Se rendre au contenu

Politique de sécurité

ARTICLE 1 - Objet, périmètre et documents liésARTICLE 2 - Principes directeurs de sécuritéARTICLE 3 - Gouvernance, pilotage et responsabilitésARTICLE 4 - Classification de l'information et règles de diffusionARTICLE 5 - Sécurité des personnes, habilitations et cycle de vie des accès ARTICLE 6 - Authentification, comptes sensibles et gestion des secretsARTICLE 7 - Postes de travail, mobiles, télétravail et usages locauxARTICLE 8 - Sécurité des systèmes, infrastructures, développement et changementsARTICLE 9 - Protection des données, confidentialité et obligations clientsARTICLE 10 - Sécurité physique, protection des personnes et sûreté opérationnelleARTICLE 11 - Fournisseurs, prestataires, sous-traitants et tiersARTICLE 12 - Gestion des incidents, violations de données et criseARTICLE 13 - Continuité d'activité, documentation et réversibilitéARTICLE 14 - Contrôles, exceptions, sanctions et révisionANNEXE 1 - Matrice de classification et règles de diffusionANNEXE 2 - Niveaux d'incident et réflexes minimauxANNEXE 3 - Socle minimal de sécurité opérationnelleANNEXE 4 - Checklist minimale d'entrée / sortie d'accès

ARTICLE 1 - Objet, périmètre et documents liés

1.1 - Objet

La politique a pour objet d'organiser un niveau de sécurité cohérent avec la taille, l'activité, l'exposition au risque et les obligations juridiques de CONYVO. Elle vise à prévenir, détecter, contenir, documenter et traiter les atteintes susceptibles d'affecter la confidentialité, l'intégrité, la disponibilité, la traçabilité, la licéité ou la réputation des traitements et opérations conduits par CONYVO. 

1.2 - Périmètre personnel et matériel

Elle s'applique au Président, aux salariés actuels ou futurs, alternants, stagiaires, prestataires, commerciaux indépendants, partenaires, sous-traitants, conseils externes et à toute personne disposant, même temporairement, d'un accès aux locaux, aux outils, aux comptes, aux plateformes, aux moyens d'authentification, aux dépôts de code, aux espaces documentaires ou aux données de CONYVO ou de ses clients.

1.3 - Documents liés

La présente politique doit être lue en cohérence avec la politique interne de CONYVO, qui encadre déjà l'usage des outils, la sécurité des accès, la gouvernance des environnements, la remise et la restitution des comptes, ainsi qu'avec la politique de confidentialité de CONYVO et ses annexes relatives au traitement des données, à la sous-traitance RGPD et à la gouvernance des accès privilégiés.

1.4 - Définitions utiles

Au sens de la présente politique, un incident de sécurité désigne tout événement avéré ou suspecté portant atteinte ou susceptible de porter atteinte à un actif, un système, une donnée, un compte, un flux, un secret, un local, un matériel ou une personne ; une violation de données personnelles constitue, lorsqu'elle est caractérisée, une catégorie particulière d'incident soumise aux exigences du RGPD ; un actif critique désigne tout actif dont l'atteinte pourrait compromettre significativement l'activité, la sécurité, les obligations contractuelles ou la conformité de CONYVO.

ARTICLE 2 - Principes directeurs de sécurité

2.1 - Objet

CONYVO applique une logique de sécurité proportionnée, documentée et révisable, fondée sur le besoin d'en connaître, le moindre privilège, la séparation des tâches, la défense en profondeur, la traçabilité, la limitation de la surface d'exposition, la sauvegarde, la réversibilité raisonnable et la capacité à réagir rapidement en cas d'incident.

Tout utilisateur autorisé doit contribuer à la sécurité par un comportement prudent, loyal et traçable. Aucune exigence de rapidité commerciale, de confort opérationnel ou de continuité ne justifie de contourner une mesure de sécurité, de partager un accès de manière illicite, d'exposer des données sans base légitime ou d'accepter un niveau de risque manifestement excessif sans arbitrage formalisé.

