Politique sécurité de l'information

Introduction

Définitions

Les définitions des différents termes utilisés dans cette politique et dans d’autres documents associés sont disponibles dans le glossaire de la sécurité de l’information. 

Objectifs 

Le présent document constitue la politique de sécurité des actifs informationnels de Boscoville, désignée ci-après comme la « politique ». Cette politique établit les pratiques nécessaires pour se conformer à diverses obligations légales et administratives et pour protéger tous les actifs informationnels et prévenir les incidents de sécurité potentiels, notamment la fraude, les fuites d’informations, les attaques informatiques, les erreurs accidentelles, les actions délibérées et les atteintes à la vie privée. En mettant en oeuvre cette politique, Boscoville protège ses actifs et atténue les risques liés à la confidentialité, à l’intégrité et à la disponibilité des informations. 

Portée 

Cette politique s’applique à l’ensemble des actifs informationnels détenus par Boscoville y compris les informations recueillies dans le cadre d’activités contractuelles, réglementaires et légales. 

Sans limiter ce qui précède, aux fins de la présente politique, seront considérés comme des parties prenantes de Boscoville, son personnel, ses administratrices et administrateurs, ses sous-traitants, ses fournisseurs, ses clientes et clients ainsi que ses partenaires. 

Engagement du conseil d’administration 

La présente Politique s’inscrit dans un contexte de prévention et de sensibilisation à la sécurité de l’information. Pour ce faire, la collaboration de tous les intervenantes et intervenants est primordiale. Le conseil d’administration s’engage à prendre tous les moyens nécessaires pour soutenir les actions qui doivent être prises dans la mise en oeuvre de la Politique, ainsi que dans la mise en oeuvre des encadrements associés. 

Propriétaire de la politique et du cadre de sécurité de soutien 

La présente Politique et les différents encadrements de sécurité associés relèvent de la personne responsable de la sécurité de l’information. La ou le responsable de la sécurité de l’information doit en assurer la maintenance, la révision et la communication. 

Suivi et contrôle des activités de sécurité de l’information 

Afin de surveiller son exposition aux risques, Boscoville doit disposer d’une infrastructure et de processus de surveillance. Elle doit permettre de contrôler en permanence l’efficacité de ses méthodes, processus et mécanismes de protection et de les améliorer en fonction de l’évolution des risques auxquels Boscoville est confrontée. 

Boscoville se réserve le droit, sans préavis, de surveiller tout actif informationnel et toute information détenue, traitée et exécutée sur ses systèmes et appareils mobiles. Ce privilège doit toujours être exercé dans le respect des lois et lorsque des motifs raisonnables le recommandent. 

Conséquences 

Le non-respect de la présente politique ou des encadrements de sécurité associés peut amener Boscoville à retirer les droits d’accès, fin d’emploi ou de contrat, à une employée ou un employé ainsi qu’à appliquer des mesures disciplinaires ou juridiques. Toute partie prenante qui a connaissance de la non-conformité ou de l’omission de cette politique doit en informer son gestionnaire ou la personne responsable de la sécurité de l’information. 

Respect de la politique 

Les encadrements doivent être appliqués à l’appui des besoins d’affaires de Boscoville et ne doivent en aucun cas devenir une contrainte sans valeur ajoutée ou qui empêche Boscoville d’offrir ses services à ses clientes et clients. 

Compte tenu de ce qui précède, il est possible que, dans le cours normal des opérations, des situations spécifiques rendent impossible le respect de certaines exigences en matière de sécurité de l’information. Dans un tel contexte, une procédure claire de gestion des non-conformités aux exigences de sécurité est nécessaire pour s’assurer qu’elles sont correctement analysées, approuvées et suivies. 

Principes généraux

Organisation interne 

Afin d’assurer une gestion efficace de la sécurité de l’information au sein de Boscoville, il est important de définir la structure soutenant la planification, le développement, la mise en oeuvre et le contrôle des mesures de sécurité. Le comité de direction est chargé de veiller à ce que cette structure organisationnelle soit définie et mise en oeuvre. 

Évaluation et gestion des risques liés aux actifs informationnels 

Outre la gestion des risques de l’entreprise, les mesures de sécurité mises en place sont fondées sur l’évaluation, l’analyse périodique et le traitement par Boscoville des risques liés à la confidentialité, à l’intégrité et à la disponibilité des informations. 

Une évaluation des risques doit être réalisée avant de procéder à l’acquisition de nouveaux systèmes ou d’effectuer un changement susceptible d’avoir un impact sur la sécurité des actifs informationnels de Boscoville. Dans tous les cas, cette évaluation doit être documentée en suivant un processus défini. 

