politique de sécurité de l’information de portima · la sécurité de l’information est prise...

Portima Information Security Policy (FR) 1

Politique de Sécurité de l’Information de Portima

Version 2.4


Historique Version Date Auteur Description 1.0 27-08-2015 COMDIR 1st version officielle

2.0 24-05-2016 Steering

PortiSign

Amendements pour prendre en considération le Règlement Général

Européen de Protection des Données (RGPD) ou GDPR (en anglais)

2.1 13-06-2016 Steering

PortiSign

Changement mineur de formulation dans la section 16

2.2 13/04/2017 COMDIR Ajout des documents CP/CPS/PDS pour des certificats qualifiés

dans la liste des documents de référence en Annexe.

Ajout de détecteur de mouvements et systèmes d’enregistrement

vidéo (caméra) dans la section 11.1 2.3 20/06/2017 Steering

PortiSign

Ajout de “PKI Operations ADS Policy” et “IT Operation Controls”

dans la liste des documents de référence en Annexe

2.4 24/08/2017 COMDIR Révision annuelle et création de la version française et néerlandaise

Table des matières 1. Introduction .................................................................................................................................................. 4

2. Définitions ..................................................................................................................................................... 4

3. Acronymes ..................................................................................................................................................... 5

4. Structure ......................................................................................................................................................... 6

5. Politique de Sécurité de l’Information ................................................................................................ 6

5.1 Stratégie de Sécurité de l’information ......................................................................................... 6

6. Organisation de la sécurité de l’information .................................................................................... 6

6.1 Organisation interne .......................................................................................................................... 6

6.2 Appareils mobiles et télétravail ..................................................................................................... 7

7. Sécurité des ressources humaines ....................................................................................................... 7

8. Gestion des actifs ........................................................................................................................................ 7

8.1 Responsabilité liées aux actifs ........................................................................................................ 7

8.2 Classification de l’information ........................................................................................................ 7

9. Contrôle d’accès........................................................................................................................................... 8

10. Cryptographie ............................................................................................................................................ 8

11. Sécurité physique et environnementale ......................................................................................... 9

11.1 Zones sécurisées ............................................................................................................................... 9

11.2 Matériels ............................................................................................................................................... 9


12. Sécurité liée à l’exploitation ................................................................................................................. 9

12.1 Procédures et responsabilités liées à l’exploitation ......................................................... 10

12.2 Protection contre les logiciels malveillants ......................................................................... 10

12.3 Sauvegarde ....................................................................................................................................... 10

12.4 Journalisation et surveillance ................................................................................................... 10

12.5 Sécurité des fichiers système .................................................................................................... 10

12.6 Gestion des vulnérabilités techniques ................................................................................... 10

12.7 Considérations sur l’audit des systèmes d’information.................................................. 11

13. Sécurité des communications ........................................................................................................... 11

13.1 Gestion de la sécurité des réseaux .......................................................................................... 11

13.2 Transfert de l’information .......................................................................................................... 11

14. Acquisition et développement des systèmes d’information ................................................ 11

14.1 Exigences de sécurité applicables aux systèmes d’information .................................. 11

14.2 Sécurité des processus de développement et d’assistance technique ...................... 11

14.3 Données de test .............................................................................................................................. 11

15. Relations avec les fournisseurs........................................................................................................ 11

15.1 Sécurité dans les relations avec les fournisseurs .............................................................. 11

15.2 Gestion de la prestation du service ......................................................................................... 12

16. Gestion des incidents liés à la sécurité de l’information ........................................................ 12

17. Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité 12

18. Conformité ............................................................................................................................................... 12

Annexe A: Liste de documents liés à Portima .................................................................................... 13


1. Introduction

Ce document présente les objectifs généraux que Portima désire atteindre en termes de sécurité de l’information. Cette politique chapeaute tous les autres documents liés à la Sécurité de l’Information (voir liste en Annexe A).

