Politique de Sécurité de l’information
Le masculin est utilisé dans le présent document dans le seul but d’alléger le texte.
À l’intention des employés, des conseillers, des clients, des visiteurs, des partenaires et des fournisseurs
Version 1.1
Table des matières
- Préambule
- Objectifs de La Politique
- Champ d’application
- Définitions
- Principes Directeurs
- Rôles et Responsabilités
- Documentation et reddition des comptes
- Conformité
- Mise en œuvre, suivi et révision
1. Préambule
Lü Aire de Jeu Interactive («Lü») reconnaît l’importance des technologies de l’Information, des systèmes, équipements et dispositifs informatiques, ainsi que des documents et Renseignements qu’elle collecte et génère dans le cadre de ses activités, y compris les Informations confidentielles telles que les Renseignements relatifs aux clients et les Renseignements personnels collectés, traités ou conservés dans le cadre de ses activités.
2. Objectifs de La Politique
La Politique de Sécurité de l’information (la « Politique ») a pour objectif de fournir à Lü les outils nécessaires et adaptés permettant d’exercer une saine gouvernance relativement à la Sécurité de l’Information. Elle constitue le premier plan du cadre organisationnel et vise les objectifs suivants :
- Assurer le respect des lois et règlements applicables et des pratiques reconnues en gestion des risques liés à la Sécurité de l’information;
- Énoncer les orientations et principes directeurs destinés à assurer efficacement la Sécurité de l’Information, ainsi que la continuité des opérations, notamment :
- Assurer l’Intégrité de l’Information de manière à ce que celle-ci ne soit ni détruite ni altérée de quelque façon que ce soit, sans autorisation et au moyen d’un Support qui procure la stabilité et la pérennité nécessaires;
- Limiter la divulgation de l’Information confidentielle aux seules personnes autorisées à en prendre connaissance. Seuls les employés qui ont besoin des données confidentielles dans le cadre de leur travail peuvent y accéder;
- Assurer le maintien de la Disponibilité de l’Information. Permettre de confirmer, si nécessaire, l’authenticité d’un document ou l’identité d’une personne ou d’un dispositif qui accède à l’Information;
- Protéger l’Information tout au long de son Cycle de vie, quel qu’en soit le Support ou l’emplacement.
3. Champ d’application
La Politique porte sur les Actifs informationnels que Lü détient ou utilise, peu importe leur nature, leur localisation et le Support sur lequel ils se trouvent, et ce, durant leur Cycle de vie complet, c’est-à-dire depuis leur collecte ou leur création jusqu’à leur destruction dans le respect des lois et règlements applicables.
La présente Politique s’applique à tous les employés de Lü, y compris, mais sans s’y limiter, à son personnel aux tiers avec lesquels Lü a une relation contractuelle, les sous-traitants exécutant des fonctions liées aux actifs Informationnels ou à la Sécurité de l’Information et à toute autre personne, qu’elle soit physique ou morale, qui utilise ou a accès aux actifs Informationnels de Lü. Lü est responsable de s’assurer que l’ensemble de ces personnes respectent les principes directeurs énoncés dans la présente Politique.
4. Définitions
Actif informationnel : Toutes les informations produites, collectées, générées ou conservées dans le cadre des activités de Lü, toutes les technologies utilisées, tels les systèmes d’information, l’équipement (les stations de travail, les applications) et les dispositifs (virtuels ou physiques), y compris le matériel et les logiciels informatiques utilisés pour entreposer, transférer, traiter ou accéder à distance aux actifs dans le cadre des opérations de Lü. Le matériel comprend les serveurs, les ordinateurs, les téléphones portables, la messagerie vocale, le courrier électronique, les données, les documents (papier, numérique), l’accès à distance, les réseaux câblés et sans fil, les Supports électroniques amovibles, les tablettes, les assistants numériques personnels, l’Internet, les sites d’hébergement et les systèmes. Les logiciels comprennent toutes les applications ou systèmes fonctionnant sur le matériel de Lü, ou les systèmes hébergés en externe et utilisés pour mener à bien les activités de Lü. Les actifs informationnels n’incluent pas les appareils appartenant aux employés, au personnel tiers ou aux sous-traitants, mais incluent les outils d’accès à distance autorisés par le département informatique de Lü, tel que VPN et les applications infonuagiques sous licence utilisées avec des équipements personnels.
Classification des actifs informationnels : La Classification est un processus qui permet d’assurer le traitement d’un Actif informationnel en fonction de son degré de sensibilité, sa valeur et sa criticité.
