Contrôles des risques

Contrôles des risques HCLTech pour l’environnement client

Pour prévenir les fuites de données dans l’environnement du client HCLTech, voici la liste des contrôles indicatifs recommandés à mettre en place :

Mesures de contrôle pour garantir la confidentialité, la sécurité, l’intégrité et la disponibilité des données :

  • Contrôle d’accès logique :
    • Chaque employé requiert un identifiant utilisateur unique (« User ID ») et un mot de passe pour accéder aux systèmes TI de l’entreprise.
    • Chaque identifiant utilisateur a un mot de passe et les utilisateurs doivent définir et changer leur mot de passe selon la politique de mot de passe.
    • Les identifiants utilisateur sont créés selon un processus défini et avec les autorisations appropriées.
    • Les identifiants utilisateur sont désactivés le jour de la séparation selon l’information fournie.
  • Contrôle d’accès aux données :
    • L’accès aux données n’est possible qu’après authentification de l’utilisateur avec un identifiant valide et un mot de passe correspondant; aucun accès « invité » n’est permis.
    • Les journaux d’accès sont conservés pour un minimum de 52 semaines.
    • Les permissions d’accès sont revues et auditées au moins une fois par an pour tous les systèmes critiques.
  • Conformité à la sécurité de l’information :
    • Le client possède une structure organisationnelle de sécurité de l’information identifiée qui supervise les processus et activités liés à la sécurité de l’information.
    • Le client a défini et documenté des politiques et processus de protection des données abordant l’accès aux données personnelles.
    • Le client a défini, documenté et mis en œuvre un cadre de gestion des risques pour identifier les risques liés à la sécurité, à la confidentialité et aux autres exigences contractuelles.
    • Une formation obligatoire de sensibilisation à la sécurité de l’information est fournie via un module e-learning pour l’ensemble du pays.
    • Tous les incidents signalés sont analysés pour déterminer la cause racine et l’impact. Les actions correctrices sont initiées par les responsables de processus. Les incidents clés, avec leurs causes et impact, sont signalés à la direction du client.
    • Les centres de données du client sont certifiés ISO 27001.
  • Sécurité physique et environnementale :
    • L’accès physique aux bureaux et zones de traitement du sous-traitant de données est contrôlé par un mécanisme d’accès.
    • L’entrée des visiteurs est surveillée et enregistrée. Les visiteurs ne sont autorisés à entrer que sur approbation préalable.
    • Des badges de visiteur sont remis aux visiteurs.
    • Toutes les zones critiques sont sous couverture CCTV et les enregistrements sont conservés pendant au moins 30 jours.
    • Des agents de sécurité sont présents 24h/24 et 7j/7.
    • Les agents de sécurité sont formés à interpeller toute personne ayant un comportement suspect ou ne disposant pas d’une carte d’identification appropriée.
    • La zone opérationnelle est équipée de détecteurs de fumée et d’incendie, d’alarmes et d’extincteurs.
    • Des exercices d’évacuation, incluant des exercices d’incendie, sont réalisés selon une fréquence prédéfinie.
    • L’alimentation électrique de tous les ordinateurs et autres équipements du bâtiment est assurée par des onduleurs et génératrices.
  • Sécurité des portables, ordinateurs de bureau, serveurs et équipements réseau :
    • Les correctifs des systèmes d’exploitation et des applications sont recommandés pour être testés et appliqués régulièrement sur les ordinateurs de bureau, portables, serveurs et équipements réseau.
    • Si le partage de fichiers/répertoires à partir d’un serveur vers d’autres ordinateurs est nécessaire, il doit être activé de manière à ce que seuls les utilisateurs ayant véritablement besoin d’y accéder disposent d’un accès et que le principe du moindre privilège soit respecté.
    • L’horloge système de tous les serveurs et équipements réseau est synchronisée et réglée sur le fuseau horaire de l’emplacement du serveur/équipement. Seuls le personnel autorisé a le privilège de changer ou de réinitialiser l’heure système.
    • Un logiciel antivirus est installé sur tous les ordinateurs de bureau et serveurs.
    • Les signatures antivirus sont mises à jour quotidiennement et tout écart/exceptions sont suivis.
    • Les logiciels non autorisés ne sont pas tolérés sur les portables, ordinateurs de bureau et serveurs.
    • Des sauvegardes sont effectuées et les restaurations vérifiées pour les systèmes identifiés selon la fréquence convenue.
    • Pour le centre de données, les portables des visiteurs et autres dispositifs médiatiques sont autorisés uniquement sur approbation et seulement pour les besoins nécessaires.
  • Sécurité du courriel, DLP, etc. :
    • Un DLP est installé sur toutes les machines utilisateur final.
    • Tous les courriels sont analysés à la passerelle pour détecter la présence de virus ou de codes malveillants.
    • Les systèmes de courriel sont configurés afin de limiter l’usurpation d’identité, le pollupostage et le relais, afin de s’en protéger.
  • Configuration des pare-feu et routeurs pour prévenir le trafic non autorisé :
    • Les pare-feu et routeurs sont configurés de manière à permettre uniquement le trafic autorisé.
  • Gestion des menaces et des vulnérabilités
    • Gestion des correctifs
    • Antivirus / antimaliciel
    • Notifications de menace
    • Analyse de vulnérabilité et tests de pénétration périodiques
  • Disponibilité/résilience :
    • Les plans et procédures de PCA/DR sont conçus et en place pour maintenir la disponibilité du service et/ou permettre la reprise à la suite d’une situation d’urgence

