(InXpress Global Ltd) Politique De Sécurité De L’information

Date d’entrée en vigueur : 25 mai 2018 (mise à jour le 9 septembre 2022)

1.DÉFINITION - L’utilisation du terme « entreprise » dans ce document se rapporte à InXpress Global Ltd ainsi qu’à ses filiales, sociétés liées, franchisés principaux et franchisés.

2.INTRODUCTION - La présente politique de sécurité de l’information est un ensemble de règles formelles auxquelles doivent se conformer les personnes qui ont accès aux actifs technologiques et informationnels de l’entreprise. 

La Politique de sécurité de l’information poursuit plusieurs objectifs. L’objectif principal est d’informer les utilisateurs de l’entreprise (employés, franchisés principaux, franchisés, sous-traitants ou autres utilisateurs autorisés) de leurs obligations légales en matière de protection des actifs technologiques et informationnels de l’entreprise.  La politique de sécurité de l’information décrit les actifs technologiques et informationnels que nous devons protéger et identifie la plupart des menaces auxquelles sont confrontés ces actifs.

La présente politique de sécurité de l’information décrit également les responsabilités et privilèges des utilisateurs. Ce document contient aussi des procédures d’intervention en cas d’incidents mettant en péril la sécurité du réseau et des systèmes informatiques de l’entreprise.

Des politiques, contrôles, pratiques et procédures sont mis en œuvre conformément au niveau de sécurité en vigueur dans le secteur.  Il s’agit de mesures de protection physiques, administratives et techniques visant à protéger les systèmes et les données de l’entreprise.

Tous les employés doivent suivre une formation et un recyclage sur toutes les politiques et procédures en matière de sécurité de l’information dès leur entrée en fonction chez InXpress et ensuite, chaque année.

3.QU’EST-CE QUE NOUS PROTÉGEONS ? - Tous les utilisateurs des systèmes de l’entreprise sont tenus de protéger les actifs technologiques et informationnels de l’entreprise.  Ces informations doivent être protégées de tout accès non autorisé, vol et destruction. Les actifs technologiques et informationnels de l’entreprise sont constitués des éléments suivants :

  • matériel informatique, processeurs, disques, e-mail, Web, serveurs d’applications, PC, logiciels d’application, logiciels système, etc.
  • Les logiciels système englobent : les systèmes d’exploitation, systèmes de gestion de bases de données, logiciels de sauvegarde et de restauration, protocoles de communication.
  • Logiciels d’application : cela inclut des applications logicielles personnalisées et des progiciels en vente libre dans le commerce.
  • Le matériel et les logiciels du réseau de communication incluent : routeurs, tables de routage, hubs, modems, multiplexeurs, commutateurs, pare-feu, lignes privées ainsi que les logiciels et outils de gestion du réseau associés.

4.CLASSIFICATION DES INFORMATIONS - Les données des utilisateurs figurant dans des fichiers et bases de données informatiques doivent être classées comme étant confidentielles ou non confidentielles. L’entreprise doit classer les informations qu’elle contrôle. L’entreprise est tenue de vérifier et d’approuver la classification des informations et de déterminer le niveau de sécurité adéquat qui offre la meilleure protection.

5.MENACES DE SÉCURITÉ

Les employés appliquent les mesures suivantes pour réduire les transferts d’informations entre employés :

  • N’accorder que des droits appropriés aux systèmes.  Appliquer le principe du moindre privilège d’accès pour remplir des fonctions.   Limiter l’accès aux heures de bureau uniquement. 
  • Ne pas partager de comptes pour accéder aux systèmes.  Ne jamais partager ses données de connexion avec des collègues.
  • En cas de départ ou de mesure disciplinaire à l’encontre d’un employé, supprimer ou limiter son accès aux systèmes dans les 24 heures.
  • Protéger physiquement les actifs informatiques de manière à ce que l’accès soit exclusivement réservé au personnel qui en a besoin.
  • Les mots de passe doivent comporter un minimum de 12 caractères, une combinaison de majuscules et de minuscules, une combinaison de lettres et de chiffres, des caractères spéciaux (et pas uniquement un seul caractère placé à la fin du mot de passe), et doivent être changés tous les trois (3) mois.  Le nom de l’utilisateur ne doit pas faire partie du mot de passe.  Les mots de passe seront bloqués après un certain nombre de tentatives infructueuses.  L’authentification multifacteur (MFA) est implémentée sur tous les systèmes clés.
  • L’utilisation d’appareils personnels pour exercer son activité professionnelle est interdite.
  • Aucune donnée personnelle, sensible ou confidentielle ne doit être stockée sur des dispositifs amovibles tels que des clés USB.

