Politique de sécurité de l'information
Les processus d'entreprise d'Informa D&B S.A.U. (S.M.E.) dépendent des systèmes d'information et des informations qu'ils stockent. La politique de sécurité de l'information établisse les lignes directrices générales en qualité et de sécurité de l'information pour l'entreprise et protège les actifs informationnels.
Ces lignes directrices comprennent l'adoption de mesures de sécurité administratives, techniques, physiques, organisationnelles et standards. Ces mesures sont raisonnablement conçues pour protéger et améliorer ses systèmes d'information et les informations de ses clients contre les menaces, internes ou externes, délibérées ou accidentelles, et pour garantir la qualité, la confidentialité, l'intégrité, la disponibilité et la légalité des informations.
Informa D&B S.A.U. (S.M.E.) apprécie hautement la relation et la confiance de ses clients. Dans le contexte technologique actuel, nous comprenons qu’un programme de sécurité adaptable et rapide est essentiel pour l’intégrité de notre entreprise, et la confidentialité et la sécurité des données sensibles sont parmi nos plus hautes priorités. Nous évaluons et développons nos mesures de sécurité afin de rester en phase avec l’évolution des menaces. Informa D&B S.A.U. (S.M.E.) peut mettre à jour ces mesures de sécurité périodiquement pour refléter les changements, à condition que ceux-ci ne diminuent pas substantiellement le niveau de sécurité, mais plutôt pour l'amélioration ou l'efficacité de mesures spécifiques de mitigation des risques.
La politique de sécurité d'Informa D&B S.A.U. (S.M.E.) est basée sur les recommandations de bonnes pratiques qui garantissent la sécurité dans la gestion des systèmes d'information, et sur la législation applicable en vigueur, étant certifiée annuellement selon la norme ISO/IEC 27001:2013 pour les Systèmes de Gestion de la Sécurité de L'information (SGSI) pour nos sites à Madrid.
La politique de sécurité d'Informa D&B S.A.U. (S.M.E.) reflète l'engagement général, la prise de conscience et les actions, depuis la direction de l'entreprise jusqu'aux employés. Chez Informa D&B S.A.U. (S.M.E.), nous comprenons que la sécurité est la responsabilité de tous.
Dès le premier jour, nos employés sont accueillis avec un guide de sécurité lors de leur bienvenue, on leur présente le Manuel de Sécurité contenant les exigences et conditions que tout le personnel d'Informa D&B S.A.U. (S.M.E.) doit respecter et ils signent l’engagement de conformité. Tous les employés reçoivent des informations de sécurité mensuelles actualisées ; conseils, nouvelles et informations pertinentes.
Informa D&B S.A.U. (S.M.E.) a nommé un Responsable de la Sécurité des Systèmes d’Information (RSSI ; CISO pas son acronyme en anglais) global du groupe qui, avec la Direction de la Sécurité de l’information, supervise notre Plan Directeur de Sécurité et tous les programmes de sécurité de l’information à l’échelle mondiale. L’équipe de Sécurité collabore avec les divisions commerciales de toute l’entreprise, offrant une stratégie de sécurité de l’information à travers toute l’entreprise pour soutenir les objectifs de l'entreprise, minimisant la probabilité et l’impact des attaques et incidents de sécurité sur nos actifs d’information et ceux de nos clients.
Les politiques, procédures et instructions constituent un élément essentiel de la gestion d'Informa D&B S.A.U. (S.M.E.). Elles fournissent la structure et les règles autour desquelles l'organisation fonctionne. La direction de Sécurité examine les politiques en collaboration avec les autres directions, afin de s'assurer qu'elles sont alignées sur les objectifs de l'entreprise et qu'elles restent adaptées, appropriées et efficaces.
Cette approche permet de mieux s'aligner sur les diverses réglementations et renforce notre capacité à faire face aux menaces qui pèsent sur la sécurité. L'ensemble des politiques fait référence à des cadres externes pour les normes de cybersécurité et incorpore des éléments appropriés, y compris l'alignement sur la famille de normes de technologie de l'information 27000 de l'Organisation internationale de normalisation et de la Commission électrotechnique internationale (ISO/CEI).
Les politiques révisées d'Informa D&B S.A.U. (S.M.E.) sont publiées sur l'intranet de l'entreprise après son approbation, afin que les employés puissent y accéder facilement depuis leur ordinateur. Les modifications importantes apportées aux politiques sont communiquées, le cas échéant, lors de réunions, par courrier électronique, lors de présentations, sur l'intranet de l'entreprise et/ou par le biais de communications à l'ensemble de l'entreprise.
