Politique de Sécurité de l’information

 

Le masculin est utilisé dans le présent document dans le seul but d’alléger le texte.

À l’intention des employés, des conseillers, des clients, des visiteurs, des partenaires et des fournisseurs

Version de 1.0

Table des matières

1. Préambule
2. Objectifs de La Politique
3. Champ d’application
4. Définitions
5. Principes Directeurs
6. Rôles Et Responsabilités
7. Documentation et reddition des comptes
8. Conformité
9. Mise en œuvre, suivi et révision
10. Préambule

Lü Aire de Jeu Interactive («Lü») reconnaît l’importance des technologies de l’Information, des systèmes, équipements et dispositifs informatiques, ainsi que des documents et Renseignements qu’elle collecte et génère dans le cadre de ses activités, y compris, les Informations confidentielles telles que les Renseignements relatifs aux clients et les Renseignements personnels collectés, traités ou conservés dans le cadre de ses activités.

La Politique porte sur les Actifs informationnels que Lü détient ou utilise, peu importe leur nature, leur localisation et le Support sur lequel ils se trouvent, et ce, durant leur Cycle de vie complet, c’est-à-dire depuis leur collecte ou leur création jusqu’à leur destruction dans le respect des lois et règlements applicables.

1. Objectifs de La Politique

La Politique de Sécurité de l’information (la « Politique ») a pour objectif de fournir à Lü les outils nécessaires et adaptés permettant d’exercer une saine gouvernance relativement à la Sécurité de l’Information. Elle constitue le premier plan du cadre organisationnel et vise les objectifs suivants :

1. Assurer le respect des lois et règlements applicables et des pratiques reconnues en gestion des risques liés à la Sécurité de l’information;
2. Énoncer les orientations et principes directeurs destinés à assurer efficacement la Sécurité de l’Information, ainsi que la continuité des opérations, notamment :
   • Assurer l’Intégrité de l’Information de manière à ce que celle-ci ne soit ni détruite ni altérée de quelque façon que ce soit, sans autorisation et au moyen d’un Support qui procure la stabilité et la pérennité nécessaires;
   • Limiter la divulgation de l’Information confidentielle aux seules personnes autorisées à en prendre connaissance;
   • Assurer le maintien de la Disponibilité de l’Information. Permettre de confirmer, si nécessaire, l’authenticité d’un document ou l’identité d’une personne ou d’un dispositif qui accède à l’Information;

1. Protéger l’Information tout au long de son Cycle de vie, quel qu’en soit le Support ou l’emplacement.

1. Champ d’application

La présente Politique s’applique à tous les employés de Lü, y compris, mais sans s’y limiter, à son personnel aux tiers avec lesquels Lü a une relation contractuelle, les sous-traitants exécutant des fonctions liées aux actifs Informationnels ou à la Sécurité de l’Information et à toute autre personne, qu’elle soit physique ou morale, qui utilise ou a accès aux actifs Informationnels de Lü. Lü est responsable de s’assurer que l’ensemble de ces personnes respectent les principes directeurs énoncés dans la présente Politique.

1. Définitions

Actif informationnel : Toutes les informations produites, collectées, générées ou conservées dans le cadre des activités de Lü, toutes les technologies utilisées, tels les systèmes d’information, l’équipement (les stations de travail, les applications) et les dispositifs (virtuels ou physiques), y compris le matériel et les logiciels informatiques utilisés pour entreposer, transférer, traiter ou accéder à distance aux actifs dans le cadre des opérations de Lü. Le matériel comprend les serveurs, les ordinateurs, les téléphones portables, la messagerie vocale, le courrier électronique, les données, les documents (papier, numérique), l’accès à distance, les réseaux câblés et sans fil, les Supports électroniques amovibles, les tablettes, les assistants numériques personnels, l’Internet, les sites d’hébergement et les systèmes. Les logiciels comprennent toutes les applications ou systèmes fonctionnant sur le matériel de Lü, ou les systèmes hébergés en externe et utilisés pour mener à bien les activités de Lü. Les actifs informationnels n’incluent pas les appareils appartenant aux employés, au personnel tiers ou aux sous-traitants, mais incluent les outils d’accès à distance autorisés par le département informatique de Lü, tel que VPN et les applications infonuagiques sous licence utilisées avec des équipements personnels.

Classification des actifs informationnels : La Classification est un processus qui permet d’assurer le traitement d’un Actif informationnel en fonction de son degré de sensibilité, sa valeur et sa criticité.

