Politique de sécurité

Bizneo dépend de systèmes d'information. Ces systèmes sont gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés susceptibles d'affecter la disponibilité, l'intégrité, la confidentialité, l'authenticité ou la traçabilité des informations traitées et des services fournis.

Consciente de l'importance de la sécurité de l'information, et en ligne avec le chemin qui marque notre propre identité, Bizneo a promu l'établissement d'un système de gestion de la sécurité de l'information (ci-après, ISMS) selon la norme ISO 27001 et conformément aux exigences du décret royal 311/2022, du 3 mai, qui réglemente le système national de sécurité dans le domaine de l'administration électronique (ci-après, ENS), afin d'identifier, d'évaluer et de minimiser les risques auxquels sont exposées ses informations et celles de ses clients, ainsi que de garantir le respect des objectifs fixés.

L'objectif de cette politique de sécurité est de garantir la qualité de l'information et la fourniture continue de services, en agissant de manière préventive et en supervisant l'activité quotidienne, ainsi que de fournir un cadre de référence pour l'établissement d'objectifs de sécurité qui permettent à Bizneo de développer une culture d'entreprise, une manière de travailler et de prendre des décisions, alignées sur la sécurité de l'information et sur le fait que le respect des données à caractère personnel est une constante.

Les systèmes d'information sont protégés contre des menaces qui évoluent rapidement et dont les dommages potentiels affectent la confidentialité, l'intégrité, la disponibilité, l'usage prévu (traçabilité) et la valeur de l'information (authenticité) des services. Pour se défendre contre ces menaces, une stratégie a été définie qui s'adapte aux conditions changeantes de l'environnement afin d'assurer la continuité de la fourniture de nos services.

Les différents départements de Bizneo veillent à ce que la sécurité fasse partie intégrante de chaque étape du cycle de vie du système, de sa conception à son déclassement, en passant par les décisions de développement ou d'acquisition et les activités d'exploitation. Bizneo est prêt à prévenir, détecter, réagir et récupérer des incidents, conformément à l'article 12 de l'ENS, et a donc pris des mesures pour améliorer différents aspects de la sécurité de l'information :

Cadre légal et réglementaire

Bizneo exerce ses activités dans le respect du cadre légal et réglementaire en vigueur. Elle s'engage à respecter toutes les lois et réglementations pertinentes relatives à la sécurité de l'information, y compris, mais sans s'y limiter, celles indiquées dans le document "Législation applicable en matière de SMSI".

Bizneo intègre ENS et ISO 27001 dans la politique de sécurité de l'organisation afin de fournir une structure plus complète et plus solide pour traiter les aspects spécifiques de la sécurité de l'information, tant au niveau national qu'international. En outre, l'adoption de ces normes renforce la crédibilité de l'entreprise, en démontrant son engagement en faveur des meilleures pratiques de sécurité.

Cadre organisationnel de sécurité

Cette politique de sécurité a été établie conformément aux principes de base énoncés au chapitre II du décret royal 311/2022 et a été élaborée sur la base des exigences minimales suivantes :

Organisation de la sécurité

Conformément au schéma national de sécurité (ENS), notre organisation adopte les principes de base suivants pour assurer la sécurité de l'information :

  1. Sécurité intégrale

  2. Gestion des risques

  3. Prévention, détection et réaction

  4. Lignes de défense

  5. Réévaluation continue

  6. Rôles et responsabilités

  7. Sécurité proportionnelle

  8. Documentation et enregistrement

Bizneo a identifié et défini les rôles et fonctions de sécurité nécessaires pour assurer la protection des informations. Chaque rôle a des responsabilités clairement définies (Responsabilités, Autorité et Compétence ENS).

Bizneo a nommé un Comité de Sécurité qui supervisera le suivi et la conformité du SMSI. Le Comité de Sécurité est composé de fonctions corporate et de fonctions de responsabilité au sein de l'organisation. La liste des membres constitutifs du Comité de Sécurité est définie dans la procédure créée à cet effet (PS00 - Manuel ISMS). Ce comité de sécurité aura les fonctions et responsabilités suivantes :

  • Coordonner toutes les activités liées à la sécurité des TIC.

  • Il est responsable de la rédaction de la politique de sécurité.

  • Il est responsable de la création et de l'approbation des règles qui encadrent l'utilisation des services TIC.

  • Approuver les procédures d'action concernant l'utilisation des services TIC.