2. Définitions Authentification: certitude qu’une caractéristique revendiquée par un utilisateur est correcte. Autorisation : l’octroi de droits d’accès à un utilisateur, programme ou processus. Business Continuity Plan (BCP): un plan testé et documenté en vue de répondre à une situation d’urgence qui perturbe les aspects opérationnels. Certificate Policy (CP): Un ensemble nommé de règles qui indique l’applicabilité d’un certificat à une communauté particulière et/ou classe d’application avec des exigences de sécurité communes Certification Practice Statement (CPS): Une déclaration des pratiques d’une Autorité de Certification qui émet des certificats COMDIR: Le COMDIR de Portima est le comité de direction Confidentialité: propriété d’une information qui n’est pas disponible ou divulguée à des personnes, entités ou processus non-autorisés Consentement: le « consentement de la personne concernée » signifie toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair que des données à caractère personnel la concernant fassent l’objet d’un traitement. (comme défini dans le RGPD Européen). Continuité des Affaires: processus et/ou procédures pour assurer que les aspects opérationnels soient continus Contrôle d’accès: s’assurer que les accès sur les informations et systèmes sont autorisés et limités sur base d’exigences métier et de sécurité Disponibilité: la propriété consistant à être accessible et utilisable à la demande par des utilisateurs autorisés Donnée anonymisée: donnée ne contenant pas d’information d’identification


Données personnelles « signifie toute information liée à une personne concernée » (comme défini dans le RGPD Européen). Equipement informatique sensible : serveurs et équipement informatique (tels que routeurs, commutateurs ou pare-feu) hébergés dans les centres de données de Portima (ou l’un des sous-contractants désignés par Portima) Evaluation des risques : processus utilisé pour identifier et évaluer les risques et leurs impacts potentiels. Fuite de donnée personnelle “signifie une fuite de sécurité menant à une destruction illégale, à la perte, altération, divulgation non-autorisée de, ou accès à, des données personnelles transmises, stockées ou traitées” (comme défini dans le RGPD Européen). Intégrité: propriété consistant à protéger l’exactitude et la complétude des données Partenaire d’affaires: un partenaire d’affaires est considéré comme une Société, un Courtier ou un Consommateur qui a contracté avec Portima à des fins de consultation, d’envoi, de réception, ou de stockage de données sur l’infrastructure de Portima. Personne concernée une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (comme défini dans le RGDP européen). Public Key Infrastructure (PKI): L’ensemble du matériel, logiciel, personnes, politiques et procédures nécessaires pour créer, gérer, stocker, distribuer et révoquer des certificats. Une PKI est basée sur la cryptographie à clé-publique. Sécurité de l’Information: préservation de la confidentialité, intégrité, disponibilité et non-répudiation de l’information Séparation des tâches : séparation des rôles afin d’éviter la fraude ou la collusion. Test d’intrusion: Test dans lequel les évaluateurs essaient de contourner les contrôles de sécurité en place

3. Acronymes ADS Access and Data Security

BCC Broker Contact Center

BCMS Business Continuity Management System

BCP Business Continuity Plan

CBFA Commission Bancaire, Financière et des Assurances remplacée par la FSMA le


1/4/2011

COMDIR COMité de DIRection

CP Certificate Policy

CPS Certification Practice Statement

DPO Data Protection Officer ou Délégué à la Protection des Données

FSMA Financial Services and Markets Authority

GDPR General Data Protection Regulation ou (RGPD) Règlement Général de Protection des Données

IT Information Technology

KPI Key Performance Indicators

NDA Non Disclosure Agreement

PKI Public Key Infrastructure

SLA Service Level Agreement

SO Security Officer ou Officier de sécurité

4. Structure Ce document est structuré en respectant le standard ISO/IEC 27002:2013.

5. Politique de Sécurité de l’Information

5.1 Stratégie de Sécurité de l’information

Le COMDIR de Portima désire s’assurer que sa politique de sécurité de l’information se conforme aux exigences légales et rencontre les attentes des partenaires d’affaires.

