Bizneo dépend de systèmes d'information. Ces systèmes sont gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés susceptibles d'affecter la disponibilité, l'intégrité, la confidentialité, l'authenticité ou la traçabilité des informations traitées et des services fournis.
Consciente de l'importance de la sécurité de l'information, et en accord avec le chemin qui marque notre propre identité, Bizneo a promu l'établissement d'un système de gestion de la sécurité de l'information (ci-après, ISMS) selon la norme ISO 27001 et conformément aux exigences du décret royal 311/2022, du 3 mai, qui réglemente le système national de sécurité dans le domaine de l'administration électronique (ci-après, ENS), afin d'identifier, d'évaluer et de minimiser les risques auxquels sont exposées ses informations et celles de ses clients, ainsi que d'assurer le respect des objectifs fixés.
Le but de cette politique de sécurité est de garantir la qualité de l'information et la fourniture continue de services, en agissant de manière préventive et en supervisant l'activité quotidienne, ainsi que de fournir un cadre de référence pour l'établissement d'objectifs de sécurité qui permettent à Bizneo de développer une culture d'entreprise, une manière de travailler et de prendre des décisions, alignées sur la sécurité de l'information et sur le fait que le respect des données à caractère personnel est une constante.
Les systèmes d'information sont protégés contre des menaces qui évoluent rapidement et dont les dommages potentiels affectent la confidentialité, l'intégrité, la disponibilité, l'usage prévu (traçabilité) et la valeur de l'information (authenticité) des services. Pour se défendre contre ces menaces, une stratégie a été définie qui s'adapte aux changements des conditions de l'environnement pour garantir la fourniture continue de nos services.
Les différents départements de Bizneo veillent à ce que la sécurité fasse partie intégrante de chaque étape du cycle de vie du système, de sa conception à son démantèlement, en passant par les décisions de développement ou d'acquisition et les activités d'exploitation.
Bizneo est prêt à prévenir, détecter, réagir et récupérer des incidents, conformément à l'article 12 de l'ENS, et a donc pris des mesures pour améliorer les différents aspects de la sécurité de l'information :
Cadre légal et réglementaire
Bizneo conduit ses activités conformément au cadre légal et réglementaire en vigueur. Elle s'engage à respecter toutes les lois et réglementations relatives à la sécurité de l'information, y compris, mais sans s'y limiter, celles indiquées dans le document "Législation applicable au SMSI".
Bizneo intègre ENS et ISO 27001 dans la politique de sécurité de l'organisation afin de fournir une structure plus complète et plus robuste pour traiter les aspects spécifiques de la sécurité de l'information, tant au niveau national qu'international. En outre, l'adoption de ces normes renforce la crédibilité de l'entreprise, en démontrant son engagement en faveur des meilleures pratiques de sécurité.
Cadre organisationnel de sécurité
Cette politique de sécurité a été établie conformément aux principes de base énoncés dans le chapitre II du décret royal 311/2022 et a été élaborée en appliquant les exigences minimales suivantes :
Organisation de la sécurité
Bizneo a identifié et défini les rôles et fonctions de sécurité nécessaires pour garantir la protection des informations. Chaque rôle a des responsabilités clairement définies (Responsabilités, Autorité et Compétence ENS).
Bizneo a nommé un Comité de Sécurité qui supervisera le suivi et la conformité du SMSI. La liste des membres constitutifs du Comité de Sécurité est définie dans la procédure créée à cet effet (PS00 - Manuel ISMS). Ce comité de sécurité aura les fonctions et responsabilités suivantes :
• Coordonner toutes les activités liées à la sécurité des TIC.
• Il est responsable de la rédaction de la politique de sécurité.
• Il est chargé de créer et d'approuver les règles régissant l'utilisation des services TIC
• Approuver les procédures opérationnelles pour l'utilisation des services TIC.
• Il approuve les exigences en matière de formation et de qualification des administrateurs, des opérateurs et des utilisateurs du point de vue de la sécurité des TIC
Les rôles et responsabilités du responsable de la sécurité, du responsable de l'information et du responsable des services ont également été définis, ainsi que leur relation avec le comité de sécurité.
Afin de décrire le processus et la hiérarchie de résolution des conflits d'autorité qui peuvent survenir au cours de la gestion de l'ENS entre les profils critiques ayant des responsabilités en matière de sécurité, Bizneo a défini les fonctions de résolution des conflits avant les responsables et qui s'appliquent à tous les profils spécifiques de la gestion de l'ENS (Responsabilités, Autorité et Compétence ENS).
Le Responsable de la Sécurité de l'Information, le Responsable du Service, ainsi que le Responsable de l'Information seront nommés par la Direction sur proposition du Comité de Sécurité. Ces nominations seront revues tous les 2 ans ou lorsque le poste devient vacant.
L'organigramme suivant présente les postes ayant des rôles ou des responsabilités liés à la sécurité de l'information. En cas d'absence de l'un de ces responsables, l'escalade se fera conformément aux lignes hiérarchiques indiquées dans cet diagramme.
