Conditions Générales d'Utilisation
      Revenir à l'accueil
      1. Accueil
      2. Conditions Générales d'Utilisation

      Politiques de Sécurité Informatique

      Mesures et protocoles que nous mettons en œuvre pour nous protéger des cybermenaces

      Dernière modification : 10 septembre 2025

      LA PRÉSENTE POLITIQUE DE SÉCURITÉ INFORMATIQUE EST RÉGIE PAR LE CONTRAT-CADRE DE SERVICE (LE « CCS »). TOUS LES TERMES EN MAJUSCULES DE LA PRÉSENTE POLITIQUE DE SÉCURITÉ INFORMATIQUE SERONT RÉPUTÉS AVOIR LA SIGNIFICATION QUI LEUR EST ACCORDÉE PAR LE CCS.

      1. DROIT À L'AUDIT DE SÉCURITÉ

      1.1 Accès aux locaux de base

      Le Client ayant signé un Contrat-cadre de services avec Baseline est autorisé à accéder aux locaux de Baseline à des fins d'audit de sécurité, sous réserve : (i) du consentement écrit préalable de Baseline (ne pouvant être refusé sans motif valable) ; (ii) des dispositions de sécurité raisonnables de Baseline en vigueur au moment de cet accès ; et (iii) de l'accord sur les détails du personnel, les délais, la durée et l'étendue des services fournis. L'accès peut notamment être refusé en cas de conflit de rôles et d'impact sur les performances de Baseline.

      1.2 Audit de sécurité

      1. a) Le Client a le droit de procéder à des audits périodiques des exigences de l’environnement de sécurité physique.
      2. b) Baseline autorise le Client à inspecter/auditer régulièrement les processus et procédures des politiques de confidentialité et de sécurité informatique mis en œuvre en ce qui concerne les Services, y compris les éléments ci-dessous, mais sans s'y limiter :
      1. Processus de gestion des risques.
      2. Processus de gestion des incidents et des changements.
      3. Tests de sécurité (vulnérabilité et pentest).
      4. Lignes directrices pour le renforcement du système.
      5. BCP et DR et autres services et processus d'urgence.
      1. c) Baseline autorise le Client, sans frais supplémentaires, à inspecter les processus opérationnels mis en œuvre pour les Services en fonction de la portée, de l'étendue et des Accords en vigueur et en vigueur.
      2. d) Baseline reconnaît que le Client se réserve le droit d'exiger des modifications aux processus de ces politiques de confidentialité et de sécurité informatique s'ils s'avèrent inadéquats ; ces modifications sont convenues d'un commun accord, commercialement raisonnables et soumises à un délai d'exécution raisonnable.

      1.3 Rapports d'inspection

      1. a) Aux frais exclusifs du Client, Baseline reconnaît que le Client se réserve le droit de recevoir des rapports d'audit lorsque des auditeurs indépendants sont utilisés pour auditer les dispositions de gestion des risques de Baseline pour les Services, y compris les rapports d'évaluation de sécurité tels que les tests de pénétration, les évaluations de vulnérabilité, les plans BCP/DR, les rapports de test, etc.
      2. b) Baseline recommande que le client exige que des examens et des évaluations indépendants soient effectués au moins une fois par an, ou à intervalles planifiés, pour garantir que l'organisation est conforme aux politiques, procédures, normes et exigences réglementaires applicables (c'est-à-dire audits internes/externes, certifications, tests de vulnérabilité et de pénétration).

      2. INFRASTRUCTURE OPÉRATIONNELLE

      2.1 Contrôles physiques

      1. a) Baseline a mis en place des procédures appropriées pour garantir que les responsabilités relatives au maintien d’un environnement opérationnel sécurisé sont correctement réparties et exercées.
      2. b) Baseline a mis en place des contrôles physiques et environnementaux pour protéger le service, proportionnels au niveau de risque. Baseline a pris en compte les menaces physiques et environnementales dans l'évaluation des risques.
      3. c) La protection physique des équipements des Services et de la zone de travail des services couvre au minimum :
      1. Intrus.
      2. Sécurité des personnes face aux risques d'incendie et autres menaces telles que les catastrophes naturelles (tempêtes, cyclones, incendies de forêt, etc.) et également les catastrophes d'origine humaine (alertes à la bombe, toute activité malveillante accidentelle ou intentionnelle).
      1. d) Les sites où des données ou des processus sensibles sont gérés sont conformes aux normes reconnues (telles que ANSI/TIA942) pour la gestion et la sécurité des locaux des centres de données.

      2.2 Contrôle logique

      1. a) Baseline garantit que l'équipement informatique (sur les sites principaux, de sauvegarde et tiers) utilisé pour fournir des services au client sépare logiquement les données commerciales du client et les données personnelles des utilisateurs de celles de nos autres clients.
      2. b) La ligne de base garantit que l’environnement du client, dans nos locaux désignés, est au moins logiquement compartimenté, le séparant du reste de notre environnement pour garantir qu’aucune pénétration n’est possible à partir d’autres environnements clients ou de notre réseau plus large.

