Tickamore

DEMANDEZ UNE DÉMO

  1. APPROBATION ET ENTRÉE EN VIGUEUR

Le texte a été approuvé le 19 mars 2025 par la Direction Générale.
Cette Politique de Sécurité de l’Information est effective à partir de cette date et restera en vigueur jusqu’à son remplacement par une nouvelle version.

 

  1. INTRODUCTION

SICOMORO SERVICIOS INTEGRALES, S.L. (ci-après SICOMORO) dépend des systèmes TIC (Technologies de l’Information et des Communications) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence et protégés contre les dommages accidentels ou intentionnels susceptibles d’affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

L’objectif de la sécurité de l’information est de garantir la qualité des données et la continuité des services, par des mesures préventives, une surveillance quotidienne et une réaction rapide en cas d’incident.

Les systèmes TIC doivent être protégés contre des menaces en évolution rapide susceptibles d’affecter la confidentialité, l’intégrité, la disponibilité, la finalité d’usage et la valeur des informations et services. La stratégie de défense doit s’adapter continuellement à l’évolution du contexte afin d’assurer une prestation de services ininterrompue.

Cela implique que tous les départements appliquent les **mesures minimales de sécurité imposées par l’Esquema Nacional de Seguridad (ENS). Ils doivent suivre en continu les niveaux de service, analyser les vulnérabilités signalées et préparer des réponses efficaces aux incidents pour garantir la continuité des services.

Chaque département doit intégrer la sécurité TIC à chaque étape du cycle de vie du système — de sa conception jusqu’à son retrait — incluant les phases de développement, d’acquisition et d’exploitation. Les exigences de sécurité et financements doivent être identifiés dans les plans, demandes d’offres ou appels d’offres pour les projets TIC.

Chaque département doit être capable de prévenir, détecter, réagir et se remettre des incidents, conformément aux articles 6 à 12 du ENS (Real Decreto 311/2022 du 3 mai modifiant l’ENS).

 

2.1. PRÉVENTION

Les départements doivent éviter ou réduire au maximum les impacts des incidents de sécurité sur les informations ou services. Pour cela, ils doivent appliquer les mesures minimales de sécurité du ENS, ainsi que tout contrôle supplémentaire identifié via une évaluation des menaces et risques. Les rôles et responsabilités en matière de sécurité doivent être clairement définis et documentés.

Pour garantir le respect de la politique, les départements doivent :

  • Autoriser les systèmes avant leur mise en service.
  • Évaluer régulièrement leur sécurité, notamment après changements de configuration.
  • Solliciter périodiquement une revue indépendante de sécurité par des tiers.

 

2.2. SURVEILLANCE CONTINUE

Les services pouvant se dégrader rapidement (ralentissement ou interruption), il est essentiel de surveiller en continu les systèmes pour détecter les anomalies.
Des procédures de vigilance continue et d’évaluation périodique doivent être mises en place afin de détecter et corriger en temps réel les vulnérabilités.

La surveillance est particulièrement cruciale lorsqu’on établit des lignes de défense selon le chapitre II, section 2 du ENS. Des mécanismes de détection, d’analyse et de signalement doivent alerter les responsables en cas de dérive significative par rapport aux paramètres normaux.

 

2.3. RÉPONSE

L’entité a mis en place des mécanismes pour répondre efficacement aux incidents de sécurité.
Un point de contact est désigné pour communiquer sur les incidents avec d’autres départements ou organismes. Des protocoles d’échange d’information, y compris avec les équipes CERT (Computer Emergency Response Teams), sont définis.

 

2.4. RECUPÉRATION

Pour garantir la disponibilité des services critiques, l’organisation a élaboré des plans de continuité des systèmes TIC dans le cadre de son plan global de continuité d’activité et de récupération.

 

  1. CHAMP DAPPLICATION

Cette politique s’applique à tous les systèmes TIC de l’entité, ainsi qu’à tous les membres de l’organisation participant à des services ou projets destinés au secteur public, nécessitant l’application de l’ENS, sans exception.

 

  1. MISSION

Les principaux objectifs sont :

  • Encourager les relations électroniques entre l’utilisateur, l’Entité et ses clients.
  • Réduire les temps dattente pour les utilisateurs.
  • Accélérer le traitement des demandes faites par l
  • Développer un système de gestion documentaire permettant un accès rapide à l’

 

  1. CADRE RÉGLEMENTAIRE

Cette politique s’inscrit dans le cadre règlementaire suivant :

  1. Real Decreto 311/2022 du 3 mai, modifiant l’ENS (BOE n° 106 du 4 mai 2022).
  2. Loi 30/1992 du 26 novembre sur le régime juridique des administrations publiques et la procédure administrative commune.
  3. Loi 40/2015 du 1er octobre relative au régime juridique du secteur public.
  4. Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 (RGPD).
  5. Loi Organique 3/2018 du 5 décembre relative à la protection des données personnelles et aux droits numériques.
  6. Loi 11/2007 du 22 juin sur l’accès électronique des citoyens aux services publics.
  7. Loi 7/1985 du 2 avril sur les bases du régime local, modifiée par la loi 11/1999 du 21 avril.

 

  1. ORGANISATION DE LA SÉCURITÉ

6.1. COMITÉS : FONCTIONS ET RESPONSABILITÉS

Le Comité de Sécurité TIC comprend :

  • Le Responsable Sécurité RGPD,
  • Le Responsable du département Développement,
  • Le Responsable Administratif,
  • Le Responsable Systèmes/SUPPORT,
  • Le Responsable des systèmes de gestion ISO et ENS.