En cas de violations externes, appliquer les mesures suivantes pour réduire l’accès aux systèmes de l’entreprise :

  • N’accorder que des droits appropriés aux systèmes et appliquer le principe du moindre privilège d’accès pour remplir des fonctions. Quand un client appelle pour modifier l’accès, vérifier qu’il s’agit de la bonne personne. 
  • Lorsque des comptes clients sont suspendus, supprimer ou limiter l’accès aux systèmes.
  • Les mots de passe doivent comporter un minimum de 12 caractères, une combinaison de majuscules et de minuscules, une combinaison de lettres et de chiffres, des caractères spéciaux (et pas uniquement un seul caractère placé à la fin du mot de passe), et doivent être changés tous les trois (3) mois.  Le nom de l’utilisateur ne doit pas faire partie du mot de passe.  Les mots de passe seront bloqués après un certain nombre de tentatives infructueuses.  L’authentification multifacteur (MFA) est implémentée sur tous les systèmes clés.

6.RESPONSABILITÉS DE L’UTILISATEUR

Cette section établit les règles d’utilisation des systèmes informatiques, réseaux et ressources d’information de l’entreprise.  Elle s’applique à tous les employés et fournisseurs qui utilisent les systèmes informatiques, réseaux et ressources d’information ainsi qu’aux partenaires commerciaux, clients et personnes qui ont obtenu l’accès au réseau pour servir les intérêts commerciaux de l’entreprise.

Utilisation acceptable

Les comptes utilisateurs sur les systèmes informatiques de l’entreprise doivent être utilisés exclusivement pour les activités commerciales de l’entreprise et non à des fins personnelles.  Toute utilisation non autorisée du système représente une violation de la loi, est assimilée à du vol et punissable par la loi.  Par conséquent, toute utilisation non autorisée du système et des installations informatiques de l’entreprise est passible de sanctions civiles ou pénales.

Les utilisateurs sont personnellement responsables de la protection de toutes les informations confidentielles utilisées et/ou conservées sur leurs comptes.  Cela inclut leurs identifiants de connexion et mots de passe. De plus, il leur est interdit de réaliser des copies non autorisées de ces informations confidentielles et/ou de les distribuer à des personnes non autorisées en dehors de l’entreprise.

Les utilisateurs ne se livrent pas délibérément à des activités dans l’intention : de harceler d’autres utilisateurs, de dégrader la performance du système, de détourner les ressources du système pour leur propre usage ou d’accéder à des systèmes de l’entreprise pour lesquels ils n’ont pas d’autorisation d’accès.

Les utilisateurs ne raccordent pas d’appareils non autorisés sur leurs PC ou postes de travail, sauf s’ils ont reçu l’autorisation spécifique de leur supérieur et/ou du responsable IT de l’entreprise.

Les utilisateurs ne peuvent pas télécharger sur Internet de logiciels non autorisés destinés à être installés sur leurs PC ou postes de travail.

Les utilisateurs sont tenus de signaler à leur supérieur direct d’éventuelles défaillances dans la sécurité informatique de l’entreprise, des cas d’utilisation abusive ou toute infraction à la présente politique.

Utilisation d’Internet

L’entreprise octroie un accès à Internet à tous les employés et sous-traitants qui sont connectés au réseau interne et pour lesquels cet accès est nécessaire à des fins professionnelles.  Les employés et sous-traitants doivent obtenir l’autorisation de leur supérieur et introduire une demande auprès de l’administrateur IT.

Internet est un outil professionnel pour l’entreprise.  Il est utilisé à des fins liées à l’activité de l’entreprise telles que : communication par courrier électronique avec des fournisseurs et des partenaires commerciaux, obtention d’informations commerciales utiles et de données techniques et commerciales pertinentes. 