2.2 - Sécurité by design et by default

Tout nouveau flux, outil, traitement, automatisation, intégration, développement, environnement, compte, partage ou procédure doit, dans la mesure du possible, être conçu avec des réglages par défaut restrictifs, une revue de nécessité, une documentation minimale, une attribution claire des responsabilités et une analyse préalable des impacts de sécurité, de confidentialité, de continuité et de conformité.

2.3 - Proportionnalité et documentation

Les mesures retenues doivent être adaptées à la sensibilité des données, à la criticité des actifs, à la réalité des menaces, au coût raisonnable des protections et au statut des personnes concernées. Toute dérogation significative, risque résiduel accepté, accès exceptionnel, compte partagé toléré ou usage atypique doit être documenté, justifié et réexaminé.

ARTICLE 3 - Gouvernance, pilotage et responsabilités

3.1 - Direction et arbitrage

La direction de CONYVO demeure responsable du cadre général de sécurité, des arbitrages sensibles, de la validation des mesures structurantes, de l'allocation des moyens, des décisions de suspension ou de crise, ainsi que de la cohérence entre sécurité, contrats, production, obligations sociales, confidentialité et protection des données.

3.2 - Référents et relais

CONYVO peut désigner un ou plusieurs référents sécurité, techniques, production, RH, administratifs ou métiers, chargés d'animer les mesures dans leur périmètre, de centraliser les alertes, de proposer les correctifs utiles et de tenir à jour la documentation opérationnelle. La désignation nominative de ces référents peut être réalisée dans la politique interne, une note séparée, un organigramme de sécurité ou une fiche de gouvernance.

3.3 - Responsabilité de chaque utilisateur

Chaque utilisateur autorisé est responsable de l'usage de ses accès, de la protection raisonnable de ses terminaux, de la qualité des informations qu'il manipule, de la remontée des anomalies observées et du respect des règles applicables à son statut. Nul ne peut se prévaloir de son rang, de son ancienneté, d'une urgence commerciale ou d'une habitude de travail pour s'exonérer des règles de sécurité.

3.4 - Revue et amélioration continue

Le pilotage sécurité s'appuie, selon les besoins de CONYVO, sur des revues périodiques d'habilitations, d'actifs critiques, d'incidents, de sauvegardes, de fournisseurs, d'obligations contractuelles, de mesures RGPD, d'exceptions accordées, de dépendances sensibles et de plans d'action.

ARTICLE 4 - Classification de l'information et règles de diffusion

4.1 - Niveaux de classification

Les informations et actifs informationnels sont classés au minimum selon les niveaux Public, Interne, Confidentiel et Restreint / Sensible. Le niveau retenu dépend de la nature de l'information, de son utilité, de son origine, de ses obligations de confidentialité, du risque pour les personnes ou pour l'activité et, lorsqu'il s'agit de données clients, des restrictions contractuelles ou réglementaires applicables.

4.2 - Règles de traitement

Par défaut, toute information non publiée par CONYVO est traitée au minimum comme Interne. Les données clients, identifiants, secrets, éléments financiers non publics, documents contractuels en négociation, roadmaps, incidents, journaux, configurations, preuves techniques et documents d'administration relèvent en principe des niveaux Confidentiel ou Restreint / Sensible.

Le partage, l'impression, l'export, la copie locale, la mise à disposition d'un tiers, l'usage dans un outil externe, la diffusion orale à l'extérieur ou l'utilisation à des fins de démonstration doivent rester limités au strict nécessaire, utiliser le bon canal et laisser une trace exploitable lorsqu'il s'agit d'un flux sensible.

4.3 - Inventaire et protection des actifs critiques

La présente politique doit être lue en cohérence avec la politique interne de CONYVO, qui encadre déjà l'usage des outils, la sécurité des accès, la gouvernance des environnements, la remise et la restitution des comptes, ainsi qu'avec la politique de confidentialité de CONYVO et ses annexes relatives au traitement des données, à la sous-traitance RGPD et à la gouvernance des accès privilégiés.

ARTICLE 5 - Sécurité des personnes, habilitations et cycle de vie des accès

5.1 - Entrée en relation et ouverture d'accès

Aucun accès ne doit être remis sans titulaire identifié, besoin justifié, périmètre défini, canal de remise sécurisé et rattachement à une mission, une fonction ou un contrat. Les comptes partagés sont interdits sauf nécessité technique documentée, durée limitée, validation préalable, journalisation suffisante et rotation immédiate en cas de changement de titulaire ou de fin de besoin.

