Quelle est la politique de securite du groupe Milliet ?
Politique de sécurité informatique
Sommaire
I. Objectifs 2
II. Champ d’application 2
2.1 Données : 2
2.2 Systèmes et Infrastructures : 2
2.3 Utilisateurs : 3
III. Politique 3
3.1 Contrôle d'Accès 3
3.2 Protection des Données 3
3.3 Sécurité des Systèmes et des Réseaux 3
3.4 Gestion des Incidents de Sécurité 4
3.5 Sensibilisation et Formation 4
3.6 Conformité et Audit 5
IV. Exigences de documentation 5
V. Propriété et responsabilités 5
VI. Violation de la politique de sécurité informatique 6
VII. Définitions 6
I. Objectifs
Le Groupe Milliet est spécialisé dans la distribution de boissons et services aux professionnels du bar et de la restauration. Notre politique de sécurité informatique vise à protéger les données que nous détenons contre les menaces et les vulnérabilités potentielles.
L’objet de notre politique informatique réduire les risques liés à la sécurité informatique protéger ses actifs numériques, et maintenir la confiance de ses clients, partenaires et employés, tout en assurant un service de livraison fiable et sécurisé pour le secteur CHR.
Notre politique de sécurité information se décline à travers 4 axes majeurs sont les suivants :
Disponibilité
Minimiser au maximum les interruptions de service et garantir une reprise rapide des activités en cas d'incident, afin de maintenir un haut niveau de satisfaction client ; notamment en veillant à la mise en place de procédures de continuité d’activité.
Intégrité
Prévenir et détecter les modifications non autorisées des données, qu'elles soient accidentelles ou malveillantes, afin de maintenir la fiabilité des informations.
Confidentialité
Assurer que les données ne soient accessibles qu’aux personnes autorisées en respectant le principe du moindre privilège.
Traçabilité
Maintenir des enregistrements détaillés des activités pour pouvoir retracer les actions effectuées sur le système d’information.
II. Champ d’application
Notre politique de sécurité informatique s’applique à l’ensemble du Groupe Milliet, à ses filiales actuelles et futures ainsi qu’aux champs suivants :
2.1 Données :
Clients : Informations personnelles, historiques de commande, facturation…
Interne : Données financières, RH, gestion des stocks, ventes…
2.2 Systèmes et Infrastructures :
Serveurs et bases de données sur Hyper-V (cluster 3 nœuds).
Environnements de travail virtuels (RDS), dispositifs mobiles (livreurs) et systèmes embarqués.
Systèmes de point de vente (POS) pour magasins.
2.3 Utilisateurs :
Tous les utilisateurs de tous les départements de chaque société du Groupe et les agents commerciaux indépendants.
Accès sécurisé via VPN, gestion des droits stricts et authentification forte.
III. Politique
3.1 Contrôle d'Accès
Identification et Authentification
Les utilisateurs sont tenus d’utiliser des mots de passe uniques et complexes, qu’ils n’utilisent pas en dehors du cadre professionnel.
Gestion des Droits d'Accès
Les droits d’accès, sont attribués en fonction du poste et des tâches, spécifiques à chaque utilisateur, dans la stricte limite du champ de compétence de la fonction qu’ils occupent.
Les accès aux données et aux systèmes sont régulièrement révisés et mis à jour pour refléter les changements de rôles et de responsabilités.
Accès à Distance
Les accès à distance aux systèmes de l’entreprise sont sécurisés par des VPN et des identifiants uniques à chaque utilisateur.
3.2 Protection des Données
Chiffrement
L’utilisation de protocoles de chiffrement robustes est obligatoire pour toutes les communications contenant des informations sensibles.
Sauvegardes
Des sauvegardes quotidiennes des données critiques sont effectuées et stockées de manière sécurisée.
Des tests de restaurations de données sont effectués régulièrement.
3.3 Sécurité des Systèmes et des Réseaux
Gestion des Patches et Mises à Jour
Tous les systèmes et applications sont régulièrement mis à jour pour corriger les vulnérabilités connues.
Un processus de gestion des mises à jour est en place pour s'assurer que les mises à jour sont appliquées de manière régulière et en temps opportun.
Pare-feu et Détection des Intrusions
Des pares-feux sont déployés pour protéger les réseaux de l’entreprise contre les accès non autorisés.
Des systèmes de détection et de prévention des intrusions (IDS/IPS) sont utilisés pour surveiller les activités suspectes.
