Politique Générale de Sécurité des Systèmes d’Information
CONTEXTE ET OBJECTIFS
Basée à Bruz (35170) et créée en 2010, J2S Telecom est une Société éditrice de solutions de communication par SMS.
Experte dans le domaine du SMS transactionnel, la Société développe des solutions logiciel SaaS ou API auprès des professionnels, des collectivités locales, des administrations et du secteur de la santé.
J2S Telecom n’a cessé de faire évoluer ses compétences en matière de sécurité, considérant cet enjeu comme prioritaire pour la pérennité et la réputation de l’entreprise.
La Politique Globale de Sécurité des Systèmes d’Information (PGSSI) de J2S Telecom vise à construire une relation de confiance, fiable et durable avec ses parties prenantes. Elle s’applique pour l’ensemble des solutions que J2S Telecom développe et pour l’ensemble des données qui lui sont confiées par ses clients.
Représentation système :
1) POLITIQUE INTERNE
La culture de la sécurité est dispensée dès l’entretien d’embauche puis à l’arrivée d’un nouveau collaborateur. Elle est partagée entre tous au travers de la charte des valeurs de l’entreprise, elle est formalisée contractuellement au travers de différents documents (contrat de travail, engagement de confidentialité renforcé, respect de la PGSSI).
Véritables acteurs de notre politique de sécurité, les collaborateurs sont conscients des menaces qui pèsent sur les systèmes d’information. Chacune de leur action est dictée par le respect des procédures mises en place.
Une formation est dispensée à l’arrivée de chaque collaborateur, elle est ensuite complétée au minimum une fois par an ou en fonction de l’actualité (nouvelles règlementations, nouvelles menaces identifiées…). Ils sont également formés au bon usage des moyens informatiques au travers du guide développé par l’ANSSI et sont sensibilisés aux bonnes pratiques du métier au travers des veilles réalisées sur différents sites et forums spécialisés.
La RSSI est assurée par la Direction Générale de l’entreprise.
2) GESTION DES ACTIFS ET ACCES INTERNES
Le poste de travail est individuel et personnel. L’ensemble du matériel regroupant le poste de travail est inventorié (PC et téléphone), il est attribué à une seule personne physique.
Chaque connexion utilisateur est identifiée, authentifiée et tracée. Les mécanismes d’authentification sont robustes et répondent aux critères recommandés. Leur mise à jour est semestrielle.
Les droits et habilitations sont attribués en fonction du profil utilisateur dans le cadre de son activité dans le respect du principe de moindre privilège.
Les supports physiques qui contiennent des données sont détruits physiquement avant leur mise au rebus.
En cas de départ d’un collaborateur, il est formalisé et permet de structurer les actions à mener et en particulier la fermeture de ses comptes d’accès aux différentes ressources auxquelles il avait droit.
3) DOCUMENTATION
La bonne application de la PGSSI repose sur une documentation parfaitement détaillée tant dans les processus que dans les actions à mettre en place.
La documentation est regroupée dans un fichier ayant pour appellation interne « CLASSI » pour « Classeur Sécurité Système d’Information ». Le CLASSI est mis à jour et enrichi par le RSSI et il est consultable par tous les collaborateurs.
4) SECURITE PHYSIQUE
Une politique de contrôle des accès physiques et appliquée dans les locaux de J2S Telecom ainsi que dans les locaux de ses sous-traitants (hébergeurs).
Une règle de bonne pratique est connue de tous les collaborateurs, notamment dans le respect environnemental de leur propre espace de travail, le verrouillage de leur poste informatique en cas d’absence et la fermeture des bureaux.
Locaux de J2S Telecom :
- Politique de gestion des accès en fonction du profil des collaborateurs et des intervenants extérieurs (intervention artisans, entreprise de nettoyage…)
- Système anti-intrusion et remontée d’alarme
- Accès par badge ou code clavier mis à jour régulièrement
Locaux des sous-traitants (hébergeur) :
- Contrôle d’accès autonome par badge sans contact RFID et biométrie à contrôle de l’iris.
- Contrôle individuel des personnes avec détection de masses métalliques prévenant les sorties non autorisées d’équipements.
- Présence de personnel en 24/7.
- Circuit de vidéosurveillance numérique haute définition incluant des caméras mobiles
- Détection anti‐intrusion.
- Zone de livraison et d’enlèvement sécurisée.
- Procédures d’accès sécurisés et nominatives avec listes d’accès.
- Périmètre des sites entièrement clos aux piétons et véhicules.
5) SECURITE DES TERMINAUX
Le poste de travail n’est accessible qu’après une phase d’authentification obligatoire (mot de passe robuste) et est équipé d’une suite logicielle contre les logiciels malveillants. La disponibilité de mises à jour est vérifiée quotidiennement, elles sont automatiquement téléchargées et déployés sur les équipements.