5.2 - Confidentialité et sensibilisation

Toute personne autorisée à agir pour CONYVO ou à accéder à ses actifs doit être tenue à une obligation de confidentialité adaptée à son statut. Une information ou sensibilisation proportionnée doit être fournie sur les usages interdits, le phishing, la sécurité des mots de passe, l'usage des outils externes, les signalements, la manipulation des données clients et les réactions attendues en cas de suspicion d'incident.

5.3 - Revue, modification et retrait des droits

Les habilitations sont accordées selon le principe du moindre privilège, revues à intervalles réguliers et systématiquement ajustées en cas de changement de rôle, de départ, de suspension de mission, de perte de confiance, de manquement, de rupture contractuelle ou d'incident. Toute fin de mission ou de relation doit déclencher une procédure de sortie comprenant, selon le cas, la désactivation des comptes, la révocation des sessions, la suppression des groupes, la rotation des secrets partagés, la récupération des matériels et la destruction ou restitution des copies locales.

5.4 - Délégations et accès d'urgence

Les accès de secours, de récupération ou de type break-glass ne sont admis qu'à titre exceptionnel pour des motifs de continuité ou de gestion de crise. Ils doivent être protégés, limités, documentés, soumis à revue a posteriori et, lorsque leur usage a eu lieu, conduire à la rotation des secrets concernés.

ARTICLE 6 - Authentification, comptes sensibles et gestion des secrets

6.1 - Exigences générales d'authentification

Chaque utilisateur doit disposer d'identifiants personnels robustes et protégés. L'authentification multifacteur est exigée, dès qu'elle est disponible, pour les accès sensibles et en particulier pour la messagerie, le SSO, les consoles cloud, les registrars, les DNS, les outils financiers, les coffres de secrets, les environnements d'administration, les dépôts de code et les espaces contenant des données clients ou des secrets d'entreprise.

6.2 - Comptes privilégiés

Les comptes d'administration doivent être distincts des comptes d'usage courant. Ils ne doivent être utilisés que pour les opérations d'administration nécessaires ; leurs usages doivent être limités, traçables et, lorsque la criticité le justifie, soumis à validation renforcée, double contrôle ou revue spécifique.

6.3 - Secrets, clés et éléments de récupération

Les mots de passe, clés privées, certificats, secrets d'API, jetons, codes de récupération et éléments équivalents ne doivent jamais être conservés en clair dans un email, une conversation instantanée, un document partagé librement ou un dépôt de code non prévu à cet effet. Ils doivent être conservés dans un mécanisme approuvé offrant un niveau de protection cohérent avec leur criticité.

Une rotation des secrets doit intervenir notamment en cas d'incident, de suspicion de compromission, de départ d'un intervenant, de suppression d'un accès, de changement d'environnement ou d'anomalie affectant la confiance dans le secret concerné.

6.4 - Interdictions spécifiques

Le partage informel de mots de passe, l'enregistrement non protégé d'un second facteur, la captation ou l'export non maîtrisé de QR codes MFA, la réutilisation de secrets sans nécessité, l'usage d'un compte personnel à la place d'un compte Conyvo pour une ressource d'entreprise et la création d'un compte externe non validé à partir d'une adresse professionnelle sont interdits.

ARTICLE 7 - Postes de travail, mobiles, télétravail et usages locaux

7.1 - Exigences minimales de sécurité des terminaux

Tout poste, téléphone, tablette, navigateur ou support utilisé pour l'activité de CONYVO doit être protégé par verrouillage, maintenu à jour, configuré avec un niveau de sécurité cohérent, protégé contre les usages non autorisés et signalé sans délai en cas de perte, vol, altération ou suspicion de compromission.