La politique de sécurité de Portima est pragmatique et cible des besoins réels et concrets basés sur des évaluations des risques incluant l’évaluation sur la protection des données.

Cette politique de sécurité de l’information est complétée par une liste de documents disponible en Annexe A.

Le COMDIR de Portima revoit cette Politique de Sécurité de l’Information une fois par an, ou plus tôt si des changements significatifs se produisent afin d’en assurer sa pertinence, son adéquation et efficacité

6. Organisation de la sécurité de l’information

6.1 Organisation interne

Portima établit et alloue des rôles et responsabilités en sécurité de l’information globalement mais également plus précisément pour tous les services nécessitant des rôles et responsabilités particuliers en sécurité au travers de la nomination d’Officiers de Sécurité (SO) et d’un Délégué à la Protection des données (DPO).

La description des rôles et responsabilités en matière de sécurité de l’information s’assure de la séparation des tâches entre les différents rôles afin d’éviter des conflits d’intérêts ou des défauts de sécurité.

Portima maintient des contacts appropriés avec les autorités liées à la sécurité de


l’information et avec des groupes spéciaux de sécurité ou d’autres associations professionnelles dont les initiatives en sécurité de l’information pourraient avoir un impact sur ses affaires.

La sécurité de l’information est prise en compte dès le démarrage de chaque projet chez Portima et chaque projet respecte la politique « Access and Data Security (ADS) » propre à son domaine.

6.2 Appareils mobiles et télétravail

Pour les employés de Portima, les règles liées au télétravail sont documentées dans la « Convention Collective de Travail concernant le télétravail ».

L’utilisation d’appareils mobiles est décrite dans la politique « ADS » de chaque domaine, s’il existe des spécificités.

7. Sécurité des ressources humaines

Chaque employé ou sous-contractant de Portima comprend l’importance de la sécurité de l’information et l’importance des règles de sécurité, reçoit la formation appropriée et peut être sujet à des sanctions administratives et des poursuites pénales s’il/elle enfreint une des politiques ou procédures de sécurité, que cela soit par négligence ou malveillance.

8. Gestion des actifs

8.1 Responsabilité liées aux actifs

Le Matériel et le Logiciel identifié comme primordial par Portima est listé dans un inventaire Portima.

L’infrastructure IT incluant les fichiers et bases de données réside dans la zone de production sécurisée dans les locaux de Portima (ou dans les locaux des sous-traitants désignés).

Chaque employé est responsable de ses appareils physiques (PC, smartphone, etc.) et pour la confidentialité adéquate de l’information stockée localement sur ces appareils.

Toute information importante pour Portima doit être copiée sur les serveurs internes afin de s’assurer d’une disponibilité continue.

8.2 Classification de l’information

L’information est classifiée comme publique, interne ou confidentielle selon sa catégorie.

Les informations confidentielles ou sensibles sont les informations stratégiques pour Portima ou les informations liées aux documents d’assurance gérés par Portima et contenant des données personnelles telles que définies dans le GDPR.


Portima est capable de démontrer qu’une personne concernée a consenti au traitement de ses données personnelles, soit directement ou indirectement au travers du consentement donné au courtier, et ce en conformité avec l’article 7 du GDPR.

Lorsqu’applicable, Portima fournit de l’information liée au traitement de données personnelles et fournit également les coordonnées de la personne responsable de ce traitement.

Les personnes concernées ont le droit d’obtenir de Portima la confirmation du fait que des données personnelles les concernant sont traitées – ou pas - et, le cas échéant, de demander l’accès aux données personnelles, aux motifs du traitement ainsi qu’à leur période de conservation.

Si cela est possible dans les applications de Portima, les personnes concernées ont un droit de rectification, d’effacement, d’objection au traitement et au profilage de ses données, ainsi qu’un droit à la portabilité des données.

