phone icon whatsapp icon +33 7 45 89 33 78

[email protected]

Centre d'aide

NeuronUP France

Outil professionnel de neurorééducation

S'identifier

1. Introduction

NeuronUP dépend des systèmes TIC (Technologies de l’Information et de la Communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés susceptibles d’affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

Le personnel de NeuronUP doit s’assurer que la sécurité est une partie intégrante de chaque étape du cycle de vie du système, de sa conception à son retrait du service, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation.

Les départements de NeuronUP doivent, conformément à l’exécution des fonctions qui leur sont confiées, être préparés à prévenir, détecter, réagir et se remettre des incidents, conformément à la réglementation en vigueur.

Pour garantir le respect de cette politique, le Comité de Sécurité de l’Information développe et évalue régulièrement les systèmes et s’assure que tout le personnel de NeuronUP connaît et remplit ses fonctions conformément à la sécurité de l’information.

2. Champ d’application

Cette politique s’applique à tous les systèmes TIC de NeuronUP et à tous les membres de l’organisation, sans exception.

3. Objectif de cette politique

Cette politique a pour objectif de définir le cadre d’action pour garantir la sécurité de l’information et la continuité des services.

Cette Politique est développée à travers des documents et des réglementations de sécurité mis à la disposition de tous les membres de l’organisation qui ont besoin de les connaître, en particulier ceux qui utilisent, exploitent ou gèrent les systèmes d’information et de communication, via des procédures, processus, instructions techniques, etc.

La réglementation de sécurité est disponible pour tous les employés de l’organisation dans leur espace de documentation générale, au sein de Google Workspace.

4. Cadre réglementaire

NeuronUP s’engage à respecter toutes les lois, réglementations et normes applicables en matière de Sécurité de l’Information.

5. Organisation de la sécurité

La Direction de l’entreprise assume la responsabilité de promouvoir et de soutenir la mise en place de mesures techniques, organisationnelles et de contrôle garantissant les niveaux de qualité et de sécurité nécessaires pour les opérations de l’entreprise, en s’engageant dans l’amélioration continue du Système de Gestion de la Sécurité de l’Information.
La responsabilité de cette tâche est déléguée au Comité de Gestion de la Sécurité de l’Information, CGSI ou Comité de Sécurité.
La direction de NeuronUP crée le Comité de Sécurité en tant qu’organe collégial transversal, composé de :

  • Responsable de la Sécurité de l’Information de l’entreprise et président du Comité
  • Administrateur Systèmes en tant que secrétaire du Comité de Sécurité
  • Chief Technology Officer

Les nominations seront révisées tous les 2 ans ou lorsqu’un poste devient vacant, sur proposition du Comité de Sécurité lui-même.
Les attributions de ces rôles sont incluses dans les fiches de poste de leurs responsables respectifs, et la procédure pour leur nomination et/ou renouvellement est approuvée par la direction.

5.1. Fonctions du Comité de Sécurité

La principale fonction du Comité de Sécurité de l’Information est de définir la Politique de Sécurité de l’Information et les objectifs du Système de Gestion de la Sécurité de l’Information.
Le Comité de Sécurité établira les niveaux de risque jugés acceptables, en déterminant les actions appropriées pour réduire les risques dépassant ces seuils.

Le Comité de Sécurité est chargé de la révision annuelle de cette Politique de Sécurité de l’Information et de la proposition de révision ou de maintien de celle-ci, qui sera complétée par des normes et recommandations de sécurité (politiques, protocoles, procédures, instructions techniques, etc.)

Points de sécurité à réviser au moins une fois par an :

  • L’état des actions à entreprendre depuis le dernier contrôle
  • Changements pertinents pour le SGSI
  • Gestion des risques, Vulnérabilités et menaces
  • Technologies, produits et services pour l’amélioration continue

6. Gestion des risques

Pour l’harmonisation des analyses de risques, le Comité de Sécurité établira une évaluation de référence pour les différents types d’informations traitées et les différents services fournis.
Le Comité de Sécurité étudiera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes.
Tous les systèmes soumis à cette Politique doivent effectuer une analyse des risques, évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse sera répétée :

  • Régulièrement, au moins une fois par an
  • Lorsqu’un incident de sécurité grave se produit
  • Lorsqu’une vulnérabilité grave est signalée
    Pour garantir la disponibilité des services critiques en cas d’incidents, l’entreprise dispose d’une procédure de Plan de reprise après sinistre qui coordonne toutes les activités de récupération des processus métier susceptibles d’être affectés.

7. Obligations du personnel

Tous les membres de NeuronUP ont l’obligation de connaître et de respecter cette Politique de Sécurité de l’Information et la réglementation de sécurité, le Comité de Sécurité étant responsable de mettre en place les moyens nécessaires pour que l’information parvienne aux personnes concernées.
Le non-respect de cette Politique de Sécurité et des règles qui la développent peut entraîner des sanctions disciplinaires conformément au Statut des Travailleurs et à la Convention collective applicable.
Les directives spécifiques pour les travailleurs sont développées dans la Politique de Confidentialité et de Sécurité des Travailleurs.

