Security & Privacy chez Infolegale.

Confidentialité

Nous appliquons des mesures organisationnelles et techniques destinées à protéger les données contre tout accès non autorisé.

Intégrité

Nous veillons à garantir la fiabilité, la cohérence et la protection des données tout au long de leur cycle de vie.

Disponibilité

Nos dispositifs de supervision, de sauvegarde et de continuité d'activité contribuent à maintenir la disponibilité de nos services critiques.

Conformité

Notre gouvernance s'appuie sur les exigences réglementaires applicables ainsi que sur les standards internationaux ISO/IEC 27001 et ISO/IEC 27701;

Transparence

Les traitements de données personnelles sont réalisés de manière licite, loyale et transparente.

Minimisation

Nous limitons les données collectées à ce qui est strictement nécessaire aux finalités poursuivies.

Limitation de conservation

Les données sont conservées selon des durées adaptées aux obligations légales et aux exigences opérationnelles.

Confidentialité

Les accès aux données sont encadrés et limités aux personnes habilitées.

Privacy by Design & by Default

Les enjeux de protection des données sont pris en compte par défaut, dès la conception des projets et des traitements et pendant tout leur cycle de vie.

Gouvernance sécurité

Notre démarche sécurité et protection des données est portée par la Direction.

Les rôles et responsabilités sont définis pour piloter le SMSI.

Les dispositifs de sécurité font l’objet de revues, contrôles et actions d’amélioration continue.

Gestion des risques

Les risques sécurité sont identifiés, évalués et suivis régulièrement.

Les mesures de traitement sont définies selon le niveau de risque identifié.

Classification des actifs

Les actifs informationnels, techniques et physiques sont inventoriés.

Chaque actif dispose d’un propriétaire identifié.

Les informations sont classifiées selon leur niveau de sensibilité.

Les mesures de protection sont adaptées à la criticité des actifs.

Gestion des accès

Les accès sont attribués selon les rôles et les besoins métiers.

Le principe du moindre privilège est appliqué.

Les accès sensibles et privilégiés font l’objet d’un encadrement spécifique.

Des revues d’accès sont réalisées afin de maintenir les habilitations à jour.

Sécurité des infrastructures

Les environnements techniques sont protégés par des mesures physiques, technologiques et organisationnelles.

Les infrastructures font l’objet d’une supervision et d’une maintenance régulière.

Les flux applicatifs sont sécurisés par des protocoles adaptés.

Les environnements critiques sont hébergés dans des datacenters spécialisés.

Sécurité applicative & développement sécurisé

La sécurité et la protection des données sont intégrées dès la conception des projets.

Les exigences de sécurité sont définies en amont des développements ou acquisitions de solutions.

Des contrôles de sécurité sont réalisés avant ou pendant la mise en production selon la criticité des actifs.

Les vulnérabilités identifiées font l’objet d’un suivi et d’actions correctives.

Sauvegarde & archivage

Les données font l’objet de sauvegardes adaptées à leur criticité.

Les sauvegardes sont protégées contre les accès non autorisés et les pertes accidentelles.

Les durées de conservation sont définies selon les exigences légales, réglementaires et opérationnelles.

Les capacités de restauration sont testées et suivies.

Continuité d'activité & reprise

Des dispositifs de continuité et de reprise d’activité sont définis pour les services critiques.

Les dispositifs de crise et de reprise font l’objet de tests et de retours d’expérience.

Les priorités de reprise sont définies selon les impacts métiers et les besoins des parties prenantes.

Gestion des incidents

Les incidents sécurité sont encadrés par un processus documenté.

Des actions correctives sont mises en œuvre afin de limiter les risques de récurrence.

Les incidents significatifs peuvent donner lieu à une communication interne, externe ou réglementaire selon les cas.

Supervision & journalisation

Les infrastructures et applications font l’objet d’une supervision opérationnelle.

Les journaux contribuent à la détection, l’analyse et la traçabilité des événements.

Gestion des vulnérabilités & correctifs

Une veille sécurité est réalisée sur les vulnérabilités et menaces applicables.

Les correctifs de sécurité sont appliqués selon leur criticité.

Des scans, contrôles ou audits peuvent être réalisés sur les environnements concernés.

Les plans d’actions issus des contrôles font l’objet d’un suivi.

Gestion des tiers

Les fournisseurs, prestataires et sous-traitants sont évalués selon les risques associés.

Les exigences de sécurité et de protection des données sont intégrées dans les relations contractuelles.

Les tiers sensibles font l’objet d’un suivi renforcé.

Les prestations tierces sont surveillées tout au long de leur cycle de vie.

Sensibilisation sécurité

Les collaborateurs sont sensibilisés aux enjeux de sécurité et de protection des données.

Les bonnes pratiques sont diffusées dans le cadre des politiques internes.

Audit & amélioration continue

Des tests d’intrusion annuels sont réalisés par des sociétés habilitées par l’ANSSI

Des évaluations de notre exposition Cyber sont réalisées en permanence par des sociétés spécialisées

Les résultats des audits alimentent les plans d’actions sécurité.