La politique de sécurité de Hamilton Apps contribue à:

Le présent document définit les mesures de sécurité qui concernent les technologies de l’information et les systèmes à l’intérieur des applications Hamilton Apps. Il suit 10 principes stratégiques, comme suit :

Le directeur de l’information (CIO) d’Hamilton Apps, les équipes QA et IT et les fournisseurs tiers sont directement concernés par la politique déclarée dans ce document.

Les directeurs informatiques et les équipes informatiques des clients et prospects de Hamilton Apps sont vivement invités à se prévaloir de cette politique.

Logiciel sur site (On-prem) : logiciel installé et exécuté sur des ordinateurs dans les locaux de la personne ou de l’organisation utilisant le logiciel, plutôt que dans une installation distante telle qu’une batterie de serveurs ou un cloud.

Logiciel en tant que service (SaaS) : modèle de licence et de livraison de logiciels dans lequel le logiciel est concédé sous licence et hébergé de manière centralisée.

Systèmes d’information (SI) : système composé d’ordinateurs qui traitent ou interprètent les informations, généralement en exécutant des bases de données informatisées.

Cette politique de sécurité s’applique à tous les systèmes d’information (SI) de l’entreprise :

Cette politique concerne toutes les sociétés ou personnes physiques faisant partie de ces SI, indépendamment de leur statut interne ou externe (prestataires tiers), et leurs salariés.

Les mesures et processus définis à l’intérieur du présent document établissent une base minimale qui peut être largement appliquée. Pour certaines applications, cette base ne doit pas être considérée comme suffisante, mais plutôt comme une condition préalable à une nouvelle extension des mesures de sécurité.

Cette politique est actuellement en vigueur.

La politique d’application doit être mise en œuvre selon les règles suivantes :

Hamilton Apps formera son personnel à la nouvelle politique. Ils recevront des informations sur la cybersécurité, la sécurité informatique (sécurité informatique) et recevront des instructions afin de respecter les règles de sécurité.

Le personnel chargé de l’application des mesures de sécurité informatique reçoit une formation appropriée correspondant à ses tâches et à ses besoins.

La politique actuelle évoluera avec le temps. Elle peut être revisitée notamment afin de prendre en compte :

Les évolutions susmentionnées de la politique seront menées par le directeur de l’information (CIO) et l’équipe de sécurité informatique.

Ils ont pour principaux objectifs de :

Le DSI et l’équipe de sécurité informatique assurent l’autorité nécessaire vis-à-vis des équipes informatiques et de développement pour garantir la bonne mise en œuvre de la politique.

Ils ont pour mission de :

Les équipes de développement, IT et QA devront également collaborer efficacement autour des mesures de sécurité, leur mission sera de :

L’entreprise doit mettre en place un processus de gestion des risques pour tous ses systèmes d’information. Cette démarche doit permettre une meilleure maîtrise des SI en mettant en place des mesures de protection en fonction des enjeux stratégiques et des risques encourus.

Cette gestion s’appuie sur un processus continu d’identification, d’appréciation et de traitement des failles de sécurité. Ce processus doit également garantir des réponses de sécurité appropriées. Le choix de ces mesures se fait alors que les actions et leur coût sont conformes à la réduction des risques. Le DSI et l’équipe de sécurité informatique doivent toujours être consultés sur les choix stratégiques de sécurité.

L’entreprise doit :

L’entreprise doit adapter les mesures de cette politique lorsque cela est nécessaire et justifié. Des documents techniques et un plan d’action pluriannuel décrivant les étapes successives de la mise en œuvre de la politique doivent également être établis.

Déroger aux règles et mesures décrites dans la présente politique doit toujours être fait après approbation des DSI et des équipes de sécurité informatique.

Un rapport annuel est établi par l’entreprise, qui comprend :

La cohérence des procédures de sécurité et de la présente politique est de la responsabilité du CIO et de l’équipe de sécurité informatique.