      2.3 Restriction de l'accès au réseau, liaison privée

      1. a) Baseline ne dispose que d'un accès minimal au réseau du Client pour fournir les Services. Lorsque nous devons accéder à certaines applications, l'accès est, dans la mesure du possible, assuré par un mécanisme de services de terminaux. Lorsque cela n'est pas possible, les systèmes partagés sont situés dans une zone démilitarisée spécifique. Les droits d'accès au niveau du système d'exploitation et des applications sont également gérés afin de limiter l'accès au minimum requis pour fournir les Services.
      2. b) Le transfert de données entre le Client et Baseline doit être sécurisé de bout en bout par une liaison privée. En cas de mise en œuvre via un réseau privé virtuel (VPN), le niveau de chiffrement doit être suffisant pour garantir l'intégrité de la connexion et correspond au niveau de chiffrement commercial le plus élevé actuellement disponible. Dans la mesure du possible, le VPN doit être établi au niveau de l'application (par exemple, VPN SSL) plutôt qu'au niveau du réseau (par exemple, IPSEC) afin de limiter l'accès et la connectivité au strict nécessaire. Lorsqu'un VPN réseau est requis, l'encapsulation de l'application (par exemple, via des services de terminaux) doit être utilisée et des contrôles stricts de compartimentation doivent être appliqués (comme indiqué ci-dessus).
      3. c) Le transfert de données via une liaison de communication dédiée est crypté afin d’éviter toute fuite de données.

      2.4 Architecture de l'application

      Pour le développement d'applications, les différents composants de l'application (présentation, traitement des données, base de données, processus d'identification et d'authentification, etc.), sont distincts et si possible hébergés sur des serveurs physiques ou virtuels différents afin que les différents composants soient situés sur des zones différentes de l'architecture réseau.

      2.5 Séparation des environnements de développement

      La ligne de base doit respecter une séparation claire des environnements de production, de développement et d’intégration.

      2.6 Mécanisme de filtrage

      1. a) Baseline doit appliquer les mécanismes de filtrage nécessaires pour empêcher l'accès sans restriction depuis Internet aux interfaces d'administration des sites Web.
      2. b) Baseline suppose que le Client protège son réseau d'entreprise et impose un certain nombre de conditions aux systèmes autorisés à s'y connecter. Baseline doit mettre en place des contrôles pour limiter l'incidence de :
      1. Accès non autorisé aux systèmes du client.
      2. Interférence avec les composants du réseau.
      3. Dégradation des performances sur l’ensemble du réseau.
      4. Interférence avec le trafic réseau.
      5. L'authentification multifacteur est requise pour tous les accès utilisateurs distants.
      1. c) La ligne de base doit inclure les conditions suivantes pour tous les systèmes souhaitant se connecter au réseau du client :
      1. La passerelle entre le réseau du client et les systèmes externes est correctement sécurisée.
      2. Des contrôles sont mis en place pour empêcher l’accès non autorisé des systèmes connectés au réseau de l’organisation.
      3. Des mesures de surveillance et de contrôle adéquates sont mises en place pour empêcher les réseaux ou systèmes externes d’interférer avec le fonctionnement du réseau du Client.
      1. d) Baseline doit mettre en œuvre la norme industrielle sur le contrôle d'accès et l'autorisation via l'utilisation d'identifiants d'utilisateur et de mots de passe (longueur, caractères, tentatives, réauthentification, durée et expiration, stockage, désactivation, etc.).
      2. e) Une authentification forte sera utilisée pour les applications commerciales critiques et pour les activités d’accès à distance.
      3. f) L’accès des utilisateurs aux ports de diagnostic et de configuration doit être limité aux personnes et aux applications autorisées.
      4. g) Des politiques et des procédures sont établies et des mécanismes sont mis en œuvre pour crypter les données sensibles stockées (par exemple, les serveurs de fichiers, les bases de données et les postes de travail des utilisateurs finaux) et les données transmises (par exemple, les interfaces système, sur les réseaux publics et la messagerie électronique).
      5. h) Les données relatives au commerce électronique (e-commerce) circulant sur les réseaux publics doivent être classées de manière appropriée et protégées contre toute activité frauduleuse, toute divulgation ou modification non autorisée, de manière à prévenir tout litige contractuel et toute compromission des données.
      6. i) Des politiques et des procédures doivent être établies et des mécanismes mis en œuvre pour protéger les environnements de réseaux sans fil, notamment les suivants :
      1. Pare-feu périmétriques mis en œuvre et configurés pour restreindre le trafic non autorisé.
      2. Paramètres de sécurité activés avec un cryptage fort pour l'authentification et la transmission, remplaçant les paramètres par défaut du fournisseur (par exemple, clés de cryptage, mots de passe, chaînes de communauté SNMP, etc.).
      3. L'accès logique et physique des utilisateurs aux périphériques du réseau sans fil est limité au personnel autorisé.
      4. La capacité de détecter la présence de périphériques réseau sans fil non autorisés (escrocs) pour une déconnexion rapide du réseau.
      1. j) Une source de temps externe précise (convenue en externe) doit être utilisée pour synchroniser les horloges système de tous les systèmes de traitement de l'information pertinents au sein de l'organisation ou définir explicitement un domaine de sécurité afin de faciliter le suivi et la reconstitution des chronologies d'activité. Remarque : certaines juridictions et plateformes de stockage et de relais orbitaux (GPS américain et réseau de satellites Galileo européen) peuvent imposer une horloge de référence dont la synchronisation diffère de celle du domicile de l'organisation. Dans ce cas, la juridiction ou la plateforme est considérée comme un domaine de sécurité explicitement défini.
      2. k) L'identification automatique des équipements doit être utilisée comme méthode d'authentification de la connexion. Des technologies de localisation peuvent être utilisées pour valider l'intégrité de l'authentification de la connexion en fonction de la localisation connue de l'équipement.

