Surveillance de la sécurité du cloud : Pour les ressources cloud, nous utilisons une surveillance de sécurité native du cloud (par exemple, AWS CloudWatch/CloudTrail pour surveiller les appels d’API, les activités suspectes et les modifications de configuration dans notre environnement cloud). En résumé, une surveillance continue du système est en place pour détecter les failles de sécurité ou les activités suspectes, avec des outils automatisés et des systèmes de détection d’intrusion [28] pour alerter rapidement l’équipe de sécurité.

Plan de réponse aux incidents : HGA dispose d’un plan de réponse aux incidents (PRI) documenté qui encadre les actions à entreprendre lorsqu’un incident de sécurité est suspecté ou confirmé. Un incident est tout événement qui compromet la confidentialité, l’intégrité ou la disponibilité des informations – par exemple, une infection par un logiciel malveillant, une intrusion détectée, la perte d’un ordinateur portable contenant des données sensibles ou un abus de privilèges en interne. Le PRI décrit les phases de gestion des incidents : 1. Préparation : (Les mesures proactives sont couvertes par nos politiques, nos formations et nos outils – en résumé, tout ce qui précède la détection d’un incident. Le document PRI lui-même, la formation de l’équipe d’intervention et les outils en place font partie intégrante de la préparation.) 2. Détection et analyse : Lorsque des alertes provenant des systèmes de surveillance ou des signalements du personnel indiquent un incident potentiel, l’équipe d’intervention (EI) vérifie et analyse la situation. Tous les employés sont tenus de signaler immédiatement tout incident de sécurité suspecté (par exemple, un comportement inhabituel du système, des données qui semblent avoir été consultées illégalement, un courriel d’hameçonnage reçu). L’EI recueille des informations à partir des journaux, des systèmes affectés et des témoignages afin de déterminer la nature et l’étendue de l’incident. 3. Confinement : Dès la confirmation d’un incident, la priorité absolue est d’en limiter les dégâts. Selon la nature de l’incident, cela peut impliquer l’isolement des systèmes affectés (par exemple, la mise hors service d’un serveur compromis, la désactivation d’un compte utilisateur piraté), la mise en place de blocages temporaires au niveau du pare-feu (blocage d’une adresse IP impliquée dans une attaque) ou d’autres mesures de quarantaine. L’objectif est d’empêcher l’incident de s’aggraver (stopper l’exfiltration de données, la propagation de logiciels malveillants, etc.). 4. Éradication : Une fois l’incident confiné, la cause première est traitée. Cela peut impliquer la suppression des logiciels malveillants des systèmes, la correction des vulnérabilités (installation de correctifs si une faille a été exploitée), la désactivation des comptes compromis ou des portes dérobées et, dans certains cas, la reconstruction complète d’un système à partir de sauvegardes saines afin de garantir l’élimination de la menace. 5. Restauration : Une fois les systèmes nettoyés et sécurisés, leur fonctionnement normal est rétabli avec précaution. Par exemple, la remise en ligne d’un serveur corrigé, la restauration des données à partir de sauvegardes si elles ont été corrompues ou chiffrées (par exemple, dans le cas d’une attaque par rançongiciel) et une surveillance étroite afin de détecter tout signe de réapparition du problème. Lors de la récupération, nous veillons à ce que toutes les informations d’identification compromises soient réinitialisées et que les systèmes soient entièrement corrigés afin d’empêcher toute nouvelle intrusion. 6. Analyse post-incident (Leçons apprises) :Une fois un incident résolu, l’équipe d’intervention en cas d’incident (IRT) procède à un débriefing et à une analyse afin de comprendre ce qui s’est passé, comment l’incident a été géré et quelles améliorations peuvent être apportées. Un rapport d’incident formel est rédigé, documentant la chronologie, l’impact et les actions entreprises. L’équipe identifie les éventuelles lacunes dans la réponse ou les contrôles et met à jour le plan de réponse aux incidents ou autres politiques en conséquence. Des exercices réguliers et des mises à jour du plan de réponse sont effectués pour faire face à l’évolution des menaces de sécurité [29][29] , garantissant ainsi une amélioration continue.