Le service Internet ne peut pas être utilisé pour transmettre, récupérer ou stocker des communications de nature discriminatoire, harcelante ou insultante à l’égard d’une personne ou d’un groupe, obscène ou pornographique, diffamatoire ou menaçante, pour des « chaînes de lettres » ou tout autre but illicite ou pour en tirer un gain personnel.

Contrôle de l’utilisation des systèmes informatiques

L’entreprise a le droit et la capacité de contrôler les informations électroniques créées et/ou communiquées par des personnes qui utilisent les réseaux et systèmes informatiques de l’entreprise, y compris les messages électroniques et l’utilisation d’Internet.  L’entreprise n’a pas pour politique ou intention de surveiller en permanence toutes les activités informatiques des employés ou autres utilisateurs du réseau et des systèmes informatiques de l’entreprise.  Toutefois, les utilisateurs des systèmes doivent être avertis du fait que l’entreprise peut contrôler l’utilisation, y compris sans s’y limiter, le comportement d’utilisation d’Internet (par ex. site consulté, durée de connexion, date et heure de la consultation) ainsi que des fichiers et messages électroniques d’employés dans la mesure nécessaire pour s’assurer qu’Internet et d’autres moyens de communication électroniques sont utilisés conformément à la loi et à la politique de l’entreprise.  Chaque activité sur le système de l’entreprise qui traite des données de clients (Webship et XMS) est consignée dans des journaux d’audit complets qui détaillent toutes les activités de chaque utilisateur.  Les journaux d’audit sont régulièrement contrôlés.

7.CONTRÔLE D’ACCÈS

Un élément fondamental de notre politique de cybersécurité est le contrôle de l’accès aux ressources d’information critiques qui requièrent une protection contre toute divulgation ou modification non autorisée.  Le principe fondamental du contrôle d’accès consiste à attribuer des autorisations à des personnes ou systèmes qui sont habilités à accéder à des ressources spécifiques.  Les contrôles d’accès existent à différents niveaux du système, y compris le réseau.  Le contrôle d’accès est mis en œuvre au moyen d’un identifiant et d’un mot de passe.  Au niveau de l’application et de la base de données, d’autres méthodes de contrôle d’accès peuvent être mises en œuvre pour restreindre l’accès.  Les systèmes d’applications et de bases de données peuvent limiter le nombre d’applications et de bases de données accessibles aux utilisateurs en fonction des exigences de leur fonction.

Système utilisateur et accès au réseau – Identification d’un utilisateur normal

Tous les utilisateurs sont tenus d’avoir un identifiant et un mot de passe uniques pour accéder aux systèmes.  Le mot de passe de l’utilisateur doit rester confidentiel et ne DOIT PAS être partagé avec la direction et le personnel de supervision et/ou tout autre employé. Tous les utilisateurs doivent se conformer aux règles suivantes concernant la création et la maintenance des mots de passe :

  • Le mot de passe ne doit pas figurer dans un dictionnaire anglais ou étranger.  De ce fait, il ne faut pas utiliser de nom commun, de substantif, de verbe, d’adverbe ou d’adjectif.  Ce type de mot de passe peut être aisément craqué par des « outils de piratage » standard.
  • Les mots de passe ne doivent pas être affichés sur ou à proximité des terminaux informatiques ou être facilement accessibles dans la zone du terminal.
  • Le mot de passe doit être changé tous les (90 jours). 
  • Les comptes utilisateurs seront bloqués après 5 tentatives de connexion échouées.
  • Les mots de passe doivent comporter un minimum de 12 caractères, une combinaison de majuscules et de minuscules, une combinaison de lettres et de chiffres, des caractères spéciaux (et pas uniquement un seul caractère placé à la fin du mot de passe).
  • L’authentification multifacteur (MFA) est implémentée sur tous les systèmes clés.

 

Les utilisateurs ne sont pas autorisés à accéder aux fichiers de mots de passe sur les composants de l’infrastructure réseau. L’accès aux fichiers de mots de passe sur les serveurs par des utilisateurs non autorisés fera l’objet d’une surveillance.  Il est interdit de copier, de lire, de supprimer ou de modifier un mot de passe sur un système informatique.

Les utilisateurs ne sont pas autorisés à se connecter en tant qu’Administrateur système. Les utilisateurs qui ont besoin de ce niveau d’accès aux systèmes de production doivent demander un compte d’accès spécial, comme expliqué plus loin dans ce document.