      2.7 Contrôles de stockage et de supports

      Baseline doit s'assurer que son personnel comprend la sensibilité associée à tous les supports au sein du service et met en place des procédures appropriées pour leur destruction sécurisée en cas de panne, de défaillance ou d'expiration de durée de vie.

      2.8 Infrastructure opérationnelle : licences

      Baseline doit démontrer une attitude responsable à l'égard du droit d'auteur dans la mesure où il affecte l'octroi de licences et l'utilisation des logiciels, notamment :

      1. Procédures de gestion des logiciels et des licences.
      2. Surveillance de toute utilisation de logiciels non autorisés / sans licence.
      3. Enquête sur de tels incidents et obligations de déclaration au Client.

      2.9 Logiciels malveillants

      1. a) Baseline doit mettre en place des procédures de vérification et d'élimination appropriées pour garantir que le service n'est pas affecté par des virus pendant le développement, la maintenance et l'exploitation.
      2. b) La ligne de base garantit l’intégrité de tous les logiciels introduits et des nouvelles versions de logiciels avant leur intégration dans les environnements de service.
      3. c) Des politiques et des procédures doivent être établies et des mécanismes mis en œuvre pour restreindre l’installation de logiciels non autorisés.

      2.10 Configurations sécurisées

      1. a) Nos exigences de sécurité doivent être établies et appliquées à la conception et à la mise en œuvre des applications (développées ou acquises), des bases de données, des systèmes, de l'infrastructure réseau et du traitement de l'information, conformément aux politiques, aux normes et aux exigences réglementaires applicables. La conformité aux exigences de sécurité de base est réévaluée au moins une fois par an ou lors de changements importants.
      2. b) Toute variation doit être documentée et convenue par les Parties.
      3. c) Des politiques et des procédures doivent être établies et des mécanismes mis en œuvre pour la gestion des vulnérabilités et des correctifs, garantissant que les vulnérabilités des applications, des systèmes et des périphériques réseau sont évaluées et que les correctifs de sécurité fournis par les fournisseurs sont appliqués en temps opportun en adoptant une approche basée sur les risques pour hiérarchiser les correctifs critiques.
      4. d) Des politiques et des procédures doivent être établies et des mesures mises en œuvre pour limiter strictement l'accès aux données sensibles à partir d'appareils portables et mobiles, tels que les ordinateurs portables, les téléphones portables et les assistants numériques personnels (PDA), qui présentent généralement un risque plus élevé que les appareils non portables (par exemple, les ordinateurs de bureau dans les locaux de l'organisation).
      5. e) Les accords de niveau de service du réseau et de l’infrastructure (internes ou externalisés) documentent clairement les contrôles de sécurité, les niveaux de capacité et de service, ainsi que les exigences de l’entreprise ou des clients.
      6. f) Le code mobile est autorisé avant son installation et son utilisation, et la configuration garantit son fonctionnement conformément à une politique de sécurité clairement définie. L'exécution de tout code mobile non autorisé est bloquée.

      2.11 Journalisation et surveillance

      1. a) Les journaux d'audit enregistrant les accès des utilisateurs privilégiés, les tentatives d'accès autorisées et non autorisées, les exceptions système et les événements de sécurité de l'information doivent être conservés, conformément aux politiques et réglementations en vigueur. Ils doivent être examinés au moins quotidiennement et des outils de détection d'intrusion réseau (IDS) et d'intégrité des fichiers (hôte) doivent être mis en œuvre pour faciliter la détection rapide, l'analyse des causes profondes et la réponse aux incidents. L'accès physique et logique aux journaux d'audit doit être réservé au personnel autorisé.
      2. b) L’accès et l’utilisation des outils d’audit qui interagissent avec les systèmes d’information des organisations doivent être segmentés et restreints de manière appropriée afin d’éviter toute compromission et toute utilisation abusive des données de journal.

