Politique de Sécurité

Le Comité de Sécurité et Conformité de homedoctor est chargé de concevoir, d'évaluer et de réviser de manière permanente le Système de gouvernance et de durabilité et, spécifiquement, d'approuver et de mettre à jour les politiques d'entreprise, lesquelles contiennent les lignes directrices qui régissent l'action de l'organisation, dans le sens établi par la loi.

Dans l'exercice de ces responsabilités, afin d'établir les principes généraux qui doivent régir les actions en matière de sécurité d'entreprise sous toutes ses facettes, le Comité de Sécurité et Conformité approuve la présente Politique de sécurité d'entreprise (la « Politique »). Tout cela en conformité avec la réglementation en matière de Sécurité de l'Information basée sur le RD 311.2022 qui réglemente l'ENS et la norme volontaire ISO 27001.

D'autre part, et en raison de notre activité, chez Homedoctor, nous sommes conscients que les données personnelles sont un actif de grande valeur pour notre organisation et nécessitent, par conséquent, une protection et une gestion adéquates afin de respecter la législation en vigueur relative à la protection des données personnelles (RGPD et LOPDGDD) et l'engagement de Homedoctor envers nos clients, ce qui nous rend particulièrement sensibles au traitement des données personnelles auxquelles nous avons accès dans l'exercice de notre activité.

1. Objectif

L'objectif de cette Politique est d'établir les principes de base d'action qui doivent régir l'Organisation en matière de sécurité, pour garantir la protection effective des personnes, des actifs physiques (y compris les infrastructures critiques), de l'information et des connaissances et des systèmes de contrôle et de communication, ainsi que de la confidentialité des données traitées, veillant à tout moment à ce que les actions en matière de sécurité soient pleinement conformes à la loi et respectent scrupuleusement les dispositions du Code d'Éthique et de Conduite.

À travers cette Politique, l'Organisation manifeste son engagement envers l'excellence en matière de sécurité, laquelle occupe un rôle prépondérant dans le quotidien de l'Organisation, afin qu'elle reste sûre, résiliente et fiable dans une communauté numérique en constante transformation, où de nouvelles menaces de plus en plus sophistiquées surgissent, tant physiques que de cybersécurité ou hybrides, ce qui provoque une augmentation du degré d'exigence des régulateurs, des clients et des autres parties prenantes avec lesquelles l'Organisation interagit, concernant le respect des standards de sécurité toujours plus élevés qui permettent de construire et de consolider des relations de confiance durables.

Les systèmes doivent être protégés contre les menaces en évolution rapide ayant le potentiel d'affecter les informations et les services. Pour se défendre contre ces menaces, une stratégie qui s'adapte aux changements des conditions environnementales est nécessaire pour assurer la fourniture continue des services.

Ceci implique que les différents départements doivent appliquer les mesures minimales de sécurité exigées par le Schéma National de Sécurité selon la catégorie déterminée conformément à ce qui est indiqué dans le processus interne d'évaluation des systèmes, une systématique alignée sur ce qui est indiqué dans le guide CCN-STIC 803 « Évaluation des Systèmes », ainsi que réaliser un suivi continu des niveaux de prestation de services, suivre et analyser les vulnérabilités signalées, et préparer une réponse efficace aux incidents pour garantir la continuité des services fournis.

Les différents départements de l'organisation doivent s'assurer que la sécurité fait partie intégrante de chaque étape du cycle de vie du système, de sa conception à son retrait du service, en passant par les décisions de développement ou d'acquisition et les activités d'exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans les demandes d'offres et dans les cahiers des charges pour les projets TIC.

Les départements doivent être prêts à prévenir, détecter, réagir et récupérer des incidents, conformément à l'article 8 de l'ENS.

Suivant les directives du chapitre II, les principes fondamentaux qui régissent Homedoctor sont les suivants :

  1. La sécurité en tant que processus intégral, constitué de tous les éléments liés au système d'information, accordant une importance particulière à la sensibilisation de tous les participants.
  2. La gestion de la sécurité basée sur les risques, telle que décrite dans la section 2.8 du présent document.
  3. Prévention, détection, réponse et conservation. Développé dans les sections 2.1, 2.2, 2.3 et 2.4 du présent document.
  4. Existence de lignes de défense constituées de multiples couches de sécurité organisées en mesures de nature organisationnelle, physique et logique.
  5. Surveillance continue et réévaluation périodique, permettant la détection de comportements anormaux et leur réponse, ainsi que la mesure de leur évolution par la détection de vulnérabilités et de déficiences de configuration, vérifiant périodiquement leur efficacité, pouvant aller jusqu'à une refonte de notre conception de sécurité.
  6. Différenciation des responsabilités, telle que développée dans la section 2.6 du présent document.

2. Exigences minimales

Pour cela, nous appliquerons les exigences minimales suivantes.

