Pour Gouvernements & Compagnies
      Revenir à l'accueil
      1. Accueil
      2. Pour Gouvernements & Compagnies

      Politiques de sécurité informatique

      Mesures et protocoles que nous mettons en œuvre pour nous protéger des menaces cybernétiques.

      Dernière modification : 24 mars 2024

      LA PRÉSENTE POLITIQUE DE SÉCURITÉ INFORMATIQUE EST RÉGIE PAR LE CONTRAT-CADRE (LE « MSA »). TOUS LES TERMES EN MAJUSCULES DANS CETTE POLITIQUE DE SÉCURITÉ INFORMATIQUE DE RESIDENT SONT RÉPUTÉS AVOIR LA SIGNIFICATION QUI LEUR EST DONNÉE DANS LE MSA.

      1. DROIT À L'AUDIT DE SÉCURITÉ

      1.1 Accès aux locaux de Resident

      Le Client qui a signé un Contrat de Services Principal avec Resident est autorisé à accéder aux locaux de Resident à des fins d’audit de sécurité, sous réserve de : (i) l'accord écrit préalable de Resident (qui ne doit pas être refusé de manière déraisonnable) ; (ii) toutes les dispositions de sécurité raisonnables de Resident en vigueur au moment de cet accès, et (iii) d'un accord sur les détails du personnel, des délais, de la durée et de la portée des services fournis. L'accès peut notamment être refusé en raison de conflits de rôles et de l'impact sur la performance de Resident.

      1.2 Audit de sécurité

      a) Le Client a le droit de réaliser des audits périodiques de l'environnement de sécurité physique requis.

      b) Resident autorise le Client à inspecter/réaliser régulièrement des audits des processus et procédures des Politiques de Confidentialité et de Sécurité Informatique de Resident mis en œuvre concernant les Services de Resident, y compris, mais sans s'y limiter :

      • Processus de Gestion des Risques.
      • Processus de Gestion des Incidents et des Changements.
      • Tests de Sécurité (Tests de Vulnérabilité et Tests d'Intrusion).
      • Directives de Renforcement du Système.
      • BCP et DR et autres services et processus de Contingence.

      c) Resident autorise le Client, sans frais supplémentaires, à inspecter les processus opérationnels mis en œuvre pour les Services de Resident en fonction de la portée, de l'étendue et des Accords en vigueur et effectifs avec Resident.

      d) Resident reconnaît que le Client se réserve le droit d'exiger des modifications aux processus des Politiques de Confidentialité et de Sécurité Informatique de Resident si celles-ci s'avèrent inadéquates ; ces changements sont mutuellement convenus, raisonnables sur le plan commercial et soumis à un délai d'exécution raisonnable.

      1.3 Rapports d'inspection

      a) Aux frais exclusifs du Client, Resident reconnaît que le Client se réserve le droit de recevoir des rapports d'audit lorsque des auditeurs indépendants sont utilisés pour auditer les arrangements de gestion des risques de Resident pour les Services de Resident, y compris les rapports d'évaluation de sécurité tels que les tests de pénétration, les évaluations de vulnérabilité, les plans BCP/DR, les rapports de test, etc.

      b) Resident recommande que des revues et évaluations indépendantes soient réalisées par le Client au moins annuellement, ou à des intervalles prévus, pour s'assurer que l'organisation est conforme aux politiques, procédures, normes et exigences réglementaires applicables (c’est-à-dire, audits internes/externes, certifications, tests de vulnérabilité et de pénétration).

      2. INFRASTRUCTURE OPÉRATIONNELLE

      2.1 Contrôles physiques

      a) Resident a mis en place des procédures appropriées pour garantir que les responsabilités pour le maintien d'un environnement opérationnel sécurisé sont correctement attribuées et exécutées.

      b) Resident a mis en œuvre des contrôles physiques et environnementaux pour protéger le service, proportionnellement au niveau de risque. Resident a pris en compte les menaces physiques et environnementales dans l'évaluation des risques.

      c) La protection physique de l'équipement et de la zone de travail des Services de Resident couvre au minimum :

      • Intrusions.
      • Sécurité des personnes en cas de risques d'incendie, et d'autres menaces telles que les calamités naturelles (tempêtes, cyclones, incendies de forêt, etc.) et également les calamités d'origine humaine (menaces de bombe, activités malveillantes accidentelles ou intentionnelles).

      d) Les sites où des données sensibles ou des processus sont gérés respectent les normes reconnues (telles que ANSI/TIA942) pour la gestion et la sécurité des locaux de centres de données.