Le Secrétaire est le Responsable Administratif, chargé de convoquer les réunions et d’en rédiger le procès-verbal. Le Comité reporte à la Direction de l’Entité, avec les missions suivantes :

  • Coordonner et approuver les actions de sécurité de l’
  • Promouvoir la culture de sécurité.
  • Participer à la catégorisation des systèmes et à l’analyse des risques.
  • Réviser la documentation système liée à la sécurité.
  • Résoudre les conflits ou problèmes survenant dans la gestion de la sécurité.

 

6.2. RÔLES : FONCTIONS ET RESPONSABILITÉS

Responsable Sécurité de lInformation :

  • Maintenir un niveau adéquat de sécurité pour les informations et les services.
  • Initier ou superviser les audits périodiques exigés par l’
  • Gérer la formation et la sensibilisation en matière de sécurité
  • Vérifier que les mesures de sécurité sont suffisantes.
  • Revoir, compléter et approuver toute documentation de sécurité.
  • Surveiller l’état de sécurité via les outils de gestion d’événements et d’
  • Soutenir la résolution des incidents, en produisant des rapports périodiques pour le Comité.

Responsable du Système :

  • Gérer le système tout au long de son cycle de vie.
  • Définir les critères d’utilisation et services disponibles.
  • Définir les politiques d’accès utilisateur.
  • Approuver les modifications affectant le mode de fonctionnement sécurisé du système.
  • Déterminer la configuration hardware/software autorisée, et approuver les changements importants.
  • Réaliser l’analyse et la gestion des risques du système.
  • Élaborer et approuver la documentation de sécurité.
  • Déterminer la catégorie du système selon l’Annexe I du ENS et appliquer les mesures décrites dans l’Annexe II.
  • Mettre en place et contrôler les mesures de sécurité spécifiques.
  • Établir des plans de contingence et d’urgence, avec des exercices réguliers.
  • Suspendre l’utilisation de certaines informations ou services si des déficiences graves sont détecté

 

6.3. PROCÉDURES DE NOMINATION

Le Responsable Sécurité de l’Information est nommé par la Direction, sur proposition du Comité TIC. Ce mandat est révisé tous les deux ans ou lorsqu’il devient vacant.
Le département responsable d’un service électronique (conformément à la loi 11/2007) nomme le Responsable du Système, ses rôles et responsabilités, nomination à valider par la Direction.
En cas d’externalisation de services, l’organisation prestataire doit désigner un point de contact (POC) pour la sécurité de l’information, si l’entité ne le nomme pas directement, c’est le Comité TIC qui procède à cette désignation.

 

6.4. POLITIQUE DE SÉCURITÉ DE LINFORMATION

Le Comité TIC doit réviser annuellement cette Politique et proposer sa mise à jour ou son maintien.
La politique est validée par la Direction et diffusée à toutes les parties concernées.

 

  1. DONNÉES PERSONNELLES

L’Entité traite des données à caractère personnel. Le Manuel de Protection des Données Personnelles, accessible uniquement aux personnes autorisées, détaille les traitements et responsables concernés. Tous les systèmes informatiques doivent respecter les mesures de sécurité requises par leur analyse des risques et la réglementation applicable à la nature et finalité des données personnelles.

 

  1. GESTION DES RISQUES

Tous les systèmes doivent faire l’objet d’une analyse des risques incluant l’évaluation des menaces :

  • Annuellement au minimum ou lorsqu’il y a un changement dans les donné
  • Lorsque des services changent.
  • Lorsqu’un incident de sécurité grave survient.
  • Lorsqu’une vulnérabilité importante est signalé

Le Comité TIC établit une évaluation de référence des risques pour homogénéiser ces analyses, et coordonne les ressources nécessaires pour assurer la sécurité des systèmes.

 

  1. DÉVELOPPEMENT DE LA POLITIQUE DE SÉCURITÉ

Cette politique complète d’autres politiques de sécurité (gestion des risques, personnel, achats, protection de l’information). Elle est formalisée par des normes de sécurité spécifiques disponibles à tous les membres de l’organisation utilisant ou gérant des systèmes TIC.
La politique est accessible via l’intranet et le site corporate de TICKAMORE.

 

  1. OBLIGATIONS DU PERSONNEL

Tous les membres de l’entité doivent connaître et respecter cette Politique et ses normes associées. Le Comité TIC doit s’assurer que les informations sont communiquées aux personnes concernées.
Tous les collaborateurs participeront à des sessions de sensibilisation continue, en particulier les nouveaux arrivants.
Les personnes responsables des TIC doivent suivre une formation obligatoire avant de prendre en charge leur responsabilité ou de changer de poste.

 

  1. TIERS

Lorsque l’entité sert ou gère des informations pour d’autres organisations, celles-ci sont informées de cette politique et intégrées aux procédures de signalement et coordination via les Comités TIC respectifs.
Lorsque des services ou des données sont fournis à des tiers, ceux-ci doivent respecter cette politique et la réglementation y afférente. Des procédures de reporting et de gestion des incidents spécifiques sont mises en place. Le personnel tiers doit être sensibilisé à la sécurité au moins au même niveau que dans cette politique.
En cas d’absence de conformité, un rapport du Responsable Sécurité exposant les risques est requis, et son approbation est nécessaire avant toute poursuite.

 

À Saragosse, le 19 mars 2025
Version3

Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.