Politique de gestion de la sécurité de l’information

MISSION ET OBJECTIFS D’INTELCOM EN MATIÈRE DE SÉCURITÉ DE L’INFORMATION

La Direction d’INTELCOM, représentée par M. Bahâa Dine TAGMOUTI, Directeur Général, reconnaît l’importance d’une gestion rigoureuse de l’information pour garantir un haut niveau de qualité, de sécurité, de disponibilité et de continuité des services offerts à ses clients.

INTELCOM adopte une approche centrée sur le client, en mettant l’accent sur le déploiement et le développement d’infrastructures et de services dans les domaines des systèmes d’information et des télécommunications.

La sécurité est un enjeu majeur pour INTELCOM. Tout incident en la matière peut provoquer des conséquences graves : perte d’informations, interruption des services, risques juridiques, et atteinte à l’image de l’entreprise. C’est pourquoi la sécurité est au cœur des priorités de l’organisation pour assurer son bon fonctionnement.

OBJECTIFS DE LA POLITIQUE DE SÉCURITÉ DE L’INFORMATION

Les objectifs d’INTELCOM en matière de sécurité de l’information sont les suivants :

• Assurer la confidentialité des informations traitées par INTELCOM.
• Protéger l’intégrité des informations dans tous les domaines de leur traitement dans le cadre des services fournis.
• Assurer la disponibilité des systèmes d’information qui soutiennent les services fournis à ses clients.
• Vérifier et assurer l’authenticité des émetteurs et récepteurs des informations.
• Garantir la traçabilité et le suivi des activités et des informations dans le cadre de la fourniture des services.
• Gérer la sécurité de l’information tout au long du cycle de vie du service.
• Assurer la réalisation d’analyses de risques pour évaluer les risques existants et sélectionner les mesures de sécurité nécessaires en maintenant un équilibre approprié entre coût et bénéfice.
• Appliquer des mesures de sécurité visant à prévenir d’éventuels incidents, erreurs ou attaques délibérées.
• Établir une gestion efficace des événements et incidents de sécurité pour minimiser l’impact ou toute conséquence en découlant, et réagir dans les délais et en conformité avec les exigences contractuelles et légales, en garantissant la disponibilité et la continuité du service fourni. Des procédures seront établies pour la prévention, la détection, la réponse et la récupération face à tout incident de sécurité.
• Protéger les informations contre les accès non autorisés et mettre en place les mesures techniques nécessaires pour assurer les lignes de défense exigées.
• Promouvoir la sensibilisation et la formation des employés en matière de sécurité de l’information.
• Assurer l’amélioration continue à travers les révisions périodiques établies, consistant en la surveillance, l’audit et le suivi des plans d’amélioration.

CADRE REGLEMENTAIRE

• Loi n° 05-20 relative à la cybersécurité : Cette loi établit un cadre juridique visant à renforcer la sécurité et la résilience des systèmes d’information des administrations publiques et des infrastructures critiques. ​DGSSI
• Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) : Publiée en 2014 et mise à jour en 2020, cette directive vise à harmoniser le niveau de protection des systèmes d’information des organismes publics et des infrastructures d’importance vitale. ​DGSSI
• Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) : Autorité chargée de veiller à la protection des données personnelles au Maroc. ​cndp.ma
• Loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel : Cette loi définit les principes et obligations concernant le traitement des données personnelles au Maroc.​
• Loi n° 53-05 relative à l’échange électronique de données juridiques : Cette loi facilite la reconnaissance juridique des échanges électroniques, des contrats électroniques et des signatures électroniques, créant ainsi un cadre légal pour les transactions en ligne.
• Loi n° 31-13 relative au droit d’accès à l’information : Promulguée en 2018, cette loi garantit le droit d’accès des citoyens aux informations publiques détenues par les administrations, tout en précisant les exceptions à ce droit pour des raisons de sécurité nationale, de protection de la vie privée, etc.
• Loi n° 24-96 relative à la poste et aux télécommunications : Bien que principalement axée sur le secteur des télécommunications, cette loi régule également certains aspects de la sécurité des réseaux et des échanges électroniques.
• Loi n° 103-13 relative aux établissements de crédit et organismes assimilés : Cette loi inclut des mesures concernant la sécurité des systèmes d’information dans les secteurs financiers et bancaires, un secteur particulièrement vulnérable aux cyberattaques.
• Code pénal marocain : Modifié par la loi n° 03-07, ce code comprend des dispositions qui criminalisent les actes de cybercriminalité, tels que l’accès frauduleux à des systèmes informatiques, la falsification de données et la diffusion de virus informatiques.
• Loi n° 58-00 relative à la lutte contre les crimes liés à l’informatique et à Internet : Cette loi cible spécifiquement la lutte contre la cybercriminalité, en réprimant les actes malveillants sur Internet, y compris l’accès illégal aux systèmes informatiques, la fraude, la fraude électronique et le piratage.

