- Home
- Protection des données
Protection des données
Mesures techniques et organisationnelles de la sécurité de l’information
Le groupe Radius adopte une approche de meilleures pratiques en matière de protection des données, en suivant les conseils de l'ICO et en s'alignant sur les principes de la législation et de la réglementation actuelles en matière de protection des données. Depuis 2014, nous avons investi massivement dans une nouvelle infrastructure informatique et du personnel clé afin de nous conformer à la norme ISO 27001 pour la gestion de la sécurité de l'information, avec le soutien d'un éminent cabinet de conseil en sécurité de l'information (SI). En 2018, nous avons obtenu la certification ISO 27001 et avons été réaccrédités au premier trimestre 2021. Depuis 2016, nous avons également obtenu la certification Cyber Essentials Plus, au quatrième trimestre de chaque année suivante.
Voici un résumé structuré des mesures techniques et organisationnelles que nous avons adoptées en matière de sécurité de l'information, dans le cadre de la norme ISO 27001 relative à un système de gestion de la sécurité de l'information (SGSI) :
Management - Le management de Radius reconnaît que les informations qu'il gère doivent être traitées avec un soin approprié (que ces informations appartiennent à l'organisation, aux clients de l'organisation ou aux utilisateurs des services fournis par l'organisation), et s'engage à préserver leur confidentialité, leur intégrité et leur disponibilité.
Politique de sécurité de l'information - Il existe un ensemble complet de politiques de sécurité de l'information comprenant une politique générale de sécurité de l'information avec une déclaration exécutive et des objectifs définis, des sous-politiques primaires de sécurité de l'information qui ont un impact sur tous les travailleurs, des sous-politiques secondaires de sécurité de l'information qui ont un impact sur certains travailleurs et des documents de référence de sous-politiques de sécurité de l'information pour des orientations générales.
Organisation de la sécurité de l'information - Les rôles et les responsabilités du SMSI sont définis, le SMSI étant géré par une équipe composée du responsable de la sécurité de l'information, des auditeurs de la sécurité de l'information et de l'analyste de la cybersécurité, qui rendent compte au conseil d'administration - Les considérations relatives à la sécurité de l'information sont une exigence obligatoire pour tous les nouveaux projets.
Sécurité des ressources humaines - Tous les membres du personnel sont contrôlés selon la norme BPSS, et les membres clés du personnel sont également soumis à un contrôle DBS - Il existe un processus formel de démarrage, de mutation et de départ, ainsi qu'un processus disciplinaire formel - La formation et la sensibilisation à la société de l'information sont obligatoires pour tous les travailleurs, et sont dispensées par le biais d'un système de gestion de l'apprentissage virtuel général.
Gestion des actifs - Trois types de classification des données sont définis et des directives de traitement appropriées sont fournies - Les actifs informationnels sont enregistrés et gérés dans un registre principal des actifs, indiquant les propriétaires et les emplacements assignés - Tous les actifs qui ne sont plus nécessaires sont éliminés en toute sécurité par le biais de transformateurs agréés WEEE.
Contrôle d'accès - Tous les utilisateurs disposent d'un compte utilisateur standard comprenant un identifiant et un mot de passe - Les administrateurs disposent d'un compte utilisateur supplémentaire avec des privilèges élevés - L'authentification unique et l'authentification multifactorielle sont de plus en plus adoptées dans l'ensemble du domaine - La recertification des comptes utilisateurs est fréquente, certaines révisions de comptes étant effectuées tous les mois.
Cryptographie - Un aspect de l'activité qui évolue et se développe rapidement, avec des clés gérées de manière centralisée et conformément aux meilleures pratiques.
Sécurité physique et environnementale - Tous les centres de données sont hébergés dans des environnements soumis à des mesures de sécurité physique strictes - Un nombre croissant de bureaux, y compris le siège, disposent d'un contrôle d'accès de proximité basé sur des cartes d'identité, qui sera à terme déployé dans tous les bureaux - Il en va de même pour la vidéosurveillance et la couverture ANPR - Des balayages mensuels des bureaux sont effectués par le service de nettoyage.
Sécurité des opérations - Les équipes informatiques suivent les principes ITIL - La gestion des changements est contrôlée par un processus de comité consultatif des changements - Les environnements de production sont séparés des environnements de développement et de test - Chaque terminal d'utilisateur est crypté et dispose d'une protection contre les logiciels malveillants - Tous les systèmes sont synchronisés par NTP - Les journaux sont conservés pendant 12 mois - Les logiciels sont déployés, corrigés et gérés de manière centralisée - Des évaluations des vulnérabilités sont effectuées à des fréquences variables.
Sécurité des communications - La séparation des réseaux est en place avec quelques zones démilitarisées - Des processus de transfert d'informations sont en place - La gestion du courrier électronique est doublement filtrée dans le nuage - Des accords de non-divulgation (NDA) sont en place si nécessaire.
Acquisition, développement et maintenance des systèmes - La sécurité de l'information fait partie intégrante des principes adoptés en matière de sécurité dès la conception, avec des évaluations de l'impact sur la protection des données (DPIA) réalisées par les chefs de projet pour toutes les modifications obligatoires - Plusieurs environnements de développement sont utilisés - Des tests sont effectués sur toutes les modifications par une équipe de test interne - Des tests de pénétration indépendants et des évaluations de la vulnérabilité sont effectués sur les applications exposées à l'extérieur.
Relations avec les fournisseurs - Les fournisseurs font l'objet d'une évaluation des risques liés à leur interaction avec les données et les systèmes de Radius - Contrôle de la conformité en cours - Contrats/Accords/NDA mis en œuvre conformément aux exigences RGPD.
Gestion des incidents de sécurité de l'information - Rapports d'incidents gérés par le biais d'un registre avec un dépôt de preuves sécurisé - Divers outils de surveillance automatisés en place - Processus de rapport de violation de données complété par une réponse à la violation de données d'une tierce partie Service de rétention d'une importante société de conseil en sécurité de l'information du Royaume-Uni.
Aspects de la gestion de la continuité des activités liés à la sécurité de l'information - Plans de continuité des activités en place et invoqués avec succès à plusieurs reprises à ce jour - Plans de reprise après sinistre définis pour tous les systèmes centraux - Calendrier des tests en place.
Conformité - Toutes les législations et réglementations pertinentes ont été identifiées et mises en œuvre - DPIA réalisées conformément au RGPD - Test de pénétration indépendant - ISMS évalué de manière indépendante - Management IS Forum fournit un examen interne de l'ISMS.
Cette déclaration de protection des données a été revue et mise à jour pour la dernière fois le 30 mars 2022 - Version 1.4.