Politique de sécurité de l'information - SMSI

 
1. Introduction

Le présent document fournit le cadre de référence en matière de sécurité de l’information souhaité par la direction de PLACE DE LA FORMATION dans le cadre de son exploitation du logiciel de gestion de la formation TMS - Training Management Solution. Ce document vise deux objectifs principaux : 
  • informer les collaborateurs sur la mise en place d'un Système de management de la sécurité de l'information (SMSI) sur le périmètre défini ;
  • définir le cadre pour l'établissement des objectifs de sécurité de l'entreprise et de son logiciel.
 
 
2. Certification norme ISO 27001
 
La société PLACE DE LA FORMATION est certifiée ISO 27001.
 
 
Capture d’écran 2024-10-29 à 11.55.13
 
 
La norme ISO 27001 est une norme internationale délivrée par l'AFNOR (association française de normalisation) qui assure les clients de la société des bonnes pratiques mises en oeuvre dans la création, dans la gestion et dans la sécurisation du système d'informations.
 

3. Domaine d’application du périmètre du Système de management de la sécurité de l'information/SMSI

Le périmètre du SMSI comprend les activités et produits et services suivants de la société PLACE DE LA FORMATION :
 
Activités
  • Conception et développements de programmes informatiques de gestion de la formation.
  • Gestion de projet : pilotage des projets afin définir et paramétrer le logiciel de gestion de formation en fonction des contextes de ses clients.
  • Déploiement du logiciel et formation auprès de ses utilisateurs : salariés, managers, responsables de la formation, formateurs internes et autres profils).
  • Support pour l'aide à l'utilisation et l'assistance des utilisateurs.

Produits et services
 
PLACE DE LA FORMATION édite le logiciel de gestion de la formation TMS - Training Management Solution qui permet :
  • la création et l'administration de catalogues de formations (formations internes, formations externes, formations obligatoires, accès au LMS, LCMS, LXP...) ;
  • la gestion des inscriptions auprès des différents organismes de formation, qu'ils soient présentiels ou distanciels ;
  • la gestion documentaire en amont de la formation (conventions de formation, convocations...) et en aval de celle-ci (recueil des émargements, évaluations à chaud de satisfaction et évaluations à froid d'efficience, diplômes, certificats, certificat de réalisation, titres d'habilitations...)
  • la gestion des factures et des paiements des organismes de formation ;
  • la mise à jour du passeport formation des collaborateurs ;
  • le suivi et la gestion des titres d'habilitation et des recyclages des formations ;
  • les entretiens professionnels, annuels et périodiques des salariés ;
  • la mise à jour des indicateurs de suivi de l'activité formation au plan quantitatif (budgets, nombres d'heures de formation dispensés...) et qualitatifs (évaluations des formations par organisme de formation, par thématique de formation...).
 
Sites

L'activité de PLACE DE LA FORMATION est exercée à 100% en télétravail.

 
Interfaces et logiciels utilisés

PLACE DE LA FORMATION utilise le logiciel HubSpot pour la gestion de son CRM et de ses clients et s'appui sur la suite Microsoft 365.
 

Dépendances
 
PLACE DE LA FORMATION confie la gestion de ses data centers à la société Planet Service et de ses réseaux informatiques aux entreprises Foliateam, Equinix et Téléhouse.
 
 
4. Objectifs de sécurité
 
Les objectifs de sécurité présents ci-dessous sont des objectifs liés à la disponibilité, l'intégrité ou la confidentialité des données. Les objectifs sont adaptés aux exigences applicables à la sécurité de l’information et des résultats de l'appréciation et du traitement des risques.
 
Pour chaque objectif est défini :
  • un/des indicateur(s) ;
  • un/des résultat(s) attendu(s) ;
  • des actions pour atteindre l'objectif ;
  • une date cible pour atteindre l'objectif ;
  • un responsable du suivi de l'objectif.
 
Ces objectifs sont revus annuellement lors des revues de direction afin de :
  • s'assurer de la disponibilité du logiciel TMS Training Management Solution ;
  • améliorer la sécurité et l'efficacité du système d'information interne et de protéger les données des clients ;
  • mettre en place une gouvernance de la sécurité ;
  • acculturer et sensibiliser ses équipes, clients et fournisseurs à la sécurité de l'information ;
  • améliorer la sécurité des postes des utilisateurs.