Par défaut, tous les documents et données appartenant à Portima sont considérés comme « usage interne uniquement », sauf s’ils sont classifiés « public » et peuvent être publiés, ou « confidentiels » et sont dont labellisés comme « confidentiels » et disponibles uniquement aux utilisateurs autorisés.

L’intégrité et la protection sont adressées dans l’ADS Policy de chaque domaine.

La disponibilité et la protection de l’information sont adressées dans la BCMS Policy.

9. Contrôle d’accès

La règle générale est que les locaux et l’information de Portima sont seulement accessibles à des personnes autorisées.

Toute(s) information(s) et donnée(s) appartenant aux courtiers et compagnies d’assurance sont accédées seulement par des utilisateurs autorisés – Voir ADS Policy de chaque domaine.

Portima est responsable du contrôle d’accès de ses employés (voir Internal Tools ADS Policy) mais aussi, plus important, du contrôle d’accès de ses clients pour lesquels Portima a construit une compétence remarquable en termes d’émission et gestion de certificats électroniques et contrôle d’accès depuis plus d’une décennie.

10. Cryptographie Portima opère une PKI (Public Key Infrastructure) afin de générer des certificats pour des transactions électroniques, au travers de l’infrastructure réseau de Portima afin de fournir de la sécurité et des services de confiance pour supporter les partenaires d’affaires de Portima. Pour plus de détails sur cette PKI, voir Certificate Policy de Portima (CP’s OID 1.3.6.1.4.1.10438.1.1.1).

Portima a également une PKI délivrant des certificats aux consommateurs pour par exemple de la signature électronique de documents au sein des applications de Portima. Pour plus de


détails sur cette PKI, voir les Certificate Policies de PortiSign (CP’s OID 1.3.6.1.4.1.10438.3.2.1 et 1.3.6.1.4.1.10438.3.2.4.10.1).

11. Sécurité physique et environnementale

Les locaux de Portima ne sont accessibles qu’aux employés autorisés utilisant les clés d’accès fournies ou aux visiteurs escortés.

Tous les accès badges sont enregistrés.

Tous les locaux sont sous alarme de 21h à 6h30, du Lundi au Vendredi et tout le weekend jusqu’au lundi matin 6h30. Seul le personnel autorisé a accès pendant ces périodes après avoir prévenu la société qui réalise la surveillance de l’alarme.

11.1 Zones sécurisées Les installations de traitement de l’information sensibles sont identifiées et protégées comme suit :

Seules les personnes autorisées reçoivent une clé d’accès aux locaux

Ces zones sont toujours sous alarme s’il n’y a pas de présence. L’alarme doit être coupée pour y entrer

Des détecteurs de mouvement et des systèmes d’enregistrement vidéo sont installés dans la zone de Production Sécurisée au sein des locaux de Portima

11.2 Matériels

L’équipement IT sensible est installé selon l’état de l’art afin d’empêcher toute interruption causée par des problèmes d’approvisionnement en électricité ou par des menaces physiques tels que fuite d’eau, surchauffe, ou le feu.

L’équipement IT sensible est dédoublé sur des sites externes qui ont un niveau de sécurité égal ou supérieur à celui du site primaire.

12. Sécurité liée à l’exploitation

Les opérations IT ont été organisées et documentées afin de délivrer la performance attendue pour chaque domaine.

Un objectif majeur est la Continuité des Affaires et une politique de Business Continuity détaillée a été développée (voir Annexe A).

Le but de cette Business Continuity Policy n’est pas seulement d’identifier les menaces potentielles pesant sur Portima et les impacts possibles sur ses opérations commerciales mais également de fournir une résilience organisationnelle avec des capacités de réponse efficace.