L’équipe de réponse aux incidents est dirigée par le RSSI ou un responsable des incidents désigné et comprend des administrateurs informatiques ainsi que des représentants des services concernés (par exemple, les RH en cas d’incident interne, le service juridique si des données clients sont impliquées et qu’une notification est requise, etc.). Les coordonnées de l’équipe (y compris les moyens de contact en dehors des heures ouvrables) sont tenues à jour et testées. Nous collaborons également avec des experts externes (consultants en réponse aux incidents ou spécialistes en criminalistique numérique) que nous pouvons mobiliser rapidement pour les incidents graves dépassant nos capacités internes. Les forces de l’ordre ou des experts en cyberassurance peuvent être impliqués si nécessaire (par exemple, en cas de violation de données importante ou d’activité criminelle, sur avis juridique).

Notification et communication : Le plan de réponse aux incidents comprend des directives de communication. En interne, la direction concernée est immédiatement informée des incidents graves. En cas d’incident impliquant une violation de données personnelles ou tout autre impact réglementaire, le DPO et le service juridique sont mobilisés pour gérer les notifications aux autorités (conformément à la section 7, par exemple, la règle des 72 heures du RGPD) ou aux personnes concernées. En externe, toute communication destinée aux clients, partenaires ou au public est gérée avec soin afin d’en garantir l’exactitude et la conformité (elle est généralement vérifiée par les services juridiques et de communication). HGA s’engage à la transparence envers ses clients en cas d’atteinte à leurs données et leur fournira des mises à jour et des conseils en temps opportun afin de limiter tout préjudice.

Enregistrement des incidents : Tous les incidents et quasi-accidents sont consignés dans un registre des incidents. Ce registre permet de suivre la fréquence et les types d’incidents, ce qui est utile pour identifier les tendances et les points à améliorer. Il constitue également une preuve de nos pratiques de gestion des incidents lors des audits de conformité (les auditeurs ISO 27001 s’attendent à ce que les incidents soient enregistrés et traités de manière systématique).

Amélioration continue : grâce à la combinaison de la surveillance et de la gestion des incidents, HGA vise à créer un cycle de rétroaction qui renforce la sécurité. Par exemple, si un utilisateur clique sur un courriel d’hameçonnage, mais que celui-ci est détecté à temps, la gestion de l’incident peut permettre d’améliorer les filtres de messagerie et de renforcer la formation (section 11). Si une vulnérabilité est exploitée, le correctif est mis en œuvre et des mesures préventives (comme une meilleure gestion des correctifs ou des analyses de sécurité) sont également déployées. Nous considérons chaque incident, mineur ou majeur, comme une occasion d’apprendre et d’affiner nos défenses.

En mettant en œuvre une journalisation complète et un système de réponse aux incidents, HGA réduit considérablement l’impact potentiel des incidents de sécurité. Ainsi, les menaces sont non seulement traitées rapidement, mais les parties prenantes (clients, direction, autorités de réglementation) peuvent également faire confiance à HGA pour gérer les incidents de manière professionnelle et efficace, minimisant ainsi les dommages et les interruptions de service.

10. Politique de conformité et d’audit

HGA opère dans un environnement réglementé et s’engage à respecter l’ensemble des lois, réglementations, normes sectorielles et exigences contractuelles de sécurité applicables. La présente politique de conformité et d’audit décrit comment HGA garantit le respect de ces obligations et vérifie en permanence l’efficacité de ses contrôles de sécurité de l’information par le biais d’audits et d’évaluations. Son champ d’application couvre la conformité aux référentiels tels que l’ISO 27001 et le NIST CSF, les exigences légales (RGPD, CCPA, comme indiqué ; ainsi que toute réglementation sectorielle spécifique) et la conformité aux politiques internes.

Conformité réglementaire et juridique : HGA identifie et se tient informée de toutes les lois et réglementations applicables à ses opérations et à ses données. Outre le RGPD et le CCPA (traités à la section 7), cela peut inclure des lois telles que les lois sur la notification des violations de données, les lois sur la protection de la vie privée au travail et toute exigence spécifique des clients. L’équipe juridique et conformité de HGA, en coordination avec le responsable de la sécurité, assure une veille réglementaire. L’entreprise met à jour ses politiques et pratiques afin de rester conforme aux lois nouvelles ou modifiées. Par exemple, si une nouvelle réglementation sur la protection de la vie privée entre en vigueur dans une juridiction où HGA exerce ses activités, HGA prend les mesures nécessaires pour en appliquer les exigences. Des examens périodiques sont menés pour garantir la conformité continue avec toutes les lois, réglementations et normes applicables, et pour adapter les mesures de conformité en fonction des nouvelles réglementations ou normes sectorielles [30] . Cette approche proactive permet d’éviter les infractions et témoigne de la diligence raisonnable.