ORGANISATION DE LA SECURITE

Coordination de la sécurité de l’information :

• Responsable de l’information : le Responsable de l’information est responsable, dans son domaine d’intervention, de :
  • Déterminer les besoins et les exigences de sécurité de l’information traitée.
  • Veiller à l’utilisation appropriée de l’information et à sa protection.

Il ne pourra pas déléguer l’approbation des niveaux de sécurité de l’information.
Ils seront désignés par la Direction Générale en fonction de la nature de l’information.

• Responsable du service
  Le Responsable du service est responsable, dans son domaine d’intervention, de :
  • Déterminer les exigences de sécurité du service fourni.
  • Inclure les spécifications de sécurité dans le cycle de vie des services et des systèmes, ainsi que les mécanismes de contrôle correspondants.
  • S’assurer que les processus et les politiques définis soient appliqués.

Il ne pourra pas déléguer l’approbation des niveaux de sécurité du service.
Ils seront désignés par la Direction de la Production en fonction de la nature des services.

• Responsable du système de gestion de la sécurité: Au sein d’INTELCOM, nous avons un responsable du système de gestion de la sécurité (Responsable du SGSI), chargé du contrôle et de la coordination en matière de sécurité. Ce responsable veille au respect et à l’adéquation des mesures de sécurité existantes, tout en proposant et en mettant en place des améliorations afin d’assurer la conformité avec la politique de sécurité, les normes et les procédures en vigueur, en se basant sur les améliorations, politiques, normes et procédures définies dans le système de gestion général.

Pour mener à bien sa mission, il s’appuie sur :

• Un responsable technique de sécurité dans chaque délégation, qui identifie, analyse et résout toute question technique liée à la sécurité.
• Un responsable de la sécurité physique, relevant des Services Généraux.
• Les responsables de service.
• Les responsables de l’information.
• Les responsables du système.

Le Comité de gestion de la sécurité dispose de l’autorité nécessaire pour prendre des décisions au niveau organisationnel, afin de garantir la sécurité. Ce comité fait partie intégrante du Comité du SGSIT. Il est composé, de manière non exclusive, des membres suivants :

• Responsable de la sécurité
• Responsable technique de la sécurité
• Responsable des services (qui représente également les responsables de l’information)

Principales fonctions du Responsable de la sécurité :