      3. GESTION DE L'INFORMATION, SÉCURITÉ ET CONFIDENTIALITÉ

      3.1 Informations

      1. a) Les journaux d'audit enregistrant les accès des utilisateurs privilégiés, les tentatives d'accès autorisées et non autorisées, les exceptions système et les événements de sécurité de l'information doivent être conservés, conformément aux politiques et réglementations en vigueur. Ils doivent être examinés au moins quotidiennement et des outils de détection d'intrusion réseau (IDS) et d'intégrité des fichiers (hôte) doivent être mis en œuvre pour faciliter la détection rapide, l'analyse des causes profondes et la réponse aux incidents. L'accès physique et logique aux journaux d'audit doit être réservé au personnel autorisé.
      2. b) Un inventaire complet des actifs critiques est maintenu, la propriété étant définie et documentée.
      3. c) Des politiques et des procédures doivent être établies pour l’utilisation acceptable des actifs informationnels.
      4. d) Toutes les informations transmises par le Client à Baseline, ou en notre possession ou auxquelles nous avons accès, demeurent sa propriété. Les informations du Client ne sont pas :
      1. Utilisé par Baseline autrement que dans le cadre de la fourniture des Services.
      2. Divulgué, vendu, cédé, loué ou autrement fourni à des tiers par Baseline.
      3. Exploité commercialement par ou au nom de Baseline.
      4. Tous les actifs appartenant à l’organisation dans un délai défini et documenté une fois l’emploi, le contrat ou l’accord terminé, sont restitués.
      1. e) Les données et les objets contenant des données se voient attribuer une classification basée sur le type de données, la juridiction d'origine, la juridiction domiciliée, le contexte, les contraintes légales, les contraintes contractuelles, la valeur, la sensibilité, la criticité pour l'organisation et l'obligation des tiers de conserver et de prévenir toute divulgation non autorisée ou toute utilisation abusive.
      2. f) Des politiques et procédures doivent être établies pour l'étiquetage, la gestion et la sécurité des données et des objets qui les contiennent. Des mécanismes d'héritage d'étiquettes doivent être mis en œuvre pour les objets servant de conteneurs agrégés de données.
      3. g) Des mécanismes de sécurité doivent être mis en œuvre pour empêcher les fuites de données.
      4. h) Les données de production ne sont pas répliquées ni utilisées dans des environnements non productifs.
      5. i) La documentation du système d'information (par exemple, les guides de l'administrateur et de l'utilisateur, les schémas d'architecture, etc.) est mise à la disposition du personnel autorisé pour garantir les éléments suivants :
      1. Configuration, installation et exploitation du système d'information.
      2. Utiliser efficacement les fonctionnalités de sécurité du système.
      1. j) Baseline garantit que la classification des données spécifiée par le propriétaire des informations du Client (en termes de confidentialité, d'intégrité et de disponibilité) est respectée à toutes les étapes du traitement des informations, et est également conforme aux exigences du CCS.
      2. k) Baseline garantit qu'elle (et toute personne employée ou engagée par cette partie dans le cadre de ce projet dans le cadre de cet emploi ou de cet engagement) utilise uniquement les informations exclusives fournies par le Client aux fins pour lesquelles elles ont été fournies ou sont entrées en sa possession.

      3.2 Conformité

      1. a) La ligne de base doit être conforme au système de gestion de la sécurité de l’information (SGSI), le cas échéant.
      2. b) Les liaisons et points de contact avec les autorités locales doivent être maintenus conformément aux exigences de l'entreprise et des clients, ainsi qu'aux exigences législatives, réglementaires et contractuelles. Les données, objets, applications, infrastructures et matériels peuvent se voir attribuer un domaine législatif et une juridiction afin de faciliter la mise en place de points de contact appropriés pour la conformité.
      3. c) Les exigences légales, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information. L'approche de référence pour répondre aux exigences connues et s'adapter aux nouvelles exigences doit être explicitement définie, documentée et mise à jour pour chaque élément du système d'information. Les éléments du système d'information peuvent inclure des données, des objets, des applications, des infrastructures et du matériel. Chaque élément peut se voir attribuer un domaine législatif et une juridiction afin de faciliter une cartographie appropriée de la conformité.
      4. d) Baseline doit approuver une politique officielle de sécurité de l'information (la « Politique de sécurité de l'information »), qui est communiquée et publiée aux employés, aux entrepreneurs et aux autres parties externes concernées. Cette politique doit définir l'orientation de l'organisation et s'aligner sur les meilleures pratiques, les lois réglementaires, fédérales, provinciales et internationales, le cas échéant. Elle doit s'appuyer sur un plan stratégique et un programme de sécurité définissant clairement les rôles et responsabilités des dirigeants et des agents.
      5. e) Baseline doit réviser la politique de sécurité de l'information à intervalles planifiés ou à la suite de changements apportés à l'organisation afin de garantir son efficacité et son exactitude continues, et des politiques et procédures sont établies et mises à la disposition de tout le personnel pour soutenir adéquatement le rôle des opérations de services.
      6. f) Des politiques et des procédures sont établies pour l’autorisation de la direction en matière de développement ou d’acquisition de nouvelles applications, systèmes, bases de données, infrastructures, services, opérations et installations.

      3.3 Protection de la confidentialité, de l'intégrité et de la disponibilité

      1. a) Baseline reconnaît officiellement sa responsabilité en matière de protection des informations confidentielles conformément aux termes et conditions du contrat-cadre de services et les exigences reflétant les besoins de l'organisation en matière de protection des données et des détails opérationnels doivent être identifiées, documentées et révisées à intervalles planifiés.
      2. b) Baseline met en œuvre des mesures de protection pour garantir la confidentialité des informations confidentielles des clients et des informations de tiers confiées au client, stockées et en transit applicables au sein du service, qui peuvent inclure :
      1. Contrôles d’accès adéquats aux fichiers/enregistrements.
      2. Cryptage des fichiers sensibles.
      3. Cryptage des communications.
      4. Gestion sécurisée des clés.
      5. Politique sur les structures de répertoires.
      6. Le moindre privilège.
      7. Il faut connaître les autorités.
      1. c) Baseline prend toutes les précautions nécessaires pour garantir que les informations confidentielles ne soient divulguées qu'à ses employés, préposés, agents, consultants ou sous-traitants qui ont besoin de les connaître.
      2. d) L’accès normal et privilégié des utilisateurs aux applications, systèmes, bases de données, configurations réseau et données et fonctions sensibles est restreint et approuvé par la direction avant l’accès accordé.
      3. e) Les politiques et procédures d'accès des utilisateurs sont documentées, approuvées et mises en œuvre pour accorder et révoquer l'accès normal et privilégié aux applications, aux bases de données et à l'infrastructure du serveur et du réseau, conformément aux exigences commerciales, de sécurité, de conformité et de l'accord de niveau de service (SLA).
      4. f) L'accès des utilisateurs aux systèmes, aux actifs informationnels et aux données de l'organisation est supprimé, révoqué ou modifié en temps opportun lors de tout changement de statut des employés, sous-traitants, clients, partenaires commerciaux ou tiers. Tout changement de statut comprend la résiliation d'un contrat, d'un accord, un changement d'emploi ou une mutation au sein de l'organisation.
      5. g) Tous les niveaux d'accès des utilisateurs sont examinés par la direction à intervalles réguliers et documentés. En cas de violation d'accès identifiée, les mesures correctives sont prises conformément aux politiques et procédures de contrôle d'accès documentées.
      6. h) Les accords avec des tiers ayant un impact direct ou indirect sur les actifs informationnels ou les données de l'organisation couvrent explicitement toutes les exigences de sécurité pertinentes. Cela inclut les accords portant sur le traitement, l'accès, la communication, l'hébergement ou la gestion des actifs informationnels de l'organisation, ou l'ajout ou la suppression de services ou de produits aux informations existantes. Les dispositions des accords sur les actifs incluent des contrôles de sécurité (par exemple, chiffrement, contrôles d'accès et prévention des fuites) et d'intégrité des données échangées afin d'empêcher toute divulgation, altération ou destruction abusive.
      7. i) Avant d’accorder aux clients l’accès aux données, aux actifs et aux systèmes d’information, toutes les exigences de sécurité, contractuelles et réglementaires identifiées pour l’accès des clients doivent être traitées et corrigées.