Sécurité des ressources humaines 

Boscoville doit établir des processus de sécurité des ressources humaines dans le but de réduire le risque d’erreur humaine, de vol, de fraude ou d’utilisation abusive des actifs informationnels de Boscoville avant l’embauche, pendant la période d’emploi et après le départ de l’employée ou de l’employé. 

Gestion des actifs informationnels 

Afin de mettre en place et de maintenir une protection appropriée, chaque actif informationnel doit être inventorié et attribué à une ou un propriétaire qui connaît sa valeur et son importance pour Boscoville. La ou le propriétaire établira sa classification en fonction de sa valeur et de son importance pour Boscoville afin d’établir un niveau de protection approprié. 

Contrôle d’accès aux actifs informationnels 

  • Principe du « besoin de savoir » : Les informations ne doivent être divulguées qu’aux personnes qui ont besoin de ces informations dans le cadre de leurs fonctions et conformément aux obligations législatives et réglementaires. 
  • Gestion de l’accès : La gestion des accès doit être effectuée selon des processus et des procédures formels, convenus et communiqués aux personnes concernées.
    Lorsqu’une utilisatrice ou un utilisateur change de poste (notamment en cas de licenciement, de mutation, de promotion ou de congé de longue durée), son gestionnaire doit revoir son accès.
    Les propriétaires, en collaboration avec la personne responsable de la sécurité de l’information, doivent veiller à ce qu’un examen périodique des comptes d’utilisatrices ou d’utilisateurs soit effectué. 
  • Contrôles d’accès : Tout actif informationnel qui conserve des informations non classées comme publiques doit disposer d’un mécanisme d’authentification actif pour garantir que ces informations ne sont pas indûment divulguées, modifiées, supprimées ou rendues indisponibles.
    Les utilisatrices et utilisateurs doivent disposer d’un identifiant unique et ne doivent en aucun cas le partager. 


Sécurité physique et environnementale 

Tous les actifs informationnels doivent être protégés par des mesures de sécurité physique en fonction de leur niveau de sécurité, des risques associés ainsi que de leur valeur pour Boscoville. 

L’accès aux bureaux et aux salles informatiques contenant des informations non classées comme publiques doit être physiquement limité par un mécanisme de sécurité approprié. 

Gestion des opérations informatiques et télécommunications 

À moins qu’elles n’aient été désignées comme publiques, toutes les informations doivent être protégées contre toute divulgation non autorisée à des tiers. Les tiers peuvent avoir accès aux informations non classées comme publiques uniquement si un besoin a été démontré et si cette divulgation a été autorisée par la ou le propriétaire ou par la loi. 

Acquisition, développement et mise à jour des systèmes 

Les exigences de sécurité à respecter lors de l’acquisition, du développement, de la mise en oeuvre et de la maintenance d’un actif informationnel doivent être déterminées. Les exigences de sécurité doivent tenir compte des évolutions technologiques et des nouveaux défis en matière de sécurité. 

Gestion des incidents 

Boscoville doit établir et définir les responsabilités et les procédures à mettre en oeuvre en cas d’incident de sécurité afin de garantir une réponse efficace et pertinente tout en assurant la mise en place d’une équipe capable de traiter les incidents. 

Reprise après sinistre 

Boscoville doit mettre en oeuvre un plan de reprise des technologies de l’information (ci-après, « plan de reprise après sinistre ») visant à réduire l’impact de l’indisponibilité d’un actif informationnel et à assurer ainsi une reprise des opérations dans les meilleurs délais. Les mesures de récupération doivent être vérifiées périodiquement afin de s’assurer de leur efficacité et de leur pertinence. 

Formation et sensibilisation 

Boscoville doit informer les employées et employés des menaces et des conséquences d’une violation de la sécurité afin que chacune et chacun puisse reconnaître les situations à risque et agir en conséquence. 

Boscoville doit également fournir une formation spécialisée dans les domaines liés à la sécurité de l’information afin de maintenir un niveau de risque acceptable au sein de Boscoville. 

Un programme de formation et de sensibilisation à la sécurité de l’information adapté aux différents rôles des employées et employés doit être défini. 

Il incombe à Boscoville de fournir à toute personne devant accéder aux actifs informationnels les directives nécessaires pour comprendre ses responsabilités en matière de sécurité de l’information. 

Tous les documents pertinents doivent être communiqués aux employées et employés, y compris la présente politique et les encadrements associés. 

