Politique de sécurité de l’information

Objet de la politique Champ d'application et obligations Mission de Jotelulu Déclaration de la PSI Objectifs de sécurité Objectifs de sécurité HDS Organisation de la sécurité Cadre réglementaire Gestion des risques Structure de la documentation Révision de la PSI Communication de la PSI Réglementation

Dernière mise à jour : mars 2025

  1. Objet de la politique

L’objectif de cette politique est d’établir les lignes directrices générales et l’engagement de la direction pour garantir que l’entreprise gère de manière adéquate la sécurité des informations qu’elle gère.

Cette politique constitue le cadre de référence du Système de Management de la Sécurité de l’Information (SGSI), basé sur la norme ISO 27001, existant chez JOTELULU, en conformité avec les exigences du Plan National de Sécurité (ENS), du Code de la Santé Publique français, ainsi que du Code de Conduite de la CISPE (Cloud Infrastructure Services Providers in Europe).

  1. Champ d’application et obligations du personnel

Cette politique s’applique à tous les systèmes informatiques de JOTELULU et à tous les membres de l’organisation, sans exception.

Tous les membres de l’organisation ont l’obligation de connaître et de respecter cette politique de sécurité de l’information et les règlements de sécurité associés.

  1. La mission de JOTELULU

JOTELULU est une plateforme de services cloud dont la mission est de simplifier le cloud, en le rendant accessible et abordable pour les entreprises informatiques et, en fin de compte, pour les petites et moyennes entreprises (PME). Son principal objectif est d’améliorer la compétitivité des entreprises technologiques en leur permettant d’offrir des services cloud de manière simple et rentable.

La philosophie de JOTELULU repose sur trois principes fondamentaux :

  • 1. Simplicité : développer des produits faciles à déployer, à gérer et à entretenir, en minimisant la complexité du cloud.
  • 2. Prix abordable : créer des solutions accessibles aux entreprises de toutes tailles, en veillant à ce que le cloud ne soit pas réservé aux grandes sociétés.
  • 3. Rentabilité : optimiser les produits de manière à ce que les entreprises informatiques puissent intégrer le cloud comme un élément essentiel et rentable de leur activité.

En outre, JOTELULU cherche à devenir la meilleure plateforme cloud pour le canal informatique, en offrant des services cloud que les entreprises informatiques peuvent commercialiser sous leur propre marque et à leurs propres prix.

Dans cet environnement, la sécurité est primordiale pour JOTELULU en raison de son engagement en faveur de la protection des données et de la continuité des activités de ses clients, ce qui nécessite des normes de sécurité élevées pour garantir la confiance de ses utilisateurs.

  1. Déclaration de la politique de sécurité de l’information

La politique de sécurité établit les lignes directrices et les principes établis par JOTELULU, SA (ci-après JOTELULU) pour garantir la protection de l’information, ainsi que la réalisation des objectifs de sécurité définis, assurant ainsi la confidentialité, l’intégrité et la disponibilité des systèmes d’information et, bien entendu, garantissant le respect de toutes les obligations légales applicables.

La direction de JOTELULU, consciente de l’importance de la sécurité de l’information sur le lieu de travail, assume et fournit les engagements suivants en ce qui concerne le système de gestion de la sécurité de l’information (SGSI) :

  • a) Veiller à ce que des objectifs de sécurité de l’information soient établis, toujours alignés sur la stratégie de l’entreprise.
  • b) Veiller à ce que les exigences en matière de sécurité soient intégrées dans les processus de l’organisation.
  • c) Garantir les ressources nécessaires au système de gestion.
  • d) Communiquer l’importance d’une gestion efficace de la sécurité de l’information conformément aux exigences du système de gestion de la sécurité de l’information.
  • e) Veiller à ce que le système de gestion de la sécurité de l’information atteigne les résultats escomptés.
  • f) Diriger et aider les personnes à contribuer à l’efficacité du système de gestion de la sécurité de l’information.
  • g) Favoriser l’amélioration continue du système de gestion.
  • h) Et aider les personnes concernées à faire preuve de leadership dans leurs domaines de responsabilité.