      2.2 Contrôle logique

      a) Resident s'assure que l'équipement informatique (dans les emplacements principaux, de secours et tiers) utilisé pour fournir les Services de Resident au Client sépare logiquement les Données Commerciales du Client et les Données Personnelles des Utilisateurs de celles des autres clients de Resident.

      b) Resident s'assure que l'environnement du Client, dans les locaux désignés de Resident, est au moins logiquement compartimenté, le séparant du reste de l'environnement de Resident pour garantir qu'aucune pénétration n'est possible depuis d'autres environnements de clients ou depuis le réseau plus large de Resident.

      2.3 Restriction de l'accès au réseau, lien privé

      a) Resident n'a accès qu'au minimum nécessaire au réseau du Client afin de fournir les Services de Resident. Lorsqu'il est nécessaire pour Resident d'accéder à certaines applications, l'accès est, lorsque cela est possible, fourni par un mécanisme de services terminal. Lorsque ce n'est pas possible, les systèmes partagés sont situés sur une DMZ spécifique. Les droits d'accès au niveau du système d'exploitation et des applications sont également gérés pour limiter l'accès au minimum requis pour fournir les Services de Resident.

      b) Le transfert de données entre le Client et Resident sera sécurisé de bout en bout par un lien privé. Lorsqu'il est mis en œuvre via un réseau privé virtuel, le niveau de cryptage doit être suffisant pour garantir l'intégrité de la connexion et est établi au niveau de cryptage commercial le plus fort actuellement disponible. Lorsque cela est possible, le VPN sera établi au niveau de l'application (par exemple, SSL VPN) plutôt qu'au niveau du réseau (par exemple, IPSEC) afin de restreindre l'accès et la connectivité uniquement à ce qui est requis. Lorsqu'un VPN réseau est requis, l'encapsulation d'application (par exemple, via des services terminal) sera utilisée et des contrôles stricts sur la compartimentation seront appliqués (comme mentionné ci-dessus).

      c) Le transfert de données utilisant un lien de communication dédié est crypté afin d'éviter les fuites de données.

      2.4 Architecture des applications

      Pour le développement d'applications, les différents composants de l'application (présentation, traitement des données, base de données, processus d'identification et d'authentification, etc.) sont distincts et, si possible, hébergés sur différents serveurs physiques ou virtuels afin que les différents composants soient situés sur différentes zones de l'architecture réseau.

      2.5 Séparation des environnements de développement

      Resident doit respecter une séparation claire des environnements de production, de développement et d'intégration.

      2.6 Mécanisme de filtrage

      a) Resident appliquera les mécanismes de filtrage nécessaires pour empêcher l'accès non autorisé depuis Internet aux interfaces d'administration des sites Web.

      b) Resident suppose que le Client est défensif vis-à-vis de son réseau commercial et établit un certain nombre de conditions sur les systèmes autorisés à s'y connecter. Resident introduira des contrôles pour limiter l'incidence de :

      • Accès non autorisé aux systèmes du Client.
      • Interférences avec les composants du réseau.
      • Dégradation des performances sur le réseau.
      • Interférences avec le trafic réseau.

      L'authentification à plusieurs facteurs est requise pour tous les accès utilisateurs distants.

      c) Resident inclura les conditions suivantes pour tous les systèmes souhaitant se connecter au réseau du Client :

      • La passerelle entre le réseau du Client et les systèmes externes est adéquatement sécurisée.
      • Il existe des contrôles pour empêcher l'accès non autorisé depuis les systèmes connectés au réseau de l'organisation.
      • Des mesures de surveillance et des contrôles adéquats sont en place pour empêcher les réseaux ou systèmes externes d'interférer avec le fonctionnement du réseau du Client.

      d) Resident mettra en œuvre les normes de l'industrie en matière de contrôle d'accès et d'autorisation par l'utilisation d'IDs et de mots de passe d'utilisateur (longueur, caractères, tentatives, ré-authentification, durée et expiration, stockage, désactivation, etc.).

      e) Une authentification forte sera utilisée pour les applications commerciales critiques et pour les activités d'accès distant.

      f) L'accès des utilisateurs aux ports de diagnostic et de configuration sera restreint aux personnes et aux applications autorisées.

      g) Des politiques et procédures sont établies et des mécanismes sont mis en œuvre pour le cryptage des données sensibles en stockage (par exemple, serveurs de fichiers, bases de données et stations de travail des utilisateurs) et des données en transmission (par exemple, interfaces système, sur des réseaux publics et messagerie électronique).

      h) Les données liées au commerce électronique (e-commerce) traversant des réseaux publics doivent être classées et protégées de manière appropriée contre les activités frauduleuses, les divulgations ou modifications non autorisées de telle manière à prévenir les litiges contractuels et le compromis des données.

      i) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour protéger les environnements de réseaux sans fil, y compris les éléments suivants :

      • Des pare-feux périphériques mis en œuvre et configurés pour restreindre le trafic non autorisé.
      • Paramètres de sécurité activés avec un cryptage fort pour l'authentification et la transmission, remplaçant les paramètres par défaut du fournisseur (par exemple, clés de cryptage, mots de passe, chaînes communautaires SNMP, etc.).
      • L'accès logique et physique aux dispositifs de réseau sans fil est restreint au personnel autorisé.
      • La capacité de détecter la présence de dispositifs de réseau sans fil non autorisés (rogues) pour une déconnexion rapide du réseau.