Rôles et responsabilités

Conseil d’administration 

Le conseil d’administration de Boscoville est chargé de veiller à ce que des encadrements de sécurité adéquats soient élaborés et maintenus au sein de Boscoville. Il est chargé d’approuver cette politique et de prendre tous les moyens nécessaires pour la mettre en oeuvre ainsi que les autres documents associés. 

Personne responsable de la sécurité de l’information 

La personne responsable de la sécurité de l’information est le principal représentant de Boscoville pour toutes les questions relatives à la sécurité des actifs informationnels. 

Sans limiter la généralité de ce qui précède, la personne responsable de la sécurité de l’information doit, entre autres choses : 

  • Rendre compte chaque année au comité de direction de la conformité à la politique et soumettre un rapport de conformité. 
  • Tenir la Politique à jour en fonction des besoins, des obligations et des préoccupations de Boscoville. 
  • Veiller à l’implication des différentes parties prenantes dans l’élaboration de cette Politique et des autres encadrements associés. 
  • Définir les critères de sécurité pour les technologies utilisées au sein de Boscoville. 
  • Fournir des conseils en matière de sécurité de l’information. 
  • Réaliser des évaluations des risques et des vulnérabilités dans tous les projets impliquant un actif informationnel permettant de définir les besoins de sécurité pour assurer la protection des actifs informationnels. 
  • Sensibilisez tous les utilisatrices et utilisateurs à la sécurité des informations. 
  • Assurer une gestion efficace des incidents de sécurité et la maintenance du plan de reprise après sinistre (DRP) basé sur le plan de continuité des activités (BCP). 


Propriétaire de l’actif informationnel 

La ou le propriétaire des actifs informationnels est le gestionnaire d’un secteur d’activité de Boscoville. Cette personne est responsable, d’un point de vue métier, des actifs informationnels qui sont nécessaires à la conduite des activités de son secteur tels que : 

  • Déterminer la valeur de ses actifs informationnels pour sa gestion et assurer leur classification conformément à celle-ci. 
  • Identifier et assurer la mise en oeuvre de mesures et de contrôles de sécurité pour garantir la protection des actifs informationnels en fonction du niveau de sécurité attribué et des évaluations des risques. 
  • Assurer le maintien des mesures de sécurité pour tous ses actifs tout au long de leur cycle de vie (création, entretien, conservation, destruction, etc.). 
  • Approuver l’attribution des droits d’accès aux actifs informationnels sous sa responsabilité en fonction des besoins requis. 
  • S’assurer qu’un plan de reprise après sinistre, spécifique à ses actifs informationnels, est en place et est testé régulièrement. 


Utilisatrice et utilisateur d’un actif informationnel 

L’utilisatrice ou l’utilisateur d’un actif informationnel (ci-après : « utilisateur ») est une personne à qui une ou un propriétaire a accordé l’accès à un ou plusieurs actifs informationnels de Boscoville. Une utilisatrice ou un utilisateur peut être un employé permanent ou temporaire, un administrateur, un pigiste, un consultant ou un tiers. 

Lorsque la valeur de l’actif informationnel le justifie, des arrangements spéciaux avec un tiers (tels que des accords de confidentialité) doivent avoir été conclus avant l’attribution ou la cession du contrat. 

Son rôle consiste, entre autres, à effectuer les tâches suivantes : 

  • N’utiliser les actifs informationnels qu’à des fins expressément approuvées par la ou le propriétaire. 
  • Respectez toutes les mesures de sécurité en place. 
  • S’abstenir de divulguer les informations en leur possession (sauf si elles ont été désignées comme publiques) sans l’autorisation de la ou du propriétaire. 
  • Informer la personne responsable de la sécurité de l’information de toutes les situations où il pense que la sécurité d’un actif informationnel est vulnérable ou a été compromise. 

  • Se conformer à la présente politique et à tout autre document qui s’y réfère ou la soutient. 

Révision et approbation

La présente Politique entre en vigueur dès son adoption par le Conseil d’administration. Elle peut être révisée à tout moment par la ou le responsable de la protection des renseignements personnels et toute modification devra être soumise au Conseil d’administration pour adoption. 

Des modifications peuvent être proposées par diverses parties prenantes de Boscoville, qui doivent être soumises par écrit à la ou au responsable de la sécurité de l’information. 

La présente Politique devrait être révisée au moins tous les deux ans pour garantir sa pertinence compte tenu de la mission de Boscoville, des activités de ses utilisatrices et utilisateurs et lors de tout changement substantiel apporté à la législation ou aux exigences réglementaires. 

Date d’entrée en vigueur

La présente Politique entre en vigueur le 21 septembre 2023. Elle annule et remplace tous les encadrements à ce sujet précédemment en vigueur.