À cette fin, la direction veille à ce que le personnel de JOTELULU respecte les réglementations, les politiques, les procédures et les instructions relatives à la sécurité de l’information.

  1. Objectifs de sécurité

En développant son système de gestion de la sécurité de l’information, JOTELULU vise à garantir les objectifs de sécurité suivants :

  • 1. Assurer la confidentialité, l’intégrité, la disponibilité, la traçabilité et l’authenticité des informations.
  • 2. Veiller à ce que la sécurité fasse partie intégrante de chaque étape du cycle de vie des systèmes, depuis leur création jusqu’à leur désactivation.
  • 3. Respecter toutes les exigences légales applicables.
  • 4. Mettre en œuvre les mesures de sécurité minimales requises par l’ENS.
  • 5. Disposer d’un plan de continuité permettant la reprise des processus et des activités en cas d’incident, dans les meilleurs délais.
  • 6. Gérer les risques pouvant impacter l’organisation en mettant en place les mécanismes nécessaires à leur contrôle et à leur amélioration.
  • 7. Former et sensibiliser tous les employés à la sécurité de l’information.
  • 8. Répondre aux attentes et aux besoins des clients, des employés, des fournisseurs, de la direction et des autres parties concernées en matière de sécurité.
  • 9. Tous les employés sont informés de leur rôle et de leurs obligations en matière de sécurité et sont tenus de les remplir.
  • 10. Les départements sont préparés à prévenir, détecter, réagir et se remettre des incidents.
  • 11. Gestion adéquate de tous les incidents.
  • 12. Améliorer en permanence le SGSI et, par conséquent, la sécurité de l’information de l’organisation.
  1. Objectifs de sécurité HDS

En particulier dans le cadre de la certification HDS (Hébergeur de Données de Santé) concernant les données de santé qui peuvent être hébergées chez nos partenaires, les objectifs spécifiques suivants sont fixés :

1. Assurer la confidentialité des données de santé hébergées au sein des services HDS, notamment par la mise en œuvre de méthodes, processus et politiques appropriés pour :

  • Réguler l’accès aux données de santé personnelles hébergées et aux ressources de l’HDS où les données de santé sont hébergées.
  • Prévenir, identifier et corriger les vulnérabilités et limiter le risque d’accès non autorisé aux données de santé et aux ressources de l’HDS.
  • Effacer ou supprimer les données de santé à la fin des services (avant de réattribuer les ressources à un autre client) et à la fin de vie de l’infrastructure matérielle.

2. Garantir la disponibilité et l’intégrité des données de santé hébergées dans les services, en particulier :

  • Définir et partager avec les clients des objectifs appropriés en matière de niveau de service (notamment la disponibilité des services, le temps de réponse aux demandes des clients et le temps de traitement des incidents identifiés ayant un impact sur la disponibilité des services HDS).
  • Mettre en œuvre l’organisation et les procédures nécessaires, en particulier au sein de l’équipe de support et produits, pour atteindre les objectifs de niveau de service.
  • Mettre en œuvre et tester un plan de continuité des services pertinent pour remédier à toute défaillance dans la prestation des services.
  • Assurer la disponibilité des clés de chiffrement lorsque JOTELULU fournit au client des fonctionnalités de chiffrement des données de santé.
  • Assurer la disponibilité et l’intégrité des sauvegardes lorsque JOTELULU fournit des services de sauvegarde des données de santé aux clients.

3. Permettre aux clients d’utiliser les services correctement et en toute sécurité, en particulier :

  • Fournir une documentation claire et accessible sur les services et les conditions d’utilisation, présentant les caractéristiques des services, les spécifications techniques et la répartition des tâches et des responsabilités entre JOTELULU et les clients.
  • S’assurer que l’équipe de support de JOTELULU est consciente des processus et des conditions spécifiques aux services HDS.
  1. Organisation de la sécurité

Comité de sécurité

Afin de garantir le bon fonctionnement du système de gestion et de se conformer aux objectifs et exigences établis, la direction de JOTELULU a nommé un responsable du SGSI et un comité de sécurité qui veillera au respect des lignes directrices énoncées dans la présente politique.