La conformité avec la présente politique et les pratiques de sécurité recommandées doivent être sous la supervision du CIO et être évaluée régulièrement par le personnel compétent.

Hormis des évaluations régulières, des actions de contrôle peuvent être effectuées à la suite d’incidents de sécurité majeurs, ou suite à une forte suspicion de non-conformité. Dans ces cas, le CIO remplit un rapport qui sera présenté lors de l’évaluation annuelle.

La rapidité des cyberattaques oblige à maintenir une veille, une réaction et une coordination renforcées des différents acteurs. Afin de rétablir le bon fonctionnement de toutes les activités dans les plus brefs délais, une stratégie de réponse aux incidents doit être établie et suivie.

Tous les acteurs concernés (clients, utilisateurs, gestionnaires d’applications, gestionnaires d’infrastructure…) doivent signaler toutes les anomalies et événements qui affectent ou peuvent affecter la disponibilité, l’intégrité, la confidentialité ou la traçabilité d’un système d’information. Ces incidents doivent ensuite être rapidement signalés à l’équipe de sécurité informatique pour une réponse rapide.

Une alerte est une action d’information qui implique la prise de conscience des acteurs concernés qu’une anomalie technique ou fonctionnelle concernant la sécurité des systèmes d’information a été détectée et doit être traitée. Cela implique également que les mesures doivent être vérifiées. Ces alertes provenaient de la veille continue de l’équipe de sécurité informatique. Des alertes importantes sont signalées au CIO qui est chargé de les traiter en demandant une action de réponse.

Une urgence de sécurité survient lorsqu’une alerte ou un incident sur un ou plusieurs systèmes d’information crée un dysfonctionnement majeur des applications Hamilton et / ou des activités de ses clients. Une situation de cette nature nécessite une grande réactivité et une coordination planifiée des acteurs concernés. C’est pourquoi il est impératif pour l’entreprise d’avoir et de suivre un planning de continuité d’activité (correspondant aux « PRA » et « PCA » français).

Les 10 orientations stratégiques introduites dans la première partie du présent document sont traduites en une liste d’objectifs à atteindre et les procédures correspondantes pour chaque situation.

Mise en place d’une organisation adaptée garantissant des réponses préventives et efficaces aux failles de sécurité.

Pour obtenir la liste des contacts sécurité, veuillez vous rapprocher de notre support client ([email protected] ou via le chat en bas à droite de ce site).

Une organisation dédiée à la sécurité des systèmes d’information est implantée au sein de l’entreprise. L’organisation prend la forme d’une équipe d’experts en sécurité informatique placée sous la tutelle du CIO. Ils établissent des processus de protection, définissent les responsabilités internes et définissent les directives et règles de sécurité pour le développement d’applications.

Les membres de l’organisation de sécurité sont clairement identifiés et connus de tous les membres de l’entreprise. Ils sont le point de référence de l’entreprise en termes de sécurité dans leur zone spécifiée.

Les responsabilités internes en matière de sécurité sont portées par l’équipe de sécurité informatique au sein de laquelle des personnes peuvent être désignées comme responsables de domaines spécifiques. La répartition des responsabilités au sein de l’équipe est définie par le CIO.

Du point de vue externe, tiers ou client, la sécurité est sous la seule responsabilité du DSI.

L’équipe de sécurité planifie des actions pour mettre en œuvre la présente politique et rend régulièrement compte au CIO des progrès de la mise en œuvre. Il tient également à jour la documentation technique de sécurité, et l’approuve par le CIO, ce qui permet de préciser la mise en œuvre de la présente politique sur son périmètre d’application.

S’assurer que les employés de l’entreprise connaissent leurs droits concernant les systèmes d’information et leurs données.

Une charte d’utilisation des systèmes d’information, qui rappelle les bonnes pratiques en matière de sécurité et définit les droits et usages concernant les données de l’entreprise et du client, est élaborée par l’équipe sécurité informatique et communiquée à l’ensemble des collaborateurs. Cette charte doit être juridiquement contraignante et, si possible, intégrée dans le règlement intérieur de l’entreprise. Les salariés non permanents (stagiaires, intérimaires, prestataires externes…) sont informés de leurs droits concernant l’utilisation des systèmes d’information de l’entreprise.