Les copies locales de données sensibles doivent être limitées au strict nécessaire. Aucun stockage durable ne doit être réalisé sur un support non chiffré, un cloud personnel, un appareil non maîtrisé ou un support laissé sans surveillance lorsque la nature des données ou l'environnement rend ce comportement risqué

7.2 - Télétravail et mobilité

Le travail à distance, les déplacements, les interventions sur site client, les tournages, événements ou rendez-vous extérieurs doivent être organisés de manière à préserver la confidentialité des informations, la sécurité des personnes et la maîtrise des matériels. Les écrans doivent être protégés des regards non autorisés ; les documents papier sensibles ne doivent pas être laissés sans garde ; les connexions à des ressources critiques doivent utiliser des canaux sécurisés et les téléchargements locaux doivent rester maîtrisés.

7.3 - BYOD et outils non approuvés

L'utilisation d'équipements personnels pour traiter des données de CONYVO ou de ses clients n'est admise que si elle a été validée ou tolérée dans un cadre documenté et si des mesures raisonnables de séparation, de sécurité et de restitution sont possibles. A défaut, seules des données non sensibles, fictives ou strictement minimisées peuvent être manipulées sur ces équipements.

Aucun plugin, extension, agent, connecteur, outil d'automatisation, espace de synchronisation, service de stockage, logiciel piraté, IA générative, service de transcription ou plateforme externe ne doit être utilisé avec des données sensibles sans validation préalable lorsque cela peut affecter la sécurité, la confidentialité, la réversibilité ou les engagements contractuels de CONYVO.

ARTICLE 8 - Sécurité des systèmes, infrastructures, développement et changements

8.1 - Architecture et cloisonnement

Les environnements de production, préproduction, test et développement doivent être raisonnablement cloisonnés. Les secrets, jeux de données, droits d'accès et permissions ne doivent pas être répliqués indistinctement d'un environnement à l'autre. L'usage de données réelles hors production doit être évité ou strictement encadré, avec anonymisation, pseudonymisation ou justification opérationnelle documentée lorsque cela est nécessaire.

8.2 - Administration et opérations sensibles

Les changements critiques - notamment sur les DNS, certificats, hébergements, comptes administrateurs, configurations de sécurité, sauvegardes, accès d'urgence, clés, environnements de production, pipelines, dépendances ou composants essentiels - doivent être tracés avec un responsable identifié, une date, un objectif, et, lorsque cela est pertinent, un plan de retour arrière.

8.3 - Développement, dépôts et dépendances

Les dépôts de code, pipelines, dépendances et automatisations doivent être gérés dans des environnements approuvés. Les revues de code, scans, secrets management, protections de branche, journalisation de déploiement et contrôles d'accès doivent être proportionnés à la criticité du projet et à la sensibilité des données manipulées.

Les composants open source, bibliothèques externes, modèles, scripts, solutions cloud, API et outils d'assistance fondés sur l'intelligence artificielle doivent faire l'objet d'une validation minimale portant sur leur licéité, leur sécurité, leur maintenance, leurs conditions d'usage, leur localisation et leur compatibilité contractuelle.

8.4 - Sauvegarde, archivage et restauration

Des sauvegardes régulières doivent être mises en place pour les actifs et données utiles à la continuité d'activité. Au moins une copie extérieure au site principal et une sauvegarde déconnectée ou isolée doivent être recherchées lorsque la criticité de l'actif le justifie. Des tests de restauration périodiques doivent être réalisés sur les actifs critiques afin d'éviter une illusion de sauvegarde non exploitable

ARTICLE 9 - Protection des données, confidentialité et obligations clients

9.1 - Cadre RGPD et rôles

Lorsque CONYVO agit en qualité de responsable de traitement pour ses propres finalités, elle applique sa politique de confidentialité, ses annexes RGPD et les mesures de sécurité adaptées à ses traitements. Lorsqu'elle agit en qualité de sous-traitant pour le compte d'un client, elle traite les données uniquement selon le cadre contractuel applicable, les instructions documentées reçues et les limites résultant du droit applicable.

9.2 - Minimisation et licéité des flux

Aucune collecte, copie, transmission, export ou réutilisation de données personnelles ou confidentielles ne doit être réalisé en dehors d'une finalité légitime, documentée et proportionnée. Les données doivent être exactes, limitées à ce qui est nécessaire, conservées pendant une durée justifiée et supprimées, anonymisées ou archivées à accès restreint lorsque leur conservation active n'est plus nécessaire.

