Mentions légales

Sécurité de l'information

Tous les droits d'auteur, droits de propriété intellectuelle et industrielle relatifs au présent document et aux connaissances techniques qu'il contient sont la propriété d'Ink Innovation S.L. et/ou de leurs titulaires respectifs.

Le présent document est mis à la disposition des utilisateurs finaux uniquement à des fins d'usage interne. Aucune partie de ce document ni aucune des données qu'il contient ne peut être publiée, divulguée, copiée, reproduite ou redistribuée sous quelque forme ou par quelque moyen que ce soit, que ce soit par voie électronique ou mécanique, ni utilisée à quelque autre fin que ce soit sans l'autorisation écrite préalable d'Ink Innovation S.L.

Tous les droits non expressément accordés dans les présentes sont réservés.

Objectif

La présente politique de sécurité de l'information a pour objectif de protéger les ressources informationnelles d'Ink Innovation S.L. contre toutes les menaces, qu'elles soient internes ou externes, intentionnelles ou accidentelles. Cette politique définit le cadre et les principes régissant la sécurisation de nos ressources informationnelles, afin d'en garantir la confidentialité, l'intégrité et la disponibilité.

Champ d'application

La présente politique s'applique à l'ensemble des employés, sous-traitants, consultants, intérimaires et autres collaborateurs d'Ink Innovation S.L., y compris tout le personnel affilié à des tiers. Elle couvre l'ensemble des systèmes d'information, des réseaux et des sites physiques où des informations sont traitées, stockées ou transmises.

Cette politique s'étend également aux parties prenantes telles que les clients, les autorités de régulation, les fournisseurs et les partenaires, garantissant ainsi le respect des obligations contractuelles, réglementaires et légales applicables.

Objectifs en matière de sécurité de l'information

  • Garantir la confidentialité, l'intégrité et la disponibilité des informations.
  • Afin de se prémunir contre tout accès non autorisé et toute violation.
  • Afin de respecter les lois, les réglementations et les obligations contractuelles applicables, y compris les exigences en matière de protection des données et de confidentialité.
  • Protéger les informations personnelles, sensibles et confidentielles conformément à la réglementation en vigueur en matière de protection de la vie privée et des données.
  • Améliorer en permanence notre système de gestion de la sécurité de l'information conformément aux exigences des normes ISO/IEC 27001 et du NIST.

Rôles et responsabilités

  • Équipe de direction d'Ink : Assurer le leadership, l'engagement et la promotion des politiques et procédures du SMSI, allouer les ressources et soutenir l'amélioration continue. Assumer la responsabilité de l'efficacité du SMSI et veiller à son alignement sur les objectifs de l'entreprise.
  • Responsable de la sécurité des systèmes d'information (RSSI) : Élaborer, mettre en œuvre et maintenir le système de gestion de la sécurité de l'information (SGSI), et veiller au respect des exigences de la norme ISO/IEC 27001. Superviser les évaluations des risques, garantir la conformité aux exigences réglementaires et contractuelles en matière de sécurité, et veiller à l'alignement sur la classification NIST FIPS 199.
  • Service informatique :mettre en place des contrôles techniques, surveiller les systèmes, collecter et analyser les journaux de sécurité, exploiter les informations sur les menaces et réagir aux incidents de sécurité. Veiller à ce que la séparation des tâches soit respectée afin d'empêcher toute modification non autorisée ou involontaire des actifs.
  • À l'attention de tous les employés : respectez les politiques et procédures en matière de sécurité de l'information, signalez sans délai tout incident de sécurité, protégez les informations confidentielles et participez aux formations régulières et aux programmes de sensibilisation à la sécurité.

Gestion des risques

  • Réaliser régulièrement des analyses des risques afin d'identifier, d'évaluer et de hiérarchiser les risques liés à la sécurité de l'information.
  • Procéder à la catégorisation des systèmes d'information en utilisant les critères du NIST FIPS 199 afin de classer les systèmes et les données en fonction des niveaux d'impact potentiels (faible, modéré, élevé) en matière de confidentialité, d'intégrité et de disponibilité.
  • Mettre en place des contrôles adaptés en fonction de la classification, les systèmes classés « à haut risque » nécessitant les mesures de protection les plus strictes.
  • Aligner la gestion des risques sur l'appétit pour le risque défini par l'organisation et le contexte du SMSI.
  • Réviser et mettre à jour les évaluations des risques régulièrement et en cas de changements importants.

Mesures de sécurité de l'information

  • Contrôle d'accès : veiller à ce que l'accès aux informations soit accordé en fonction des besoins de l'entreprise et sous réserve d'une autorisation appropriée.
  • Sécurité physique : Protéger les sites physiques abritant les ressources informationnelles contre tout accès non autorisé et les risques environnementaux.
  • Sécurité des communications : Protéger les informations en transit grâce au chiffrement et à des protocoles de communication sécurisés.
  • Gestion des incidents : mettre en place et tenir à jour un plan d'intervention en cas d'incident afin de détecter les incidents de sécurité, d'y réagir et d'assurer la reprise des activités.
  • Continuité des activités et reprise après sinistre : élaborer et tester des plans visant à garantir la poursuite des fonctions opérationnelles essentielles en cas de perturbations imprévues.
  • Sécurité des fournisseurs et des tiers : définir, communiquer et faire respecter les exigences en matière de sécurité de l'information auprès des fournisseurs, sous-traitants et prestataires de services tiers.
  • Surveillance et journalisation : surveiller les systèmes d'information afin de détecter les anomalies et les incidents de sécurité. Collecter, conserver et examiner régulièrement les journaux de sécurité afin de détecter les menaces et de faciliter les enquêtes.
  • Renseignements sur les menaces : exploiter les renseignements internes et externes sur les menaces pour détecter et atténuer les risques de manière proactive.
  • Classification et catégorisation des informations : classer et étiqueter les ressources informationnelles en fonction de leur niveau de sensibilité, et catégoriser les systèmes conformément à la norme NIST FIPS 199 (faible, modéré, élevé). Les mesures de contrôle doivent être mises en œuvre en fonction des résultats de cette catégorisation.

Formation et sensibilisation

  • Organiser régulièrement des formations à l'intention de tous les employés sur les politiques, les procédures et les bonnes pratiques en matière de sécurité de l'information.
  • Sensibiliser aux menaces pesant sur la sécurité de l'information et à l'importance de signaler les incidents de sécurité.

Conformité

  • Veiller au respect des exigences légales, réglementaires et contractuelles applicables.
  • Réaliser régulièrement des audits et des examens afin de garantir l'efficacité du SMSI et la conformité à la norme ISO/IEC 27001.

Amélioration continue

  • Suivre et évaluer les performances du SMSI au moyen d'audits et d'examens internes.
  • Mettre en œuvre des mesures correctives et préventives pour remédier aux non-conformités et améliorer le SMSI.
  • Encourager les commentaires des employés et des parties prenantes afin d'améliorer les pratiques en matière de sécurité de l'information.

Révision des politiques

Cette politique doit être réexaminée au moins une fois par an ou en cas de changements importants, afin de s'assurer qu'elle reste pertinente, adéquate et efficace. Elle doit être communiquée à toutes les parties prenantes internes et externes concernées et mise à disposition sous forme d'informations documentées.