  1. Organisation et mise en œuvre du processus de sécurité.
  2. Analyse et gestion des risques.
  3. Gestion du personnel.
  4. Professionnalisme.
  5. Autorisation et contrôle des accès.
  6. Protection des installations.
  7. Acquisition de produits de sécurité et sous-traitance de services de sécurité.
  8. Privilège minimal.
  9. Intégrité et mise à jour du système.
  10. Protection des informations stockées et en transit.
  11. Prévention contre d'autres systèmes d'information interconnectés.
  12. Enregistrement de l'activité et détection de code malveillant.
  13. Incidents de sécurité.
  14. Continuité de l'activité.
  15. Amélioration continue du processus de sécurité.

Ces exigences minimales sont proportionnées aux risques identifiés dans nos systèmes, conformément aux dispositions de l'article 28 et sont développées dans les documents du système de gestion de l'ENS.

3. Champ d'application

Cette Politique s'applique à l'ensemble des systèmes d'information de l'Organisation.

La présente Politique est développée et complétée par les politiques spécifiques suivantes, également approuvées par le Comité de Sécurité et de Conformité :

  • SIG.SI.PO-01 – Politique d'Organisation Interne
  • SIG.SI.PO-02 – Politique de mesures de sécurité dans les projets
  • SIG.SI.PO-03 – Politique des Actifs d'Information et autres associés
  • SIG.SI.PO-04 – Politique de Contrôle d'Accès et d'Identité
  • SIG.SI.PO-05 – Politique de Sécurité dans la Relation avec les Fournisseurs
  • SIG.SI.PO-06 – Politique de Sécurité de l'information pour l'utilisation des services cloud
  • SIG.SI.PO-07 – Politique de Gestion des Incidents de Sécurité
  • SIG.SI.PO-07-A1 – Annexe I – Politique de Gestion des Incidents de Sécurité
  • SIG.SI.PO-08 – Politique de Continuité des Activités
  • SIG.SI.PO-09 – Politiques de Conformité
  • SIG.SI.PO-10 – Politique de Contrôles du Personnel
  • SIG.SI.PO-11 – Politique de Télétravail
  • SIG.SI.PO-12 – Politique de Contrôles Physiques
  • SIG.SI.PO-13 – Politique des Appareils Mobiles et BYOD
  • SIG.SI.PO-14 – Politique de Contrôles Technologiques
  • SIG.SI.PO-15 – Politique de Sécurité des Réseaux
  • SIG.SI.PO-16 – Politiques de Cryptographie
  • SIG.SI.PO-17 – Politiques de Développement Sécurisé
  • SIG.SI.PO-18 – Politique de Gestion des Risques
  • SIG.SI.PO-19 – Politique de Formation
  • SIG.SI.PO-20 – Politique de prévention de la fraude, de la corruption et de la subornation

4. Principes fondamentaux d'action

Pour concrétiser l'engagement indiqué à la section 1 ci-dessus, les principes fondamentaux d'action suivants sont établis, qui doivent régir les activités de l'Organisation en matière de sécurité d'entreprise :