En réponse à un nouvel environnement technologique où les technologies de l'information et les communications convergent et facilitent un nouveau paradigme de productivité pour les entreprises, Informa D&B S.A.U. (S.M.E.) s’engage fermement à offrir un service compétitif à travers ses services d'information, ainsi que la création de bases de données d'informations économiques, financières et de marketing des entreprises et des entrepreneurs dans un environnement de qualité, où l'application de bonnes pratiques de sécurité est un pilier fondamental pour atteindre les objectifs de confidentialité, d'intégrité, de disponibilité et de légalité de toute l'information administrée.
Donc, Informa D&B S.A.U. (S.M.E.) assume les engagements suivants dans le cadre de la structure d'application de son Système de Gestion de la Sécurité de l'Information (SGSI) :
En conséquence, les objectifs de sécurité de l'information sont établis comme suit :
Les membres et les activités de l'équipe de Sécurité sont structurés selon un cadre composé des lignes directrices suivantes :
Informa D&B S.A.U. (S.M.E.) effectue deux types d'analyse du risque de sécurité pour leur évaluation et la définition du niveau de risque, découvrant les menaces potentielles et les vulnérabilités auxquelles elle est exposée. Ces analyses sont basées sur les actifs identifiés et sur des scénarios suivant la méthodologie COBIT et les principes généraux de la norme ISO 31000.
S’appuyant sur les recommandations de bonnes pratiques qui assurent la sécurité dans la gestion des systèmes d’information (Normes internationales ISO 27001),
Pour l'élaboration des deux analyses, on procède à :
Si le seuil d'un risque dépasse le niveau de risque accepté, des mesures seront établies pour contrer ce risque au moyen d'un Plan de Traitement.
La direction d'Informa D&B S.A.U. (S.M.E.) est engagée dans la définition, le développement, la mise en place et la révision du système de gestion, participant activement aux tâches de révision et de suivi du système, parmi lesquelles il convient de souligner :
Le département des ressources humaines s'engage pleinement en faveur de la sécurité, en veillant à ce que les employés, les contractants et les tiers:
Informa D&B S.A.U. (S.M.E.) procède périodiquement à un inventaire des actifs, des risques associés et définit les responsabilités appropriées en matière de protection. À cet égard, cela comprend la garantie que les informations bénéficient d’un niveau de protection approprié en fonction de leur importance et d’empêcher toute divulgation, modification, suppression ou destruction non autorisée des informations conservées sur des supports.
Le département de la sécurité approuve les logiciels tiers avant qu'ils ne soient installés sur l'équipement de l'utilisateur afin de vérifier qu'ils sont conformes aux meilleures pratiques en matière de sécurité.
Chez Informa D&B S.A.U. (S.M.E.), on procède à l’inventaire des actifs remis aux travailleurs, où l’on met à jour les actifs distribués et leur restitution, que ce soit pour un échange ou en fin de service.
Cela inclut la Politique de Bureau Propre, l'utilisation des photocopieuses et des imprimantes et la manipulation des supports de stockage.
Les informations confidentielles ne sont pas transmises par Internet ou par d'autres moyens de communication publics, à moins qu'elles ne soient cryptées en cours de route. Les fichiers de données sont cryptés à l'aide de la technologie TLS (Transport Layer Security) pour les sessions de communication sur le web.
Le cas échéant, toutes les informations distribuées suivent le Traffic Light Protocol (TLP) afin de garantir la distribution correcte de nos informations à des tiers./p>
Habituellement, Informa D&B S.A.U. (S.M.E.) utilise ses propres canaux SFTP pour la transmission des données, pouvant s’adapter aux besoins d’un tiers, à condition que leurs caractéristiques ne soient pas moins sécurisées que celles qu'elle offre.
Lorsque la législation applicable l'exige et conformément à nos normes de classification des données, un cryptage au repos est utilisé. Ce cryptage peut également être appliqué à la demande d'un tiers conformément à la classification des informations avec les outils disponibles.
Cette section couvre toutes les informations qu'Informa D&B S.A.U. (S.M.E.) acquiert, traite, analyse et propose sous forme de produits aux clients pour qu'ils les utilisent comme solution à leurs besoins commerciaux..
L'information est un actif important d'Informa D&B S.A.U. (S.M.E.) et, en tant que tel, doit être protégé de manière adéquate tout au long son cycle de vie, de sa création à sa destruction.
Afin d’implanter un niveau de sécurité adéquat pour le traitement et l’utilisation des informations chez Informa D&B S.A.U. (S.M.E.), un système de classification des informations a été établi. Ce système permet de catégoriser les informations selon leur degré de confidentialité, d’intégrité et de disponibilité de manière rapide et simple, et d’établir un facteur d’agilité dans la prise de décisions liées à leur sécurité. Dans ce contexte, il a été nécessaire de mettre en œuvre un système de classification des informations qui reflète correctement leur degré de criticité, conformément aux niveaux suivants :
Règles générales pour le traitement et l'étiquetage des informations en fonction de leur classification
Pour une classification et une utilisation correctes, chaque niveau de classification comprend les attributs suivants :
L'accès à ces données est limité au personnel autorisé au moyen de contrôles d'accès physiques et logiques.