      3. GESTION DE L'INFORMATION, SÉCURITÉ ET CONFIDENTIALITÉ

      3.1 Information

      a) Les journaux d’audit enregistrant les activités d'accès des utilisateurs privilégiés, les tentatives d'accès autorisées et non autorisées, les exceptions système et les événements de sécurité de l'information doivent être conservés, en conformité avec les politiques et règlements applicables. Les journaux d’audit doivent être examinés au moins quotidiennement et des outils d'intégrité des fichiers (hôte) et de détection d'intrusion réseau (IDS) doivent être mis en œuvre pour faciliter la détection rapide, l'investigation par analyse des causes profondes et la réponse aux incidents. L'accès physique et logique aux journaux d’audit doit être limité au personnel autorisé.

      b) Un inventaire complet des actifs critiques est maintenu, avec un propriétaire défini et documenté.

      c) Des politiques et des procédures doivent être établies pour l'utilisation acceptable des actifs informationnels.

      d) Toutes les informations soumises par le Client à Resident, ou autrement en possession de Resident ou accessibles par Resident, restent la propriété du Client. Les informations du Client ne sont pas :

      • Utilisées par Resident autrement qu'en lien avec la fourniture des Services de Resident.
      • Divulguées, vendues, cédées, louées ou autrement fournies à des tiers par Resident.
      • Exploitées commercialement par ou au nom de Resident.

      Tous les actifs appartenant à l'organisation dans un délai défini et documenté une fois que l'emploi, le contrat ou l'accord est résilié, sont retournés.

      e) Les données et les objets contenant des données sont attribués à une classification basée sur le type de données, la juridiction d'origine, la juridiction de domiciliation, le contexte, les contraintes légales, les contraintes contractuelles, la valeur, la sensibilité, la criticité pour l'organisation et l'obligation tierce de conservation et de prévention de divulgation non autorisée ou d'utilisation abusive.

      f) Des politiques et des procédures doivent être établies pour l'étiquetage, le traitement et la sécurité des données et des objets contenant des données. Des mécanismes d'héritage d'étiquettes doivent être mis en œuvre pour les objets qui agissent comme des conteneurs agrégés pour les données.

      g) Des mécanismes de sécurité doivent être mis en œuvre pour prévenir les fuites de données.

      h) Les données de production ne sont pas répliquées ou utilisées dans des environnements non productifs.

      i) La documentation du système d'information (par exemple, guides d'administrateur et d'utilisateur, diagrammes d'architecture, etc.) est mise à la disposition du personnel autorisé pour garantir ce qui suit :

      • Configuration, installation et fonctionnement du système d'information.
      • Utilisation efficace des fonctionnalités de sécurité du système.

      j) Resident garantit que la classification des données spécifiée par le propriétaire de l'information du Client (en termes de confidentialité, d'intégrité et de disponibilité) est respectée à toutes les étapes du traitement de l'information et est également conforme aux exigences du MSA.

      k) Resident garantit que lui-même (et toute personne employée ou engagée par cette partie en lien avec ce projet dans le cadre de cet emploi ou engagement) utilise uniquement les informations exclusives fournies par le Client aux fins pour lesquelles elles ont été fournies ou sont entrées en sa possession.

      3.2 Conformité

      a) Resident doit se conformer au Système de Gestion de la Sécurité de l'Information (ISMS) dans la mesure où cela s'applique.

      b) Des liaisons et points de contact avec les autorités locales doivent être maintenus conformément aux exigences commerciales et clients et en conformité avec les exigences législatives, réglementaires et contractuelles. Les données, objets, applications, infrastructures et matériels peuvent se voir attribuer un domaine législatif et une juridiction pour faciliter les points de contact de conformité appropriés.

      c) Les exigences statutaires, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information. L'approche de Resident pour répondre aux exigences connues et s'adapter à de nouveaux mandats doit être explicitement définie, documentée et mise à jour pour chaque élément du système d'information. Les éléments du système d'information peuvent inclure des données, des objets, des applications, des infrastructures et du matériel. Chaque élément peut se voir attribuer un domaine législatif et une juridiction pour faciliter la cartographie de conformité appropriée.

      d) Resident doit approuver un document formel de politique de sécurité de l'information (la « Politique de Sécurité de l'Information ») qui est communiqué et publié aux employés, entrepreneurs et autres parties externes pertinentes. La Politique de Sécurité de l'Information doit établir la direction de l'organisation et s'aligner sur les meilleures pratiques, les réglementations, les lois fédérales/provinciales et internationales lorsque cela s'applique. La Politique de Sécurité de l'Information doit être soutenue par un plan stratégique et un programme de sécurité avec des rôles et des responsabilités bien définis pour les rôles de leadership et d'officier.