  1. Définir une stratégie de sécurité intégrale avec une approche à la fois préventive et proactive pour garantir un niveau de risque raisonnable.
  2. Assurer la protection adéquate des actifs (y compris les infrastructures critiques), pour gérer de manière proactive les risques.
  3. Garantir la protection des professionnels de l'Organisation tant sur leur lieu de travail que lors de leurs déplacements professionnels, ainsi que la protection des personnes lorsqu'elles se trouvent dans les installations ou lors de tout événement institutionnel de l'Organisation.
  4. Définir un modèle de gestion de la sécurité avec une attribution claire des rôles et responsabilités et des mécanismes de coordination efficaces, qui intègre la sécurité et la gestion proactive des risques dans les processus de décision.
  5. Assurer la protection adéquate de l'information et du savoir, ainsi que des systèmes de contrôle, d'information et de communication, pour gérer de manière proactive les risques, conformément aux dispositions de la Politique de Gestion des Risques.
  6. Préserver les principes de Confidentialité, Intégrité, Disponibilité, Authenticité, Traçabilité, ainsi que Conformité Réglementaire de l'information. À leur tour, ces principes se définissent de la manière suivante :
    • Confidentialité :
      est la propriété qui permet de garantir que l'accès à l'information ne peut être exercé que par les personnes autorisées à cet effet.
    • Intégrité :
      est la propriété de sauvegarder l'exactitude et l'exhaustivité des actifs d'information.
    • Disponibilité :
      est la qualité qui garantit que les personnes autorisées peuvent accéder à l'information et la traiter à tout moment nécessaire.
    • Authenticité :
      est la propriété ou caractéristique selon laquelle une entité est celle qu'elle prétend être ou qui garantit la source d'où proviennent les données.
    • Traçabilité :
      est la propriété ou caractéristique selon laquelle les actions d'une entité peuvent être imputées exclusivement à ladite entité.
  7. Promouvoir l'identification des informations non publiques classifiées (ou susceptibles d'être classifiées) comme confidentielles ou secrètes, ainsi que des informations considérées (ou susceptibles d'être considérées) comme un secret commercial et définir les critères pour leur protection adéquate, en assurant leur mise en œuvre.
  8. Impulser la lutte active contre la fraude et contre les attaques à la marque, à l'image et à la réputation des sociétés de l'Organisation et de ses professionnels.
  9. Garantir le droit à la protection des données personnelles de toutes les personnes physiques qui interagissent avec l'Organisation, conformément aux dispositions du MANUEL DE SÉCURITÉ DE L'UTILISATEUR.
  10. Adopter les mesures nécessaires pour prévenir, neutraliser, minimiser ou réparer les dommages causés par des menaces de sécurité, qu'elles soient physiques, de cybersécurité ou hybrides, pour le développement normal des activités, sur la base de critères de proportionnalité aux risques potentiels et à la criticité et à la valeur des actifs et services affectés.
  11. Respecter les principes fondamentaux d'action établis dans la PSI.08 – Politique de Continuité des Activités.
  12. Favoriser une culture inclusive et une sensibilisation en matière de sécurité au sein de l'Organisation, par la réalisation d'actions de diffusion, de sensibilisation et de formation adéquates, adaptées à chaque destinataire et avec une périodicité suffisante pour garantir l'actualisation des connaissances dans ce domaine.
  13. Promouvoir la formation adéquate en matière de sécurité de tout le personnel, tant interne qu'externe, en définissant des exigences et des critères de recrutement qui tiennent compte de cette formation.
  14. Surveiller le contexte actuel de l'organisation et de l'environnement, ainsi que l'évolution des événements permettant d'identifier les menaces de sécurité les plus pertinentes afin d'anticiper leur impact potentiel.
  15. Promouvoir les meilleures pratiques et l'innovation dans le domaine de la sécurité.
  16. Collaborer avec les parties prenantes impliquées (entre autres, la chaîne d'approvisionnement et les clients) sur les risques de sécurité affectant les sociétés de l'Organisation afin de renforcer la réponse coordonnée face aux risques et menaces potentiels en matière de sécurité.
  17. Fournir toute l'assistance et la coopération que peuvent exiger les institutions et organismes compétents en matière de sécurité, y compris entre autres les régulateurs, les forces et corps de sécurité et les agences gouvernementales, nationales et internationales, dans les pays où l'Organisation exerce son activité.
  18. Veiller au respect effectif des obligations imposées par la réglementation applicable à tout moment en matière de sécurité, agissant toujours conformément à la législation en vigueur et à ce qui est établi dans le Code d'éthique et de conduite.

5. OBJECTIFS GÉNÉRAUX

La Politique de Sécurité fournit les bases pour définir et délimiter les objectifs et responsabilités pour les diverses actions techniques, légales et organisationnelles qui sont requises pour garantir la sécurité de l'information et la confidentialité, en respectant le cadre légal applicable et les politiques globales et spécifiques de l'entreprise, ainsi que les procédures définies.

Ces actions du point de vue de la sécurité et de la confidentialité sont sélectionnées et mises en œuvre en se basant sur l'analyse des risques et l'équilibre entre le risque acceptable et le coût des mesures.

L'objectif de la Politique de Sécurité est de fixer le cadre d'action nécessaire pour protéger les ressources d'information et les données contre les menaces, internes ou externes, délibérées ou accidentelles.

Les informations et les données peuvent exister sous une variété de formats, avec des supports électroniques ainsi que le papier ou d'autres médias, et incluent parfois des données critiques concernant les opérations, les stratégies ou les activités de Homedoctor et de ses clients, et même, le cas échéant, des données de nature sensible établies par la réglementation sur la protection des données personnelles. La perte, la corruption ou la soustraction d'informations ou des systèmes qui les gèrent a un impact élevé sur notre Entreprise.

Homedoctor est convaincue qu'une gestion efficace de la Sécurité de l'Information et de la Confidentialité est un élément habilitant pour que l'organisation comprenne pleinement et agisse de manière adéquate face aux risques auxquels l'information est exposée, ainsi que pour pouvoir répondre et s'adapter efficacement aux exigences croissantes des organismes de réglementation, des lois et, bien sûr, de ses clients.

6. ENGAGEMENT DE LA HAUTE DIRECTION

L'objectif du Système de Gestion de la Sécurité de l'Information est de garantir que les risques de sécurité de l'information et de confidentialité sont connus, assumés, gérés et minimisés de manière documentée, systématique, structurée, reproductible, gérable et adaptée aux changements qui se produisent dans les risques, l'environnement et les technologies.