Confidentialité : Le caractère réservé d’une Information dont l’accès est limité aux seules personnes admises à la consulter pour les besoins du service et dans le cadre de ses fonctions.
Cycle de vie : L’ensemble des étapes qui composent la vie d’une Information de sa création, en passant par son utilisation, sa communication-transfert, sa conservation jusqu’à sa destruction.
Disponibilité : L’assurance qu’une Information soit facilement accessible aux Utilisateurs autorisés à y accéder et de façon ininterrompue.
Incident de confidentialité : La perte, le vol, l’accès non autorisé intentionnel ou par inadvertance et l’utilisation ou la divulgation d’un renseignement personnel.
Incident de sécurité : Un événement de sécurité qui compromet les opérations commerciales de Lü ou la Confidentialité, l’Intégrité ou la Disponibilité d’un Actif informationnel.
Information confidentielle : Information qui ne peut être communiquée ou rendue accessible qu’aux personnes et aux entités autorisées.
Intégrité : C’est la capacité de garantir l’exhaustivité, la précision, l’exactitude et la validité d’une Information tout au long de son Cycle de vie.
Renseignement personnel : Une Information qui concerne une personne physique et qui seule ou combinée avec d’autres informations permet de l’identifier directement ou indirectement.
Sécurité de l’information : C’est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la Sécurité des actifs Informationnels de Lü.
Supports électroniques amovibles : Dispositif portatif et amovible qui peut être connecté à un Actif informationnel, un ordinateur ou un réseau pour fournir un stockage de données (clés USB, cartes SD, lecteur externe).
Télétravail : Activité professionnelle qui s’exerce à l’extérieur des bureaux de l’employeur, au moyen d’outils informatiques et de télécommunication.
Utilisateur : Toute personne ou entité, y compris les parties prenantes internes ou externes de Lü, les administrateurs, les dirigeants, les employés, les entrepreneurs ou les fournisseurs et leurs représentants, les partenaires externes, les invités, les organisations externes ou les entreprises autorisées qui, de quelque manière que ce soit, ont accès, utilisent, traitent ou conservent les actifs Informationnels de Lü.
RSSI : Le responsable de la sécurité des systèmes d’information (ou RSSI pour Responsable de la Sécurité des Systèmes d’Information) définit et développe la politique de sécurité de l’information de son entreprise. Il est garant de sa mise en œuvre et en assure le suivi. Il protège l’entreprise des risques potentiels liés aux cyberattaques, tel que le spoofing, les ransomware ou les attaques par DDoS. Il assure aussi des projets comme les politiques de sécurité interne au niveau des employés (changement de mot de passe tous les 6 mois etc…) par exemple.
Le responsable de la sécurité des systèmes d’information doit également informer le personnel sur les questions et les normes de sécurité par la mise en œuvre d’outils (chartes numériques, guidelines de sécurité) ou d’activités de communication, etc.
CRTI : Comité Responsable des Technologies de l’Information.
5. Principes Directeurs
- Approche globale – Les procédures, processus, mesures et engagements contractuels de Lü relatifs aux Actifs informationnels doivent être élaborés, implantés et appliqués de façon à en maintenir l’Intégrité, assurer leur Disponibilité, et à en préserver la Confidentialité, et de façon à respecter les obligations légales et réglementaires auxquelles Lü est assujettie.
- Inventaire – Lü s’assure d’inventorier et classifier ses Actifs informationnels. Cet inventaire doit inclure les actifs physiques (serveurs, postes de travail, équipement réseau, etc.) et logiques (logiciels, licences, etc.) et assigner chaque actif à un propriétaire. Le propriétaire de l’Actif informationnel est responsable de la protection de l’actif tout au long de son Cycle de vie.
- Classification – Lü utilise un mécanisme de Classification des Actifs informationnels qui vise à établir le niveau de criticité des actifs et qui permet d’attribuer à chaque classe les mesures de protection requises et les exigences de manipulation adéquates.
- Responsabilité – Chacun des Utilisateurs ayant accès aux Actifs informationnels, assume des responsabilités en regard du maintien de la Sécurité, et du respect des mesures de sécurité, notamment en regard de la préservation de la Confidentialité de ses identifiants, de ses accès aux Actifs informationnels par l’entremise de réseaux externes, et de la Sécurité des équipements et Supports électroniques amovibles de Lü, et est redevable de ses actions auprès du comité de Direction.