      e) Resident doit examiner la Politique de Sécurité de l'Information à des intervalles planifiés ou à la suite de changements dans l'organisation pour garantir son efficacité et son exactitude continues, et des politiques et des procédures sont établies et mises à la disposition de tout le personnel pour soutenir adéquatement le rôle des opérations de services.

      f) Des politiques et des procédures sont établies pour l'autorisation de la direction concernant le développement ou l'acquisition de nouvelles applications, systèmes, bases de données, infrastructures, services, opérations et installations.

      3.3 Protection de la Confidentialité, de l'Intégrité et de la Disponibilité

      a) Resident reconnaît formellement sa responsabilité de protéger les Informations Confidentielles conformément aux termes et conditions du Contrat-Cadre de Services et les exigences reflétant les besoins de l'organisation pour la protection des données et des détails opérationnels doivent être identifiées, documentées et examinées à des intervalles planifiés.

      b) Resident met en œuvre des mesures de protection pour garantir la confidentialité des Informations Confidentielles du Client et que les informations de tiers confiées au Client, stockées et en transit applicables dans le cadre du service, qui peuvent inclure :

      • Des contrôles d'accès adéquats aux fichiers/enregistrements.
      • Le chiffrement de fichiers sensibles.
      • Le chiffrement des communications.
      • Une gestion sécurisée des clés.
      • Une politique sur les structures de répertoires.
      • Le principe du moindre privilège.
      • Les autorités de besoin de savoir.

      c) Resident prend toutes les précautions nécessaires pour s'assurer que les Informations Confidentielles ne sont divulguées qu'à ses employés, agents, consultants ou sous-traitants ayant besoin de savoir.

      d) L'accès normal et privilégié aux applications, systèmes, bases de données, configurations réseau et données et fonctions sensibles est restreint et approuvé par la direction avant l'octroi d'accès.

      e) Les politiques et procédures d'accès utilisateur sont documentées, approuvées et mises en œuvre pour l'octroi et la révocation d'accès normal et privilégié aux applications, bases de données et infrastructure serveur et réseau conformément aux exigences commerciales, de sécurité, de conformité et des accords de niveau de service (SLA).

      f) La désactivation, la révocation ou la modification en temps opportun de l'accès des utilisateurs aux systèmes de l'organisation, aux actifs d'information et aux données sont mises en œuvre dès tout changement de statut des employés, entrepreneurs, clients, partenaires commerciaux ou tiers. Tout changement de statut est censé inclure la résiliation de l'emploi, du contrat ou de l'accord, le changement d'emploi ou le transfert au sein de l'organisation.

      g) Tous les niveaux d'accès des utilisateurs sont examinés par la direction à des intervalles planifiés et documentés. Pour les violations d'accès identifiées, des mesures correctives suivent les politiques et procédures de contrôle d'accès documentées.

      h) Les accords avec des tiers qui impactent directement ou indirectement les actifs ou les données de l'organisation incluent une couverture explicite de toutes les exigences de sécurité pertinentes. Cela inclut des accords impliquant le traitement, l'accès, la communication, l'hébergement ou la gestion des actifs d'information de l'organisation, ou l'ajout ou la résiliation de services ou de produits à des informations existantes. Les dispositions des accords d'actifs incluent des contrôles de sécurité (par exemple, chiffrement, contrôles d'accès et prévention des fuites) et des contrôles d'intégrité pour les données échangées afin de prévenir toute divulgation, altération ou destruction inappropriée.

      i) Avant d'accorder aux clients l'accès aux données, actifs et systèmes d'information, toutes les exigences de sécurité, contractuelles et réglementaires identifiées pour l'accès des clients doivent être abordées et remédiées.

      3.4 Retour ou Destruction de l'Information

      À la demande du Client à tout moment, le Résident doit :

      • Retourner rapidement au Client, dans le format et sur le support en cours d'utilisation à la date de la demande, toutes ou la partie demandée des Données Commerciales du Client ; et/ou

      • Effacer ou détruire toutes ou une partie des Données Commerciales du Client en possession du Résident et détruire tous les supports contenant les Données Commerciales du Client qui ne fonctionnent pas correctement. Si le Client demande au Résident d'effacer ou de détruire toutes ou une partie des Données Commerciales du Client, le Résident confirme rapidement par écrit au Client que cette effacement ou destruction a eu lieu. Les bandes d'archivage contenant des Données Commerciales du Client sont utilisées uniquement à des fins de sauvegarde et sont retournées ou détruites.