Informa D&B S.A.U. (S.M.E.) définit les différents accès en suivant toujours les principes suivants :
Les utilisateurs autorisés doivent s'identifier et s'authentifier sur le réseau, les applications et les plateformes à l'aide de leur identifiant et de leur mot de passe. L'authentification des utilisateurs et des dispositifs dans les systèmes d'information est protégée par des mots de passe conformes aux exigences de complexité des mots de passe d' Informa D&B S.A.U. (S.M.E.):
Les permissions sont toujours basées sur l'accès par profils ou rôles après analyse, étude et conception dans les différents systèmes afin que les droits d'accès des utilisateurs et la protection légale ou réglementaire nécessaire de l'information soient définis dès le départ et par défaut.
Après la cessation d'emploi de l'employé, l'accès aux produits et systèmes est révoqué.
L'authentification multifactorielle est requise pour les sessions à distance et certains environnements hébergeant des systèmes de production. En outre, les niveaux supérieurs d'accès privilégié aux systèmes, tels que les contrôleurs de domaine d'Informa D&B S.A.U. (S.M.E.), sont contrôlés par notre système de gestion des accès privilégiés.
Informa D&B S.A.U. (S.M.E.) a mis en place les contrôles nécessaires pour s'assurer que les activités quotidiennes de l'organisation garantissent le respect des objectifs de sécurité physique et environnementale dans ses installations.
Avec notre fournisseur de centre de données, l'identification, la détection et la protection des menaces physiques et environnementales (infrastructure, données et logiciels) sont gérées par le biais d'exigences de conformité de tiers et d'accords de niveau de service. Il possède également l'une des certifications de sécurité les plus exigeantes du secteur.
Dans le cadre de tous ces contrôles physiques, les caractéristiques des équipements laissés sans surveillance sont définies comme suit:
Les connexions réseau sont protégées par une combinaison de contrôles de sécurité pour la protection des données et des systèmes. Ces mesures se fondent sur le type et le but de la connexion, incluant notamment la segmentation du réseau, la mise en place de pare-feux, de systèmes de prévention d'intrusions (IPS), d'antivirus sur les équipements et serveurs, ainsi que d'autres dispositifs de sécurité, et des mécanismes d'authentification appropriés.
L'accès aux informations disponibles à travers le réseau est contrôlé pour prévenir et détecter les accès non autorisés, tout en fournissant un accès sécurisé aux utilisateurs et systèmes autorisés. Les activités et le trafic réseau sont enregistrés et stockés de manière centralisée en utilisant des mécanismes de collecte standard de l'industrie ou spécifiques au fournisseur.
La mise en œuvre de nouveaux dispositifs de réseau (routeurs, commutateurs, pare-feu) ou de composants de systèmes de réseau suit un processus formel de gestion des changements et est approuvée par les équipes chargées des Opérations Technologiques et de la Sécurité. Les dispositifs déployés dans le réseau d’Informa D&B S.A.U. (S.M.E.) sont configurés pour répondre aux exigences de sécurité pour leurs objectifs individuels (interne, public, démilitarisé).
L’accès public direct entre les réseaux publics (par exemple, Internet) et tout réseau interne d’Informa D&B S.A.U. (S.M.E.) est restreint. Le trafic, entrant et sortant, provenant de réseaux non fiables (y compris les connexions externes sans fil et les connexions d'invités) et d'hôtes est limité.
L'équipe de sécurité approuve la connexion d'un nouveau réseau aux réseaux existants de l'entreprise ou du système d'entreprise sur n'importe quel site de l'entreprise ou centre de données, ou suit la norme pour les connexions par tunnel VPN. Les connexions à distance au réseau de l'entreprise sont accessibles par des connexions VPN via des passerelles gérées.
L'accès sans fil et à distance à des parties externes est identifié, inventorié et géré.
Dans cette section, Informa D&B S.A.U. (S.M.E.) inclut toutes les activités liées aux moyens de traitement et de communication à suivre, la manière d'effectuer toute opération de maintenance sur les systèmes, en détaillant des aspects tels que la gestion du changement et la gestion de la capacité.
Les lignes directrices à suivre dans les différents environnements sont définies, en isolant les données de test des données de production.
Informa D&B S.A.U. (S.M.E.) dispose d'un Plan de Continuité des Affaires qui définit l'organisation et les responsabilités du Plan et prend en compte les différents risques et scénarios.