Tous les employés et consultants sont tenus de respecter les lois applicables dans le cadre de leur travail (comme indiqué dans notre contrat de consultant, à la section relative à la conformité légale générale) [31] . Tout manquement ou infraction à la loi constaté doit être immédiatement signalé à la direction ou au responsable de la conformité afin que des mesures correctives puissent être prises.

Alignement avec les normes ISO 27001 et NIST CSF : Comme indiqué, le système de gestion de la sécurité de l’information (SGSI) de HGA est basé sur la norme ISO/CEI 27001. Cela implique la tenue à jour de la documentation relative aux contrôles (les politiques décrites dans ce document et les procédures associées), la réalisation d’évaluations et de traitements des risques, ainsi que la réalisation d’une revue de direction du SGSI au moins une fois par an. Un audit interne du SGSI sera effectué annuellement afin d’évaluer la conformité aux exigences de la norme ISO 27001 et l’efficacité des contrôles. Les non-conformités identifiées font l’objet d’actions correctives. Bien qu’une certification formelle à la norme ISO 27001 puisse être envisagée, HGA mettra en œuvre son programme comme si elle visait cette certification, afin de garantir sa rigueur.

HGA utilise également le cadre de cybersécurité du NIST comme guide, ce qui signifie que nous évaluons notre maturité dans les cinq domaines clés (Identifier, Protéger, Détecter, Réagir, Restaurer) et que nous nous efforçons de l’améliorer. La correspondance entre nos politiques et les catégories du cadre de cybersécurité du NIST est maintenue afin de garantir l’absence de lacunes importantes.

Audits de sécurité (internes et externes) : HGA réalise régulièrement des audits internes et des évaluations de sécurité afin de vérifier la bonne mise en œuvre des contrôles techniques et administratifs [16] . Ces audits peuvent être effectués par l’équipe de sécurité de HGA, son service d’audit interne ou par des consultants externes qualifiés pour obtenir un avis indépendant. Leur portée peut inclure l’examen des droits d’accès des utilisateurs, la vérification de la configuration des pare-feu, l’analyse du code pour garantir des pratiques de développement sécurisées, le respect des procédures de traitement des données, etc. Chaque domaine important de cette politique peut faire l’objet d’un audit. Les conclusions des audits internes sont communiquées à la direction et leur résolution est suivie.

De plus, HGA reconnaît l’importance des audits et certifications externes . Lorsque les clients ou les normes l’exigent, HGA peut se soumettre à des audits indépendants (par exemple, un audit SOC 2 Type II pour la sécurité, si les contrats clients le prévoient). De même, dans le cadre d’une démarche de certification ISO 27001, des auditeurs externes vérifieront notre système de management de la sécurité de l’information (SMSI). HGA traitera rapidement toute observation ou non-conformité relevée lors de ces audits et améliorera continuellement ses contrôles.

Audits clients et tiers : Certains clients, notamment les grandes entreprises ou celles opérant dans des secteurs réglementés, peuvent se prévaloir du droit d’auditer la sécurité de HGA dans le cadre de leurs contrats. HGA coopérera pleinement aux audits de sécurité et questionnaires raisonnables menés par ses clients ou partenaires, conformément aux termes contractuels. Nous fournirons des informations exactes et véridiques sur nos contrôles et, si nécessaire, autoriserons des inspections sur site ou des tests d’intrusion dans des conditions contrôlées afin de répondre aux préoccupations de nos clients. Notre politique de gestion des fournisseurs (section 6) exige la même chose de nos fournisseurs ; HGA s’engage donc à respecter ces obligations envers ses clients.

Surveillance de la conformité : Au-delà des audits formels, HGA assure une surveillance continue de la conformité. Cela implique de vérifier que les opérations quotidiennes respectent les politiques en vigueur ; par exemple, de s’assurer que les nouvelles recrues suivent bien leur formation en sécurité, que les sauvegardes sont effectuées comme prévu (conformité à la politique de sauvegarde) ou que les revues d’accès (section 2) ont lieu dans les délais impartis. Le responsable de la sécurité ou le responsable de la conformité peut utiliser des listes de contrôle ou des outils automatisés pour valider en permanence la conformité. Les écarts ou exceptions sont documentés et corrigés. Si une dérogation à la politique est nécessaire (par exemple, si une situation particulière rend l’application stricte de la politique impossible), elle doit faire l’objet d’une demande formelle, d’une évaluation des risques, d’une approbation par la direction et être documentée avec une date d’expiration ou de révision. Cela nous permet de gérer les exceptions au lieu de les laisser fragiliser notre programme en silence.