12.1 Procédures et responsabilités liées à l’exploitation

La gestion des incidents et demandes est basée sur les meilleures pratiques. D’un côté, les courtiers peuvent appeler le Brokers Contact Center (BCC) où chaque ticket est enregistré et suivi jusqu’à sa clôture. De l’autre côté, les systèmes sont surveillés et les incidents créent des alarmes automatiques et si nécessaire des réactions, avec possibilité d’escalade.

Le processus de Gestion des Problèmes adresse la cause qui se trouve au-delà des incidents (récurrents) en vue de mener à une amélioration de la qualité du service.

Le processus de Gestion des Changements permet les changements dans les différents environnements. Le but est d’autoriser, contrôler et auditer les changements et de les implémenter d’une façon à minimiser les risques.

Les changements liés aux règles de sécurité de l’information nécessitent une attention particulière. Ils doivent être proposés par les Security Officers de Portima et approuvés par le COMDIR de Portima.

La Gestion de la Capacité est basée sur la surveillance de l’usage et de la capacité des systèmes. Elle prend en compte à la fois des prévisions à court et à long terme et permet de prévoir que la capacité actuelle et future, ainsi que les performances, soient délivrées de manière efficiente..

Portima a publié 10 engagements envers ses clients et mesure mensuellement les indicateurs de qualités y afférant (KPI).

12.2 Protection contre les logiciels malveillants Le traitement de l’information et les fichiers sont protégés contre les virus et les codes malveillants. Des solutions antivirus sont mises en place pour recevoir les mises à jour automatiques en respectant les recommandations du fournisseur et sont réévaluées lorsqu’il y a une infection ou une menace.

12.3 Sauvegarde Toutes les données ont des sauvegardes en accord avec l’ADS Policy de leur domaine.

Tous les documents sont sauvegardés dans un format digital.

Seuls, les documents spéciaux avec une importance juridique (ex: signature manuscrite) sont stockés comme copies papier dans un coffre.

12.4 Journalisation et surveillance La journalisation et la surveillance sont documentées dans l’ADS Policy de chaque domaine.

12.5 Sécurité des fichiers système Les Ingénieurs Systèmes de Portima maîtrisent en profondeur les Systèmes d’Exploitation et les logiciels qu’ils utilisent. De plus, ils se tiennent au courant au sujet des nouvelles versions, évolutions technologiques et correctifs.

12.6 Gestion des vulnérabilités techniques Sur le plan logiciel, les Ingénieurs Systèmes de Portima respectent et si nécessaire appliquent de manière régulière les correctifs recommandés par les fournisseurs. De plus, un test d’intrusion est réalisé une fois par an par un spécialiste externe.


12.7 Considérations sur l’audit des systèmes d’information

L’analyse de risques de Portima est réalisée annuellement.

D’autres évaluations d’impact ou des audits relatifs à la protection des données peuvent être menés si jugés appropriés par le COMDIR, basés sur les résultats de l’analyse de risques.

13. Sécurité des communications Les informations sensibles de Portima sont uniquement échangées entre des personnes et des systèmes qui sont positivement identifiés et authentifiés. Chaque partie participant à la communication s’engage à respecter les exigences de sécurité concernant les informations échangées.

13.1 Gestion de la sécurité des réseaux Les réseaux IT sont isolés dans des zones contrôlées. L’échange d’information entre ces zones se produit au travers de canaux protégés.

13.2 Transfert de l’information L’ADS Policy de chaque domaine décrit pour les services de Portima concernés la protection de leurs flux de transfert de l’information.

14. Acquisition et développement des systèmes d’information Le développement et l’acquisition des systèmes sont basés sur les meilleures pratiques d’IT management.

14.1 Exigences de sécurité applicables aux systèmes d’information Les exigences de sécurité applicables aux systèmes d’information sont considérées dès les prémisses du projet et sont basées sur les risques.

14.2 Sécurité des processus de développement et d’assistance technique Les développements sont testés et les défauts sont tracés jusqu’à leur correction.