À cette fin, la direction déclare l'engagement de Homedoctor à :

  • Établir les services comme objectif primordial, dans le respect absolu des normes de qualité, en préservant l'information, avec une attention particulière à la sensibilité des données personnelles traitées, avec toutes les mesures nécessaires à sa portée.
  • Appliquer le principe d'amélioration continue à tous les processus de l'organisation, avec l'objectif supplémentaire d'atteindre le plus haut degré de satisfaction des clients.
  • Assurer le respect des exigences légales et réglementaires applicables (en particulier celles relatives à la protection des données personnelles), ainsi que celles que l'organisation a volontairement assumées dans le développement de la Responsabilité Sociale d'Entreprise du Livre de Style et dans le Code d'Éthique.
  • Renforcer la participation, la communication, l'information et la formation de l'équipe professionnelle afin qu'elle se sente partie prenante du travail de l'organisation dans son ensemble.
  • Promouvoir l'engagement de responsabilité parmi les membres de l'équipe conformément aux exigences de qualité, ainsi qu'à celles relatives à la confidentialité et à la sécurité de l'information convenues tant en interne qu'avec les clients, par des actions de formation et de sensibilisation appropriées et régulières.
  • Assurer la continuité des activités en élaborant des plans de continuité conformes aux méthodologies reconnues.
  • Réaliser et réviser périodiquement une analyse des risques basée sur des méthodes reconnues qui nous permettent d'établir le niveau de confidentialité des données personnelles et de sécurité de l'information en général et des projets et services en cours, et de minimiser les risques par le développement de politiques spécifiques, de solutions techniques et d'accords contractuels avec des organisations spécialisées.
  • Engagement d'information envers les parties intéressées.
  • Sélection des fournisseurs et sous-traitants basée sur des critères liés à la confidentialité et à la sécurité de l'information.
  • En ce qui concerne spécifiquement la protection des données personnelles, Homedoctor s'engage à respecter les principes indiqués dans la législation de référence. Ceux-ci sont :
  • Principe de « licéité, transparence et loyauté ». Les données doivent être traitées de manière licite, loyale et transparente pour la personne concernée.
  • Principe de « finalité ». Les données doivent être traitées à une ou plusieurs finalités déterminées, explicites et légitimes et, d'autre part, il est interdit que les données collectées à des fins déterminées, explicites et légitimes soient traitées ultérieurement d'une manière incompatible avec ces fins.
  • Principe de « minimisation des données ». Appliquer des mesures techniques et organisationnelles pour garantir que seules les données strictement nécessaires à chacune des finalités spécifiques du traitement sont traitées, réduisant l'étendue du traitement, limitant le délai de conservation et leur accessibilité à ce qui est nécessaire.
  • Principe de « exactitude ». Prendre des mesures raisonnables pour que les données soient à jour, soient supprimées ou modifiées sans délai lorsqu'elles sont inexactes par rapport aux fins pour lesquelles elles sont traitées.
  • Principe de « limitation de la durée de conservation ». La conservation des données doit être limitée dans le temps à la réalisation des finalités du traitement.
  • Principe de « sécurité ». Réaliser une analyse des risques visant à déterminer les mesures techniques et organisationnelles nécessaires pour garantir l'intégrité, la disponibilité, l'authenticité, la traçabilité et la confidentialité des données personnelles qu'elles traitent.
  • Principe de « responsabilité active » ou « responsabilité démontrée ». Maintenir une diligence raisonnable de manière permanente pour protéger et garantir les droits et libertés des personnes physiques dont les données sont traitées sur la base d'une analyse des risques que le traitement représente pour ces droits et libertés, de manière à pouvoir garantir et démontrer que le traitement est conforme aux prévisions du RGPD et de la LOPDGD.
  • Diriger, soutenir et superviser le système de gestion de la sécurité de l'information, tel qu'établi dans le RD 311.2022 et les modifications ultérieures, ainsi que dans l'ISO 27001, et s'efforcer d'atteindre ses objectifs.

La direction de Homedoctor s'engage à soutenir et à promouvoir les principes établis dans cette Politique, pour lesquels elle demande au personnel de Homedoctor d'assumer et de se conformer aux dispositions du système de gestion documenté pour l'ENS.

7. DÉVELOPPEMENT DE LA POLITIQUE DE SÉCURITÉ

Cette Politique de Sécurité complète les politiques de sécurité de Homedoctor dans différentes matières et sera développée au moyen d'une réglementation de sécurité qui abordera des aspects spécifiques. La réglementation de sécurité sera à la disposition de tous les membres de l'organisation qui en ont besoin, en particulier pour ceux qui utilisent, exploitent ou administrent les systèmes d'information et de communication.

La documentation relative à la Sécurité de l'Information sera classée en trois niveaux, de manière que chaque document d'un niveau se fonde sur ceux de niveau supérieur :

  • Premier niveau : Politique de sécurité.
  • Deuxième niveau : Réglementations et procédures de sécurité.
  • Troisième niveau : Rapports, enregistrements et preuves électroniques.