      3.4 Retour ou destruction des informations

      À la demande du Client à tout moment, Baseline doit :

      1. Restituer rapidement au Client, dans le format et sur le support utilisés à la date de la demande, tout ou partie demandée des Données Commerciales du Client ; et/ou
      2. Baseline efface ou détruit tout ou partie des données commerciales du Client détenues par Baseline, ainsi que tous les supports contenant des données commerciales défectueuses. Si le Client demande à Baseline d'effacer ou de détruire tout ou partie de ses données commerciales, Baseline lui confirme sans délai par écrit la réalisation de cet effacement ou de cette destruction. Les bandes d'archives contenant des données commerciales du Client sont utilisées uniquement à des fins de sauvegarde et sont restituées ou détruites.

      3.5 Politique et portée

      1. a) Baseline doit disposer d'une politique de gestion des risques liés à l'information qui soit démontrable et qui couvre au minimum les domaines suivants :
      1. Protection des informations
      2. Processus de sensibilisation
      3. Sécurité physique
      4. Gestion des ordinateurs et des réseaux
      5. Contrôles d'accès
      6. Développement et maintenance du système
      7. Plans de relance des SI
      8. Conformité
      1. b) Baseline effectue périodiquement une évaluation des risques couvrant toutes les opérations dans le cadre de notre contrat avec le Client, et nous examinons également périodiquement les exigences du Client en matière de gestion des risques liés aux informations pour les Services.

      3.6 Rôles et responsabilités

      1. a) Dans le cadre de l’accord de niveau de service de base, les rôles de gestion des risques liés à l’information attribués à chaque partie et leurs responsabilités associées sont clairement définis.
      2. b) Baseline doit nommer un gestionnaire des risques liés à l’information pour le Client (le TAM - Technical Account Manager) et est responsable de la protection des informations confidentielles du Client et de toute information de tiers confiée au Client.
      3. c) Les rôles et responsabilités des entrepreneurs, des employés et des utilisateurs tiers sont documentés en ce qui concerne les actifs d’information et la sécurité.
      4. d) Des politiques, processus et procédures sont mis en œuvre pour assurer une séparation adéquate des tâches. En cas de conflit d'intérêts entre les utilisateurs, des contrôles techniques sont en place pour atténuer les risques liés à une modification non autorisée ou involontaire ou à une mauvaise utilisation des ressources informationnelles de l'organisation.
      5. e) Les utilisateurs sont informés de leurs responsabilités concernant :
      1. Maintenir la sensibilisation et la conformité aux politiques, procédures, normes de sécurité publiées et aux exigences réglementaires applicables.
      2. Maintenir un environnement de travail sûr et sécurisé.
      3. Laisser le matériel sans surveillance de manière sécurisée.