Les identifiants et mots de passe des employés seront désactivés dès que possible, et dans les 24 heures, en cas de licenciement, de démission, de suspension, de mise en congé ou de toute autre forme de départ de l’entreprise.

Les superviseurs / directeurs doivent contacter sans délai le responsable IT de l’entreprise pour l’avertir de tout changement de statut d’un employé qui requiert une résiliation ou une modification de ses privilèges d’accès.

Les employés qui oublient leur mot de passe doivent appeler le département IT pour obtenir un nouveau mot de passe attribué à leur compte. 

Les employés sont responsables de toutes les transactions effectuées lors des sessions démarrées au moyen de leur mot de passe et de leur identifiant.  Les employés ne peuvent pas se connecter à un ordinateur et autoriser ensuite une autre personne à utiliser l’ordinateur ou partager d’une autre manière l’accès aux systèmes informatiques.

Accès de l’administrateur système

Les administrateurs système, administrateurs réseau et administrateurs de sécurité auront un accès contrôlé et surveillé aux systèmes hôtes, routeurs, hubs et pare-feu, si cela est requis pour accomplir les tâches propres à leur fonction.

Tous les mots de passe des administrateurs système seront SUPPRIMÉS immédiatement après le licenciement, la démission ou toute autre forme de départ de l’entreprise d’un employé qui a accès à ces mots de passe.

Accès spécial

Un compte d’accès spécial est attribué aux personnes ayant temporairement besoin de privilèges d’administrateur système pour accomplir leur travail.  Ces comptes sont contrôlés par l’entreprise et requièrent l’autorisation du responsable IT de l’entreprise.  Pour permettre le contrôle de ces comptes d’accès spécial, les utilisateurs sont enregistrés à un endroit spécifique et des rapports périodiques sont établis à l’attention de la direction.  Les rapports indiquent quelles sont les personnes qui disposent d’un compte d’accès spécial, pour quel motif et quand le compte vient à expiration.  Les comptes spéciaux seront disponibles pour la durée de la tâche pour laquelle l’autorisation a été initialement accordée et ne seront pas renouvelés automatiquement sans autorisation écrite.

Connexion à des réseaux de tiers

La présente politique est établie pour assurer des connexions sécurisées entre l’entreprise et toutes les entreprises tierces ainsi que d’autres entités qui doivent procéder à un échange électronique de données avec l’entreprise.

Par « tiers », on entend des fournisseurs, consultants et partenaires commerciaux qui font des affaires avec l’entreprise ainsi que d’autres partenaires qui ont besoin d’échanger des données avec l’entreprise.  Les connexions de réseau tiers doivent être exclusivement utilisées par les employés du tiers et uniquement pour servir les intérêts commerciaux de l’entreprise.  L’entreprise tierce veillera à ce que seuls les utilisateurs autorisés aient la permission d’accéder aux données sur le réseau de l’entreprise.  Le tiers n’autorisera pas de trafic Internet ou tout autre trafic privé sur le réseau.  

La présente politique s’applique à toutes les demandes de connexion de tiers ainsi qu’aux connexions de tiers existantes.  Dans le cas où les connexions de réseau tiers existantes ne répondent pas aux exigences spécifiées dans le présent document, elles seront redéfinies, le cas échéant.

Toutes les demandes de connexions de tiers doivent être soumises par écrit et approuvées par l’entreprise.

Connexion d’appareils sur le réseau

Seuls les appareils autorisés peuvent être connectés au(x) réseau(x) de l’entreprise.  Les appareils autorisés comprennent des PC et des postes de travail détenus par l’entreprise qui se conforment aux directives de configuration de l’entreprise.  D’autres appareils autorisés comprennent des équipements de réseau utilisés pour la gestion et le contrôle du réseau.

Les utilisateurs ne peuvent pas connecter au réseau : des ordinateurs qui ne sont pas autorisés, détenus et/ou contrôlés par l’entreprise.  

REMARQUE : Les utilisateurs ne sont pas autorisés à connecter un appareil pouvant altérer les caractéristiques topologiques du réseau ou tout autre périphérique de stockage non autorisé, comme des clés USB ou des CD inscriptibles.