7.1. POLITIQUE

7.1.1. Prévention

Les départements doivent éviter, ou du moins prévenir dans la mesure du possible, que les informations ou les services ne soient affectés par des incidents de sécurité. Pour ce faire, les départements doivent mettre en œuvre les mesures de sécurité minimales déterminées par l'ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. Ces contrôles, ainsi que les rôles et responsabilités en matière de sécurité de tout le personnel, doivent être clairement définis et documentés.

Pour garantir la conformité à la politique, les départements doivent :

  • Autoriser les systèmes avant leur mise en service.
  • Évaluer régulièrement la sécurité, y compris les évaluations des changements de configuration effectués de manière routinière.
  • Demander une révision périodique par des tiers afin d'obtenir une évaluation indépendante.

7.1.2. Détection

Étant donné que les services peuvent se dégrader rapidement en raison d'incidents, allant d'un simple ralentissement à leur arrêt, les services doivent surveiller le fonctionnement de manière continue pour détecter les anomalies dans les niveaux de prestation des services et agir en conséquence selon ce qui est établi à l'article 9 de l'ENS.

La surveillance est particulièrement pertinente lorsque des lignes de défense sont établies conformément à l'article 8 de l'ENS. Des mécanismes de détection, d'analyse et de rapport seront établis qui parviendront régulièrement aux responsables et lorsqu'un écart significatif par rapport aux paramètres préétablis comme normaux se produit.

7.1.3. Réponse

Les départements doivent :

  • Établir des mécanismes pour répondre efficacement aux incidents de sécurité.
  • Désigner un point de contact pour les communications concernant les incidents détectés dans d'autres départements ou dans d'autres organismes.
  • Établir des protocoles pour l'échange d'informations liées à l'incident. Cela inclut les communications, dans les deux sens, avec les Équipes de Réponse aux Urgences (CERT).

7.1.4. Récupération

Pour garantir la disponibilité des services critiques, les départements doivent développer des plans de continuité des systèmes dans le cadre de leur plan général de continuité des activités et des activités de récupération.

8. ORGANISATION DE LA SÉCURITÉ

Cette politique s'applique à tous les systèmes de Homedoctor et à tous les membres de l'organisation, sans exception.

Homedoctor s'engage à fournir ses services de manière gérée et en respectant les exigences établies dans son Système de Gestion Intégré afin de garantir un service ininterrompu conformément aux exigences de disponibilité, de sécurité et de qualité envers les clients.

En raison de notre activité, chez Homedoctor, nous savons que l'information est un actif de grande valeur pour notre organisation et surtout pour celle de nos clients et nécessite, par conséquent, une protection et une gestion adéquates afin d'assurer la continuité de notre ligne d'activité et de minimiser les dommages éventuels causés par des défaillances dans la Sécurité de l'Information.

À cette fin, l'organisation :

  • Protégera adéquatement la confidentialité, la disponibilité, l'intégrité, l'authenticité et la traçabilité de ses actifs d'information en introduisant une série de contrôles pour gérer les risques de sécurité pertinents.
  • Priorisera la protection et la sauvegarde de ses clients et des données des clients comme une priorité commerciale.
  • Établira, mettra en œuvre, surveillera, maintiendra et améliorera continuellement sa gestion de la sécurité de l'information dans le cadre de son approche plus large de gestion d'entreprise, et maintiendra la Certification Accréditée selon les normes appropriées.
  • Gérera toute violation de la sécurité de l'information de manière opportune et responsable, et investira dans des stratégies appropriées de détection, de réponse et de réparation.
  • À intervalles planifiés, testera ses contrôles de sécurité de l'information et ses réponses aux scénarios susceptibles de menacer ses opérations.
  • Fournira des ressources adéquates à l'organisation pour établir, maintenir et améliorer l'environnement de sécurité, selon les besoins du paysage des risques en évolution.
  • Investira dans les compétences du personnel pour l'exécution de leurs tâches et fournira au personnel une formation et une sensibilisation adéquates pertinentes pour leur rôle et les informations auxquelles ils ont accès.
  • Garantira que nos fournisseurs et organisations partenaires fassent de même, et qu'ils établissent et appliquent des normes de sécurité à ceux à qui nous transmettons toute information.

8.1. Comité de Sécurité

Les membres du Comité de Sécurité seront désignés dans un acte fondateur, où sera indiquée la personne désignée et le poste qu'elle devra occuper.