Confidentialité : Le caractère réservé d’une Information dont l’accès est limité aux seules personnes admises à la consulter pour les besoins du service et dans le cadre de ses fonctions.

Cycle de vie : L’ensemble des étapes qui composent la vie d’une Information de sa création, en passant par son utilisation, sa communication-transfert, sa conservation jusqu’à sa destruction.

Disponibilité : L’assurance qu’une Information soit facilement accessible aux Utilisateurs autorisés à y accéder et de façon ininterrompue.

Groupes de sécurité : L’accessibilité aux systèmes de Lü est octroyée sur la base de rôles prédéfinis. Chaque rôle contient un profil d’accès spécifique, venant répondre aux besoins des Utilisateurs afin d’exécuter les activités attribuables à ses fonctions.

Hameçonnage : Technique de fraude fondée sur l’usurpation d’identité, qui consiste à envoyer massivement un message en se faisant passer pour une organisation de renom afin d’induire les destinataires en erreur et de les inciter à révéler des Informations confidentielles à leur insu.

Incident de confidentialité : La perte, le vol, l’accès non autorisé intentionnel ou par inadvertance et l’utilisation ou la divulgation d’un Renseignement personnel.

Incident de sécurité : Un évènement de Sécurité qui compromet les opérations commerciales de Lü ou la Confidentialité, l’Intégrité ou la Disponibilité d’un Actif informationnel.

Information confidentielle : Information qui ne peut être communiquée ou rendue accessible qu’aux personnes et aux entités autorisées.

Intégrité : C’est la capacité de garantir l’exhaustivité, la précision, l’exactitude et la validité d’une Information tout au long de son Cycle de vie.

Renseignement personnel : Une Information qui concerne une personne physique et qui seule ou combinée avec d’autres informations permet de l’identifier directement ou indirectement.

Sécurité de l’information : C’est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la Sécurité des actifs Informationnels de Lü.

Supports électroniques amovibles : Dispositif portatif et amovible qui peut être connecté à un Actif informationnel, un ordinateur ou un réseau pour fournir un stockage de données (clés USB, cartes SD, lecteur externe).

Télétravail : Activité professionnelle qui s’exerce à l’extérieur des bureaux de l’employeur, au moyen d’outils informatiques et de télécommunication.

Utilisateur : Toute personne ou entité, y compris les parties prenantes internes ou externes de Lü, les administrateurs, les dirigeants, les employés, les entrepreneurs ou les fournisseurs et leurs représentants, les partenaires externes, les invités, les organisations externes ou les entreprises autorisées qui, de quelque manière que ce soit, ont accès, utilisent, traitent ou conservent les actifs Informationnels de Lü.

1. Principes Directeurs

1. 1. Approche globale – Les procédures, processus, mesures et engagements contractuels de Lü relatifs aux Actifs informationnels doivent être élaborés, implantés et appliqués de façon à en maintenir l’Intégrité, assurer leur Disponibilité, et à en préserver la Confidentialité, et de façon à respecter les obligations légales et réglementaires auxquelles Lü est assujettie.

1. 1. Inventaire – Lü s’assure d’inventorier et classifier ses Actifs informationnels. Cet inventaire doit inclure les actifs physiques (serveurs, postes de travail, équipement réseau, etc.) et logiques (logiciels, licences, etc.) et assigner chaque actif à un propriétaire. Le propriétaire de l’Actif informationnel est responsable de la protection de l’actif tout au long de son Cycle de vie.