Ce plan comprend des copies de sauvegarde qui, chez Informa D&B S.A.U. (S.M.E.), sont effectuées quotidiennement de toutes les informations stockées dans les ressources de l'entreprise et sont vérifiées pour s'assurer qu'elles ont été effectuées correctement.
Des tests annuels périodiques sont effectués pour vérifier sa viabilité, et les derniers tests effectués ont donné un résultat satisfaisant
Le processus de conformité des tiers d'Informa D&B S.A.U. (S.M.E.) suit un cadre de cycle de vie de la gestion des risques et de gestion du risque global défini tout au long de la sélection, de l'intégration, du suivi et de la fin de la relation. Les règles sont établies pour régir les exigences en sécurité et diligence raisonnable (y compris la conformité, la confidentialité et la technologie) pour les tiers (y compris nos fournisseurs et partenaires commerciaux du réseau mondial) qui font des affaires avec Informa D&B S.A.U. (S.M.E.). Les tiers doivent se conformer à nos politiques, normes et procédures en matière de Sécurité de l'Information qui s'appliquent au service fourni.
Informa D&B S.A.U. (S.M.E.) enquête sur les incidents liés à la sécurité, à la disponibilité, à la confidentialité et à la protection de la confidentialité et répond à toute violation réelle ou présumée de la sécurité des systèmes d' Informa D&B S.A.U. (S.M.E.) de manière opportune et coordonnée, dans le respect des lois et réglementations en vigueur. Informa D&B S.A.U. (S.M.E.) réalise des exercices de simulation de sécurité au moins une fois par an.
Informa D&B S.A.U. (S.M.E.) a développé et maintient des pratiques qui établissent la classification et la priorisation des incidents de sécurité de l'information en fonction de la gravité de l'incident et de la sensibilité des systèmes et des données affectées. Pour soutenir ces efforts, Informa D&B S.A.U. (S.M.E.) a mis en place et surveille des alertes afin de fournir une capacité de détection efficace.
Des journaux d'audit sont configurés pour enregistrer les activités et les événements importants liés à la sécurité de l'information dans les systèmes d'Informa D&B S.A.U. (S.M.E.).
Les modifications apportées aux actifs et systèmes d'information sont soumises à notre processus formel d'examen et d'approbation de la gestion du changement avant toute mise en œuvre dans l'environnement de production.
Informa D&B S.A.U. (S.M.E.) a un programme de gestion des vulnérabilités* pour surveiller en permanence les vulnérabilités reconnues par les fournisseurs, signalées par les investigateurs ou découvertes grâce à diverses analyses internes des vulnérabilités. Ces vulnérabilités sont gérées en fonction des risques.
Les vulnérabilités sont documentées et classées selon des niveaux de gravité déterminés par des classifications de probabilité et d'impact. Informa D&B S.A.U. (S.M.E.) affecte les équipes appropriées pour effectuer la remédiation et suivre les progrès vers la résolution, si nécessaire. Les vulnérabilités critiques sont ciblées pour être corrigées dans les 7 jours ; les vulnérabilités de haute sévérité dans les 30 jours ; les vulnérabilités de sévérité moyenne dans les 120 jours *.
Informa D&B S.A.U. (S.M.E.) dispose d'un Manuel de Sécurité de l'Utilisateur accessible depuis l'intranet, que tous les employés de l'entreprise ou le personnel ayant accès à ses systèmes s'engagent à respecter, définissant les différentes politiques d'utilisation responsable des actifs d'information, des équipements fournis par l'entreprise, des équipements externes et du stockage de l'information.
Ce manuel comprend également les clauses relatives à la Protection des Données Personnelles, à la propriété intellectuelle et à la confidentialité.
Tous les employés d'Informa D&B S.A.U. (S.M.E.) reçoivent tout au long de l'année une formation et un enseignement (si nécessaire et approprié à leur rôle) sur les questions de cybersécurité, ainsi que sur nos politiques et procédures de confidentialité. Informa D&B S.A.U. (S.M.E.) organise régulièrement des campagnes de sensibilisation à la sécurité sur les différents scénarios du paysage actuel de la cybersécurité afin d'éduquer, de sensibiliser et de responsabiliser le personnel sur leurs responsabilités et fournir des conseils sur la création et le maintien d'un lieu de travail sécurisé. Cette sensibilisation fait l'objet d'une évaluation annuelle afin de déterminer le degré de sensibilisation et de connaissance acquis..
De plus, sur l’intranet, ils ont accès à un tableau d’affichage avec des nouvelles sur différentes campagnes, tant sur le plan professionnel que personnel, afin d’éviter de devenir victime des menaces actuelles.