Le Secrétaire du Comité de Sécurité sera le RESPONSABLE DE LA SÉCURITÉ et aura pour fonctions :

  • Convoque les réunions du Comité de Sécurité.
  • Prépare les sujets à traiter lors des réunions du Comité, en apportant des informations ponctuelles pour la prise de décisions.
  • Rédige le procès-verbal des réunions.
  • Est responsable de l'exécution directe ou déléguée des décisions du Comité.
  • Le Comité de Sécurité rendra compte au Directeur Général.
  • Le Comité de Sécurité aura les fonctions suivantes :
  • Répondre aux préoccupations de la Haute Direction et des différents départements.
  • Rendre compte régulièrement de l'état de la sécurité de l'information à la Haute Direction.
  • Promouvoir l'amélioration continue du système de gestion de la sécurité de l'information.
  • Élaborer la stratégie d'évolution de l'Organisation en matière de sécurité de l'information.
  • Coordonner les efforts des différentes zones en matière de sécurité de l'information, pour s'assurer que les efforts sont cohérents, alignés sur la stratégie décidée en la matière, et éviter les duplications.
  • Élaborer (et réviser régulièrement) la Politique de Sécurité pour qu'elle soit approuvée par la Direction.
  • Approuver la réglementation en matière de sécurité de l'information.
  • Coordonner toutes les fonctions de sécurité de l'organisation.
  • Veiller au respect de la réglementation légale et sectorielle applicable.
  • Veiller à l'alignement des activités de sécurité sur les objectifs de l'organisation.
  • Coordonner les Plans de Continuité des différentes zones, pour assurer une action sans faille en cas d'activation.
  • Coordonner et approuver, le cas échéant, les propositions de projets reçues des différents domaines de sécurité, en se chargeant de gérer un contrôle et une présentation régulière de l'avancement des projets et de l'annonce des éventuels écarts.
  • Recevoir les préoccupations en matière de sécurité de la Direction de l'entité et les transmettre aux responsables départementaux pertinents, en recueillant d'eux les réponses et solutions correspondantes qui, une fois coordonnées, devront être communiquées à la Direction.
  • Recueillir auprès des responsables de la sécurité départementaux des rapports réguliers sur l'état de la sécurité de l'organisation et les incidents éventuels. Ces rapports sont consolidés et résumés pour être communiqués à la Direction de l'entité.
  • Coordonner et répondre aux préoccupations transmises par l'intermédiaire des responsables de la sécurité départementaux.
  • Définir, au sein de la Politique de Sécurité d'Entreprise, l'attribution des rôles et les critères pour atteindre les garanties pertinentes en matière de ségrégation des fonctions.
  • Élaborer et approuver les exigences de formation et de qualification des administrateurs, opérateurs et utilisateurs du point de vue de la sécurité de l'information.
  • Surveiller les principaux risques résiduels assumés par l'Organisation et recommander d'éventuelles actions à leur égard.
  • Surveiller la performance des processus de gestion des incidents de sécurité et recommander d'éventuelles actions à leur égard. En particulier, veiller à la coordination des différentes zones de sécurité dans la gestion des incidents de sécurité de l'information.
  • Promouvoir la réalisation d'audits périodiques permettant de vérifier le respect des obligations de l'organisme en matière de sécurité.
  • Approuver les plans d'amélioration de la sécurité de l'information de l'Organisation. En particulier, il veillera à la coordination des différents plans pouvant être réalisés dans différentes zones.
  • Prioriser les actions en matière de sécurité lorsque les ressources sont limitées.
  • Veiller à ce que la sécurité de l'information soit prise en compte dans tous les projets, de leur spécification initiale à leur mise en œuvre. En particulier, il devra veiller à la création et à l'utilisation de services horizontaux qui réduisent les doublons et favorisent un fonctionnement homogène de tous les systèmes TIC.
  • Résoudre les conflits de responsabilité qui pourraient apparaître entre les différents responsables et/ou entre différentes zones de l'Organisation.

8.2.  Rôles : Fonctions et responsabilités

Les fonctions des responsables de l'organisation sont détaillées ci-dessous :

8.2.1. Responsable de l'Information

Ses fonctions seront les suivantes :

  • Responsabilité finale de l'utilisation faite d'une certaine information et, par conséquent, de sa protection.
  • Responsabilité finale de toute erreur ou négligence entraînant un incident de confidentialité ou d'intégrité (en matière de protection des données) et de disponibilité (en matière de sécurité de l'information).
  • Établir les exigences de sécurité de l'information.
  • Déterminer et approuver les niveaux de sécurité de l'information.
  • Approuver la catégorisation du système par rapport à l'information.
  • Ceux qui seront indiqués dans les documents relevant du champ d'application de l'ENS.

8.2.2. Responsable du Service

Ses fonctions seront les suivantes :

  • Établir les exigences de sécurité du service.
  • Déterminer les niveaux de sécurité des services.
  • Approuver la catégorisation du système par rapport aux services.
  • Ceux qui seront indiqués dans les documents relevant du champ d'application de l'ENS.