      3.7 Gestion des risques

      1. a) Baseline partage les résultats de l'évaluation des risques et les plans de correction proposés avec le Client et informe le Client de tout retard dans le respect des dates convenues pour la mise en œuvre de contrôles spécifiques de gestion des risques liés à l'information et adhère au processus convenu pour gérer tout dérapage.
      2. b) Baseline doit mettre en place des procédures de gestion des risques en ce qui concerne la gestion du personnel :
      1. Liaison avec le responsable des risques liés aux informations clients.
      2. Surveillance du service pour détecter les violations de la gestion des risques d'information.
      3. Enquêter et signaler toutes les violations de la gestion des risques liés à l’information et les résultats de toutes les enquêtes dans les limites du service fourni.
      1. c) Baseline doit mettre en place des procédures de gestion des risques en ce qui concerne la gestion du personnel :
      1. Embauche, changement d'emploi, licenciement, démission, licenciement économique, rupture de contrat, mutation, indisponibilité du personnel, suppression des privilèges d'accès des utilisateurs.
      2. Tous les membres du personnel de Baseline et du sous-traitant doivent signer un accord de confidentialité concernant les informations exclusives du client et celles des informations de tiers confiées au client.
      1. d) Conformément aux lois, réglementations, éthiques et contraintes contractuelles locales, tous les candidats à l'emploi, les entrepreneurs et les tiers sont soumis à une vérification des antécédents proportionnelle à la classification des données auxquelles il faut accéder, aux exigences commerciales et au risque acceptable.
      2. e) Des garanties de base selon lesquelles le régime de gestion des risques liés à l’information proposé pour protéger l’information est adapté aux risques ambiants.
      3. f) La direction et la direction hiérarchique doivent prendre des mesures formelles pour soutenir la sécurité de l’information au moyen de directives claires et documentées, d’un engagement, d’une attribution explicite et d’une vérification de l’exécution de cette attribution.
      4. g) Baseline doit disposer d’un processus de résolution des litiges relatifs aux problèmes de gestion des risques liés à l’information.
      5. h) Baseline doit élaborer et maintenir un cadre de gestion des risques d’entreprise pour gérer les risques à un niveau acceptable.
      6. i) Conformément au cadre organisationnel, des évaluations formelles des risques doivent être réalisées au moins une fois par an, ou à intervalles réguliers, afin de déterminer la probabilité et l'impact de tous les risques identifiés, à l'aide de méthodes qualitatives et quantitatives. La probabilité et l'impact associés aux risques inhérents et résiduels doivent être déterminés de manière indépendante, en tenant compte de toutes les catégories de risques (par exemple, résultats d'audit, analyse des menaces et des vulnérabilités, et conformité réglementaire).
      7. j) Les risques doivent être atténués à un niveau acceptable. Les niveaux d'acceptation fondés sur des critères de risque doivent être établis et documentés conformément à des délais de résolution raisonnables et à l'approbation de la direction.
      8. k) Les résultats de l’évaluation des risques doivent inclure des mises à jour des politiques, procédures, normes et contrôles de sécurité afin de garantir qu’ils restent pertinents et efficaces.
      9. l) L'identification, l'évaluation et la hiérarchisation des risques posés par les processus métier nécessitant l'accès de tiers aux systèmes d'information et aux données de l'organisation sont suivies d'une mobilisation coordonnée des ressources pour minimiser, surveiller et mesurer la probabilité et l'impact des accès non autorisés ou inappropriés. Des contrôles compensatoires issus de l'analyse des risques sont mis en œuvre avant l'octroi des accès.

      3.8 Sensibilisation

      1. a) Baseline doit s'assurer que son personnel comprend les menaces et les préoccupations liées à la gestion des risques liés à l'information concernant les Services et les politiques pertinentes de gestion des risques liés à l'information.
      2. b) Le personnel de base affecté aux Services recevra une formation et des mises à jour régulières sur les politiques et procédures de gestion des risques d'information pertinentes du système standard de classification de la gestion des risques et des procédures appropriées.
      3. c) Le personnel des sous-traitants affecté aux Services doit être informé du système de classification des risques liés à l'information de Baseline et des procédures appropriées.
      4. d) Des politiques et des procédures doivent être établies pour effacer les documents visibles contenant des données sensibles lorsqu'un espace de travail est sans surveillance et pour appliquer la déconnexion de la session du poste de travail pendant une période d'inactivité.

      4. GESTION DES INCIDENTS

      4.1 Procédures de gestion des incidents de sécurité de l'information

      1. a) Des procédures doivent être établies pour couvrir l’enquête et le signalement immédiat de tous les incidents de sécurité de l’information, y compris les suivants, mais sans s’y limiter :
      1. L'enquête
      2. Escalade
      3. Format du rapport
      4. Mesures disciplinaires
      5. Action en justice
      6. Mesures prises pour éviter que l'incident ne se reproduise
      7. Retour d'information dans le système de gestion de la sécurité
      1. b) Baseline doit disposer d'un processus garantissant que les incidents de sécurité de l'information sont correctement gérés sans frais supplémentaires pour le Client et dans un délai documenté dans le Contrat de niveau de service et pour toute enquête médico-légale formelle.
      2. c) Baseline s'engage à communiquer en toute transparence avec le Client sur l'enquête et les mesures ultérieures prises suite aux incidents de sécurité de l'information impliquant le Client.
      3. d) Des mécanismes doivent être mis en place pour surveiller et quantifier les types, les volumes et les coûts des incidents de sécurité de l’information.
      4. e) Baseline doit informer le Client de toute possession, divulgation, utilisation ou connaissance non autorisée, ou tentative de possession, divulgation, utilisation ou connaissance non autorisée, des informations du Client dont elle a connaissance, y compris toute violation de la sécurité sur un système, un réseau local ou un réseau de télécommunications qui contient, traite ou transmet des informations confidentielles.
      5. f) La ligne de base doit garantir que les journaux de service sont inspectés régulièrement et efficacement pour détecter les incidents de sécurité de l’information.
      6. g) Baseline doit informer le Client de tout changement apporté à son environnement qui modifierait de manière significative le niveau de sécurité des Services.
      7. h) Baseline doit effectuer une surveillance et un reporting des risques liés à l'information et, au minimum :
      1. Suivi et reporting de l'état de sécurité.
      2. Rapports d'incidents liés à la gestion des risques d'information.
      3. Adhère à la structure et aux formats de rapport prédéfinis.
      4. La fréquence des rapports est au moins trimestrielle.
      1. i) Baseline doit immédiatement informer le gestionnaire de contrat du Client ou le contact désigné de toute compromission connue ou suspectée des actifs d’information du Client ou de toute violation du contrat.

