Consult

External Statement

Introduction

Les activités d'ACERTA impliquent l'utilisation de données sensibles, tant à caractère professionnel que personnel, de ses clients et partenaires. Ces données doivent être sécurisées contre diverses menaces et être conformes aux normes établies sur le plan international.

Outre une bonne protection technique, nos clients et partenaires attendent de nous que nous traitions leurs données avec soin.  ACERTA confirme qu'il traite ces données de manière responsable dans le cadre de ses activités.

Chez ACERTA, nous considérons que la continuité de notre service est une priorité essentielle. Cela se reflète dans un processus de gestion entièrement développé en vue de la continuité de l'entreprise.

Vous trouverez de plus amples informations dans :

  • Sécurisation des données
  • Protection de l'information
  • Continuité de l'entreprise

Contact

En cas de questions à ce propos, n'hésitez pas à vous adresser au security officer d'Acerta (ict.security@acerta.be)

Sécurisation des données

Législation relative à la vie privée

Chez ACERTA, nous garantissons un niveau adéquat de protection des données, conformément à la directive européenne relative à la protection des données 95/46/CE et à la législation belge (*).

ACERTA se prépare aux dispositions du nouveau règlement général européen relatif à la protection des données (General Data Protection Regulation (GDPR), qui succède à la directive européenne relative à la protection des données (EU Data Protection Directive) et qui va bientôt entrer en vigueur.

(*) Deux lois belges importantes qui sont d'application dans ce cadre, sont :

  • “Loi relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale” (Loi du 15-01-1990)
  • “Loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel” (Loi du 8-12-1992)

Protection des informations

Les divers processus d'entreprise impliquent le traitement de données à caractère personnel et de données confidentielles de l'entreprise (payroll, allocations familiales, etc.). Nous devons à tout moment garantir la confidentialité, l'intégrité et la disponibilité de ces informations.

Chez ACERTA, le traitement ainsi que les données que nous manipulons ou stockons font l'objet d'un niveau de protection élevé. Notre protection se base sur des normes internationalement acceptées, telles que ISO/IEC 27001.

Principaux principes appliqués par ACERTA :

  1. Les rôles et responsabilités sont définis afin d'obtenir une exécution correcte de toutes les activités de sécurisation.
  2. Un ensemble de lignes stratégiques, normes, procédures et directives est établi afin d'organiser la sécurité. Ces documents sont révisés régulièrement.
  3. ACERTA suit une approche basée sur le risque afin de déterminer les mesures de protection requises sur le plan technique et non-technique. Il en résulte que les priorités correctes sont définies et que seules les mesures de protection efficientes et effectives sont sélectionnées et introduites.
  4. Une systématique de classification des données a été instaurée afin de distinguer divers degrés de sensibilité des données et de les protéger à l'avenant. De plus, une gestion du cycle de vie des données est d'application pour la création, l'utilisation, le stockage et la suppression des données.
  5. ACERTA s'engage à sensibiliser l'ensemble de la société à la sécurité de l'information et à la protection des données à l'aide de formations et d'exercices réguliers.
  6. Des techniques de gestion de l'identité et de contrôle des accès ont été mises en place afin que l'information soit protégée contre les accès non autorisés ainsi que contre toute modification ou destruction, tant intentionnels qu'accidentels.
  7. Des mesures de sécurité physiques protègent les données et systèmes contre l'incendie et garantissent le contrôle des accès aux bâtiments.
  8. Des cyber mesures de sécurité sont opérationnelles. Nos applications et plateformes technologiques sont conçues, configurées, entretenues et évaluées sur la base de critères de sécurité reconnus, tels que OWASP, NIST SP 800 et CIS Benchmark suite. Les points faibles et les menaces font l'objet d'un suivi permanent.
  9. Un programme portant sur la continuité de l'entreprise permet de rétablir le fonctionnement et le service après une panne ou une calamité. Les normes de protection de l'information sont maintenues pendant l'activation de ce programme.
  10. La politique relative à la sécurité de l'information et sa mise en œuvre sont évaluées régulièrement (notamment dans le cadre d'audits ISAE3402 de type II)

Continuité opérationnelle

Continuity Philosophy

Chez Acerta, le Business Continuity Management (BCM) est appliqué au sein de l'entreprise en tant que partie intégrante de la “Corporate Governance”. Le BCM veille à l'application correcte de la réglementation et des normes et bonnes pratiques pour la continuité de l'entreprise, publiées par les organisations nationales et internationales telles que BSI et ISO. Le système de Business Continuity Management d'ACERTA veille à la continuité de notre service en cas de perturbation résultant d'un incident grave ou d'une calamité, tel que, notamment, une panne de courant, un incendie, une inaccessibilité des bâtiments et des incidents avec l'infrastructure ICT. Toutes les activités cruciales de la société sont documentées et sont testées/optimisées régulièrement, conformément à la stratégie de continuité.

Mise en œuvre du BCM

Notre processus BCM se base sur la British Standard 25999 for business continuity management et l'ISO 22301 for Societal Security. Notre stratégie de continuité de l'entreprise porte sur l'inaccessibilité des bâtiments, ICT et le personnel, à l'aide de plans d'action et de l'instauration de mesures d'urgence. Nous pouvons notamment citer :

  • La mesure relative aux sites de repli et à l'infrastructure permettant d'accueillir nos collaborateurs lorsqu'un immeuble est inutilisable. Dans ce cadre, la confidentialité des données de notre client est préservée ;
  • L'élaboration judicieuse de nos systèmes d'information et de technologie, de telle sorte que nous pouvons redémarrer nos services essentiels à l'aide d'un ICT Disaster Recovery Plan (ICT DRP) ;
  • La désignation de titulaires et de remplaçants pour toutes les fonctions cruciales dans le cadre de la résilience opérationnelle.

Résilience opérationnelle

ACERTA a développé une structure de résilience opérationnelle afin de réagir de manière appropriée à tout type d'incident risquant de menacer la continuité de l'entreprise. La résilience opérationnelle se base sur le fonctionnement de différentes équipes spécifiques afin de garantir la continuité : les équipes Incident, Crisis, Facility et IT DRP. Pour chacune de ces équipes, il existe des plans actualisés qui comprennent des procédures d'évaluation des incidents, des directives pour l'escalade, des call trees et d'autres exigences en matière de business recovery. Il existe également des instructions pour la gestion de crise et la communication de crise, de telle sorte qu'en cas d'incident grave ou de calamité, la coordination et la communication puissent se faire de manière adéquate avec toutes les parties prenantes.

Entretien et tests

Outre la révision annuelle des plans, en tant qu'élément du processus d'entretien, nous veillons à une sensibilisation permanente de l'ensemble de l'entreprise et à l'ancrage d'une culture de la continuité par le biais de formations et d'exercices réguliers. Nous considérons que les exercices relatifs aux procédures de continuité constituent un élément vital de notre processus BCM et une opportunité de découvrir les points à améliorer.