8.2.3. Responsable de la Sécurité

Ses fonctions seront les suivantes :

  • Maintenir la sécurité des informations traitées et des services fournis par les systèmes d'information dans son domaine de responsabilité, conformément à la Politique de Sécurité de l'Information de l'organisation.
  • Promouvoir la formation et la sensibilisation à la sécurité de l'information dans son domaine de responsabilité.
  • Approuver la déclaration d'applicabilité.
  • Canaliser et superviser, à la fois le respect des exigences de sécurité du service fourni ou de la solution proposée, et les communications relatives à la sécurité de l'information et la gestion des incidents pour le périmètre de ce service (POC).
  • Ceux qui seront indiqués dans les documents relevant du champ d'application de l'ENS.

Le Responsable de la Sécurité sera le secrétaire du Comité de Sécurité avec les fonctions indiquées à la section 3.5.1 de la présente politique.

Conformément au principe de « ségrégation des fonctions et des tâches » énoncé à l'article 10 de l'ENS, le Responsable de la Sécurité sera une entité distincte du Responsable du Système.

8.2.4. Responsable du Système

Ses fonctions seront les suivantes :

  • Développer, exploiter et maintenir le système d'information tout au long de son cycle de vie, y compris ses spécifications, son installation et la vérification de son bon fonctionnement.
  • Définir la topologie et la gestion du système d'information, en établissant les critères d'utilisation et les services disponibles sur celui-ci.
  • S'assurer que les mesures de sécurité sont correctement intégrées dans le cadre général de sécurité.
  • Pouvoir proposer la suspension du traitement d'une certaine information ou la prestation d'un service donné si des déficiences graves de sécurité sont constatées, susceptibles d'affecter la satisfaction des exigences établies.
  • Ceux qui seront indiqués dans les documents relevant du champ d'application de l'ENS.

8.2.5. Responsable de la Confidentialité

Ses fonctions seront les suivantes :

  • Coordonner tous les aspects liés à l'adéquation des actions de Homedoctor en matière de protection des données à caractère personnel.
  • Coordonner, conjointement avec le Responsable de la Sécurité, le respect de l'ENS en matière de protection des données à caractère personnel.

8.3. Procédures de désignation

Le Responsable de la Sécurité sera nommé par le Comité de Sécurité. La nomination sera révisée tous les 2 ans ou lorsque le poste deviendra vacant.

De même, les autres postes indiqués dans la section précédente seront désignés par le Comité de Sécurité au moyen d'un procès-verbal de réunion.

9. RÉVISION DE LA POLITIQUE DE SÉCURITÉ

La révision annuelle de cette Politique de Sécurité et la proposition de révision ou de maintien de celle-ci incomberont au Comité de Sécurité. La Politique sera approuvée par la Haute Direction et diffusée afin que toutes les parties concernées en prennent connaissance.

10. DONNÉES À CARACTÈRE PERSONNEL

Homedoctor, dans la prestation de son service, traite des données à caractère personnel particulièrement sensibles, soit parce qu'elles font partie du dossier médical, soit en raison de leur catégorie spéciale.

La documentation pertinente, à laquelle seules les personnes autorisées auront accès, contient les registres d'activité de traitement des données concernées et les responsables correspondants. Tous les systèmes d'information de Homedoctor se conformeront aux niveaux de sécurité requis par la réglementation pour la nature et la finalité des données à caractère personnel.

11. GESTION DES RISQUES

Tous les systèmes soumis à cette Politique devront réaliser une analyse des risques, évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera répétée :

  • Régulièrement, au moins une fois par an
  • Lorsque les informations traitées changent
  • Lorsque les services fournis changent
  • Lorsqu'un incident de sécurité grave se produit
  • Lorsque des vulnérabilités graves sont signalées

Pour l'harmonisation des analyses de risques, le Comité de Sécurité établira une valorisation de référence pour les différents types d'informations gérées et les différents services fournis. Le Comité de Sécurité dynamisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en promouvant des investissements de caractère horizontal.

12. OBLIGATIONS DU PERSONNEL

Tous les membres de Homedoctor ont l'obligation de connaître et de respecter cette Politique de Sécurité et la Réglementation de Sécurité, le Comité de Sécurité étant responsable de mettre à disposition les moyens nécessaires pour que l'information parvienne aux personnes concernées.

Tous les membres de Homedoctor assisteront à une session de sensibilisation à la sécurité de l'information au moins une fois par an. Un programme de sensibilisation continue sera établi pour s'adresser à tous les membres de Homedoctor, en particulier les nouveaux venus.

Les personnes ayant des responsabilités dans l'utilisation, l'exploitation ou l'administration des systèmes recevront une formation pour la manipulation sécurisée des systèmes dans la mesure où elles en ont besoin pour effectuer leur travail. La formation sera obligatoire avant d'assumer une responsabilité, que ce soit leur première affectation ou qu'il s'agisse d'un changement de poste ou de responsabilités au sein du même.

13. TIERS

Lorsque Homedoctor fournit des services à d'autres organisations publiques ou privées ou gère des informations provenant d'autres organisations publiques ou privées, celles-ci seront informées de la présente Politique de Sécurité, des canaux seront établis pour le signalement et la coordination des Comités de Sécurité respectifs et des procédures d'action seront mises en place pour réagir aux incidents de sécurité.