      3.5 Politique et Portée

      a) Le Résident doit avoir une politique de gestion des risques d'information qui soit démontrable et couvre au minimum les domaines suivants :

      • Protection de l'information

      • Processus de sensibilisation

      • Sécurité physique

      • Gestion des ordinateurs et des réseaux

      • Contrôles d'accès

      • Développement et maintenance des systèmes

      • Plans de récupération IS

      • Conformité

      b) Le Résident effectue périodiquement une évaluation des risques couvrant toutes les opérations dans le cadre du contrat du Résident avec le Client, et il examine également périodiquement les exigences de gestion des risques d'information du Client pour les Services Résidents.

      3.6 Rôles et Responsabilités

      a) Dans le cadre de l'Accord de Niveau de Service du Résident, les rôles de gestion des risques d'information attribués à chaque Partie et leurs responsabilités associées sont clairement définis.

      b) Le Résident doit nommer un responsable de la gestion des risques d'information pour le Client (le TAM - Responsable Technique de Compte) et est responsable de la protection des Informations Confidentielles du Client et de toute information tierce confiée au Client.

      c) Les rôles et responsabilités des entrepreneurs, employés et utilisateurs tiers sont documentés en ce qui concerne les actifs d'information et la sécurité.

      d) Des politiques, processus et procédures sont mis en œuvre pour garantir une séparation adéquate des tâches. Dans les cas où il existe un conflit d'intérêts lié au rôle de l'utilisateur, des contrôles techniques sont en place pour atténuer les risques liés à la modification ou à l'utilisation non autorisée ou non intentionnelle des actifs d'information de l'organisation.

      e) Les utilisateurs sont informés de leurs responsabilités concernant :

      • Le maintien de la sensibilisation et de la conformité avec les politiques de sécurité publiées, les procédures, les normes et les exigences réglementaires applicables.

      • Le maintien d'un environnement de travail sûr et sécurisé.

      • Le fait de laisser l'équipement sans surveillance de manière sécurisée.

      3.7 Gestion des Risques

      a) Le Résident partage les résultats de l'évaluation des risques et les plans de remédiation proposés avec le Client et informe le Client de tout retard dans le respect des dates convenues pour la mise en œuvre de contrôles spécifiques de gestion des risques d'information, tout en respectant le processus convenu pour gérer tout retard.

      b) Le Résident doit avoir des procédures de gestion des risques en place concernant la gestion du personnel :

      • Liaison avec le responsable de la gestion des risques d'information du Client.

      • Surveillance du service pour les violations de la gestion des risques d'information.

      • Enquête et rapport de toutes les violations de la gestion des risques d'information et des résultats de toutes les enquêtes dans les limites du service fourni.

      c) Le Résident doit avoir des procédures de gestion des risques en place concernant la gestion du personnel :

      • Embauche, changement de travail, licenciement, démission, redondance, résiliation de contrat, transfert, indisponibilité du personnel, suppression des privilèges d'accès utilisateur.

      Tous les membres du personnel du Résident et des sous-traitants doivent signer un accord de confidentialité concernant les informations propriétaires du Client et celles d'informations tierces confiées au Client.

      d) Conformément aux lois, réglementations, éthiques et contraintes contractuelles locales, tous les candidats à l'emploi, les entrepreneurs et les tiers sont soumis à une vérification des antécédents proportionnelle à la classification des données auxquelles ils doivent accéder, aux exigences commerciales et au risque acceptable.

      e) Le Résident garantit que le régime de gestion des risques d'information proposé pour protéger l'information est approprié aux risques ambiants.

      f) La direction exécutive et la direction opérationnelle doivent prendre des mesures formelles pour soutenir la sécurité de l'information par des orientations clairement documentées, un engagement, une assignation explicite et la vérification de l'exécution de l'assignation.

      g) Le Résident doit avoir un processus pour résoudre les litiges concernant les questions de gestion des risques d'information.

      h) Le Résident doit développer et maintenir un cadre de gestion des risques d'entreprise pour gérer les risques à un niveau acceptable.

      i) En accord avec le cadre de l'entreprise, des évaluations de risques formelles doivent être réalisées au moins annuellement, ou à intervalles prévus, afin de déterminer la probabilité et l'impact de tous les risques identifiés, en utilisant des méthodes qualitatives et quantitatives. La probabilité et l'impact associés aux risques inhérents et résiduels doivent être déterminés de manière indépendante, en tenant compte de toutes les catégories de risques (par exemple, résultats d'audit, analyse des menaces et des vulnérabilités, et conformité réglementaire).

      j) Les risques doivent être atténués à un niveau acceptable. Les niveaux d'acceptation basés sur les critères de risque doivent être établis et documentés conformément à des délais de résolution raisonnables et à l'approbation de la direction.

      k) Les résultats de l'évaluation des risques doivent inclure des mises à jour des politiques de sécurité, des procédures, des normes et des contrôles pour s'assurer qu'ils demeurent pertinents et efficaces.

      l) L'identification, l'évaluation et la priorisation des risques posés par les processus commerciaux nécessitant un accès de tiers aux systèmes d'information et aux données de l'organisation sont suivies par l'application coordonnée des ressources pour minimiser, surveiller et mesurer la probabilité et l'impact d'un accès non autorisé ou inapproprié. Des contrôles compensatoires dérivés de l'analyse des risques sont mis en œuvre avant d'accorder l'accès.