Analyse et gestion des risques
Tous les systèmes soumis à la présente politique ont fait l'objet d'une analyse des risques, évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse est répétée :
régulièrement, au moins une fois par an
lorsque les informations traitées changent
lorsque les services fournis changent
lorsqu'un incident de sécurité grave se produit
lorsque des vulnérabilités graves sont signalées
Catégorisation des systèmes
Bizneo, par le biais de la procédure correspondante (PS00 - Manuel ISMS), a défini les critères permettant de déterminer le niveau de sécurité requis dans chaque dimension. À cette fin, les éléments essentiels, les informations et les services, sont analysés, en articulant autour d'eux les critères que le responsable de chaque type d'information et de chaque service peut utiliser, étant donné que le pouvoir de déterminer la catégorie du système correspond au responsable de ce dernier.
L'annexe II du schéma national de sécurité établit des mesures de sécurité qui dépendent de l'évaluation du niveau de sécurité de chaque dimension et de la catégorie de sécurité (article 40) du système d'information concerné. La catégorie de sécurité du système est calculée sur la base du niveau de sécurité le plus élevé des dimensions évaluées.
Gestion du personnel et professionnalisme
Tous les membres de Bizneo sont tenus de connaître et de respecter cette politique de sécurité de l'information et les règles de sécurité, le comité de sécurité étant chargé de mettre en œuvre les mesures nécessaires pour garantir que les informations parviennent aux personnes concernées.
Tous les employés bénéficieront d'une session de sensibilisation à la sécurité au moins une fois par an. De même, un programme de sensibilisation continue sera mis en place pour sensibiliser tous les membres de Bizneo, en particulier les nouvelles recrues, en accord avec les autres normes mises en œuvre.
Le personnel affecté aux tâches de sécurité est dûment qualifié, compte tenu de la sensibilité et de la complexité de certaines de ces tâches. Ceci s'applique à toutes les phases du cycle de vie du processus de sécurité (installation, maintenance, gestion des incidents et démantèlement). A cette fin, le personnel reçoit la formation spécifique nécessaire pour assurer la sécurité des technologies de l'information applicables aux systèmes et services relevant de l'ENS.
En toute logique, les mêmes exigences requises en interne doivent être exigées de tout fournisseur fournissant des services liés à la sécurité. A cette fin, Bizneo a promu une procédure d'évaluation des fournisseurs afin de garantir un niveau de sécurité similaire à celui exigé par l'entité.
Autorisation et contrôle d'accès
La première étape pour garantir la protection des informations et des systèmes consiste à en limiter l'accès. C'est pourquoi il a été défini qui, et dans quelle mesure, aura accès aux ressources, de sorte que chaque personne ait l'accès nécessaire pour accomplir ses tâches, mais pas à des équipements ou à des données qui ne devraient pas être à sa portée.
De même, les systèmes d'information de Bizneo sont dotés de mécanismes d'autorisation permettant d'autoriser l'accès, de le refuser et de le révoquer si nécessaire.
Protection des installations
Les installations sont protégées contre les dommages susceptibles d'affecter les systèmes qu'elles abritent et contre l'accès de personnes non autorisées. L'accès à nos installations est sécurisé et réglementé par la procédure établie à cet effet.
Acquisition de produits de sécurité et passation de contrats de services de sécurité
Bizneo établit les exigences en matière de sécurité de l'entreprise et de l'information pour ses systèmes d'information, qu'ils soient nouveaux ou existants et qu'ils soient étendus ou améliorés.
Ainsi, toute nouvelle acquisition de produits et de services de sécurité susceptible d'affecter le SMSI doit être préalablement évaluée du point de vue des exigences fonctionnelles et de sécurité. Après validation, le produit sera formellement testé pour déterminer s'il est conforme aux exigences.
Tous les services sous contrat doivent être évalués avant d'être mis en production afin de s'assurer qu'ils sont conformes aux exigences minimales de sécurité définies dans la présente politique de sécurité de l'information et dans les règlements de sécurité en vigueur.
Le moindre privilège
Le système de sécurité de l'information mis en œuvre dans Bizneo suit le principe du moindre privilège, selon lequel les utilisateurs du système se voient accorder les niveaux (ou autorisations) d'accès minimaux nécessaires à l'exercice de leurs fonctions, dans le but de limiter l'accès aux informations et aux ressources à ce qui est strictement nécessaire pour accomplir une tâche spécifique.
Ce principe du moindre privilège garantit que chaque partie (qu'il s'agisse d'un processus, d'un utilisateur ou d'un programme) ne peut accéder qu'à ce qui est essentiel pour son objectif légitime, en n'accordant pas de privilèges inutiles. Toutefois, ce principe ne se limite pas à l'accès des utilisateurs humains, mais s'applique également aux applications, systèmes ou dispositifs connectés qui requièrent des privilèges pour effectuer les tâches nécessaires.
La limitation des privilèges réduit l'exposition aux cyberattaques et évite la "dérive des privilèges".