6) SECURITE ET SOUS-TRAITANCE
Au même titre qu’elle est dispensée auprès des collaborateurs de J2S Telecom, la politique de sécurité est partagée et formalisée auprès des sous-traitants au travers d’un contrat de confidentialité répondant aux exigences du Règlement Européen de la Protection des Données (RGPD). Le choix des sous-traitants de J2S Telecom porte également sur leur politique environnementale.
7) SECURITE DES RESEAUX
Le réseau LAN de J2S Telecom est cloisonné et confiné. Il n’est accessible qu’aux seules personnes autorisées. Tous les flux d’accès au réseau sont analysés afin d’identifier et bloquer les flux anormaux et les programmes malveillants.
Les accès distants (notamment pour les situations de télétravail) se font via un VPN chiffré et authentifié. Les collaborateurs ont également été informés des bonnes pratiques en situation de télétravail et de déplacement au travers du guide édité par l’ANSSI.
Il n’existe pas de connexion directe entre le système d’information interne de J2S et les applications hébergées dans les datacenters des sous-traitants (hébergeurs).
8) SECURITE DES APPLICATIONS WEB
J2S Telecom prend les mesures nécessaires à une sécurité optimale afin de protéger les données hébergées sur nos serveurs.
Les principes de sécurité sont les suivants :
- Hardening de nos serveurs : minimum de ports ouverts, minimum d’outils par machines, monitoring & application régulière des patchs de sécurité, no backdoor…
- Https only et testing automatique de la qualité SSL.
- Journalisation de tous les évènements et remontée des anomalies automatiques aux équipes.
- Monitoring hardware avec levée d’alerte email en cas de dépassement de seuils de tolérance (répétition de l’alerte à intervalle régulier tant qu’elle n’est pas corrigée).
- Monitoring applicatif avec levée d’alerte email en cas de non-disponibilité d’un applicatif (répétition de l’alerte à intervalle régulier tant qu’elle n’est pas corrigée).
- Back-ups journaliers de tous les systèmes de production dans d’autres datacenters.
9) CONFIDENTIALITE DES DONNEES
La confidentialité des données est formalisée au travers des engagements de J2S Telecom envers les exigences du RGPD. Ces engagements sont partagés par l’ensemble des collaborateurs et des sous-traitants. Un Délégué à la Protection des Données (DPO) a été nommé le 28/05/2018.
10) SAUVEGARDE DES DONNEES
L’ensemble des applications, systèmes d’exploitation, événements, configurations des équipements et données de production qui délivrent une fonction aux utilisateurs (internes, clients…) est sauvegardé quotidiennement.
Quelles que soient les données sauvegardées et la typologie des sauvegardes, celles-ci sont stockées sur des serveurs dédiés et externalisés.
Seuls les administrateurs système et réseaux, ainsi que le RSSI, peuvent accéder aux sauvegardes pour des motifs légitimes tels que la gestion des incidents.
Enfin, des tests de restauration sont régulièrement effectués afin de s’assurer de leur bon fonctionnement.
11) GESTION DES INCIDENTS DE SECURITE
Tout utilisateur ou administrateur (collaborateur, client ou sous-traitant) a l’obligation de signaler sans tarder au RSSI de J2S Telecom, tout acte susceptible de représenter une violation réelle ou présumée des règles de sécurité.
Le signalement des incidents et leur enregistrement sont systématiques. Les Clients le font auprès du Service Relation Client de J2S Telecom, les collaborateurs suivent le plan de gestion de crise S.I. élaboré par la Direction.
Cette procédure décrit les escalades et personnes à alerter selon la gravité de l’incident.
Les données statistiques relatives à la gestion des incidents sont intégrées dans le CLASSI.
12) GESTION DE LA CONTINUITE D’ACTIVITE
Des moyens techniques et un ensemble de procédures sont mis en place afin de faire face à une éventuelle rupture d’activité et d’intervenir dans les moindres délais :
- Redondance des sites et des équipements (onduleurs, alimentation des serveurs, firewall, routeurs et équipements réseaux)
- Remontées d’alerte.
- Plan de Reprise d’Activité (PRA)
13) VEILLE
Face à l’évolution des risques, J2S Telecom réévalue de façon permanente ses mesures et pratiques liées à la sécurité du Système d’Information. La Société suit les alertes émises par le CERT-FR et se documente auprès d’un grand nombre de sites et de forums spécialisés. Les alertes sont suivies de façon hebdomadaire, elles sont lues par le RSSI, diffusées aux collaborateurs en fonction de leur criticité et archivées dans le CLASSI.
14) AUDIT
La réalisation d’audits est interne.
Sur demande du client, elle peut être réalisée par un tiers afin de s’assurer de l’efficacité et de la performance des systèmes à chaque instant et d’apporter les mesures correctives le cas échéant. Les audits diligentés par les clients demeurent financièrement à leur charge.
15) CONFORMITE
Les sous-traitants (hébergeurs) sont certifiés ISO 27001 pour la gestion de la Sécurité de l’Information, ISO 22301 pour le Management de la Continuité d’Activité.
Un guide des engagements RGPD a été mis en place le 28/05/2018.