1. 1. Classification – Lü utilise un mécanisme de Classification des Actifs informationnels qui vise à établir le niveau de criticité des actifs et qui permet d’attribuer à chaque classe les mesures de protection requises et les exigences de manipulation adéquates.
   2. Responsabilité – Chacun des Utilisateurs ayant accès aux Actifs informationnels, assume des responsabilités en regard du maintien de la Sécurité, et du respect des mesures de sécurité, notamment en regard de la préservation de la Confidentialité de ses identifiants, de ses accès aux Actifs informationnels par l’entremise de réseaux externes, et de la Sécurité des équipements et Supports électroniques amovibles de Lü, et est redevable de ses actions auprès du comité de Direction.
   3. Utilisation à des fins professionnelles – Les Actifs informationnels de Lü sont mis à la disposition des Utilisateurs à des fins d’usages professionnels dans le cadre de l’exercice de leurs fonctions. L’organisation a identifié des règles d’utilisation acceptable de ses Actifs informationnels qui sont documentés dans les normes de Sécurité de l’Information. Celles-ci décrivent l’utilisation acceptable des équipements et systèmes de communication, la protection des Renseignements personnels, la protection du matériel et de l’équipement à l’extérieur du bureau (incluant le Télétravail).
   4. Droits d’accès – Les droits d’accès aux Actifs informationnels sont accordés de façon restreinte aux Utilisateurs en fonction de leurs responsabilités et de leurs tâches (principe de l’accès minimal).
   5. Protection des Renseignements personnels – L’accès et l’utilisation des Renseignements personnels recueillis par Lü doivent être contrôlés et ne doivent être autorisés qu’aux fins pour lesquelles ils ont été recueillis ou obtenus, le tout conformément à la Politique de confidentialité et aux dispositions législatives applicables.
   6. Engagements contractuels – Toute entente contractuelle conclue avec un fournisseur de services relativement aux Actifs informationnels ou susceptible d’entraîner un impact sur les Actifs informationnels doit contenir des stipulations imposant aux fournisseurs des obligations permettant de rencontrer les exigences de la présente Politique et qui soient conformes aux mesures de sécurité appliquées par Lü.
   7. Mesures de Sécurité – Lü a mis et mettra en place des mesures de protection, de prévention, de détection, d’assurance et de correction selon le niveau de Classification des Actifs informationnels, dans le but d’assurer la Confidentialité, l’Intégrité, et la Disponibilité de ces Actifs informationnels, ainsi que le contrôle des accès, l’authentification des Utilisateurs, de même que la continuité des opérations. Les mesures doivent également viser à empêcher les Incidents de Confidentialité et de Sécurité, les erreurs, la malveillance, ainsi que les atteintes à la Confidentialité, à l’Intégrité ou à la Disponibilité des Actifs informationnels. Lü effectue périodiquement des évaluations des risques et des vulnérabilités, ainsi que des vérifications de conformité relatives à la confidentialité et à la sécurité des données. Lü doit rectifier rapidement toute vulnérabilité de sécurité qui est relevée. Lü s’engage à maintenir la sécurité de nos systèmes et de nos services par le biais de mises à jour régulières. Nous effectuons des améliorations constantes et appliquons des correctifs (aussi appelés « rustines ») pour garantir l’efficacité, la performance optimale et la sécurité de nos systèmes. Ces mises à jour peuvent inclure des modifications pour renforcer la sécurité, corriger des bugs ou améliorer les fonctionnalités. Lü se réserve le droit de réaliser ces mises à jour sans préavis, tout en s’assurant que cela n’interfère pas avec l’expérience utilisateur et en respectant à tout moment notre Politique de confidentialité. Lü maintient une consignation précise des événements ou « log » qui enregistre les actions des utilisateurs au sein du système pour des raisons de sécurité. Cette pratique nous permet d’identifier, de comprendre et de répondre de manière appropriée à tout comportement inhabituel ou suspect, ainsi qu’à toute possible violation de la sécurité. La consignation des événements peut comprendre des informations telles que la date et l’heure des actions, les détails de l’action effectuée et l’identifiant de l’utilisateur. Ces informations sont collectées et stockées en conformité avec notre politique de confidentialité et sont uniquement utilisées pour protéger la sécurité de nos utilisateurs et assurer l’intégrité de notre service.
   8. Sécurité des ressources humaines – Lü doit effectuer des vérifications d’antécédents pour tous les employés avant l’embauche, et en cours d’emploi si requis, selon les lois et la règlementation applicables. Les vérifications peuvent se faire au niveau criminel, judiciaire et du profil de crédit. La nécessité de réaliser une vérification des antécédents, ainsi que le type de vérification, est établi en fonction du niveau de criticité du poste occupé par l’employé. Le niveau de criticité est établi par la direction des ressources humaines.

Un formulaire de consentement doit être fourni à l’employé concerné lors de chaque vérification.

1. 1. Surveillance – Le comité de Direction peut contrôler, surveiller, vérifier et enregistrer tout accès, communication, ou utilisation des Actifs informationnels fait par les Utilisateurs de Lü afin de s’assurer d’une utilisation adéquate des Actifs informationnels et du respect de la présente Politique et des mesures de sécurité.
   2. Sensibilisation et formation – Le responsable de la Sécurité des systèmes d’information doit mettre en œuvre et appliquer un programme de sensibilisation et de formation à la Sécurité des Actifs informationnels. Le programme de formation et de sensibilisation à la Sécurité comprend :

a) Une formation sur la façon de mettre en œuvre et de respecter les Politiques pertinentes de l’entreprise;

b) La promotion d’une culture de sensibilisation à la Sécurité par des communications périodiques de la direction avec les Utilisateurs;

c) L’identification de canaux de communication pour assurer une notification adéquate et opportune de toute vulnérabilité ou risque réel ou potentiel pour la Sécurité de l’information.