Une attention particulière doit être portée lors du recrutement de personnel qui traitera des données sensibles et privées et pourra jouer un rôle dans la mise en œuvre de la présente politique de sécurité au sein de l’entreprise. Le personnel de l’équipe de sécurité informatique doit avoir suivi une formation spécifique à la sécurité des systèmes d’information. Les administrateurs de systèmes d’information doivent être régulièrement sensibilisés aux obligations de leur fonction et doivent respecter ces exigences de sécurité dans l’exercice de leurs fonctions.

Les règles et exigences de la présente politique s’appliquent à tout le personnel non permanent lorsqu’ils interagissent avec les systèmes d’information, quel que soit leur statut. Les dispositions contractuelles préexistantes devraient être modifiées si nécessaire et si possible. Tout personnel non permanent devrait également être affecté à un supervisé par un employé qualifié, afin d’assurer le respect de la présente politique.

Adaptez dynamiquement les mesures de protection, pendant la durée de vie des systèmes d’information.

La sécurité des systèmes d’information doit être prise en compte à toutes les étapes d’un projet informatique. Il doit être contrôlé et certifié par l’équipe de sécurité informatique, de la conception et de la spécification à la fin de son service.

La sécurité des systèmes d’information est traitée régulièrement par des méthodes courantes de développement propre. Les procédures écrites définissent les actions élémentaires à appliquer et à maintenir lors des phases de conception, d’évolution et de déclassement.

Une table de surveillance doit être maintenue et mise à jour régulièrement par l’équipe de sécurité informatique. Cette table de suivi donne une visibilité au CIO et au conseil d’administration de l’entreprise sur l’évolution de la sécurité à travers les projets et la structure de l’entreprise. Sur un plan stratégique, ce tableau de suivi permet à l’entreprise de disposer d’éléments factuels pour définir et allouer un budget à la sécurité informatique. Au niveau de la gestion de projet, cette carte permet de définir et de suivre des objectifs opérationnels et de détecter d’éventuels retards dans l’intégration des mesures de sécurité.

Utiliser des produits dont la sécurité a été évaluée et certifiée par le CIO.

Tous les produits et outils utilisés par l’entreprise doivent être choisis en tenant compte de leur qualification de sécurité (labels, certifications) et doivent être approuvés par le CIO après évaluation de leur efficacité en termes de sécurité.

S’assurer que les fournisseurs tiers sont conformes aux exigences de la politique de sécurité de l’entreprise.

Tout approvisionnement provenant de fournisseurs externes et tiers doit être encadré par des conditions contractuelles de sécurité. Ces conditions précisent les chartes et mesures de sécurité que le prestataire doit respecter dans le cadre de ses activités.

Pour maintenir un haut niveau de sécurité informatique, une double vérification est toujours nécessaire comme suit :

Une analyse des risques est effectuée avant tout processus d’externalisation. Cela permet de définir des objectifs de sécurité et des mesures appropriées. Tous les objectifs de sécurité sont formalisés afin que l’entreprise et le fournisseur puissent convenir d’un niveau de sécurité à atteindre qui sera inclus dans le contrat.

Toutes les données sensibles ou clientes sont hébergées à l’intérieur du territoire de l’Union européenne, et de préférence sur le territoire national. Les seules exceptions sont sur demande directe du client, ou si le client est basé en dehors de l’Union européenne, auquel cas la décision d’hébergement hors du territoire de l’Union européenne doit être approuvée par le CIO.

Assurer l’intégrité en empêchant l’accès non supervisé qui peut compromettre la sécurité des systèmes d’information.