Le comité a les fonctions suivantes :

  • Approuver et vérifier le respect des politiques de sécurité de l’information.
  • Connaître et examiner les résultats des audits du système, ainsi que les incidents pertinents en matière de sécurité de l’information.
  • Attribuer des rôles et des responsabilités spécifiques pour le système de sécurité de l’information et les informer de leurs fonctions.
  • Prendre les mesures nécessaires pour s’assurer que le personnel connaît les procédures de sécurité qui affectent l’exercice de ses fonctions et les conséquences du non-respect de ces procédures.
  • S’assurer que les besoins en matière de sécurité de l’information ont été identifiés et intégrés de manière appropriée dans les processus organisationnels concernés.
  • Approuver les objectifs de sécurité, en veillant à ce qu’ils soient mesurables et à ce que des responsabilités, des ressources et des échéances leur soient assignées.
  • Fournir toutes les ressources nécessaires pour assurer la sécurité de l’information.
  • Fournir une base stratégique et cohérente pour la prise de décision afin de réduire ou d’atténuer les risques à des niveaux acceptables pour l’entreprise, ses clients et ses investisseurs.
  • Assurer un suivi et un traitement adéquats des risques identifiés, conformément à la gestion des risques.

Rôles : fonctions et responsabilités

Fonctions

Responsable chez JOTELULU

Direction

Principal responsable de la mise en œuvre de l’ENS.

Direction

Responsable de l’information

Il est responsable de la protection des informations et détermine les exigences de sécurité des informations traitées.

Comité de sécurité

Chef de service

Détermine les exigences de sécurité des services fournis, conformément aux paramètres de l’annexe I de l’ENS.

Les spécifications de sécurité devraient être incluses dans le cycle de vie des services et des systèmes, accompagnées des procédures de contrôle correspondantes.

Comité de sécurité

Responsable de la sécurité

Détermine les décisions de sécurité pertinentes pour répondre aux exigences fixées par les fournisseurs d’informations et de services.

Analyser les rapports d’auto-évaluation et/ou les rapports d’audit et communiquer les résultats au responsable du système pour qu’il prenne les mesures appropriées.

Responsable de la sécurité

Responsable du système

Il est responsable de l’exploitation du système d’information, conformément aux mesures de sécurité déterminées par le responsable de la sécurité.

Adopter les mesures correctives pertinentes à la suite des rapports d’audit d’auto-évaluation soumis par le responsable de la sécurité, avec le soutien des responsables de l’ingénierie et de l’infrastructure.

Responsable des opérations

Données personnelles

JOTELULU. traite des données personnelles, qui sont inscrites dans le Registre des activités de traitement (RAT) avec les responsables du traitement correspondants. Tous les systèmes d’information doivent respecter les niveaux de sécurité exigés par la réglementation en fonction de la nature et de la finalité des données personnelles collectées.

Contrôleur des données

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ;

Comme indiqué dans le RAT

Responsable du traitement des données

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du contrôleur.

Comme indiqué dans le RAT

Délégué à la protection des données

Veiller au respect de la réglementation en matière de protection des données et assurer la liaison avec les autorités de contrôle.

DPD

Les conflits entre les différentes personnes, unités ou organismes responsables de la structure organisationnelle de la politique de sécurité de l’information sont résolus par le supérieur hiérarchique commun, qui peut consulter au préalable le comité de sécurité de l’information. En cas de conflit, les décisions du comité de sécurité de l’information prévalent.

Procédure de désignation

La fonction de responsable de la sécurité de l’information est assurée par le RSSI/chef de la sécurité ou, si le poste devient vacant, par une personne nommée sur proposition du comité de sécurité.

Le poste de gestionnaire du système sera occupé par le chef des opérations ou, si le poste devient vacant, par un membre du département Ingénierie/Opérations ou Infrastructures, sur proposition du comité.