Intégrité des systèmes et mise à jour
Pour garantir l'intégrité des systèmes d'information à tout moment, toute modification physique ou logique n'est effectuée qu'après approbation formelle et dans le cadre d'une procédure formelle.
À cette fin, les systèmes sont mis à jour de manière contrôlée et en fonction de l'état de sécurité requis à tout moment. Les changements dans les spécifications des fabricants, l'apparition de nouvelles vulnérabilités, l'émission de mises à jour et de correctifs affectant les systèmes sont analysés afin de prendre les mesures nécessaires pour ne pas dégrader les systèmes et leur niveau de sécurité, tout en gérant les risques introduits par les changements à effectuer.
Le stockage et le transport de l'information constituent une part importante de son cycle de vie. L'information doit être protégée à tout moment. Des procédures appropriées ont été élaborées à cet effet, couvrant à la fois les informations électroniques et les informations sur papier, ainsi qu'une politique de manipulation et de traitement de l'information.
La prévention contre d'autres systèmes d'information interconnectés est un aspect crucial pour Bizneo. A cette fin, des mesures ont été établies pour garantir la sécurité lorsque des systèmes d'information sont connectés entre eux, en tenant compte d'aspects tels que la protection du périmètre, le contrôle d'accès ou l'enregistrement adéquat de l'activité afin de pouvoir détecter d'éventuelles anomalies ou comportements inhabituels dans l'interconnexion.
Toute connexion vers ou depuis des services interconnectés doit être effectuée conformément aux lignes directrices définies dans les guides du CCN-STIC publiés à cet effet.
Enregistrement des activités et détection des codes malveillants
L'entreprise surveille ses systèmes d'information et de traitement en les enregistrant comme des incidents de sécurité, en examinant le journal des opérations et des défaillances de ses systèmes afin d'identifier le problème. Ainsi, les activités de surveillance de l'utilisation des systèmes de Bizneo respectent les exigences légales en matière de confidentialité et sont utilisées pour vérifier l'efficacité des contrôles de sécurité mis en œuvre et la conformité avec la politique de contrôle d'accès.
De même, l'équipement de l'entreprise, grâce à l'utilisation d'un antivirus de pointe à gestion centralisée, est doté d'outils de protection, de détection, de récupération et d'élimination des codes malveillants.
Incidents de sécurité
La direction de Bizneo a mis en place une procédure de notification formelle selon laquelle tout le personnel doit notifier immédiatement et sans délai les incidents liés à la sécurité par le biais du canal établi. Cette procédure garantit une réponse rapide et efficace aux incidents et aux faiblesses en matière de sécurité.
Continuité des activités
L'entreprise a mis en place une procédure pour faire face aux interruptions d'activité et protéger les processus critiques des effets des défaillances majeures des systèmes d'information et assurer leur rétablissement immédiat. À cette fin, un plan de continuité des activités (voir PROSI-11 Plan de continuité des activités) a été mis en œuvre pour réduire l'impact sur l'infrastructure de Bizneo, et par conséquent sur l'entreprise, et la récupération des actifs d'information (qu'il s'agisse d'accidents, de pannes d'équipement, d'actes délibérés, etc.) de manière à ce que les processus du département atteignent un niveau acceptable de continuité grâce à des mesures de récupération correctives et préventives.
Amélioration continue du processus de sécurité
La direction, pour sa part, valorise particulièrement et établit comme critère principal d'estimation de ses risques, l'évaluation de la confidentialité, de l'intégrité et de la disponibilité des informations critiques de l'entreprise et de ses clients, ainsi que la garantie de la traçabilité et de l'authenticité de ces informations.
Ainsi, elle s'engage à développer, mettre en œuvre, maintenir et améliorer continuellement cette Politique de Sécurité et son Système de Gestion dans le but d'une amélioration continue de la manière dont elle fournit ses services et traite l'information.
Données personnelles
Bizneo traite des données personnelles. En ce sens, et conformément à la législation en vigueur sur la protection des données, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Bizneo a mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, ce qui peut inclure, entre autres, ce qui suit :
la pseudonymisation et le cryptage des données à caractère personnel ;
la capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement;
la capacité à rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique;
un processus de vérification, d'évaluation et d'appréciation régulières de l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
Documentation et communication
La présente politique de sécurité de l'information est mise à disposition sous forme d'informations documentées et communiquée au sein de l'organisme. En outre, elle est partagée avec les parties prenantes concernées, telles que les autorités, les opérateurs et les usagers des transports publics, le cas échéant.
Examen et mise à jour
Cette politique sera révisée chaque année ou plus tôt si des changements importants surviennent dans l'environnement opérationnel ou technologique de Bizneo. La direction générale s'engage à maintenir cette politique alignée sur les objectifs de l'entreprise et les exigences applicables en matière de sécurité de l'information.
Cette politique de sécurité de l'information sera toujours alignée sur les politiques générales de l'entreprise et sur celles qui servent de cadre à d'autres systèmes de gestion interne, comme les politiques de qualité.
À Madrid, le 30 avril 2024
Santiago Salas
CEO Bizneo