  • Approuver les exigences en matière de formation et de qualification des administrateurs, des opérateurs et des utilisateurs du point de vue de la sécurité des TIC.

De même, les rôles et responsabilités du responsable de la sécurité, du responsable de l'information et du responsable des services ont été définis, ainsi que leur relation avec le comité de sécurité.

Afin de décrire le processus et la hiérarchie de résolution des conflits d'autorité qui peuvent survenir au cours de la gestion des ENS entre les profils critiques ayant des responsabilités en matière de sécurité, Bizneo a défini des rôles pour la résolution des conflits d'autorité qui s'appliquent à tous les profils spécifiques de gestion des ENS (voir Responsabilités en matière d'autorité et de compétence pour les ENS).

Le responsable de la sécurité de l'information, le chef de service et le responsable de l'information sont nommés par la direction sur proposition du comité de sécurité. Ces nominations sont réexaminées tous les deux ans ou lorsque le poste devient vacant.

L'organigramme suivant présente les postes ayant des fonctions ou des responsabilités liées à la sécurité de l'information. En l'absence de l'un de ces responsables, l'escalade se fera selon les lignes hiérarchiques indiquées dans cet organigramme.

Analyse et gestion des risques

Tous les systèmes soumis à cette politique ont fait l'objet d'une analyse de risque, évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera répétée :

  • régulièrement, au moins une fois par an

  • lorsque les informations traitées changent

  • lorsque les services fournis changent

  • lorsqu'un incident de sécurité grave se produit

  • lorsque des vulnérabilités graves sont signalées

Catégorisation des systèmes

Bizneo a défini les critères permettant de déterminer le niveau de sécurité requis dans chaque dimension en rédigeant la procédure correspondante (PS00 - Manuel ISMS). Pour ce faire, les éléments essentiels, les informations et les services, sont analysés, en articulant autour d'eux les critères que le responsable de chaque type d'information et de service doit respecter.

chaque service pourra utiliser, sachant que le pouvoir de déterminer la catégorie du système appartient au responsable du système.

Le plan national de sécurité établit dans son annexe II des mesures de sécurité qui dépendent de l'évaluation du niveau de sécurité dans chaque dimension et de la catégorie de sécurité (article 40) du système d'information concerné. La catégorie de sécurité du système est calculée sur la base du niveau de sécurité le plus élevé des dimensions évaluées.

Gestion du personnel et professionnalisme

Tous les membres de Bizneo sont tenus de connaître et de respecter cette politique de sécurité de l'information et les règles de sécurité, et il incombe au comité de sécurité d'appliquer les mesures nécessaires pour s'assurer que les informations parviennent aux personnes concernées.

Tous les employés bénéficieront d'une séance de sensibilisation à la sécurité au moins une fois par an. En outre, un programme de sensibilisation continue sera mis en place pour sensibiliser tous les membres de Bizneo, en particulier les nouvelles recrues, qui est aligné sur les autres normes mises en œuvre.

Le personnel chargé des tâches de sécurité est dûment qualifié, compte tenu de la sensibilité et de la complexité de certaines de ces tâches. Ceci s'applique à toutes les phases du cycle de vie du processus de sécurité (installation, maintenance, gestion des incidents et démantèlement). À cette fin, le personnel reçoit la formation spécifique nécessaire pour assurer la sécurité des technologies de l'information applicables aux systèmes et services relevant de l'ENS.

En toute logique, les mêmes exigences requises en interne doivent être exigées de tout fournisseur fournissant des services liés à la sécurité. A cette fin, Bizneo a promu une procédure d'évaluation des fournisseurs afin de garantir un niveau de sécurité similaire à celui exigé par l'entité.

Autorisation et contrôle d'accès

La première étape pour garantir la protection des informations et des systèmes consiste à en limiter l'accès. Par conséquent, il a été défini qui, et dans quelle mesure, aura accès aux ressources, de sorte que chacun ait l'accès nécessaire pour accomplir ses tâches, mais pas à des équipements ou des données qui ne devraient pas être à sa portée.

De même, les systèmes d'information de Bizneo sont dotés de mécanismes d'autorisation permettant d'autoriser l'accès, de le refuser et de le révoquer si nécessaire.

Protection des installations

Les installations sont protégées contre les dommages aux systèmes qu'elles abritent et contre l'accès de personnes non autorisées. L'accès à nos installations est sécurisé et réglementé par la procédure établie à cet effet.