Lorsque Homedoctor utilise les services de tiers ou cède des informations à des tiers, ces derniers seront informés de la présente Politique de Sécurité et de la Réglementation de Sécurité qui s'y rapporte. Le tiers en question sera soumis aux obligations établies dans ladite réglementation, pouvant développer ses propres procédures opérationnelles pour s'y conformer. Des procédures spécifiques de signalement et de résolution des incidents seront établies. Il sera garanti que le personnel des tiers est correctement sensibilisé en matière de sécurité, au moins au même niveau que celui établi dans la présente Politique.

Lorsque certains aspects de la Politique ne peuvent être satisfaits par un tiers tel que requis dans les paragraphes précédents, un rapport du Responsable de la Sécurité sera exigé précisant les risques encourus et la manière de les traiter. L'approbation de ce rapport par les responsables de l'information et des services concernés sera requise avant de poursuivre.

14. LÉGISLATION APPLICABLE

Ci-dessous sont détaillées les lois considérées comme applicables au SGSI, ainsi qu'une définition de la zone responsable de l'évaluation de leur impact sur l'organisation.

Loi / RèglementResponsabilité
Loi 39/2015, du 1er octobre, relative à la Procédure Administrative Commune des Administrations PubliquesResponsable de la Sécurité
Loi 40/2015, du 1er octobre, établit et réglemente les bases du régime juridique des Administrations Publiques, les principes du système de responsabilité des Administrations Publiques et du pouvoir de sanction, ainsi que l'organisation et le fonctionnement de l'Administration Générale de l'État et de son secteur public institutionnel pour le développement de ses activitésResponsable de la Sécurité
Décret Royal 311/2022, du 3 mai, portant réglementation du Schéma National de Sécurité.Responsable de la Sécurité
Loi Organique 1/2015, du 30 mars, portant modification de la Loi Organique 10/1995, du 23 novembre, du Code PénalResponsable de la Sécurité
Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces donnéesResponsable de la Sécurité
Loi Organique 3/2018, du 5 décembre, relative à la Protection des Données Personnelles et garantie des droits numériquesResponsable de la Sécurité
Loi 34/2002 sur les Services de la Société de l'Information (LSSI)Responsable de la Sécurité
Loi 22/11, du 11/11/1987, sur la Propriété Intellectuelle Responsable de la Sécurité
Résolution du 13 octobre 2016, du Secrétariat d'État aux Administrations Publiques, approuvant l'Instruction Technique de Sécurité conformément au Schéma National de SécuritéResponsable de la Sécurité
Résolution du 13 avril 2018, du Secrétariat d'État à la Fonction Publique, approuvant l'Instruction Technique de Sécurité de Notification d'Incidents de SécuritéResponsable de la Sécurité
Résolution du 13 octobre 2016, du Secrétariat d'État aux Administrations Publiques, approuvant l'Instruction Technique de Sécurité conformément au Schéma National de SécuritéResponsable de la Sécurité

15. PROGRAMME STRATÉGIQUE DE SÉCURITÉ

Le Comité de Sécurité et Conformité identifiera, mettra en œuvre et évaluera les actions nécessaires à l'élaboration d'un Plan Stratégique de Sécurité (le « Plan »), conformément aux principes et lignes directrices définis dans cette Politique et développera les normes, méthodologies et procédures internes pour assurer la mise en œuvre adéquate du Plan par l'Organisation.

Le Comité de Sécurité et Conformité veillera à ce qu'en tout temps un niveau de maturité de l'organisation en matière de sécurité soit garanti conformément aux normes les plus élevées existantes à tout moment, en tenant compte du territoire et des activités développées par la société correspondante.

De son côté, le Comité de Sécurité et Conformité veillera également à la coordination adéquate des pratiques et à la gestion des risques dans le domaine de la sécurité de l'Organisation, ainsi qu'au maintien d'un niveau de maturité adéquat.

16. SUPERVISION ET CONTRÔLE

Il incombe au Comité de Sécurité et Conformité de superviser le respect des dispositions de la présente Politique.

Ce qui précède s'entendra, en tout état de cause, sans préjudice des responsabilités incombant à d'autres organes, départements, fonctions et directions de l'Organisation et, le cas échéant, aux organes d'administration et de direction de l'Organisation.

Pour vérifier le respect de cette Politique, des évaluations et audits périodiques seront réalisés avec des auditeurs internes ou externes.

Cette Politique a été initialement approuvée par le Comité de Sécurité et de Conformité Réglementaire le 25 novembre 2024.


Version 2 de nov. 2024.

Nous utilisons des cookies pour améliorer votre expérience de navigation et vous offrir un contenu personnalisé.
Si vous continuez à naviguer, vous acceptez notre Politique de Confidentialité et notre Politique en matière de Cookies.