Un accès spécifique aux systèmes d’information de l’entreprise ne peut être accordé que s’il existe une dérogation détaillée et justifiée. Elle doit être réalisée sous contrôle interne et dans un environnement restreint. En cas de système d’information lié au client, l’accès ne peut être accordé sans le consentement exprès du client.

Application de la protection des infrastructures avec des mécanismes physiques et des logiciels de protection à l’intérieur des Datacenters.

De manière générale, les Datacenters sont conçus pour que leurs architectures et infrastructures puissent satisfaire tous les besoins en termes de disponibilité, confidentialité, traçabilité et intégrité. Il est toujours fortement recommandé d’obtenir des garanties des prestataires de services et de s’assurer que ces services répondent aux besoins de l’entreprise.

Pour assurer un niveau de défense maximum, l’infrastructure doit être constituée de machines privées et dédiées, avec des séparations virtuelles et physiques. Des réseaux locaux virtuels (VLAN) appropriés et des flux d’application et d’administration strictement filtrés peuvent être utilisés.

Le réseau dédié aux sauvegardes et au stockage doit être basé sur une infrastructure dédiée.

Définir et établir des mesures de protection avancées pour les données sensibles.

Des mesures de sécurité doivent être mises en place afin de garantir la protection des informations sensibles à la fois en confidentialité et en intégrité. Les informations doivent être utilisées dans un réseau sécurisé et, dans certains cas, renforcées à l’aide d’un chiffrement localisé.

Resserrer les contrôles et les configurations des ressources informatiques et surveiller les opérations effectuées sur celles-ci.

Toute maintenance effectuée sur un système ou des ressources informatiques doit être suivie par les services de sécurité informatique et doit être accessible au CIO pendant une période minimale d’un an.

Les systèmes d’exploitation et les applications doivent être installés, configurés et mis à jour en suivant leur documentation et les protocoles recommandés et sous la supervision du DSI en cas de besoin.

La configuration de toutes les ressources informatiques doit être documentée et mise à jour à chaque modification notable.

Authentifier les utilisateurs et limiter leur accès aux ressources et aux systèmes d’information avec un système d’autorisation robuste.

L’accès à toutes les ressources non publiques doit nécessiter une identification et une authentification individuelle de l’utilisateur. Dans le cas de données sensibles, un protocole d’authentification fort doit être utilisé.

En fonction du niveau de sensibilité, du besoin de distribution et des droits d’accès définis, l’utilisateur ne doit pouvoir accéder à une ressource que si l’une des deux méthodes valide la demande :

Les applications contenant des données sensibles doivent avoir une gestion affinée des droits d’accès. Les deux méthodes précédemment mentionnées ici doivent être appliquées et combinées.

Toutes les autorisations d’accès à un système d’information ou à l’une de ses ressources doivent être basées sur une validité temporelle qui commence lorsqu’un employé rejoint l’entreprise et se termine une fois que l’employé ne fait plus partie de l’entreprise.

Un examen annuel de tous les accès valides est effectué par l’équipe de sécurité informatique, sous la supervision du CIO.

Les informations d’authentification (mots de passe, clés privées, certificats…) doivent être considérées comme des données sensibles et sont strictement confidentielles.

Les utilisateurs ne doivent jamais stocker leurs mots de passe en texte brut (par exemple à l’intérieur d’un fichier). Les mots de passe de toutes sortes ne doivent également jamais être transmis via les réseaux sociaux ou les réseaux de communication non sécurisés.

Chaque compte d’utilisateur est créé avec un mot de passe initial aléatoire à haute complexité. Dans certains cas, un mot de passe moins complexe peut être créé, mais uniquement si son utilisation est limitée à une seule fois.

La complexité des mots de passe doit être évaluée et appliquée techniquement à l’intérieur des outils et des systèmes d’information de l’entreprise.

Les authentificateurs de comptes génériques permettant d’accéder aux ressources des systèmes d’information doivent être verrouillés et tenus à jour, à l’intérieur d’un coffre-fort, d’un tiroir ou d’une armoire verrouillée. Tout accès à une ressource informatique doit être suivi et il doit être en mesure d’identifier la personne qui a fait la demande d’accès.