Journalisation et justificatifs d’audit : HGA est consciente que les audits (internes ou externes) nécessitent souvent des justificatifs. Nous conservons des journaux, des rapports et des enregistrements comme preuves de conformité. Il peut s’agir, par exemple, de registres de présence aux formations, de validations des accès, de rapports d’incidents, de tickets de gestion des changements, de résultats d’analyses de vulnérabilité, etc. Ces documents sont conservés conformément à notre politique de conservation des données et sont facilement accessibles à des fins d’audit. Par exemple, pour prouver la sécurité de notre plateforme, nous conservons les résultats des tests d’intrusion et les mesures correctives mises en œuvre ; pour prouver notre conformité au RGPD, nous conservons les enregistrements des activités de consentement ou de traitement, etc.

Revue de direction : Au moins une fois par an, la direction de HGA (l’équipe de direction, incluant le PDG/associés gérants et le RSSI) examine l’état général du programme de sécurité de l’information. Cette revue prend en compte les résultats des audits, l’état des évaluations des risques, les incidents survenus, l’avancement des projets de sécurité et tout changement de contexte (nouvelle activité, nouvelle réglementation). La direction décide ensuite des modifications nécessaires à apporter à la politique ou à l’allocation des ressources. Cette pratique, exigée par la norme ISO 27001, garantit que la sécurité reste alignée sur les objectifs de l’entreprise et bénéficie d’une attention prioritaire.

Sanctions et application : Le respect de cette politique est obligatoire. HGA veillera à son application ainsi qu’à celle des normes associées. En cas de non-respect des exigences de sécurité par un employé, un consultant ou un fournisseur, HGA prendra les mesures appropriées. Pour les employés, ces mesures peuvent aller d’une formation complémentaire et d’un avertissement pour les infractions mineures commises une première fois, jusqu’au licenciement en cas de négligence grave ou intentionnelle. Les consultants peuvent faire l’objet d’une résiliation de contrat. Les fournisseurs s’exposent à des sanctions contractuelles, voire à une résiliation, conformément aux termes du contrat, en cas de manquement à leurs obligations de sécurité (par exemple, une violation de données due à la négligence d’un fournisseur peut entraîner des sanctions pour rupture de contrat). Les mesures d’application seront coordonnées avec les Ressources Humaines et le service Juridique, le cas échéant, afin de garantir l’équité et la conformité avec la législation du travail locale.

Amélioration continue de la conformité : Le contexte réglementaire évolue. HGA s’engage non seulement à respecter les exigences actuelles, mais aussi à anticiper les futures. Nous envisageons de nous aligner sur les meilleures pratiques et les cadres de référence émergents (par exemple, si de nouvelles normes de protection de la vie privée ou une extension des normes ISO telles que l’ISO 27701 pour la protection de la vie privée ou l’ISO 22301 pour la continuité des activités deviennent pertinentes, nous évaluerons leur adoption). La conformité n’est pas perçue comme une simple formalité, mais comme un élément essentiel de la mission de HGA, fondée sur la confiance et la qualité de service.

En résumé, grâce à des efforts constants de mise en conformité et à des audits rigoureux, HGA garantit à ses parties prenantes (direction interne, clients et autorités de réglementation) que ses mesures de sécurité de l’information sont non seulement en place, mais aussi efficaces et constamment améliorées. Nous appuyons nos engagements par des vérifications : « faire confiance, mais vérifier » est un principe fondamental de notre gouvernance en matière de sécurité.

11. Politique de sensibilisation et de formation

La technologie et les politiques, à elles seules, ne peuvent garantir la sécurité d’une organisation si les personnes qui les utilisent ne sont pas informées et vigilantes. La politique de sensibilisation et de formation de HGA veille à ce que tous les employés, consultants et tiers concernés reçoivent une formation de sensibilisation à la cybersécurité et une formation adaptée à leur rôle, afin qu’ils comprennent leurs responsabilités en matière de sécurité et soient capables d’identifier les risques et d’y réagir. Instaurer une culture de la sécurité chez HGA est une priorité absolue, soutenue par des actions de communication et de formation régulières.