9.3 - Confidentialité contractuelle et secret des affaires

Les contrats, devis, marges, scripts, méthodes, briefs, livrables non publiés, preuves d'exécution, identifiants, incidents, arbitrages, journaux, environnements et éléments de sécurité de CONYVO ou de ses clients sont protégés par le secret des affaires, la confidentialité contractuelle et, le cas échéant, la réglementation applicable aux données personnelles. Leur diffusion non autorisée constitue un manquement grave.

9.4 - Conservation et réversibilité

Sauf instruction différente, obligation légale ou nécessité probatoire justifiée, CONYVO organise une conservation raisonnable et limitée des éléments produits pour le compte des clients. Les opérations de réversibilité, d'export, de transfert assisté, de purge contrôlée ou de restitution exhaustive peuvent faire l'objet de modalités, délais et conditions particulières distincts.

ARTICLE 10 - Sécurité physique, protection des personnes et sûreté opérationnelle

10.1 - Accès physiques et matériels

L'accès aux locaux, zones de stockage, matériels, badges, moyens de récupération, supports de sauvegarde, documents papiers et équipements contenant des données sensibles doit être limité aux personnes autorisées. Les visiteurs, intervenants ponctuels et tiers n'accèdent qu'aux zones nécessaires à leur présence et, lorsque le risque l'exige, sous accompagnement ou selon des consignes adaptées.

10.2 - Santé, sécurité des travailleurs et prévention

La présente politique ne remplace pas les obligations spécifiques de l'employeur en matière de santé et de sécurité au travail. Dès que la structure emploie un ou plusieurs salariés, CONYVO doit mettre en place et tenir à jour les documents et dispositifs obligatoires applicables, notamment l'évaluation des risques professionnels et, lorsque la loi l'impose, le document unique correspondant.

10.3 - Droit d'alerte interne et suspension de l'action risquée

La présente politique doit être lue en cohérence avec la politique interne de CONYVO, qui encadre déjà l'usage des outils, la sécurité des accès, la gouvernance des environnements, la remise et la restitution des comptes, ainsi qu'avec la politique de confidentialité de CONYVO et ses annexes relatives au traitement des données, à la sous-traitance RGPD et à la gouvernance des accès privilégiés.

Lors des déplacements, tournages, interventions sur site, manipulations matérielles, usages de matériels spécifiques ou prestations exposées à un risque particulier, la protection des personnes prime. Aucune intervention ne doit être réalisée sans compétence, couverture contractuelle ou assurance adéquate lorsque ces prérequis sont requis par la loi, le site ou la nature de la mission.

ARTICLE 11 - Fournisseurs, prestataires, sous-traitants et tiers

11.1 - Sélection et encadrement

Tout fournisseur, prestataire, partenaire ou sous-traitant susceptible d'accéder à des données, à des environnements, à des secrets, à des locaux ou à des actifs critiques doit être sélectionné avec un niveau de vigilance proportionné au risque. Les critères peuvent inclure la fiabilité, la sécurité, la localisation, la chaîne de sous-traitance, la réversibilité, les garanties de confidentialité, l'existence d'assurances, la conformité RGPD, la disponibilité du support et la documentation.

11.2 - Cadre contractuel

Les tiers doivent être encadrés par des engagements de confidentialité, des clauses de sécurité, des clauses RGPD lorsque nécessaire, des règles de restitution ou suppression, des obligations de notification d'incident, et, lorsque cela est pertinent, des limitations d'usage, de sous-traitance ultérieure et de conservation.

11.3 - Supervision et retrait d'accès

Les accès tiers sont limités au strict nécessaire, temporisés lorsque possible et retirés dès que la mission le justifie. Aucune dépendance critique ne doit reposer exclusivement sur une personne extérieure sans dispositif raisonnable de continuité, d'inventaire, de documentation et de révocation.

ARTICLE 12 - Gestion des incidents, violations de données et crise

12.1 - Déclaration et qualification

Tout incident ou soupçon d'incident doit être remonté immédiatement par le canal interne désigné, puis documenté sans délai utile. Les alertes peuvent provenir des utilisateurs, des clients, des journaux, des outils de détection, d'un tiers ou d'une autorité. Elles doivent être qualifiées selon leur nature, leur périmètre, les actifs touchés, l'impact opérationnel, le risque juridique, le risque pour les personnes et l'urgence du confinement.