Chaque administrateur doit avoir un mot de passe très complexe qui n’est connu de personne d’autre.

Si un administrateur quitte l’entreprise, son accès personnel à tous les systèmes d’information doit être immédiatement désactivé ou supprimé. Tous les mots de passe d’administration (comptes génériques par exemple) dont il avait connaissance doivent être modifiés

Donner aux administrateurs les outils nécessaires pour assurer la sécurité informatique.

Les utilisateurs ne doivent jamais disposer de privilèges administratifs sans une demande et des besoins très spécifiques, auquel cas l’approbation du DSI est requise.

L’accès aux outils d’administration et aux interfaces doit être limité au personnel autorisé, suivant un processus d’autorisation strict.

Le nombre de personnes autorisées disposant de privilèges administratifs et leur identité doivent être connus et validés par le DSI. Dans le cas des systèmes d’information liés au client, la liste des administrateurs côté client est définie par eux-mêmes.

Toutes les opérations administratives sont suivies et leur auteur identifié. Cela vise à accroître la responsabilité de chaque action administrative.

Toutes les opérations administratives sur les ressources locales utilisent des protocoles de sécurité réseau. Un réseau dédié et séparé (physiquement ou logiquement) de celui de l’utilisateur est utilisé pour la manipulation de la plateforme et de l’infrastructure.

Afin d’améliorer la gestion des systèmes d’information, les administrateurs doivent avoir accès à des outils centralisés, permettant l’automatisation des tâches administratives et offrant une vue d’ensemble de tous les systèmes d’information.

Le contrôle à distance des systèmes d’information doit être limité aux membres spécifiquement autorisés de l’équipe informatique, et uniquement sur les systèmes dont ils sont responsables. Des mesures de sécurité spécifiques autour du contrôle à distance doivent être définies et établies pour éviter les failles de sécurité.

Une politique d’administration des comptes de domaine doit être définie et documentée.

Les mots de passe des comptes de domaine doivent être soumis à une procédure stricte visant à les protéger des attaques par force brute. Une complexité minimale des mots de passe doit également être rendue obligatoire pour les utilisateurs.

La gestion des comptes doit impliquer une dénomination claire qui permet de distinguer facilement les comptes d’utilisateurs standard, les comptes administratifs (domaine, serveurs, systèmes…) et les comptes de service.

L’affiliation à des groupes administratifs tels que les ADMINISTRATEURS D’ENTREPRISE et les ADMINISTRATEURS DE DOMAINE doit être limitée à un nombre restreint d’employés et est nécessaire dans de rares cas.

La majorité des tâches administratives doivent être effectuées à partir de comptes administratifs de portée locale et non de comptes à l’échelle de l’entreprise, ou après réception d’une délégation administrative.

Les comptes de services peuvent avoir leurs mots de passe ou jetons d’accès écrits en texte brut à l’intérieur des applications ou des systèmes qui les utilisent. Afin d’assurer la réactivité en cas de rupture de confidentialité de l’un d’entre eux, ils doivent être suivis et faciles à gérer.

Les comptes de services doivent avoir des droits minimaux et restreints, selon le principe du « moindre privilège ».

Il est absolument nécessaire de désactiver immédiatement ou de supprimer les comptes obsolètes. Indépendamment de leur type (comptes utilisateurs, administratifs, services).

Pour empêcher l’utilisation des droits d’administration à portée locale d’un système à un autre, les mots de passe des administrateurs locaux doivent être différents et les connexions distantes à ces comptes système doivent être restreintes ou interdites.

Un logiciel de protection contre les programmes malveillants, communément appelé anti-virus, doit être installé sur tous les systèmes d’interconnexion et d’application, ainsi que sur les postes de travail de l’entreprise. Les outils logiciels de protection doivent être adaptés à ces trois catégories de systèmes et de préférence différents pour chacun d’entre eux.