1. 1. Évolution – Une évaluation périodique des risques et des mesures de sécurité des Actifs informationnels doit être effectuée afin de s’assurer de leur adéquation. Les changements technologiques pourraient entraîner des conséquences sur la Sécurité des Actifs informationnels et se doivent d’être identifiés, évalués, approuvés, planifiés et contrôlés.
      

1. Rôles Et Responsabilités

L’atteinte des objectifs de Sécurité de l’information exige une attribution claire des responsabilités à tous les échelons de l’organisation et l’adoption de processus de gestion de la Sécurité assurant une reddition de comptes appropriée. Ainsi, la Sécurité de l’information constitue une responsabilité collective et chaque personne est tenue de rendre des comptes en fonction de son rôle particulier. Il s’ensuit que la sensibilisation à la Sécurité de l’information et la formation sur celle-ci s’avèrent des éléments essentiels.

Les responsabilités en matière de protection des Actifs informationnels de l’entreprise se déclinent dans des comités, les principales fonctions de son organisation et les Utilisateurs.

Les fonctions clés

Fonctions	Principales responsabilités – Sécurité de l’information
Vice-président Opérations et Responsable de la protection des Renseignements personnels	S’assure de la réalisation des analyses de risques et l’inclusion des risques significatifs liés à la Sécurité de l’information au registre des risques. Procède à la Classification des Actifs informationnels selon la procédure établie. Approuve les actions à prendre en Sécurité de l’information et autorise les budgets correspondants. Évalue les besoins en termes d’assurance de Cybersécurité. S’assure que toutes les normes et tous les règlements auxquels l’organisation est assujettie sont respectés, incluant la protection des Renseignements personnels. Nomme une personne pour agir en qualité de responsable de la Sécurité des systèmes d’information (« RSSI »). Responsable de l’application et teste le plan de continuité des activités. Approuve la Politique de Sécurité de l’information et assure sa mise en œuvre. Approuve les rôles et responsabilités du comité de gouvernance de la Sécurité de l’information et en désigne les membres. S’assure de mettre à la disposition des Utilisateurs un mécanisme de dénonciation anonyme relativement au respect de la présente Politique. Maintient la liste des exigences légales et règlementaires en matière de protection des Actifs informationnels, incluant la PRP; Défini, en collaboration avec le service juridique externe, les clauses contractuelles afin de refléter les mesures de Sécurité exigées des tiers et le respect de la présente Politique; Communique avec les autorités règlementaires appropriées, tout Incident relativement aux Renseignements personnels ou Incident de sécurité, dans le respect de la règlementation en vigueur.
Directeur des technologies de l’information	Agi comme responsable de la Sécurité de l’information pour l’organisation; Effectue les analyses de risques liées à la Sécurité de l’information selon la méthodologie établie et informe en temps opportun le VP Opérations des risques significatifs pour l’organisation; Sélectionne et recommande les mesures de Sécurité appropriées pour mitiger les risques liés à la Sécurité de l’information et veille à leur implantation; Prépare et/ou révise annuellement un plan directeur de Sécurité de l’information afin d’atteindre les objectifs de la Politique, et le communique aux parties prenantes; Propose au VP Opérations les ressources humaines, financières et matérielles pour maintenir et améliorer la Sécurité de l’information; S’assure que les employés ont les compétences en matière de Sécurité de l’information pour réaliser les tâches qui leur sont confiées; Détermine le niveau de criticité des postes en matière de protection de l’Information; Contrôle, surveille, vérifie et enregistre tout accès, communication, ou utilisation des Actifs informationnels; S’assure d’identifier les risques qui pourraient découler d’une activité confiée à un tiers, fait le suivi du risque et prévoit les clauses appropriées au contrat; Conçoit et teste le plan de relève informatique; Mets en place un plan de gestion des accès aux Actifs informationnels selon les rôles et les responsabilités des Utilisateurs; S’assure que les manipulations et la destruction des actifs sont fait correctement.
Gestionnaire	Communique la Politique à l’embauche des nouveaux employés; Effectue les vérifications de Sécurité auprès des employés, contractuels et tiers, selon la procédure établie, à l’embauche et en cours d’emploi selon le niveau de criticité du poste; Communique tout mouvement de personnel, arrivée ou départ d’un employé, sans délai, au RSSI pour la gestion des accès; Veille à ce que les employés sous sa responsabilité utilisent correctement les Actifs informationnels et adhère à la Politique; Sensibilise les membres de son équipe aux contrôles et mesures de Sécurité ainsi qu’aux protections applicables à l’utilisation des Renseignements personnels; Travaille en étroite collaboration le RSSI et fournit le soutien nécessaire à l’exercice des responsabilités des employés; Il s’assure aussi d’inclure les clauses sur la Sécurité et la protection de l’Information dans les contrats d’employés et les ententes avec les partenaires.
Utilisateurs (Employés permanents, temporaires et contractuels)	Prends connaissance et respecte la présente Politique; Applique les mesures de sécurité nécessaire à la protection des Actifs informationnels, selon les procédures établies; Suit les sessions obligatoires de sensibilisation et de formation à la Sécurité de l’information et la protection des Renseignements personnels offertes par l’entreprise; Rapporte, selon la procédure établie, tout événement qui pourrait menacer la protection des Actifs informationnels de l’entreprise; Rapporte à son supérieur immédiat ou par le mécanisme de dénonciation anonyme toute situation qui constitue une infraction à la présente Politique.

