• Home
  • Protection des données

Data Protection

Sécurité de l'information Mesures techniques et organisationnelles


Le groupe Radius adopte une approche de meilleures pratiques en matière de protection des données, en suivant les conseils de l'ICO et en s'alignant sur les principes de la législation et de la réglementation actuelles en matière de protection des données. Depuis 2014, nous avons investi massivement dans une nouvelle infrastructure informatique et du personnel clé afin de nous conformer à la norme ISO 27001 pour la gestion de la sécurité de l'information, avec le soutien d'un éminent cabinet de conseil en sécurité de l'information (SI). En 2018, nous avons obtenu la certification ISO 27001 et avons été réaccrédités au premier trimestre 2021. Depuis 2016, nous avons également obtenu la certification Cyber Essentials Plus, au quatrième trimestre de chaque année suivante.

Vous trouverez ci-dessous un résumé structuré des mesures techniques et organisationnelles que nous avons adoptées en matière de sécurité de l'information, encadrées par la norme ISO 27001 pour un système de gestion de la sécurité de l'information (SGSI) :

Management - Le management de Radius reconnaît que les informations qu'il gère doivent être traitées avec un soin approprié (que ces informations appartiennent à l'organisation, aux clients de l'organisation ou aux utilisateurs des services fournis par l'organisation), et s'engage à préserver leur confidentialité, leur intégrité et leur disponibilité.

Politique de sécurité de l'information - Il existe un ensemble complet de politiques de sécurité de l'information comprenant une politique générale de sécurité de l'information avec une déclaration exécutive et des objectifs définis, des sous-politiques primaires de sécurité de l'information qui ont un impact sur tous les travailleurs, des sous-politiques secondaires de sécurité de l'information qui ont un impact sur certains travailleurs et des documents de référence de sous-politiques de sécurité de l'information pour des orientations générales.

Organisation de la sécurité de l'information - Les rôles et les responsabilités du SMSI sont définis, le SMSI étant géré par une équipe composée du responsable de la sécurité de l'information, d'auditeurs de la sécurité de l'information et d'un analyste de la cybersécurité, qui rendent compte au conseil d'administration - la prise en compte de la sécurité de l'information est une exigence obligatoire pour tous les nouveaux projets.

Sécurité des ressources humaines - Tous les membres du personnel sont contrôlés selon les normes BPSS, et les membres clés du personnel font également l'objet d'un contrôle DBS - Il existe un processus formel de démarrage, de mutation et de départ, ainsi qu'un processus disciplinaire formel - La formation et la sensibilisation à la SI sont obligatoires pour tous les travailleurs, et sont dispensées par le biais d'un système de gestion de l'apprentissage virtuel général.

Gestion des actifs - Trois types de classification des données sont définis et des directives de traitement appropriées sont fournies - Les actifs informationnels sont enregistrés et gérés dans un registre principal des actifs, indiquant les propriétaires et les emplacements assignés - Tous les actifs qui ne sont plus nécessaires sont éliminés en toute sécurité par l'intermédiaire de transformateurs agréés WEEE.

Contrôle d'accès - Tous les utilisateurs disposent d'un compte utilisateur standard comprenant un identifiant et un mot de passe - Les administrateurs disposent d'un compte utilisateur supplémentaire avec des privilèges élevés - L'authentification unique et l'authentification multifactorielle sont de plus en plus adoptées dans l'ensemble du domaine - La recertification des comptes utilisateurs est fréquente, certaines révisions de comptes étant effectuées tous les mois.

Cryptographie - Un aspect de l'activité qui évolue et se développe rapidement, les clés étant gérées de manière centralisée et conformément aux meilleures pratiques.

Sécurité physique et environnementale - Tous les centres de données sont hébergés dans des environnements soumis à des mesures de sécurité physique strictes - Un nombre croissant de bureaux, y compris le siège, sont équipés d'un système de contrôle d'accès basé sur des cartes d'identité de proximité, qui sera déployé à terme dans tous les bureaux - Il en va de même pour la vidéosurveillance et la couverture ANPR - Des balayages mensuels des bureaux sont effectués par le service de nettoyage.

Sécurité des opérations - Les équipes informatiques suivent les principes ITIL - La gestion des changements est contrôlée par un processus de comité consultatif des changements - Les environnements de production sont séparés des environnements de développement et de test - Chaque terminal d'utilisateur est crypté et dispose d'une protection contre les logiciels malveillants - Tous les systèmes sont synchronisés par NTP - Les journaux sont conservés pendant 12 mois - Les logiciels sont déployés, corrigés et gérés de manière centralisée - Des évaluations des vulnérabilités sont effectuées à des fréquences variables.

Sécurité des communications - La séparation des réseaux est en place avec quelques DMZ - Des processus de transfert d'informations sont en place - La gestion des courriels est doublement filtrée dans le nuage - Des accords de non-divulgation (NDA) sont en place si nécessaire.

Acquisition, développement et maintenance des systèmes - La sécurité de l'information fait partie intégrante des principes adoptés en matière de sécurité dès la conception, avec des évaluations de l'impact sur la protection des données (DPIA) réalisées par les chefs de projet pour tous les changements obligatoires - Plusieurs environnements de développement sont utilisés - Des tests sont effectués sur tous les changements par une équipe de test interne - Des tests de pénétration indépendants et des évaluations de la vulnérabilité sont effectués sur les applications exposées à l'extérieur.

Relations avec les fournisseurs - Les fournisseurs font l'objet d'une évaluation des risques liés à leur interaction avec les données et les systèmes de Radius - Contrôle de conformité permanent - Contrats/accords/NDA mis en œuvre conformément aux exigences du GDPR.

Gestion des incidents de sécurité de l'information - Rapports d'incidents gérés par le biais d'un registre avec un référentiel de preuves sécurisé - Divers outils de surveillance automatisés en place - Processus de rapport de violation de données complété par un service d'intervention en cas de violation de données fourni par une société de conseil en sécurité de l'information de premier plan au Royaume-Uni. Aspects de la sécurité de l'information liés à la gestion de la continuité des activités - Plans de continuité des activités en place et invoqués avec succès à plusieurs reprises à ce jour - Plans de reprise après sinistre définis pour tous les systèmes centraux - Calendrier de test en place.

Conformité - Toutes les législations et réglementations pertinentes ont été identifiées et mises en œuvre - DPIA réalisées conformément au GDPR - Tests de pénétration indépendants - ISMS évalué de manière indépendante - Management IS Forum fournit un examen interne de l'ISMS.


Cette déclaration de protection des données a été revue et mise à jour pour la dernière fois le 30 mars 2022 - Version 1.4.