Formation d’intégration : Chaque nouvel employé ou consultant de longue durée de HGA doit suivre une formation initiale à la sécurité de l’information dans le cadre de son intégration. Cette formation aborde les principes fondamentaux des politiques de sécurité de HGA (notamment les règles d’utilisation, la protection des données, le signalement des incidents, etc.), l’importance de la protection des données clients et personnelles, ainsi que des conseils pratiques tels que la création de mots de passe robustes et l’utilisation de l’authentification multifacteur (MFA). Les nouveaux employés doivent signer un accusé de réception attestant avoir lu et s’engager à respecter la politique de sécurité de l’information et les accords de confidentialité associés. Pour les prestataires et fournisseurs externes ayant accès aux systèmes de HGA, HGA propose une formation d’intégration similaire ou exige du fournisseur qu’il démontre que son personnel a reçu une formation équivalente en matière de sensibilisation à la sécurité.

Formation régulière de sensibilisation à la sécurité : HGA organise des formations régulières de sensibilisation à la sécurité pour tous les utilisateurs , généralement une fois par an, ou plus fréquemment si nécessaire [32] . Ces formations peuvent prendre la forme de modules en ligne, d’ateliers en présentiel ou de webinaires interactifs. Le contenu est régulièrement mis à jour afin de prendre en compte les menaces les plus récentes et de renforcer les politiques clés. Les thèmes abordés incluent généralement : la protection des informations sensibles et le respect des principes de confidentialité des données ; les bonnes pratiques en matière de sécurité des appareils et du réseau (par exemple, ne pas cliquer sur des liens suspects, éviter les réseaux Wi-Fi non sécurisés, utiliser correctement un VPN) ; la reconnaissance et le signalement des courriels d’hameçonnage ou des tentatives d’ingénierie sociale [32] ; l’utilisation sécurisée des mots de passe et des authentificateurs, et la prévention de la réutilisation des identifiants professionnels sur d’autres sites ; les rappels relatifs à la sécurité physique (tels que l’accès aux bâtiments ou la gestion des visiteurs, le cas échéant) ; les procédures de signalement des incidents (que faire en cas de perte d’un appareil, de suspicion de logiciel malveillant ou d’observation d’une activité inhabituelle) ; et les incidents récents ou les enseignements tirés au sein de HGA ou du secteur (afin de rendre la formation pertinente et actuelle).

La formation comprendra souvent des questionnaires ou des mises en situation pour garantir l’implication des participants. HGA conserve un registre des personnes ayant suivi la formation. La participation à la formation annuelle de sécurité est obligatoire ; tout manquement à cette obligation pourra entraîner des mesures de la part des ressources humaines (et l’accès au système pourra être désactivé pour les personnes ayant un retard important dans leur formation).

Formation spécialisée par rôle : Outre la sensibilisation générale de l’ensemble du personnel, certains rôles bénéficient d’une formation complémentaire adaptée à leurs responsabilités : – Développeurs et administrateurs informatiques : Ils reçoivent une formation sur le codage sécurisé, la configuration sécurisée, la gestion des vulnérabilités et d’autres bonnes pratiques de sécurité technique. Par exemple, les développeurs peuvent suivre une formation sur les 10 principales vulnérabilités OWASP afin de prévenir les vulnérabilités courantes des applications, et les administrateurs système peuvent être formés aux outils de réponse aux incidents ou à la configuration de la sécurité du cloud. – Direction et cadres : Ils sont informés de la gouvernance de la sécurité, de la gestion des risques et du rôle du leadership dans la promotion d’un environnement axé sur la sécurité. Une formation à la communication de crise en cas d’incident majeur peut également être dispensée. – Membres de l’équipe de réponse aux incidents : Ils reçoivent des formations périodiques ou participent à des simulations de scénarios d’incidents afin de mettre en pratique leurs compétences en matière de réponse (comme des exercices de simulation de violation de données). – Délégué à la protection des données (et son équipe) : Ils participent à des formations ou des ateliers spécialisés sur les lois relatives à la protection des données, le traitement des demandes des personnes concernées, etc., afin de maintenir leurs connaissances à jour.