 

Les comités

Comité	Principales responsabilités – Sécurité de l’Information
Comité de Direction	Prends connaissance des tendances en termes de Sécurité de l’information; Formule des recommandations au VP Opérations concernant, les orientations technologiques, la Sécurité de l’information et la protection des Renseignements personnels; Établi les priorités stratégiques en matière de Sécurité de l’information; Assure le suivi sur la résolution des Incidents de Confidentialité et/ou Sécurité majeurs et la réalisation des plans d’action visant à résoudre les non-conformités.
Comité tactique de Sécurité	Évaluer les demandes de travaux informatique, incluant les demandes de changement, et les approuve; Approuve tout changement technologique qui pourrait occasionner un risque lié à la Sécurité de l’information, ou relatif aux mesures de Sécurité en place; Assure le suivi sur la résolution des Incidents de Confidentialité et/ou Sécurité et la réalisation des plans d’action visant à résoudre les non-conformités; Révise les résultats des analyses de vulnérabilités et propose les actions requises.

1. Documentation et reddition des comptes

Le RSSI fait une reddition de compte annuellement au Comité de Direction. La reddition des comptes indique, pour la période visée :

• Le nombre de d’incidents de sécurité ayant survenue et les actions prises pour les traiter.
• Le nombre de violation de la présente politique constatée et les actions prises pour y remédier.
• Un bilan des activités de formation et sensibilisation.
• Le statut des activités prévues à la feuille de route sécurité et la feuille de route sécurité pour l’année à venir ainsi que le budget nécessaire pour réaliser cette feuille de route.

1. Conformité

Le non-respect de cette Politique peut entraîner des manquements ou violations du Code de conduite, d’éthique et des valeurs de Lü.  Ainsi le processus de dénonciation doit être effectué rapidement afin de permettre à Lü de prendre en charge la situation. Selon la gravité de la violation, des mesures administratives ou disciplinaires peuvent inclure, sans s’y limiter, un avis verbal, une réprimande, une suspension ou un congédiement. Lü pourra mettre fin à une entente qui le lie à un tiers, les sous-traitants exécutant des fonctions liées à l’informatique ou à la Sécurité de l’information et à toute autre personne, qu’elle soit physique ou morale, qui utilise ou a accès aux Actifs informationnels de Lü et avec lesquels Lü a une relation contractuelle si ces derniers ne se conforment pas à la Politique.

L’entreprise peut référer à toute autorité judiciaire les Informations collectées sur tout Utilisateur d’Actif informationnel ayant contrevenu à la Politique et qui portent à croire qu’une infraction à une loi ou à un règlement en vigueur a été commise. Le contrevenant pourrait alors faire face à des mesures légales et s’exposer à des poursuites judiciaires.

1. Mise en œuvre, suivi et révision

La présente Politique entre en vigueur à la date de sa signature par le VP Opérations indiquée ci-dessous. Elle sera révisée tous les trois ans, ou plus tôt si des modifications du cadre juridique ou des évolutions technologiques affectent son application. La présente Politique a été mise à jour pour la dernière fois en septembre 2023. La présente Politique remplace toutes les versions antérieures, le cas échéant, et est susceptible d’être modifiée à tout moment à la seule discrétion de Lü.