Sécurité
La sécurité de l'information, le maillon le plus fort de la sécurité
normes de sécurité clairement identifiées
Les données des clients sont confidentielles par définition et sont régies par des règles de protection qui limitent le traitement et la transmission à la seule finalité pour laquelle les données ont été fournies conformément au contrat.
Un programme de sensibilisation promeut la sécurité de l'information parmi les membres du personnel en établissant une culture de sécurité qui les responsabilise. Le programme renforce notre sécurité de l'information en rappelant l'importance d'appliquer des valeurs éthiques et des principes de conduite, ainsi que les règles à suivre et les sanctions qui peuvent être encourues. Un programme de formation sur la sécurité propose des cours pour différentes catégories de personnel : Managers, Sales et Avant-Sales Officers, Developers, Administrators, CIOs, etc.
Les périmètres de sécurité définissent des niveaux de sécurité qui peuvent être spécifiques, et en fonction des risques identifiés sont cloisonnés avec des mesures de sécurité physiques et logiques qui permettent de restreindre l'accès selon des règles d'habilitation.
L'accès aux systèmes d'information est géré selon des zones à la fois physiques et logiques. La gestion des accès repose sur le principe du « moindre privilège » et se limite au strict nécessaire. Les autorisations sont revues régulièrement, en tenant compte des personnes arrivées, transférées et parties.
Les besoins de sécurité et de compliance sont étudiés dès la mise en place d'une nouvelle activité en interne ou au profit de clients. L'organisation nécessaire peut alors être mise en place pour assurer la sécurité dans le Build and Run de l'activité.
Les mesures de sécurité sont appliquées de manière globale – pour les locaux, les personnes, les réseaux et les équipements informatiques. Les postes de travail sont sécurisés avec un outil qui indique le niveau de sécurité de chaque appareil et restreint son accès aux réseaux (solution NAC). Les équipements et les connexions utilisés pour le télétravail et le travail mobile sont protégés par une gestion des appareils mobiles (MDM) et des tunnels de communication sécurisés sous la forme de réseaux privés virtuels (VPN). Tous les flux du réseau sont filtrés et surveillés.
Ces services et produits sont protégés en intégrant des mesures dans les applications pour assurer un niveau de sécurité de pointe. L'objectif principal de ces mesures est de garantir la résilience des services, l'intégrité des traitements et la protection des données. Des développements sont faits pour protéger les logiciels contre les failles de sécurité connues répertoriées dans les principaux standards tels que l'OWASP.
La sécurité opérationnelle est assurée par la répartition géographique des locaux du Groupe où de nombreuses activités similaires permettent d'opérer à distance. La redondance du système client est basée sur des exigences contractuelles définies. Toutes les mesures de continuité sont décrites dans des plans de continuité d'activité (PCA) pour chaque site et projet.
Pour maintenir le niveau de confiance attendue, les parties prenantes d'Inetum se tiennent au courant des nouvelles technologies et réglementations en s'appuyant sur les publications et les alertes des CERT et des groupes d'experts.
Une organisation et des procédures spécifiques garantissent la réactivité dans l'identification et la résolution des incidents. Celles-ci sont analysées afin de définir des actions pour améliorer la sécurité. Les clients sont informés des incidents de sécurité pouvant les impacter, selon les conditions définies dans le plan d'assurance sécurité (PAS). Une cellule de crise est activée pour gérer les incidents de sécurité critiques.
La gouvernance de la sécurité d'Inetum est conforme à la norme ISO 27001 basée sur un processus d'amélioration continue à 3 niveaux :
- Opérations : en réponse aux incidents de sécurité
- Processus de sécurité avec un programme d'audit interne annuel
- Stratégie de sécurité avec des revues de direction