Sensibilisation et culture continues : Au-delà des formations formelles, HGA encourage une culture de la sécurité continue grâce à diverses initiatives : – Rappels et bulletins de sécurité : L’équipe informatique/sécurité envoie régulièrement des conseils et des alertes. Par exemple, une newsletter peut présenter un « Conseil du mois », comme la manière de repérer une tentative d’hameçonnage, ou alerter en cas de nouvelle vulnérabilité critique (comme un piratage largement médiatisé), avec des instructions sur les mesures à prendre par les employés. Nous pouvons également afficher des posters ou publier des messages sur l’intranet concernant les bonnes pratiques de sécurité lors de certaines campagnes (par exemple, en octobre, mois de la sensibilisation à la cybersécurité). – Simulations d’hameçonnage : Pour renforcer la formation sur l’hameçonnage, l’équipe de sécurité de HGA peut mener des tests contrôlés par e-mail. Les employés reçoivent de faux e-mails d’hameçonnage et ceux qui cliquent dessus sont immédiatement redirigés vers une page pédagogique expliquant les signaux d’alerte manqués. Les résultats permettent d’identifier les personnes qui pourraient avoir besoin d’une formation de rappel. Au fil du temps, ces exercices visent à améliorer notre « pare-feu humain » collectif. – Activités interactives : Certaines organisations organisent des événements tels que des quiz sur la sécurité ou des ateliers (parfois appelés « sessions déjeuner-formation »). HGA peut adopter de telles pratiques pour maintenir un niveau d’engagement élevé. – Communication de la direction : La direction de l’entreprise s’exprime régulièrement sur l’importance de la sécurité (par exemple, un message du PDG ou du RSSI expliquant pourquoi la participation de chacun est essentielle). Cette priorité accordée à la sécurité par la direction aide les employés à comprendre qu’il ne s’agit pas seulement d’un problème informatique, mais d’une priorité pour l’organisation.

Signalement et communication ouverte : Sensibiliser les employés est essentiel pour qu’ils sachent qu’ils peuvent et doivent signaler les problèmes de sécurité sans crainte de représailles. HGA encourage le principe « si vous voyez quelque chose, signalez-le » . Si un employé clique accidentellement sur un lien malveillant ou perd un appareil, il est informé que le signaler immédiatement est la meilleure solution (afin que le problème puisse être résolu) et que HGA privilégie les solutions aux sanctions. Nous mettons à disposition des canaux clairs pour signaler les incidents ou poser des questions de sécurité, comme une ligne d’assistance téléphonique interne ou une adresse e-mail dédiée : security@[entreprise].org. Les signalements peuvent même être anonymes (nous insistons toutefois sur le fait que les erreurs commises de bonne foi et signalées rapidement ne feront l’objet d’aucune sanction disciplinaire, contrairement à la négligence délibérée ou aux problèmes non signalés).

Mesure de l’efficacité des formations : HGA mesurera l’efficacité de ses actions de formation et de sensibilisation. Cela peut se faire en suivant la participation et les résultats du quiz, en surveillant des indicateurs comme les taux de clics sur les tests de phishing (avec pour objectif de les réduire progressivement), et même en intégrant des questions relatives à la sécurité dans les enquêtes de satisfaction des employés. Si certains services présentent des lacunes en matière de compréhension, des campagnes ciblées pourront être mises en place. Le responsable de la sécurité analysera ces indicateurs dans le cadre du suivi du SMSI et communiquera les résultats à la direction. Une démarche d’amélioration continue sera appliquée : par exemple, si les retours sur la formation indiquant qu’elle était trop technique, nous adaptons son contenu pour le rendre plus accessible.

Sensibilisation des prestataires et fournisseurs : Bien que nous ne puissions pas former directement les employés des prestataires externes dans tous les cas, nous veillons, par le biais de contrats, à ce que ces derniers dispensent à leur personnel une formation adéquate (voir section 6). Lorsque des prestataires interviennent sur site ou disposent d’un accès important, nous leurs communiquons nos politiques pertinentes. De même, les consultants indépendants engagés via notre plateforme sont informés de leurs obligations par le biais du contrat, qui comprend des clauses de conformité et de confidentialité. Par exemple, notre contrat de consultant exige le respect des normes d’éthique et de conformité [31]  ; nous complétons cette exigence en fournissant les conseils nécessaires concernant les exigences spécifiques de sécurité de HGA lorsqu’ils travaillent sur des projets HGA.

En mettant en œuvre un programme complet de sensibilisation et de formation, HGA réduit considérablement le risque d’erreur humaine à l’origine d’incidents de sécurité. Des employés compétents constituant la première ligne de défense : ils permettent d’éviter de nombreux incidents et jouent un rôle essentiel dans la détection active des problèmes (en signalant les anomalies que les outils automatisés pourraient manquer). Développer ces connaissances et cette culture de la sécurité est un effort continu auquel HGA s’engage pleinement, comme en témoignent les ressources allouées et le soutien de la direction aux initiatives de sensibilisation à la sécurité.