      3.8 Sensibilisation

      a) Le Résident doit s'assurer que son personnel comprend les menaces et préoccupations relatives à la gestion des risques d'information concernant les Services Résidents et les politiques de gestion des risques d'information pertinentes.

      b) Le personnel du Résident affecté aux Services Résidents doit recevoir une formation et des mises à jour régulières sur les politiques et procédures de gestion des risques d'information pertinentes, ainsi que sur le schéma de classification standard des risques et les procédures appropriées.

      c) Le personnel des sous-traitants affecté aux Services Résidents doit être informé du schéma de classification des risques d'information du Résident et des procédures appropriées.

      d) Des politiques et procédures doivent être établies pour le nettoyage des documents visibles contenant des données sensibles lorsque l'espace de travail est inoccupé et l'application de la déconnexion de session de travail en cas d'inactivité.

      4. GESTION DES INCIDENCES

      4.1 Procédures de Gestion des Incidents de Sécurité de l'Information

      a) Des procédures doivent être établies pour couvrir l'enquête et le rapport de tous les incidents de sécurité de l'information immédiatement, y compris, mais sans s'y limiter :

      • L'enquête
      • L'escalade
      • Format du rapport
      • Mesures disciplinaires
      • Action en justice
      • Actions entreprises pour prévenir la récurrence de l'incident
      • Retour d'information dans le système de gestion de la sécurité

      b) Le résident doit avoir un processus garantissant que les incidents de sécurité de l'information sont correctement gérés sans coût supplémentaire pour le client et dans un délai documenté dans le Contrat de Niveau de Service, ainsi que pour toute enquête judiciaire formelle.

      c) Le résident s'engage à communiquer en toute transparence avec le client concernant l'enquête et les actions ultérieures prises à la suite des incidents de sécurité de l'information impliquant le client.

      d) Des mécanismes doivent être en place pour surveiller et quantifier les types, volumes et coûts des incidents de sécurité de l'information.

      e) Le résident doit notifier le client de toute possession, divulgation, utilisation ou connaissance non autorisée, ou tentative de celles-ci, des informations du client dont il prend connaissance, y compris toute violation de la sécurité sur un système, un LAN ou un réseau de télécommunications contenant, traitant ou transmettant des informations confidentielles.

      f) Le résident doit s'assurer que les journaux de service sont régulièrement et efficacement inspectés pour détecter les incidents de sécurité de l'information.

      g) Le résident doit notifier le client de tout changement dans son environnement qui modifierait de manière significative le niveau de sécurité des services fournis.

      h) Le résident doit effectuer une surveillance et un rapport sur les risques d'information et, au minimum :

      • Surveillance et rapport de l'état de sécurité.
      • Rapport sur les incidents de gestion des risques d'information.
      • Respect d'une structure et de formats de rapport prédéfinis.
      • Fréquences de rapport au moins trimestrielles.

      i) Le résident doit immédiatement informer le responsable de contrat du client ou le contact désigné de tout compromis connu ou suspect des actifs d'information du client ou des violations du contrat.

      4.2 Suivi et Notification

      a) L'enquête sur les incidents de sécurité de l'information découverts dans les pistes d'audit doit être gérée dans le cadre des procédures globales établies pour la gestion et le rapport des incidents de sécurité de l'information.

      b) Dans le cas où une action de suivi concernant une personne ou une organisation après un incident de sécurité de l'information nécessite une action légale, des procédures judiciaires appropriées, y compris la chaîne de conservation, doivent être mises en place pour la collecte, la conservation et la présentation de preuves pour soutenir une éventuelle action légale, sous réserve de la juridiction applicable.

      4.3 Réponse d'Urgence

      a) Le résident dispose d'une équipe de réponse d'urgence, conformément au Contrat de Niveau de Service (SLA).

      b) En cas de violation majeure de la gestion des risques, le résident doit allouer des ressources appropriées à l'équipe de réponse d'urgence mise en place par le client.