      4.2 Suivi et notification

      1. a) L’enquête sur les incidents de sécurité de l’information découverts dans les pistes d’audit doit être gérée dans le cadre des procédures globales établies pour la gestion et le signalement des incidents de sécurité de l’information.
      2. b) Dans le cas où une action de suivi concernant une personne ou une organisation après un incident de sécurité de l'information nécessite une action en justice, des procédures médico-légales appropriées, y compris la chaîne de traçabilité, doivent être en place pour la collecte, la conservation et la présentation des preuves à l'appui d'une action en justice potentielle soumise à la juridiction compétente.

      4.3 Intervention d'urgence

      1. a) Baseline dispose d'une équipe d'intervention d'urgence, conformément au SLA.
      2. b) En cas de violation majeure de la gestion des risques, Baseline doit allouer les ressources appropriées à l'équipe d'intervention d'urgence mise en place par le Client.

      5. CONTINUITÉ DES ACTIVITÉS

      5.1 Plan et procédures

      1. a) La ligne de base doit disposer d'une méthode définie et documentée pour déterminer l'impact de toute perturbation sur l'organisation, qui intègre les éléments suivants :
      1. Identifier les produits et services critiques.
      2. Identifiez toutes les dépendances, y compris les processus, les applications, les partenaires commerciaux et les fournisseurs de services tiers.
      3. Comprendre les menaces pesant sur les produits et services critiques.
      4. Déterminer les impacts résultant de perturbations planifiées ou imprévues et comment ceux-ci varient dans le temps.
      5. Établir la période maximale tolérable en cas de perturbation.
      6. Établir des priorités pour le rétablissement.
      7. Établir des objectifs de temps de récupération pour la reprise des produits et services critiques dans leur période maximale tolérable de perturbation.
      8. Estimer les ressources nécessaires à la reprise.
      9. Sensibilisation du personnel aux imprévus.
      10. Plans de sécurité.
      1. b) La base de référence doit disposer d'un ensemble défini de procédures d'intervention en cas d'urgence. Elle doit garantir que :
      1. Les conditions de mise en œuvre sont clairement définies et comprises.
      2. Les responsabilités de Baseline sont entièrement définies.
      3. Toutes les responsabilités des tiers sont entièrement définies.
      1. c) Un plan de secours et de récupération détaillé doit être inclus dans le plan de migration pour éviter la perte ou la corruption des informations du client.
      2. d) Des politiques et des procédures doivent être établies pour la maintenance des équipements afin de garantir la continuité et la disponibilité des opérations.
      3. e) Afin de réduire les risques liés aux menaces, dangers et possibilités d’accès non autorisé liés à l’environnement, les équipements doivent être situés à l’écart des emplacements soumis à une forte probabilité de risques environnementaux et complétés par des équipements redondants situés à une distance raisonnable.
      4. f) Des mécanismes de sécurité et des redondances doivent être mis en œuvre pour protéger les équipements contre les pannes de service public (par exemple, pannes de courant, perturbations du réseau, etc.).
      5. g) Les équipements de télécommunications, les câbles et les relais transmettant et recevant des données ou assurant des services de support doivent être protégés contre toute interception ou tout dommage et conçus avec des redondances, une source d'alimentation alternative et un routage alternatif.
      6. h) Baseline doit fournir une technologie fiable soutenue par des installations alternatives ou dupliquées ainsi que par une stratégie de sauvegarde des données primaires (sur site) et secondaires (hors site) pour répondre aux exigences de service de l'accord-cadre de services en vigueur et une capacité suffisante pour faire face aux charges de travail actuelles et prévues.
      7. i) Des politiques et procédures de conservation et de stockage des données doivent être établies et des mécanismes de sauvegarde ou de redondance mis en œuvre afin de garantir la conformité aux exigences réglementaires, statutaires, contractuelles ou commerciales. Des tests de récupération des sauvegardes sur disque ou sur bande doivent être effectués à intervalles réguliers.

      5.2 Résilience des services

      1. a) La ligne de base doit disposer d’un plan de test annuel décrivant le nombre et les types de tests à effectuer ainsi que les objectifs des tests.
      2. b) Les efforts de base pour que le plan de continuité des activités approuvé soit périodiquement testé par un tiers pour en vérifier l’adéquation et l’efficacité.

      5.3 Procédures de changement et d'évolution

      1. a) Baseline doit disposer d'un processus de gestion des modifications apportées aux Services (pour couvrir tous les composants des environnements opérationnels des services) qui :
      1. Un processus formel et contrôlé doit être appliqué pour tous les changements.
      2. Un processus d’intégration doit être appliqué à tous les nouveaux composants avant leur déploiement.
      3. Un plan de retour en arrière doit être défini et validé pour chaque changement.
      4. Les modifications fonctionnelles doivent être validées par les propriétaires des informations.
      5. Toute modification apportée aux applications ou aux systèmes d’exploitation ayant un impact sur l’infrastructure doit être validée par le responsable de la sécurité de l’information concerné.
      6. Les applications seront maintenues en tenant compte du soutien continu de l’infrastructure et de l’évolution des plateformes par les fournisseurs.
      1. b) Baseline doit informer le responsable des risques liés à l’information du Client de tout changement susceptible d’avoir un effet sur l’environnement de gestion des risques liés à l’information des Services.

