1. Introduction

La politique de sécurité de l’information d’EXPERTS REFUGE est conçue pour protéger les informations et les actifs informationnels contre les menaces potentielles, qu’elles soient internes ou externes, accidentelles ou intentionnelles. Cette politique définit les principes, les pratiques et les responsabilités pour assurer la confidentialité, l’intégrité et la disponibilité des informations que nous traitons.

2. Objectifs

• Confidentialité : Assurer que les informations sont accessibles uniquement aux personnes autorisées.
• Intégrité : Garantir que les informations sont précises, complètes et non modifiées de manière non autorisée.
• Disponibilité : Assurer que les informations sont accessibles aux utilisateurs autorisés lorsque cela est nécessaire.

3. Champ d’application

Cette politique s’applique à tous les employés, partenaires, sous-traitants et autres parties prenantes d’EXPERTS REFUGE qui ont accès aux systèmes d’information et aux données que gère l’entreprise.

4. Organisation de la Sécurité de l’Information

4.1 Formation et Sensibilisation

• Formation initiale : Tous les employés doivent suivre une formation sur la sécurité de l’information lors de leur embauche. Cette formation inclut les politiques de sécurité, les pratiques de gestion des mots de passe, et la reconnaissance des menaces potentielles telles que le phishing.
• Sensibilisation : Des campagnes de sensibilisation doivent être menées pour renforcer la culture de la sécurité au sein de l’entreprise.

5. Gestion des Actifs

5.1 Inventaire des Actifs

• Identification des Actifs : Un inventaire complet de tous les actifs informationnels (équipements, logiciels, données) doit être maintenu. Chaque actif doit être enregistré avec des détails tels que le type, la localisation, et la personne responsable.
• Classification des Actifs : Les actifs doivent être classifiés selon leur importance et leur sensibilité. Les catégories courantes incluent les données publiques, les données internes, les données confidentielles et les données sensibles.

5.2 Protection des Actifs

• Contrôles Physiques : Les équipements doivent être protégés contre les accès non autorisés, les vols et les dommages physiques. Les bureaux et les salles de serveurs doivent être verrouillés, et les accès doivent être contrôlés par des badges ou des codes.
• Contrôles Logiques : Les systèmes doivent être protégés par des contrôles d’accès appropriés, tels que des pare-feu, des logiciels antivirus, et des systèmes de détection d’intrusion.

6. Contrôle d’Accès

6.1 Gestion des Identifiants

• Création des Identifiants : Les identifiants doivent être uniques et attribués sur la base des besoins d’accès des employés. Les mots de passe doivent respecter les normes de complexité (longueur minimale, mélange de caractères, etc.).
• Réinitialisation des Identifiants : Les identifiants doivent être réinitialisés périodiquement, et les mots de passe doivent être modifiés en cas de suspicion de compromission.

6.2 Révocation des Accès

• Processus de Révocation : Lorsqu’un employé quitte l’entreprise ou change de rôle, ses accès doivent être immédiatement révoqués. Le processus doit inclure la désactivation des comptes utilisateur et la récupération des équipements.
• Audit des Accès : Des audits réguliers doivent être effectués pour s’assurer que les accès sont correctement configurés et que les employés ont uniquement les privilèges nécessaires à leurs fonctions.

7. Sécurité Physique et Environnementale

7.1 Accès aux Locaux

• Contrôle d’Accès : L’accès aux locaux sensibles doit être restreint aux personnes autorisées. Les visiteurs doivent être enregistrés et accompagnés en tout temps.
• Surveillance : Des systèmes de vidéosurveillance et des alarmes doivent être installés dans les zones critiques pour détecter et dissuader les accès non autorisés.

7.2 Protection des Équipements

• Conditions Environnementales : Les équipements doivent être protégés contre les risques environnementaux tels que les incendies, les inondations et les pannes électriques. Des équipements de protection comme les extincteurs, les dispositifs d’alimentation sans interruption (UPS), et les systèmes de climatisation doivent être installés.

8. Sécurité des Communications et des Opérations

8.1 Sécurité des Réseaux

• Architecture Réseau : Les réseaux doivent être segmentés pour limiter l’accès aux informations sensibles. Les pare-feu et les systèmes de prévention des intrusions doivent être configurés pour protéger contre les attaques externes.
• Chiffrement : Les données sensibles doivent être chiffrées en transit à l’aide de protocoles de chiffrement robustes (par exemple, TLS). Le chiffrement des données au repos est également recommandé pour les informations critiques.

8.2 Sécurité des Données

• Sauvegardes : Des sauvegardes régulières doivent être effectuées pour garantir la récupération des données en cas de perte ou de corruption. Les sauvegardes doivent être stockées dans un endroit sûr et testées régulièrement pour vérifier leur intégrité.
• Gestion des Périphériques : Les périphériques mobiles (ordinateurs portables, smartphones) doivent être protégés par des mots de passe et des dispositifs de chiffrement. La perte ou le vol de ces périphériques doit être signalé immédiatement.

9. Gestion des Incidents de Sécurité

9.1 Détection et Réponse

• Détection des Incidents : Des outils de surveillance et de détection doivent être utilisés pour identifier les incidents de sécurité en temps réel. Les alertes doivent être configurées pour signaler toute activité suspecte.
• Réponse aux Incidents : Un plan de réponse aux incidents doit être élaboré et mis en œuvre. Les étapes incluent la notification des parties prenantes, l’analyse de l’incident, et la mise en place de mesures correctives.

9.2 Analyse Post-Incident

• Analyse : Après chaque incident, une analyse détaillée doit être réalisée pour comprendre les causes profondes et les impacts. Le rapport d’analyse doit inclure des recommandations pour éviter la récurrence.
• Améliorations : Les leçons tirées de l’analyse doivent être intégrées dans les pratiques et les politiques de sécurité pour améliorer continuellement la posture de sécurité de l’entreprise.

10. Continuité des Activités

10.1 Plan de Continuité

• Élaboration du Plan : Un plan de continuité des activités doit être élaboré pour assurer la reprise rapide des opérations critiques en cas de perturbation majeure. Le plan doit inclure des procédures de sauvegarde, des plans de récupération et des contacts d’urgence.

10.2 Gestion des Changements

• Procédures de Changements : Les changements importants aux systèmes d’information et aux processus doivent être planifiés, évalués et approuvés avant leur mise en œuvre. Les modifications doivent être documentées et vérifiées pour éviter les interruptions ou les vulnérabilités.

11. Conformité et Révision

11.1 Conformité Légale

• Respect des Réglementations : Toutes les pratiques de sécurité doivent être conformes aux lois et réglementations en vigueur.

11.2 Révision de la Politique

• Révisions Régulières : Cette politique doit être révisée au moins une fois par an ou en cas de modification majeure des activités ou des réglementations. Les mises à jour doivent être communiquées à tous les employés et parties prenantes.

12. Contact

Pour toute question ou préoccupation concernant cette politique de sécurité de l’information, veuillez contacter :

EXPERTS REFUGE
Email : support@expertsrefuge.com
Téléphone : +212 5 22 30 72 53
Adresse : 11, Avenue des FAR, 11ème étage, Casablanca, 20250, Maroc