  1. Cadre réglementaire
  • Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel et à la libre circulation de ces données.
  • Loi organique relative à la protection des données et à la garantie des droits numériques (LOPDGDD) – Loi organique 3/2018, alignée sur le RGPD et le règlement européen sur la protection des données.
  • Directive (UE) 2022/2555, NIS2 – Directive européenne sur la cybersécurité, en attente de transposition dans la législation nationale, dans le cadre de l’avant-projet de loi sur la coordination et la gouvernance de la cybersécurité.
  • Décret royal 311/2022, du 3 mai, réglementant le système national de sécurité (ENS)
  • Loi sur la propriété intellectuelle – Décret législatif royal 1/1996, qui protège les droits sur les programmes informatiques et réglemente leur exploitation.
  • Loi sur les services de la société de l’information et le commerce électronique (LSSI-CE) – Loi 34/2002 qui régit le commerce électronique et les services numériques.
  • Loi sur la prévention des risques professionnels (PRL) – Loi 31/1995 sur l’application de la santé et de la sécurité au travail.
  • Lois sur la propriété industrielle – Règlements sur les designs industriels, les marques, les brevets et les modèles d’utilité (loi 17/2001, loi 24/2015 et loi 3/1991).
  • Règlement eIDAS – Règlement (UE) 910/2014 sur l’identification électronique et les services de confiance dans les transactions numériques.
  • Loi sur la protection juridique des programmes informatiques – Loi 16/1993, qui protège les logiciels et lutte contre la piraterie informatique.
  • Code de la santé publique français – Cadre législatif régissant l’organisation du système de santé, la sécurité sanitaire et la protection des données de santé en France dans le domaine de la certification HDS.
  • Code de conduite de la CISPE – Renforce la protection des données dans le contexte des services cloud en Europe.
  • Loi de l’UE sur l’IA, adoptée par le Parlement européen le 13 mars 2024 et par le Conseil de l’UE le 21 mai 2024.
  1. Gestion des risques

Tous les systèmes soumis à la présente politique effectuent une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse est répétée :

  • régulièrement, au moins une fois par an, lorsque les informations traitées changent
  • lorsque les services fournis changent
  • lorsqu’un incident de sécurité grave se produit
  • lorsque des vulnérabilités graves sont signalées

Afin d’harmoniser les analyses de risque, une évaluation de référence est établie pour les différents types d’informations traitées et les différents services fournis. Le comité de sécurité rationalisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en encourageant les investissements horizontaux.

  1. Structurer la documentation sur la sécurité

La politique de sécurité de l’information est structurée selon les niveaux hiérarchiques suivants :

  • 1. Premier niveau : politique de sécurité de l’information, définie dans le présent document, examinée et approuvée par le comité de sécurité et signée par le directeur général.
  • 2. Deuxième niveau : la politique de sécurité de l’information, également examinée et approuvée par le comité de sécurité et signée par le directeur général.
  • 3. Troisième niveau : Procédures de sécurité de l’information et instructions techniques. Documents techniques et contrôles visant à résoudre les tâches liées à la sécurité des systèmes, régis par le SGSI.
  • 4. Quatrième niveau : rapports, enregistrements et preuves informatiques de nature technique, publiés dans nos systèmes d’information documentaire.
  1. Révision de la politique de sécurité de l’information

La politique de sécurité de l’information, ainsi que les processus du système de gestion, sont révisés régulièrement à des intervalles planifiés ou en cas de changements importants, afin de s’assurer qu’ils restent adaptés, efficaces et efficients. En règle générale, ils sont examinés chaque année dans le cadre du processus d’audit interne du SGSI.

Des procédures de contrôle sont en place pour fournir des informations sur le bon fonctionnement du SGSI.

La direction joue également un rôle important dans l’examen du système, en procédant à une analyse approfondie du système et en identifiant les améliorations et les lacunes éventuelles.

  1. Communication de la politique de sécurité de l’information

La politique du système de gestion est communiquée lors de l’accueil, dans le cadre de la formation de sensibilisation et en interne par e-mail et/ou par le biais des canaux de communication de l’entreprise.

Cette déclaration de politique générale sera mise à la disposition des parties intéressées extérieures à JOTELULU par le biais d’une publication dans un document partagé sur le site web.

  1. Aspects et réglementations spécifiques à la sécurité de l’information

Cette politique sera développée au moyen de règlements de sécurité qui aborderont des aspects spécifiques. La politique de sécurité est accessible à tous les membres de l’organisation, en particulier à ceux qui utilisent, exploitent ou gèrent des systèmes d’information et de communication.