7.1. Sensibilisation et formation

Tous les membres de NeuronUP participeront à une session de sensibilisation à la sécurité TIC au moins une fois par an. Un programme de sensibilisation continue sera mis en place pour sensibiliser tous les membres de NeuronUP, en particulier les nouveaux arrivants.

Les personnes responsables de l’utilisation, de l’exploitation ou de l’administration des systèmes recevront une formation pour l’utilisation sécurisée des systèmes dans la mesure où elles en ont besoin pour effectuer leur travail. La formation sera obligatoire avant de prendre une responsabilité, que ce soit pour la première affectation ou en cas de changement de poste ou de responsabilités au sein de celui-ci.

7.2. Directives de base du SGSI

Les directives de base pour le traitement sécurisé des informations et la structuration de la documentation de sécurité du système, sa gestion et son accès, sont développées dans les manuels, politiques, normes et procédures du SGSI.
Les directives de base pour le traitement sécurisé des informations sont les suivantes :

  • Les informations doivent être classées dans les catégories suivantes : Public, Usage Interne, Confidentiel ou Réservé.
  • Les supports qui stockent des informations confidentielles ou réservées doivent être stockés dans un lieu sûr.
  • L’accès aux systèmes d’information sera accordé en fonction du besoin de savoir.
  • Les contrôles d’accès physique au bâtiment limitent l’accès au personnel autorisé uniquement.
  • Tous les employés doivent enregistrer leurs entrées et sorties des bâtiments de l’entreprise via le système de contrôle horaire/pointage.
  • Les personnes externes à l’entreprise doivent s’enregistrer dans les cas établis par NeuronUP.
  • La Politique de gestion des mots de passe indiquée par NeuronUP doit être suivie.
  • Les ordinateurs sont configurés pour se verrouiller automatiquement avec un écran de veille protégé par mot de passe après une période d’inactivité. Cependant, il est de la responsabilité de l’utilisateur de les verrouiller manuellement chaque fois qu’il quitte son poste de travail.
  • Chaque fois qu’un employé quitte l’entreprise, ses droits d’accès seront désactivés.
  • Les utilisateurs disposent d’une adresse e-mail professionnelle pour effectuer leur travail.
  • Les contrats avec des tiers incluront les clauses de sécurité appropriées.
  • Les utilisateurs ne doivent jamais désactiver les programmes antivirus ou tout autre outil ou contrôle installé pour améliorer la sécurité.
  • Les utilisateurs ne doivent pas avoir d’attentes en matière de confidentialité lorsqu’ils accèdent aux systèmes d’information de l’entreprise, car celle-ci (dans le cadre légal établi et dans le but de gérer les systèmes et de garantir la sécurité) peut examiner toute information stockée dans ses systèmes.
  • Toute question en matière de sécurité peut être adressée à [email protected].
  • Lorsqu’une situation affectant la sécurité de l’information de NeuronUP est détectée, tout utilisateur (employé ou externe) doit la signaler au responsable du département et/ou au responsable de la sécurité.

8. Données personnelles

NeuronUP traite des données personnelles et dispose donc d’une Politique de protection des données personnelles, qui est conforme aux niveaux de sécurité requis par la réglementation en vigueur.
Le Document de Sécurité est révisé et mis à jour périodiquement, démontrant ainsi la Proactivité requise et garantissant la sécurité des données personnelles traitées.

9. Tiers

Lorsque NeuronUP fournit des services à d’autres organisations ou gère des informations d’autres, ils seront informés de cette Politique de Sécurité de l’Information, des canaux seront établis pour la communication et la coordination des Comités de Sécurité respectifs et des procédures d’action pour réagir aux incidents de sécurité seront mises en place.

Lorsque NeuronUP utilise les services de tiers ou cède des informations à des tiers, ceux-ci seront informés de cette Politique de Sécurité et des Normes de Sécurité applicables à ces services ou informations. Cette tierce partie sera soumise aux obligations établies dans cette réglementation et pourra développer ses propres procédures opérationnelles pour y répondre. Des procédures spécifiques de rapport et de résolution des incidents seront établies. Il sera garanti que le personnel des tiers est sensibilisé de manière appropriée aux questions de sécurité, au moins au niveau établi dans cette Politique.

Lorsqu’un aspect de la Politique ne peut être satisfait par une tierce partie, comme indiqué dans les paragraphes précédents, un rapport du Responsable de la Sécurité sera nécessaire, précisant les risques encourus et la manière de les traiter. L’approbation de ce rapport par les responsables des informations et des services concernés est requise avant de procéder.