Acquisition de produits de sécurité et passation de contrats de services de sécurité

Bizneo établit les exigences en matière de sécurité de l'entreprise et de l'information pour ses systèmes d'information, qu'ils soient nouveaux ou existants et qu'ils soient étendus ou améliorés.

Ainsi, toute nouvelle acquisition de produits et de services de sécurité susceptible d'avoir une incidence sur le SMSI doit d'abord être évaluée du point de vue des exigences fonctionnelles et de sécurité. Après validation, le produit sera formellement testé pour déterminer s'il est conforme aux exigences.

Tous les services sous-traités doivent être évalués avant d'être mis en production afin de s'assurer qu'ils sont conformes aux exigences minimales de sécurité définies dans la présente politique de sécurité de l'information et dans le règlement de sécurité en vigueur.

Le moindre privilège

Le système de sécurité de l'information mis en œuvre dans Bizneo suit le principe du moindre privilège, selon lequel les utilisateurs du système se voient accorder les niveaux (ou autorisations) d'accès minimaux nécessaires pour effectuer les tâches suivantes

leurs fonctions, dans le but de limiter l'accès à l'information et aux ressources à ce qui est strictement nécessaire à l'accomplissement d'une tâche spécifique.

Ce principe de moindre privilège garantit que chaque partie (qu'il s'agisse d'un processus, d'un utilisateur ou d'un programme) ne peut accéder qu'à ce qui est essentiel pour son objectif légitime, en n'accordant pas de privilèges inutiles. Toutefois, ce principe ne se limite pas à l'accès des utilisateurs humains, mais s'applique également aux applications, aux systèmes ou aux dispositifs connectés qui requièrent des privilèges pour effectuer les tâches nécessaires.

La limitation des privilèges réduit l'exposition aux cyber-attaques et prévient le "glissement des privilèges".

Intégrité des systèmes et mise à jour

Pour garantir l'intégrité des systèmes d'information à tout moment, toute modification physique ou logique n'est effectuée qu'après approbation formelle et par le biais d'une procédure formelle.

À cette fin, les systèmes sont mis à jour de manière contrôlée et en fonction de l'état de sécurité requis à tout moment. Les changements dans les spécifications des fabricants, l'apparition de nouvelles vulnérabilités, l'émission de mises à jour et de correctifs qui affectent les systèmes sont analysés afin de prendre les mesures nécessaires pour ne pas dégrader les systèmes et leur niveau de sécurité, tout en gérant les risques introduits par les changements à effectuer.

Protection des informations en stock et en transit

Le stockage et le transport de l'information constituent une part importante de son cycle de vie. L'information doit être protégée à tout moment. Des procédures appropriées ont été élaborées à cet effet, couvrant à la fois les informations électroniques et les informations sur papier, ainsi qu'une politique de manipulation et de traitement de l'information.

Prévention contre d'autres systèmes d'information interconnectés

La prévention contre d'autres systèmes d'information interconnectés est un aspect crucial pour Bizneo. À cette fin, des mesures ont été mises en place pour garantir la sécurité lorsque les systèmes d'information sont connectés les uns aux autres, en tenant compte d'aspects tels que la protection du périmètre, le contrôle d'accès ou l'enregistrement correct de l'activité afin de pouvoir détecter d'éventuelles anomalies ou un comportement inhabituel dans l'interconnexion.

Toute connexion vers ou depuis des services interconnectés se fera selon les lignes directrices définies dans les lignes directrices du CCN-STIC publiées à cet effet.

Enregistrement des activités et détection des codes malveillants

L'entreprise surveille ses systèmes d'information et de traitement en les enregistrant en tant qu'incidents de sécurité et en examinant le journal des opérations et des défaillances de ses systèmes afin d'identifier le problème. Ainsi, les activités de contrôle de l'utilisation des systèmes de Bizneo respectent les exigences légales en matière de protection de la vie privée et sont utilisées pour vérifier l'efficacité des contrôles de sécurité mis en œuvre et la conformité avec la politique de contrôle d'accès.

En outre, les ordinateurs des entreprises sont équipés d'outils de protection, de détection, de récupération et de suppression des codes malveillants, grâce à l'utilisation d'un antivirus de pointe géré de manière centralisée.

Incidents de sécurité

La direction de Bizneo a mis en place une procédure de notification formelle selon laquelle tout le personnel doit notifier immédiatement et sans délai les incidents liés à la sécurité par le biais du canal établi. Cette procédure garantit une réponse rapide et efficace aux incidents et aux faiblesses en matière de sécurité.