      5. CONTINUITÉ DES ACTIVITÉS

      5.1 Plan et Procédures

      a) Le résident doit avoir une méthode définie et documentée pour déterminer l'impact de toute perturbation de l'organisation, qui incorpore les éléments suivants :

      • Identifier les produits et services critiques.
      • Identifier toutes les dépendances, y compris les processus, applications, partenaires commerciaux et services tiers.
      • Comprendre les menaces pesant sur les produits et services critiques.
      • Déterminer les impacts résultant de perturbations planifiées ou imprévues et comment ces impacts varient dans le temps.
      • Établir la période maximale tolérable de perturbation.
      • Établir des priorités de récupération.
      • Établir des objectifs de temps de récupération pour la reprise des produits et services critiques dans leur période maximale tolérable de perturbation.
      • Estimer les ressources nécessaires à la reprise.
      • Sensibiliser le personnel à la continuité.
      • Élaborer des plans de sécurité.

      b) Le résident doit avoir un ensemble défini de procédures d'action en cas de situation de contingence. Le résident doit s'assurer que :

      • Les conditions de mise en œuvre sont clairement définies et comprises.
      • Les responsabilités du résident sont entièrement définies.
      • Toutes les responsabilités des tiers sont entièrement définies.

      c) Il doit y avoir un plan de secours et de récupération détaillé dans le plan de migration pour prévenir la perte ou la corruption des informations du client.

      d) Des politiques et des procédures doivent être établies pour la maintenance des équipements afin d'assurer la continuité et la disponibilité des opérations.

      e) Pour réduire les risques liés aux menaces environnementales, aux dangers et aux opportunités d'accès non autorisé, les équipements doivent être situés loin des emplacements soumis à des risques environnementaux de forte probabilité et complétés par des équipements redondants situés à une distance raisonnable.

      f) Des mécanismes de sécurité et des redondances doivent être mis en œuvre pour protéger les équipements des pannes de service public (par exemple, pannes de courant, interruptions de réseau, etc.).

      g) Les équipements de télécommunications, le câblage et les relais transmettant des données ou soutenant des services doivent être protégés contre l'interception ou les dommages et conçus avec des redondances, une source d'alimentation alternative et un routage alternatif.

      h) Le résident doit fournir une technologie fiable, soutenue par des installations alternatives ou dupliquées, ainsi que par une stratégie de sauvegarde des données primaires (sur site) et secondaires (hors site) pour répondre aux exigences de service dans l'Accord du Résident en vigueur, et disposer d'une capacité suffisante pour faire face aux charges de travail actuelles et prévisibles.

      i) Des politiques et des procédures pour la conservation et le stockage des données doivent être établies, et des mécanismes de sauvegarde ou de redondance doivent être mis en œuvre pour garantir la conformité avec les exigences réglementaires, légales, contractuelles ou commerciales. Les tests de récupération des sauvegardes sur disque ou sur bande doivent être effectués à intervalles planifiés.

      5.2 Résilience du Service

      a) Le résident doit avoir un plan de test annuel décrivant le nombre et les types de tests à réaliser et les objectifs des tests.

      b) Le résident s'efforce de faire tester périodiquement le plan de continuité des activités approuvé par un tiers pour son adéquation et son efficacité.

      5.3 Procédures de Changement et d'Évolution

      a) Le résident doit avoir un processus pour gérer les changements apportés aux services du résident (pour couvrir tous les composants des environnements opérationnels de service) qui :

      • Un processus formel et contrôlé doit être appliqué à tous les changements.
      • Un processus d'intégration doit être appliqué pour tous les nouveaux composants avant leur déploiement.
      • Un plan de retour arrière doit être défini et validé pour chaque changement.
      • Les changements fonctionnels doivent être validés par les propriétaires d'information.
      • Tout changement d'application ou de système d'exploitation ayant un impact sur l'infrastructure doit être validé par le responsable de la sécurité de l'information concerné.
      • Les applications doivent être maintenues en tenant compte du support continu de l'infrastructure et de l'évolution des plateformes par les fournisseurs.

      b) Le résident doit notifier le responsable des risques d'information du client de tout changement qui pourrait avoir un effet sur l'environnement de gestion des risques d'information des services du résident.

      5.4 Tests

      a) Le résident doit avoir des procédures en place pour assurer la certification et l'acceptation appropriées des produits après tests, qui incluent au minimum :

      • Acceptation de l'autorité de conception
      • Certification des tests
      • Procédures de remise au client

      b) Le résident s'efforce de démontrer que son régime de test est capable de gérer adéquatement les données de test.

      c) Le résident doit prendre toutes les précautions nécessaires pour que les données sensibles ne soient jamais utilisées à des fins de test. Si l'utilisation de données sensibles est essentielle à la mise en œuvre réussie des services du résident, le résident doit mettre en œuvre des procédures pour les gérer de manière appropriée.

      d) Tout logiciel fourni pour utilisation avec les services du résident doit être adéquatement testé, y compris au minimum :

      • Tests fonctionnels.
      • Tests d'intégration.
      • Tests de sécurité.
      • Tests de performance.
      • Tests d'acceptation.
      • Autorité de test indépendante.
      • Tests indépendants.
      • Tests de régression pour la compatibilité des versions de logiciels système.
      • Tests de l'environnement système, y compris les logiciels d'exploitation et d'application, l'infrastructure réseau et les processus opérationnels impliqués dans la prestation du service.