- Utilisation à des fins professionnelles – Les Actifs informationnels de Lü sont mis à la disposition des Utilisateurs à des fins d’usages professionnels dans le cadre de l’exercice de leurs fonctions. L’organisation a identifié des règles d’utilisation acceptable de ses Actifs informationnels qui sont documentés dans les normes de Sécurité de l’Information. Celles-ci décrivent l’utilisation acceptable des équipements et systèmes de communication, la protection des Renseignements personnels, la protection du matériel et de l’équipement à l’extérieur du bureau (incluant le Télétravail).
- Droits d’accès – Les droits d’accès aux Actifs informationnels sont accordés de façon restreinte aux Utilisateurs en fonction de leurs responsabilités et de leurs tâches (principe de l’accès minimal).
- Protection des Renseignements personnels – L’accès et l’utilisation des Renseignements personnels recueillis par Lü doivent être contrôlés et ne doivent être autorisés qu’aux fins pour lesquelles ils ont été recueillis ou obtenus, le tout conformément à la Politique de confidentialité et aux dispositions législatives applicables.
- Engagements contractuels – Toute entente contractuelle conclue avec un fournisseur de services relativement aux Actifs informationnels ou susceptibles d’entraîner un impact sur les Actifs informationnels doit contenir des stipulations imposant aux fournisseurs des obligations permettant de rencontrer les exigences de la présente Politique ou par leurs statuts doivent se conformer à la présente politique et qui soient conformes aux mesures de sécurité appliquées par Lü.
- Mesures de Sécurité – Lü a mis et mettra en place des mesures de protection, de prévention, de détection, d’assurance et de correction selon le niveau de Classification des Actifs informationnels, dans le but d’assurer la Confidentialité, l’Intégrité, et la Disponibilité de ces Actifs informationnels, ainsi que le contrôle des accès, l’authentification des Utilisateurs, de même que la continuité des opérations. Les mesures doivent également viser à empêcher les Incidents de Confidentialité et de Sécurité, les erreurs, la malveillance, ainsi que les atteintes à la Confidentialité, à l’Intégrité ou à la Disponibilité des Actifs informationnels. Lü effectue périodiquement des évaluations des risques et des vulnérabilités, ainsi que des vérifications de conformité relatives à la confidentialité et à la sécurité des données. Lü doit rectifier rapidement toute vulnérabilité de sécurité qui est relevée. Lü s’engage à maintenir la sécurité des systèmes et de nos services développés par Lü par le biais de mises à jour régulières. Nous effectuons des améliorations constantes et appliquons des correctifs (aussi appelés “rustines”) pour garantir l’efficacité, la performance optimale et la sécurité de nos systèmes. Ces mises à jour peuvent inclure des modifications pour renforcer la sécurité, corriger des bugs ou améliorer les fonctionnalités. Lü se réserve le droit de réaliser ces mises à jour sans préavis, tout en s’assurant que cela n’interfère pas avec l’expérience utilisateur et en respectant à tout moment notre Politique de confidentialité. Lü maintient une consignation précise des événements ou “log” qui enregistre les actions des utilisateurs au sein du système pour des raisons de sécurité. Cette pratique nous permet d’identifier, de comprendre et de répondre de manière appropriée à tout comportement inhabituel ou suspect, ainsi qu’à toute possible violation de la sécurité. La consignation des événements peut comprendre des informations telles que la date et l’heure des actions, les détails de l’action effectuée et l’identifiant de l’utilisateur. Ces informations sont collectées et stockées en conformité avec notre politique de confidentialité et sont uniquement utilisées pour protéger la sécurité de nos utilisateurs et assurer l’intégrité de notre service.
- Sécurité des ressources humaines – Lü effectue des vérifications d’antécédents si nécessaire avant l’embauche. La nécessité de réaliser une vérification des antécédents, ainsi que le type de vérification, est établi en fonction du niveau de criticité du poste occupé par l’employé. Le niveau de criticité est établi par la direction des ressources humaines. Les vérifications peuvent se faire au niveau criminel, judiciaire et du profil de crédit. Un formulaire de consentement doit être fourni à l’employé concerné lors de chaque vérification.
- Surveillance – Le comité de Direction peut contrôler, surveiller, vérifier et enregistrer tout accès, communication, ou utilisation des Actifs informationnels fait par les Utilisateurs de Lü afin de s’assurer d’une utilisation adéquate des Actifs informationnels et du respect de la présente Politique et des mesures de sécurité.
