La politique de sécurité de l'information du loueur se décline au travers de mesures organisationnelles (y compris la sensibilisation et la formation du personnel concerné), de logiciels et de matériels afin de lutter contre la destruction, la perte ou l’altération accidentelle ou illicite de données, la divulgation ou l’accès non autorisé à des données et contre toute autre forme de traitement illicite.
Un Responsable de la Sécurité des Systèmes d’Information (RSSI) rattaché à la Direction du Contrôle Interne applique la politique de sécurité informatique qui émane de la politique de sécurité du Groupe Société Générale.
Les principes qui président la politique de sécurité du loueur sont les suivants :
- Une approche de la sécurité globale, adaptée (en termes économique ou de facilité d’usage) et intégrée (c’est-à-dire diffusée dans chaque projet et chacune des applications du système d’information),
- Une démarche d’amélioration en continu et en cycle court (gestion des incidents liés à la sécurité de l’information, des audits, des évolutions technologiques,…),
- Une gestion proactive de la sécurité qui s’appuie sur :
- l’implication du Comité de Direction du loueur,
- une gouvernance renforcée de la sécurité,
- la diffusion d’une culture de la sécurité de l’information.
Accès collaborateurs et tiers
L’accès aux données à caractère personnel est limité à des personnes autorisées dont le statut, les fonctions, les responsabilités induisent ou justifient spécifiquement le traitement des données concernées. Afin de garantir la sécurité des informations et leur confidentialité, les accès au système d’information et à l’ensemble de ses composantes applicatives sont soumis à habilitation individuelle.
Les profils sont administrés en interne par le RSSI en collaboration avec la Direction des Ressources Humaines et les métiers. L’accès au système d’information s’effectue par authentification en associant un login et un mot de passe dit complexe, renouvelé à intervalle régulier.
Les accès au système d’information depuis l’extérieur de l’entreprise se font :
- au travers d’un extranet en HTTPS avec double bastion de firewall, DMZ privé et DMZ publique ; ou
- au travers d’un client VPN avec chiffrement des données échangées.
Un système de traçabilité permet de suivre l’historique des activités effectuées par tout utilisateur du réseau informatique et des applications du loueur. Des actions complémentaires de journalisation répondent à plusieurs objectifs dont :
- la résolution des problèmes techniques et l’optimisation du fonctionnement des systèmes informatiques,
- la vérification du respect des règles de sécurité du système d’information,
- la détection de toute tentative d’intrusion ou d’altération du système d’information,
- la détection d’activités illégales ou contraires au règlement intérieur.
Règle en matière de confidentialité
Les données à caractère personnel sont divulguées uniquement aux personnes ayant à en prendre connaissance pour les finalités nécessaires. Pour ses échanges en interne, le loueur s’est également doté d’un système de classification des informations en fonction de leur niveau de sensibilité.
Les contrats intègrent des clauses de confidentialité imposant à nos co-contractants de ne pas divulguer de données. En outre, ils doivent informer les personnes destinataires du caractère confidentiel des informations qui leur sont transmises et s’engager à respecter une obligation de confidentialité de même nature que celle prévue dans le contrat qu’ils ont signé.
Sauvegarde des données
Les données sont répliquées sur le site de back up, en temps réel, au travers d’une technologie dite de « Flash Copy » qui consiste à copier, de façon immédiate, la donnée, sans interruption de l’activité.
Une fois les données répliquées, elles sont stockées sur des supports qui eux-mêmes suivent un processus d’archivage selon plusieurs périodicités.
De plus, a été mise en place une procédure de restauration des supports afin de s’assurer de la bonne lecture dans la durée de ces dernières.
Procédure anti-intrusion
Tous les postes de travail et serveurs sont équipés d’un antivirus mis à jour quotidiennement.
Une procédure de « patch management » définit les règles et modalités de déploiement des correctifs publiés par les éditeurs.
Les actifs informatiques sont protégés d’attaques externes par différents moyens :
- étanchéité des composantes réseaux par zone, garantie par le déploiement de firewall et de reverse proxy,
- protection des services exposés sur internet par des solutions WAF, Ddoss et double bastion de Firewall.
Les collaborateurs sont régulièrement formés et sensibilisés à la sécurité informatique. Des tests de sécurité sont également réalisés pour valider l’application des règles de sécurité (Test de phishing par exemple).
Sécurité physique des bâtiments
Les principaux bâtiments du loueur sont munis des outils de surveillance suivants :
- accès aux locaux par badge,
- vidéosurveillance,
- agent de sécurité.
Procédure en cas de faille de sécurité
Dans l’hypothèse où un incident de sécurité se produirait, différents scénarios sont prévus en fonction de la nature des données concernées, du type et de l’ampleur de l’incident.
Pour ce faire, le loueur s’est notamment doté des moyens suivants :
- cellule de crise ;
- procédure d’escalade au niveau groupe ;
- procédure d’isolement du matériel informatique impacté.
Depuis l’entrée en vigueur du RGPD, il existe de nouvelles obligations de notification des violations de données à caractère personnel. En effet, le RGPD généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles, et ce, dans les meilleurs délais, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de cette personne.