      5.4 Tests

      1. a) Baseline doit avoir des procédures en place pour garantir la certification et l'acceptation appropriées des produits après les tests, qui comprennent au minimum :
      1. Acceptation de l'autorité de conception
      2. Certification des tests
      3. Procédures de transfert du client
      1. b) Baseline s'efforce de démontrer que son régime de tests est capable de gérer adéquatement les données de test
      2. c) Baseline prendra toutes les précautions nécessaires pour que les données sensibles ne soient jamais utilisées à des fins de test. Si l'utilisation de données sensibles est essentielle à la bonne mise en œuvre des services, Baseline mettra en œuvre des procédures pour les gérer de manière appropriée.
      3. d) Tous les logiciels fournis pour être utilisés avec les Services doivent être testés de manière adéquate et inclure au minimum :
      1. Tests fonctionnels.
      2. Tests d'intégration.
      3. Tests de sécurité.
      4. Tests de performance.
      5. Tests d'acceptation.
      6. Autorité de test indépendante.
      7. Tests indépendants.
      8. Test de régression de la compatibilité des versions du logiciel système.
      9. Tests de l'environnement système, y compris les logiciels d'exploitation et d'application, l'infrastructure réseau et le processus opérationnel impliqués dans la prestation de services.

      5.5 Modifications d'urgence

      La ligne de base doit disposer d’un processus de gestion des changements d’urgence, qui comprend l’intégration des changements dans les procédures standard.

      6. SÉCURITÉ PCI-DSS

      Baseline doit avoir formellement évalué et documenté sa conformité aux exigences PCI DSS

      7. DÉVELOPPEMENT DE LOGICIELS ET D'APPLICATIONS

      7.1 Procédures

      1. a) La ligne de base doit disposer d'une méthode définie et documentée pour déterminer l'impact de toute perturbation sur l'organisation, qui intègre les éléments suivants :
      2. b) Les politiques de sécurité doivent énoncer explicitement les exigences et le processus de sécurité à adopter lors du développement du logiciel/de l'application, et sont conçues conformément aux normes de sécurité acceptées par l'industrie et sont conformes aux exigences réglementaires et commerciales applicables.
      3. c) Un processus de sécurité est établi, mis en œuvre et surveillé.
      4. d) Baseline doit s’assurer que ses développeurs bénéficient de séances de sensibilisation régulières.
      5. e) Baseline doit disposer de processus de sécurité pour identifier et traiter les applications qui utilisent les données personnelles des utilisateurs.

      7.2 Phase d'exigences

      1. a) La ligne de base doit disposer d'un processus permettant de déterminer les exigences de sécurité auprès du propriétaire de l'entreprise/de l'application à partir des étapes d'exigences et de faisabilité elles-mêmes, et au minimum, elle aborde :
      1. Sensibilisation des contacts et conseillers en matière de sécurité et de confidentialité.
      2. Document défini sur les barres de bogues de sécurité et de confidentialité ainsi que l'utilisation obligatoire d'un système de suivi des bogues.
      3. Identification du personnel ayant accès aux données sensibles.
      4. Administration des utilisateurs par le biais de contrôles d'accès et de vérification d'identité.
      5. Fonctionnalités de journalisation des applications activées.
      6. Identification et communication sur l'authentification multifactorielle et le cryptage dans le cadre de la solution, le cas échéant.

      7.3 Phase de conception, de développement et de mise en œuvre

      1. a) La ligne de base doit comporter des techniques de conception documentées qui sont suivies par l'identification basée sur le code géré/non géré, les moindres privilèges, la minimisation de la surface d'attaque et la limite par les paramètres par défaut, etc., et des enregistrements sont conservés concernant l'accès individuel accordé, la raison de l'accès et la version du code source exposé.
      2. b) La ligne de base doit garantir que les critères de sécurité supplémentaires identifiés par le biais de problèmes de produits uniques tels que les scripts intersites, les attaques par injection SQL, etc. et les programmes utilitaires capables de potentiellement outrepasser les contrôles du système, des objets, du réseau, des machines virtuelles et des applications sont restreints.
      3. c) Baseline doit adopter et mettre en œuvre un processus de modélisation des menaces sous forme d'examen systématique des fonctionnalités et de l'architecture du produit pour identifier les menaces et les mesures d'atténuation.
      4. d) La sécurité est prise en compte et prise en compte dans le cadre de la validation des entrées et de la gestion des exceptions.
      5. e) La ligne de base doit garantir qu'une conception a été mise en place sur l'équilibrage et la surveillance de la charge pour protéger contre la destruction ou le déni de service et garantir la disponibilité.
      6. f) Il doit exister un processus défini, une documentation et des outils nécessaires pour garantir un déploiement et un fonctionnement sécurisés.

      7.4 Vérification, test et publication

      1. a) Au minimum, Baseline doit prendre en compte et garantir les éléments suivants :
      1. Évaluations de vulnérabilité effectuées pour garantir la sécurité des applications.
      2. Tests de pénétration pour garantir que les impacts sur la sécurité du point de vue d'un pirate informatique sont couverts.
      3. Tous les plans de réponse sont mis en œuvre et mis en œuvre, ainsi qu’une réévaluation de la surface d’attaque.
      4. Réalisation d'une revue de code à la fois automatique et manuelle pour garantir que le code est exempt de bugs.
      5. Révision de la conception et de l’architecture à la lumière des nouvelles menaces.
      6. Routines d'intégrité d'entrée et de sortie des données (c'est-à-dire, vérifications de rapprochement et d'édition).
      1. b) La ligne de base doit garantir qu'une revue de sécurité finale (ne faisant pas partie des tests d'intrusion) est effectuée dans le cadre du processus de publication afin de garantir qu'il n'existe aucune vulnérabilité de sécurité connue.