Le processus de gestion de versions est strict et chaque version ou correctif part de l’environnement de développement vers l’environnement de test puis vers l’environnement d’acceptation avant d’être promu en production.

Toutes les sources sont gardées dans un dépôt central et les changements sont tracés.

14.3 Données de test Un nombre spécifique de scénarios de tests anonymisés a été constitué avec le temps et est utilisé pour des tests systématiques. De nouveaux scénarios anonymisés peuvent être ajoutés.

15. Relations avec les fournisseurs Portima collabore uniquement avec des sociétés qui ont une bonne réputation.

15.1 Sécurité dans les relations avec les fournisseurs Les contractants de Portima acceptent de respecter la Politique de Sécurité de l’Information


et tous les aspects de l’ADS Policy des domaines qui les concernent. Ceci est inclus dans les contrats. Dans des discussions pré-contractuelles qui incluent de l’information confidentielle, un accord de non-divulgation est signé (NDA).

15.2 Gestion de la prestation du service Les contrats liés à la livraison de services incluent une clause portant sur l’accord du niveau de service (SLA). La qualité est surveillée sur les contrats en régie.

16. Gestion des incidents liés à la sécurité de l’information Les incidents de sécurité sont tracés et les Security Officers de Portima les analysent pour décider de l’escalade ou de la réaction appropriée, en ce incluse la notification aux autorités compétentes ainsi qu’aux individus impactés quand cela est pertinent.

Les rapports d’après-incidents sont analysés afin de définir des plans d’action pour réduire la probabilité de survenue ou de futures conséquences de tels incidents.

17. Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité L’ADS Policy du domaine reste valide lors d’épisodes de crise et respecte les procédures de récupération de la Continuité des Affaires (cf. Business Continuity Policy pour plus de détails sur le management de la Continuité des Affaires).

18. Conformité

La politique de sécurité de Portima se conforme aux exigences suivantes:

Circulaire légale de la FSMA (CBFA-2009-17 du 7 Mars 2009) Annexe à la Circulaire Légale de la FSMA (CBFA-2009-17-1 du 7 Mars 2009) Le Règlement Général Européen de Protection des données (GDPR-RGPD)

La politique de sécurité de Portima est inspirée par les standards suivants:

ISO/IEC 22301:2011 ISO/IEC 27001:2013 ISO/IEC 27002:2013.

L’Officier de Conformité (« Compliance Officer ») est en charge de vérifier que les politiques sont :

− Mises à jour et/ou revues à intervalles réguliers

− Communiquées vers les employés/tiers concernés

− Alignées avec les objectifs de sécurité de l’information déterminés par le COMDIR et reporte au COMDIR tout écart ou non-conformité par rapport à cette politique, en vue de mener à l’amélioration continue. Portima revoit régulièrement les lois et régulations afin d’identifier celles qui sont applicables à son métier et s’assure de les respecter.


Politique de Sécurité de l’Information de Portima

Annexe A: Liste de documents liés à Portima Documents Existants:

BRIO4YOU Access & Data Security (ADS) Policy MyBroker ADS Policy AS/Web ADS Policy Internal Tools ADS Policy PKI Operations ADS Policy Archiving Policy BRIO4YOU PortiSign Business Continuity Strategy Portima Organisation of Security IT Operation Controls Convention collective de travail concernant le télétravail Collectieve arbeidsovereenkomst betreffende het telewerk Portima Certificate Policy (CP) Portima Certification Practice Statement (CPS) PortiSign CP for Advanced certificates PortiSign CPS for Advanced certificates PortiSign Policies and Statements - Users CA 10 and Users CA 11 - Qualified

Certificates - Certificate Policy PortiSign Policies and Statements - Users CA 10 and Users CA 11 - Qualified

Certificates - Certificate Practice Statement PortiSign Policies and Statements - Users CA 10 and Users CA 11 - Qualified

Certificates - PKI Disclosure Statement Contracts with hosting partners