      5.5 Changements d'Urgence

      Le résident doit avoir un processus pour gérer les changements d'urgence, qui inclut l'intégration des changements dans les procédures standards.

      6. SÉCURITÉ PCI-DSS

      Le résident doit avoir évalué et documenté formellement sa conformité aux exigences PCI DSS.

      7. DÉVELOPPEMENT DE LOGICIEL ET D'APPLICATION

      7.1 Procédures

      a) Le résident doit avoir une méthode définie et documentée pour déterminer l'impact de toute perturbation de l'organisation, qui incorpore les éléments suivants :

      b) Les politiques de sécurité doivent énoncer explicitement les exigences de sécurité et le processus à adopter lors du développement de logiciels/applications, et être conçues conformément aux normes de sécurité acceptées par l'industrie et respecter les exigences réglementaires et commerciales applicables.

      c) Un processus de sécurité est établi, mis en œuvre et surveillé.

      d) Le résident doit s'assurer que ses développeurs reçoivent régulièrement des sessions de sensibilisation.

      e) Le résident doit avoir des processus de sécurité pour identifier et traiter les applications qui utilisent des Données Personnelles Utilisateur.

      7.2 Phase des Exigences

      a) Le résident doit avoir un processus pour déterminer les exigences de sécurité auprès du propriétaire de l'application/du business dès les phases de demande et de faisabilité, et au minimum, cela doit aborder :

      • La sensibilisation aux contacts et conseillers en matière de sécurité et de confidentialité.
      • Un document défini sur les seuils de bugs en matière de sécurité et de confidentialité, ainsi que l'utilisation obligatoire d'un système de suivi des bugs.
      • L'identification du personnel ayant accès à des Données Sensibles.
      • L'administration des utilisateurs par le biais de revues d'accès et de vérifications d'identité.
      • L'activation des fonctionnalités de journalisation des applications.
      • L'identification et la communication sur l'authentification multifactorielle et le cryptage dans le cadre de la solution, le cas échéant.

      7.3 Phase de Conception, de Développement et de Mise en Œuvre

      a) Le résident doit avoir des techniques de conception documentées qui sont suivies par l'identification basée sur le code géré/non géré, le moindre privilège, la minimisation de la surface d'attaque et la limitation par des paramètres par défaut, etc., et des enregistrements doivent être conservés concernant la personne ayant obtenu l'accès, la raison d'accès et la version du code source exposée.

      b) Le résident doit s'assurer que des critères de sécurité supplémentaires identifiés par des problèmes de produit uniques, tels que les attaques par script intersite, les injections SQL, etc., ainsi que des programmes utilitaires capables de potentiellement contourner les contrôles système, objet, réseau, machine virtuelle et application sont restreints.

      c) Le résident doit adopter et mettre en œuvre un processus de modélisation des menaces en tant qu'examen systématique des fonctionnalités et de l'architecture du produit pour identifier les menaces et les mesures d'atténuation.

      d) La sécurité est prise en compte comme partie de la validation des entrées et de la gestion des exceptions.

      e) Le résident doit s'assurer qu'il y a eu une conception sur l'équilibrage de charge et la surveillance de charge pour se protéger contre la destruction ou la déni de service et garantir la disponibilité.

      f) Il doit y avoir un processus défini, ainsi que la documentation et les outils nécessaires pour assurer un déploiement et un fonctionnement sécurisés.

      7.4 Vérification, Tests et Publication

      a) Au minimum, le résident doit considérer et s'assurer des éléments suivants :

      • Des évaluations de vulnérabilité doivent être effectuées pour garantir la sécurité des applications.
      • Des tests d'intrusion pour s'assurer que les impacts de sécurité du point de vue d'un hacker sont couverts.
      • Tous les plans de réponse sont mis en œuvre et actionnés, avec une réévaluation de la surface d'attaque.
      • Une révision de code, tant automatique que manuelle, pour garantir que le code est exempt de bogues.
      • Un examen de la conception et de l'architecture à la lumière des nouvelles menaces.
      • Des routines d'intégrité des données d'entrée et de sortie (c'est-à-dire, réconciliation et contrôles de validation).

      b) Baseline Télématique doit s'assurer qu'un examen final de la sécurité (non compris dans les tests d'intrusion) est réalisé dans le cadre du processus de publication pour s'assurer qu'il n'y a pas de vulnérabilités de sécurité connues.

      8. Langue Officielle

      Ce document est une traduction française d’une version originale anglaise. En cas de disparité dans l’interprétation d’un texte, la version anglaise prévaudra.

      This document is a translation of an original english version. In case of disparity in the interpretation of any texts, the english version will take precedence.