Accès à distance

Seules les personnes autorisées peuvent accéder à distance au réseau de l’entreprise. L’accès à distance est réservé aux employés, sous-traitants et partenaires commerciaux de l’entreprise qui ont un besoin professionnel légitime d’échanger des informations, de copier des fichiers ou programmes ou d’accéder à des applications informatiques.  Une connexion autorisée peut être une connexion d’un PC distant sur le réseau ou d’un réseau distant sur le réseau de l’entreprise.  L’utilisation d’un identifiant sécurisé est le seul moyen de connexion à distance acceptable sur le réseau interne.

Accès à distance non autorisé

La connexion de (hubs par ex.) au PC ou au poste de travail d’un utilisateur connecté su VPN de l’entreprise n’est pas autorisée sans la permission écrite de l’entreprise. Par ailleurs, les utilisateurs ne peuvent pas installer de logiciels personnels destinés à commander à distance le PC ou le poste de travail. Ce type d’accès à distance contourne les méthodes d’accès à distance hautement sécurisées et autorisées et représente une menace pour la sécurité de l’ensemble du réseau.

8.PÉNALITÉ EN CAS DE VIOLATION DE LA SÉCURITÉ

L’entreprise prend très au sérieux la question de la sécurité.  Les personnes qui utilisent les actifs technologiques et informationnels de l’entreprise doivent être informées du fait qu’elles peuvent encourir des mesures disciplinaires en cas de violation de la présente politique.  En cas de violation de la présente politique, un employé de l’entreprise peut faire l’objet de mesures disciplinaires allant jusqu’au renvoi.  La mesure disciplinaire spécifique imposée sera déterminée au cas par cas, en tenant compte de la nature et de la gravité de la violation de la politique de cybersécurité, des infractions antérieures à la politique commises par la personne, des lois régionales et fédérales et de toute autre information pertinente.  Les mesures disciplinaires pouvant être prises à l’encontre d’un employé doivent être appliquées conformément aux règles ou politiques en vigueur ainsi qu’au Manuel de politiques de l’entreprise.

Si la personne accusée n’est pas un employé de l’entreprise, l’affaire sera soumise au Global COO.  Le Global COO transmettra dans ce cas l’information à des organismes chargés de l’application de la loi et/ou à des procureurs afin de déterminer si des poursuites pénales doivent être engagées à l’encontre du(des) présumé(s) contrevenant(s).

9.PROCÉDURES DE GESTION DES INCIDENTS DE SÉCURITÉ

Cette section contient quelques directives et procédures pour la gestion des incidents de sécurité.  Par « incident de sécurité », on entend tout événement anormal ou indésirable qui menace la sécurité, l’intégrité ou la disponibilité des informations sur n’importe quelle partie du réseau de l’entreprise.  Voici quelques exemples d’incidents de sécurité :

  • Accès illicite au système informatique de l’entreprise.  Par exemple, un hacker se connecte sur un serveur de production et copie le fichier de mots de passe.
  • Endommagement du réseau ou d’un système informatique de l’entreprise causé par un accès illicite.  Libération d’un virus ou d’un ver informatique, par exemple.
  • Violation de données
  • Attaque de type « déni de service » à l’encontre d’un serveur web de l’entreprise.  Par exemple, un hacker inonde un serveur web de paquets dans le but de faire crasher le système.
  • Utilisation malveillante de ressources système pour lancer une attaque contre d’autres ordinateurs en dehors du réseau de l’entreprise.  Par exemple, l’administrateur système constate qu’une connexion a été établie vers un réseau inconnu et qu’un processus étrange accapare beaucoup de temps sur le serveur.

Les employés qui pensent que leur terminal ou système informatique a fait l’objet d’un incident de sécurité, d’un accès ou d’une utilisation inadéquate, doivent le signaler sans délai à leur administrateur IT.  L’employé ne doit pas éteindre l’ordinateur ou supprimer les fichiers suspects.  Le fait de laisser l’ordinateur dans l’état où il était lors de la découverte de l’incident de sécurité aidera à identifier la source du problème et à déterminer les mesures à prendre pour remédier au problème.

Des procédures complètes et détaillées concernant les risques, les parties prenantes, la classification des incidents, le traitement et le signalement sont reprises dans le Plan de réponse aux risques et aux incidents de l’entreprise.  Elles doivent être strictement suivies lors de chaque incident.

Tous les incidents seront traités conformément au Plan de réponse aux risques et aux incidents.