- Sensibilisation et formation – Le comité en charge de la Sécurité des systèmes d’information doit mettre en œuvre et appliquer un programme de sensibilisation et de formation à la Sécurité des Actifs informationnels. Le programme de formation et de sensibilisation à la Sécurité comprend :
- Une formation sur la façon de mettre en œuvre et de respecter les Politiques pertinentes de l’entreprise;
- La promotion d’une culture de sensibilisation à la Sécurité par des communications périodiques de la direction avec les Utilisateurs;
- L’identification de canaux de communication pour assurer une notification adéquate et opportune de toute vulnérabilité ou risque réel ou potentiel pour la Sécurité de l’information.
- Évolution – Une évaluation périodique des risques et des mesures de sécurité des Actifs informationnels doit être effectuée afin de s’assurer de leur adéquation. Les changements technologiques pourraient entraîner des conséquences sur la Sécurité des Actifs informationnels et se doivent d’être identifiés, évalués, approuvés, planifiés et contrôlés.
6. Rôles et Responsabilités
L’atteinte des objectifs de Sécurité de l’information exige une attribution claire des responsabilités à tous les échelons de l’organisation et l’adoption de processus de gestion de la Sécurité assurant une reddition de comptes appropriée. Ainsi, la Sécurité de l’information constitue une responsabilité collective et chaque personne est tenue de rendre des comptes en fonction de son rôle particulier. Il s’ensuit que la sensibilisation à la Sécurité de l’information et la formation sur celle-ci s’avèrent des éléments essentiels.
Les responsabilités en matière de protection des Actifs informationnels de l’entreprise se déclinent dans des comités, les principales fonctions de son organisation et les Utilisateurs.
Fonctions | Principales responsabilités – Sécurité de l’information |
Président propriétaire |
|
Directrice Générale et Représentant du Comité Responsable des technologies de l’information. |
|
Représentant du Comité Responsable des technologies de l’information. |
|
Gestionnaire |
|
Ressources Humaines |
|
Utilisateurs (Employés permanents, temporaires et contractuels) |
|
Comité | Principales responsabilités – Sécurité de l’Information |
Comité de Direction |
|
Comité Responsable des technologies de l’information |
|
7. Documentation et reddition des comptes
Le CRTI fait une reddition de compte annuellement au Comité de Direction. La reddition des comptes indique, pour la période visée :
- Le nombre d’incidents de sécurité étant survenus et les actions prises pour les traiter.
- Le nombre de violation de la présente politique constatée et les actions prises pour y remédier.
- Un bilan des activités de formation et sensibilisation.
- Le statut des activités prévues à la feuille de route sécurité et la feuille de route sécurité pour l’année à venir ainsi que le budget nécessaire pour réaliser cette feuille de route.
8. Conformité
Le non-respect de cette Politique peut entraîner des manquements ou violations du Code de conduite, d’éthique et des valeurs de Lü. Ainsi le processus de dénonciation doit être effectué rapidement afin de permettre à Lü de prendre en charge la situation. Selon la gravité de la violation, des mesures administratives ou disciplinaires peuvent inclure, sans s’y limiter, un avis verbal, une réprimande, une suspension ou un congédiement. Lü pourra mettre fin à une entente qui le lie à un tiers, les sous-traitants exécutant des fonctions liées à l’informatique ou à la Sécurité de l’information et à toute autre personne, qu’elle soit physique ou morale, qui utilise ou a accès aux Actifs informationnels de Lü et avec lesquels Lü a une relation contractuelle si ces derniers ne se conforment pas à la Politique.
L’entreprise peut référer à toute autorité judiciaire les informations collectées sur tout Utilisateur d’Actif informationnel ayant contrevenu à la Politique et qui portent à croire qu’une infraction à une loi ou à un règlement en vigueur a été commise. Le contrevenant pourrait alors faire face à des mesures légales et s’exposer à des poursuites judiciaires.
9. Mise en œuvre, suivi et révision
La présente Politique entre en vigueur à la date de sa signature par le Président propriétaire indiquée ci-dessous. Elle sera révisée tous les trois ans, ou plus tôt si des modifications du cadre juridique ou des évolutions technologiques affectent son application. La présente Politique a été mise à jour pour la dernière fois en août 2024. La présente Politique remplace toutes les versions antérieures, le cas échéant, et est susceptible d’être modifiée à tout moment à la seule discrétion de Lü.