Contrôles des risques à mettre en œuvre par les fournisseurs

Le fournisseur est responsable de la mise en œuvre des mesures de contrôle au sein de son organisation et de son environnement afin d'assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données.

Pour prévenir les fuites de données, ci-dessous figure la liste indicative des contrôles minimaux que le fournisseur doit mettre en œuvre avant la prestation de services à HCLTech ou à ses clients :

  • Contrôle d'accès logique :
    • Chaque membre du personnel du fournisseur doit disposer d'un identifiant utilisateur unique (« User ID ») et d'un mot de passe pour accéder aux systèmes informatiques de HCL et/ou du client.
    • Les identifiants utilisateur sont créés selon un processus défini et avec les autorisations adéquates.
  • Contrôle d'accès aux données :
    • L'accès aux données n'est disponible qu'après authentification de l'utilisateur à l'aide d'un identifiant valide et d'un mot de passe correspondant ; aucun accès "invité" n'est autorisé.
    • Les droits d'accès sont examinés et audités au moins une fois par an par le fournisseur pour tous les systèmes critiques.
  • Conformité à la sécurité de l'information :
    • Le fournisseur a défini et documenté des politiques et des processus de protection de la vie privée portant sur l'accès aux données personnelles.
    • Les centres de données du fournisseur sont certifiés ISO 27001.
    • Le fournisseur se conforme en tout temps aux politiques et directives liées à la sécurité de l'information de HCL et/ou du client.
  • Sécurité physique et environnementale :
    • L'accès physique aux bureaux et zones de traitement du sous-traitant des données est contrôlé par un mécanisme de contrôle d'accès. Toutes les zones critiques sont couvertes par la vidéosurveillance (CCTV) et les enregistrements sont conservés pendant au moins 30 jours.
    • Des agents de sécurité sont présents en permanence (24h/24, 7j/7). La zone opérationnelle est équipée de détecteurs de fumée et d'incendie, d'alarmes et d'extincteurs.
  • Sécurité des ordinateurs portables, de bureau, serveurs et équipements réseau :
    • Il est recommandé de tester et d'appliquer régulièrement les correctifs des systèmes d'exploitation et applications sur les ordinateurs de bureau, portables, serveurs et équipements réseau.
    • Un logiciel antivirus est installé et les signatures antivirus sont mises à jour quotidiennement sur tous les ordinateurs de bureau et serveurs. Les logiciels non autorisés ne sont pas permis sur les portables, ordinateurs de bureau et serveurs.
  • Sécurité des courriels, DLP, etc. :
    • DLP est installé sur toutes les machines des utilisateurs finaux.
    • Tous les courriels sont analysés à la recherche de virus ou de codes malveillants au niveau de la passerelle. Les systèmes de messagerie sont configurés pour restreindre l'usurpation d'identité, le pourriel et le relais afin de s'en prémunir.
  • Configuration des pare-feux et des routeurs afin de prévenir le trafic non autorisé :
    • Les pare-feux et les routeurs sont configurés de sorte que seul le trafic autorisé est permis.
  • Gestion des menaces et des vulnérabilités
    • Notifications des menaces.
    • Analyse des vulnérabilités et tests d'intrusion périodiques
  • Disponibilité/Résilience :
    • Des plans/procédures PCA/DR sont conçus et en place pour maintenir la disponibilité du service et/ou permettre la reprise en cas d'urgence
Global Corporatif Politique Contrôles des risques