12.2 - Mesures immédiates

Les premières actions peuvent comprendre l'isolement d'un poste, la suspension d'un compte, la révocation d'un secret, la fermeture d'un partage, l'arrêt d'un flux, la préservation des preuves, la journalisation des décisions, l'information de la direction et la mobilisation des référents utiles. Les communications externes relatives à un incident sont réservées aux personnes habilitées.

12.3 - Violations de données personnelles

Lorsqu'un incident constitue ou peut constituer une violation de données personnelles, il doit être inscrit dans un registre interne dédié et analysé sans attendre l'obtention de toutes les informations finales. Si la violation présente un risque pour les droits et libertés des personnes, une notification à la CNIL doit être préparée dans les meilleurs délais et, si possible, dans les soixante-douze heures suivant la prise de connaissance. En cas de risque élevé, les personnes concernées doivent également être informées, sauf exception légale.

12.4 - Retour d'expérience et mesures correctrices

Tout incident significatif doit donner lieu à une analyse post-incident, à des mesures correctrices ou préventives, à une mise à jour documentaire et, si nécessaire, à une revue des accès, des procédures, des contrats, des sauvegardes ou des outils ayant contribué à l'événement.

ARTICLE 13 - Continuité d'activité, documentation et réversibilité

13.1 - Continuité raisonnable

CONYVO organise un niveau raisonnable de continuité au regard de sa taille et de ses engagements contractuels. Les actifs, fournisseurs, accès de récupération, contacts de secours, dépendances clés, sauvegardes, procédures de restauration, documentations d'administration et points de reprise doivent être identifiables pour éviter une dépendance excessive à une seule personne ou à un seul dispositif.

13.2 - Documentation minimale exigée

Les environnements critiques doivent être couverts par une documentation proportionnée comprenant, selon les cas, l'inventaire de l'actif, son titulaire, ses administrateurs, la localisation de sa documentation, son contact de récupération, ses échéances, ses dépendances principales, les procédures essentielles de sauvegarde ou de changement et les restrictions utiles à la continuité.

13.3 - Sortie de mission et remise documentaire

Lorsqu'une mission prend fin ou change de titulaire, une remise documentaire sécurisée doit être organisée selon le périmètre concerné. Elle ne doit pas être uniquement orale et doit laisser une preuve durable dans l'outil adéquat.

ARTICLE 14 - Contrôles, exceptions, sanctions et révision

14.1 - Contrôles raisonnables

CONYVO peut journaliser les actions pertinentes dans ses outils, vérifier la traçabilité des accès et réaliser des audits documentaires ou techniques proportionnés en vue d'assurer la sécurité, la conformité, la continuité et la défense de ses droits, dans le respect du droit applicable aux salariés, aux prestataires et aux données personnelles.

14.2 - Gestion des exceptions

Toute exception aux exigences de la présente politique doit être limitée, motivée, approuvée par l'autorité compétente, assortie d'une durée et, lorsque cela est possible, compensée par des mesures alternatives. Les exceptions permanentes non justifiées sont prohibées.

14.3 - Conséquences des manquements

Tout manquement peut donner lieu, selon le statut de la personne concernée, à une mesure conservatoire, un rappel à l'ordre, une suspension d'accès, une réaffectation, une mesure disciplinaire, une non-validation de prestation, une résiliation contractuelle, une demande de restitution, une action en responsabilité, une notification au client concerné ou toute autre mesure prévue par la loi ou le contrat applicable.

14.4 - Mise à jour de la politique

La présente politique entre en vigueur à sa date de version. Elle est revue périodiquement et à chaque évolution significative de l'organisation, de l'architecture, des obligations légales, des usages, des outils, des incidents majeurs ou des contrats structurants de CONYVO.

ANNEXE 1 - Matrice de classification et règles de diffusion

La présente annexe fournit un cadre synthétique de classification. Elle constitue un standard minimal pouvant être renforcé par type d'actif, de client, de contrat ou d'environnement.