 
5. Rôles et Responsabilités
 
La mise en place, le maintien et le suivi de l'efficacité du SMSI sont assurés comme suit : 

Jérôme Lesage (Président Directeur Général) est responsable de :
  • la sécurité des informations de l'entreprise et de celles de ses clients ;
  • l’allocation des ressources ;
  • le suivi de l'évolution du SMSI par le biais des revues de direction ;
  • l'approbation en cas de maintien de risques.
 
Les décisions qui impactent le SMSI sont prises en bilatéral entre le Responsable de la sécurité des systèmes de l'information (RSSI) François Gachot (Directeur des opérations) en ce qui concerne :
  • la mise en place du système de management de la sécurité de l'information ;
  • l'identification des risques et des mesures d'atténuation ;
  • la sensibilisation des employés à la sécurité de l'information ;
  • la prise en compte les exigences des parties intéressées ;
  • la préparation des revues de direction ;
  • la coordination des les activités d'audits (interne et tierce partie) ;
  • les services généraux pour tous les aspects sécurité physique.

Les décisions qui impactent le SMSI son prises entre le RSSI et le Responsable du Système du management de la sécurité de l’information (RSMSI) Dadan Kardiana (Société Feel Agile) en ce qui concerne :
  • le système de management de la sécurité de l'information conforme à la norme ISO 27001 ;
  • les performances du système de management de la sécurité de l'information.
 
Le responsable RGPD est la société DIPEEO qui agit sur :
  • la supervision de la stratégie et la mise en œuvre de la protection des données de l'entreprise (interne et externe) ;
  • le contact avec les autorités compétentes (CNIL) en cas de violation des données ;
  • la veille juridique visant à remonter et suivre les nouvelles exigences de conformité légales et réglementaires au RSSI.
 
Le DPO ne peut occuper de fonctions au sein de l’organisation le conduisant à déterminer les finalités et les moyens d’un traitement et ce afin de ne pas être « juge et partie ». À titre d’exemples, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts avec la fonction de DPO : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique (https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees#DPO3).
 
La responsable du suivi des clients est Marie Dubois (Directrice du succès clients) qui a en charge :
  • la remonté au RSSI et DPO les nouvelles exigences de sécurité de clients ;
  • les réclamations des clients concernant le non-respect de mesures de sécurité contractuelles.
Le responsable des fournisseurs est François Gachot (Directeur des opérations) qui assure :
  • la remontée au RSSI et au DPO les nouvelles exigences de sécurité de fournisseurs ;
  • la remontée des réclamations des fournisseurs concernant le non-respect de mesures de sécurité contractuelles ;
  • la mise en place d’une politique de relation fournisseur.
 
Le lead développeur est François Gachot :
  • il est responsable de l'application des règles de sécurité de l'information liées aux développements du logiciel de gestion de la formation TMS ;
  • il alerte immédiatement la Direction de toute non-conformité constatée.
 
En ce qui concerne l'ensemble des collaborateurs de PLACE DE LA FORMATION, qui ont été formés à la sécurité de l'information, ceux-ci s'obligent à : 
  • appliquer les règles de sécurité de l’information conformément aux politiques et procédures en vigueur dans l’organisation ;
  • signaler les événements liés à la sécurité de l’information ;
  • signaler les failles liées à la sécurité de l’information.
 

6. Organisation de la sécurité

La réunion de revue de la direction :
 
Une réunion à minimum annuelle organisée par la direction pour examiner la performance du SMSI. Elle implique la direction, le responsable de la sécurité de l'information, le responsable de conformité du SMSI et les autres parties prenantes clés. Les sujets abordés peuvent inclure les résultats des audits, la modification des enjeux, le retour des parties intéressées, le résultat de l'appréciation des risques, l'état d'avancement du plan de traitement des risques, les performances du SMSI et les opportunités d'amélioration.

Le comité de pilotage de la sécurité :

Le comité de pilotage de sécurité de l'information est une instance de gouvernance essentielle au sein des organisations. Il est responsable de superviser et de guider les initiatives liées à la sécurité de l'information, en veillant à ce que les politiques, les procédures et les mesures de sécurité soient alignées sur les objectifs stratégiques de l'entreprise.
 


7. Engagement de la direction
 
La direction de PLACE DE LA FORMATION s’engage sur :
  • l'intégration de la sécurité de l'information à la gouvernance globale de l'entreprise ;
  • la conformité aux exigences applicables en matière de sécurité de l’information ;
  • l'établissement, la mise en œuvre, la tenue à jour et l'amélioration continuellement de son système de management de la sécurité de l’information.