Continuité des activités

L'entreprise a mis en place une procédure pour agir contre les interruptions d'activité et protéger les processus critiques des effets des défaillances majeures des systèmes d'information et assurer leur rétablissement immédiat. À cette fin, un plan de continuité des activités (voir PROSI-11 Plan de continuité des activités) a été mis en œuvre pour réduire l'impact sur l'infrastructure de Bizneo, et par conséquent sur l'entreprise, et la récupération des actifs informationnels (qu'il s'agisse d'accidents, de pannes d'équipement, d'actes délibérés, etc.) de manière à ce que les processus du département atteignent un niveau de continuité acceptable grâce à des mesures de récupération correctives et préventives.

Amélioration continue du processus de sécurité

La direction, pour sa part, accorde une importance particulière à l'évaluation de la confidentialité, de l'intégrité et de la disponibilité des informations critiques de l'entreprise et de ses clients, ainsi qu'à la traçabilité et à l'authenticité de ces dernières, et en fait un critère principal pour l'estimation de ses risques.

Ainsi, elle s'engage à développer, mettre en œuvre, maintenir et améliorer en permanence la présente politique de sécurité et son système de gestion dans le but d'améliorer continuellement la manière dont elle fournit ses services et traite les informations.

Données personnelles

Bizneo traite des données à caractère personnel. À cet égard, et conformément à la législation en vigueur sur la protection des données, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Bizneo a mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris, le cas échéant, parmi d'autres :

  • la pseudonymisation et le cryptage des données à caractère personnel ;

  • la capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

  • la capacité à rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique ;

  • un processus de vérification, d'évaluation et d'appréciation régulières de l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

Documentation et communication

La présente politique de sécurité de l'information est mise à disposition sous forme d'informations documentées et communiquée au sein de l'organisme. En outre, elle est partagée avec les parties prenantes concernées, telles que les autorités, les opérateurs et les usagers des transports publics, le cas échéant.

Examen et mise à jour

Cette politique sera révisée chaque année ou plus tôt si des changements importants surviennent dans l'environnement opérationnel ou technologique de Bizneo. La direction générale s'engage à maintenir cette politique en phase avec les objectifs de l'entreprise et les exigences applicables en matière de sécurité de l'information.

La présente politique de sécurité de l'information doit toujours être alignée sur les politiques générales de l'entreprise et sur celles qui servent de cadre à d'autres systèmes de gestion interne, tels que les politiques de qualité.

À Madrid, le 16 juillet 2024

Santiago Salas

CEO Bizneo

Bizneo HR logo

Logiciel RH le mieux noté par les PME et ETI

    • Information

    • Contact

      Linkedin icon LinkedinYoutube icon Youtube

    • Par où commencer?

      • Écrivez-nous ici

      • Vous préférez nous téléphoner?

      • Logiciel RH France +33 7 45 89 74 69

    Notre site utilise des cookies

    Ici, vous pouvez paramétrer vos cookies :

    Ces cookies sont nécessaires au fonctionnement du site web et ne peuvent être désactivés sur nos systèmes. Ils sont généralement configurés pour répondre aux actions que vous effectuez pour recevoir des services, telles que l'ajustement de vos préférences en matière de confidentialité, la connexion au site ou le remplissage de formulaires. Vous pouvez configurer votre navigateur pour qu'il bloque ces cookies ou qu'il vous avertisse de leur présence, mais certaines parties du site web ne fonctionneront pas. Ces cookies ne stockent aucune information personnelle identifiable.

    Off
    On

    Ces cookies nous permettent de compter les visites et les sources de trafic afin de mesurer et d'améliorer les performances de notre site. Ils nous aident à savoir quelles sont les pages les plus ou les moins populaires et à connaître le nombre de personnes qui visitent le site. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes. Si vous n'autorisez pas ces cookies, nous ne saurons pas quand vous avez visité notre site et nous ne pourrons donc pas savoir quand vous l'avez visité.

    Off
    On

    Ces cookies peuvent concerner l'ensemble du site et être placés par nos partenaires publicitaires. Ces entreprises peuvent les utiliser pour créer un profil de vos intérêts et vous montrer des publicités pertinentes sur d'autres sites. Ils ne stockent pas directement d'informations personnelles, mais sont basés sur l'identification unique de votre navigateur et de votre dispositif d'accès à l'internet. Si vous n'autorisez pas ces cookies, la publicité sera moins ciblée.