Niveau

Exemples

Règles minimales

Canaux / stockage

Public

Contenu publié, présentation validée, page web publique

Diffusion libre après validation ; intégrité du contenu à préserver.

Canaux publics validés uniquement.

Interne

Organisation interne, comptes-rendus non sensibles, planning

Partage limité aux personnes utiles ; pas de diffusion externe sans validation.

Outils Conyvo approuvés, messagerie pro, espaces internes.

Confidentiel

Contrats, devis, marges, dossiers clients, tickets sensibles

Besoin d'en connaître ; traçabilité du partage ; copie locale limitée ; prudence renforcée en mobilité.

Outils approuvés, liens restreints, stockage maîtrisé.

Restreint / Sensible

Secrets, MFA, journaux critiques, accès admin, sauvegardes, données à risque

Accès nominatifs stricts, diffusion exceptionnelle, journalisation et protection renforcée.

Coffre de secrets, canaux sécurisés, stockage dédié.

ANNEXE 2 - Niveaux d'incident et réflexes minimaux

Niveau

Exemples

Réflexes attendus

Objectif interne

Critique

Compromission admin, indisponibilité majeure, fuite suspectée, perte de contrôle domaine ou messagerie

Alerte immédiate, confinement, direction, préservation des preuves, priorisation absolue.

Prise en charge immédiate.

Majeur

Compte compromis, poste infecté, partage sensible exposé, sauvegarde en échec sur actif critique

Suspension ou isolement rapide, revue des accès, qualification juridique et technique.

Traitement dans la demi-journée ouvrée si possible.

Significatif

Anomalie répétée, tentative de phishing crédible, dérive de droits, défaut de journalisation utile

Documentation, correctif, revue de périmètre, suivi du plan d'action.

Traitement dans le jour ouvré.

Mineur

Écart non bloquant, défaut documentaire, signal faible à confirmer

Traçabilité, planification, correction proportionnée.

Planification sous quelques jours ouvrés.

ANNEXE 3 - Socle minimal de sécurité opérationnelle

Le socle ci-dessous constitue un minimum attendu, à renforcer selon le risque, le client, l'outil, l'environnement ou le contrat.

  • Utiliser un compte nominatif et activer l'authentification multifacteur sur les services sensibles dès qu'elle est disponible.
  • Ne jamais transmettre un mot de passe, code MFA, secret ou lien de récupération dans un canal non maîtrisé.
  • Verrouiller son poste ou terminal dès qu'il est laissé sans surveillance et maintenir les systèmes à jour.
  • Limiter les copies locales et les exports de données clients ou confidentielles au strict nécessaire.
  • Utiliser exclusivement les outils approuvés pour le stockage, la collaboration, le partage et la signature.
  • Signaler immédiatement toute suspicion de phishing, de fuite, de compte compromis, de perte de matériel ou d'accès anormal.
  • Documenter les changements sensibles, les accès privilégiés, les actifs critiques et les remises / restitutions d'accès.
  • Prévoir des sauvegardes adaptées, une copie déconnectée lorsque nécessaire et des tests périodiques de restauration.
  • Supprimer ou restituer sans délai utile les accès, supports et copies locales en fin de mission ou de besoin.
  • Vérifier avant diffusion les droits, autorisations, restrictions contractuelles et destinataires effectifs d'un document ou d'un média.

ANNEXE 4 - Checklist minimale d'entrée / sortie d'accès

Étape

Point de contrôle

Preuve attendue

Entrée

Titulaire identifié, besoin justifié, outil concerné, niveau de droit défini

Ticket, email de validation, fiche d'habilitation

Entrée

Compte nominatif créé, MFA activée si applicable, canal de remise sécurisé

Trace d'activation / journal / compte-rendu

Entrée

Confidentialité et règles d'usage rappelées

Clause, contrat, accusé de prise de connaissance

Sortie

Comptes désactivés ou transférés, sessions révoquées, groupes retirés

Ticket de clôture, journal de désactivation

Sortie

Secrets partagés, codes de récupération et délégations révisés ou rotés

Compte-rendu de rotation / inventaire mis à jour

Sortie

Matériels, supports, exports et copies locales restitués ou supprimés

Checklist signée, attestation ou mail de confirmation