Les réseaux sont segmentés selon des critères de criticité des machines.
Sécurité Physique
L’accès aux centres de données et aux salles serveurs est restreint par des dispositifs physiques de contrôle d’accès et limité aux personnes habilitées.
3.4 Gestion des Incidents de Sécurité
Détection et Réponse
Un plan de réponse aux incidents de sécurité est en place, incluant des procédures pour détecter, analyser, contenir et remédier aux incidents.
Des procédures de reprise et de continuité d’activité sont en place et testées pour assurer leur efficacité en cas de besoin réel.
Les incidents sont documentés et analysés pour prévenir leur récurrence, et mettre en place des actions correctives dans le cadre d’une démarche d’amélioration continue.
Communication
En cas d'incident majeur, des procédures de communication sont suivies pour informer les parties prenantes internes et externes concernées.
3.5 Sensibilisation et Formation
Formation des Employés
Tous les employés reçoivent une formation initiale et continue sur la sécurité informatique et les bonnes pratiques.
Des communications internes et des sessions de sensibilisation régulières sont organisées pour informer les employés des nouvelles menaces et des mises à jour de la politique de sécurité.
Culture de Sécurité
Promouvoir une culture de sécurité au sein de l’entreprise où chaque employé se sent responsable de la protection des informations et des systèmes.
Encourager le signalement des comportements suspects et des incidents de sécurité sans crainte de représailles.
3.6 Conformité et Audit
Conformité Réglementaire
Assurer que les pratiques de sécurité du Groupe Milliet sont conformes aux réglementations locales et internationales, telles que le RGPD.
Des évaluations régulières sont effectuées pour garantir la conformité continue aux exigences légales.
Audits de Sécurité
Des audits de sécurité réguliers sont réalisés pour évaluer l’efficacité des contrôles et des mesures de sécurité.
Les résultats des audits sont utilisés pour améliorer continuellement les pratiques de sécurité de l’entreprise.
IV. Exigences de documentation
La documentation est cruciale pour assurer la traçabilité et la conformité de notre politique de sécurité informatique.
Documentation des Politiques et Procédures
Toutes les politiques et procédures de sécurité sont être documentées.
Les documents sont mis à jour régulièrement pour refléter les changements de la politique de sécurité.
Documentation des Incidents
Chaque incident de sécurité est documenté avec des détails sur la nature de l’incident, les actions prises et les mesures de remédiation.
Un registre des incidents est maintenu pour analyse et amélioration continue.
Documentation des Formations
Les formations et les sessions de sensibilisation sont documentées, incluant la liste des sujets abordés.
Les employés signent une attestation de participation et de compréhension des politiques de sécurité.
V. Propriété et responsabilités
La répartition claire des responsabilités est essentielle pour la mise en œuvre efficace de la politique de sécurité informatique.
Propriété des Données
Les données clients et internes sont la propriété du Groupe Milliet.
Le service informatique est responsable de la protection et de la gestion sécurisée des données.
Responsabilités des Utilisateurs
Chaque utilisateur est responsable de l’utilisation sécurisée des systèmes et des données auxquels il a accès.
Les utilisateurs sont sensibilisés et tenus de signaler immédiatement tout incident de sécurité ou toute vulnérabilité détectée.
Responsabilités des Administrateurs
Les administrateurs systèmes sont responsables de la mise en œuvre des contrôles de sécurité et de la gestion des accès.
Ils veillent à l’application des mises à jour de sécurité et à la configuration sécurisée des systèmes.
VI. Violation de la politique de sécurité informatique
Toute violation de la politique de sécurité informatique sera soumise à une enquête. En fonction de la gravité de la violation, des actions sont prévues ; de la formation complémentaire à des sanctions pouvant aller jusqu’au licenciement.
Les actions illégales seront signalées aux autorités compétentes et pourront faire l'objet de poursuites judiciaires.
VII. Définitions
Cette section fournit les définitions des termes techniques utilisés dans la politique de sécurité informatique.
Données Sensibles
Données qui, si elles sont divulguées, modifiées ou détruites de manière non autorisée, pourraient causer un préjudice à l'entreprise ou aux individus concernés.
IDS/IPS
Systèmes de détection et de prévention des intrusions, utilisés pour surveiller les activités réseau suspectes et prévenir les attaques.
VPN (Virtual Private Network)
Réseau privé virtuel permettant une connexion sécurisée à un réseau via Internet.