• Recommander des actions d’amélioration, préventives et/ou correctives, pour résoudre les problèmes détectés et en informer le Responsable du SG pour gestion.
• Assurer la mise en œuvre des actions décidées concernant les améliorations, objectifs, actions correctives et préventives, vulnérabilités détectées et veiller au bon déroulement de ces actions.
• Établir la gestion des incidents de sécurité.
• Maintenir et développer des contacts avec des ressources ou sources externes en matière de sécurité.
• Évaluer les changements des actifs et des structures de base, en analysant leurs implications en matière de sécurité avec l’aide du Responsable technique de la sécurité.
• Créer la structure documentaire du SGSI
• S’assurer de l’implantation du SGSI au sein d’INTELCOM et de son maintien dans le temps, en collaboration avec le Responsable du SG.
• Disposer d’informations sur le niveau de performance du SGSI et proposer des améliorations en se basant sur :
  • Non-conformités
  • Actions Correctives
  • Résultats de l’analyse des risques
  • Audits internes
  • Incidents de sécurité
  • Suggestions
  • Indicateurs
• Enregistrer les besoins d’amélioration du SGSI, assigner un responsable pour la solution et suivre les progrès.
• Clôturer les actions Correctives et Préventives du SGSI, en coordination avec le Responsable du SG.
• Enregistrer l’état des actions Correctives et Préventives du SGSI.
• Réviser et contrôler l’analyse des risques et sa gestion.
• Assurer une gestion adéquate des ressources, en coordination avec la Direction, concernant le SGSI
• Assurer la sécurité de l’infrastructure nécessaire au bon fonctionnement des services IT et des accès physiques.
• Disposer d’informations sur la gestion des communications et des opérations des équipements et systèmes nécessaires au bon fonctionnement des services IT
• Être informé de tout ce qui concerne la gestion des accès aux systèmes d’INTELCOM
• Disposer d’informations et participer à l’achat, au développement et à la maintenance des systèmes d’informations.
• Établir les mécanismes appropriés pour la gestion des incidents de sécurité.
• Définir des procédures et des plans pour assurer la continuité des activités.
• Assurer la conformité technique et légale du SGSI.
• Organiser des réunions du Comité opérationnel de sécurité chaque fois que leurs analyses et connaissances sont nécessaires pour toute tâche relative à la sécurité.

Responsable du système

Le Responsable du système est chargé de l’exploitation du système d’information, en respectant les mesures de sécurité définies par le Responsable de la sécurité et le Responsable Technique de la sécurité.

Les principales fonctions du Responsable du système sont les suivantes :

• Développer, exploiter et maintenir le système d’information pendant tout son cycle de vie, depuis la définition des spécifications jusqu’au déploiement et à la vérification de son bon fonctionnement.
• Définir la topologie et la gestion du système, en établissant les critères d’utilisation et les services dans le système d’information.
• S’assurer, avec le Responsable de la sécurité et le Responsable Technique de la sécurité, que les mesures de sécurité sont intégrées de manière adéquate dans le cadre de sécurité de l’entreprise.

Comité de gestion de la sécurité

Les principales fonctions du Comité de gestion de la sécurité sont les suivantes :

• Faire rapport au Comité de gestion, à la direction et au comité de direction, lorsque cela est nécessaire.
• Élaborer la politique de sécurité d’INTELCOM et les normes de sécurité.
• Élaborer les procédures de sécurité.
• Informer la direction de la gestion de la sécurité de l’information.
• Établir les critères d’acceptation des risques et approuver les stratégies de mitigation des risques, qui devront être finalement approuvées par la direction des services.
• Coordonner les analyses de risques, les plans de continuité et la prévention des sinistres.
• Développer des objectifs et des stratégies de sécurité à moyen et long terme.
• Élaborer annuellement un plan de gestion de la sécurité, en formulant les ressources nécessaires pour le soumettre à l’approbation de la direction.
• Assurer le suivi des accords issus de la dernière réunion de révision par la direction du SGSI.
• Analyser les audits internes réalisés.
• Analyser l’état des actions préventives et correctives, en vérifiant qu’elles soient prises dans un délai approprié.
• Analyser l’évolution et le respect des objectifs de sécurité.
• Assurer la communication à l’ensemble du personnel sur l’importance de connaître les objectifs de sécurité conformément aux normes de sécurité et leurs responsabilités.
• Analyser la conformité avec les normes et procédures de sécurité du SGSI et la validité de celles-ci. Examiner la nécessité de modifications ou de l’atteinte des objectifs fixés.
• Réviser les conclusions de la révision du SGSI et déterminer les actions correctives et/ou préventives nécessaires pour résoudre les besoins d’amélioration identifiés, en établissant les responsables de l’exécution et les délais de réalisation.

PROCEDURE DE DESIGNATION DES RESPONSABILITES

Il incombe à la Direction des Services d’assigner les responsabilités en matière de sécurité et de déterminer la liste des personnes responsables de l’information, ainsi que celles autorisées à désigner des ressources et des permissions.

FORMATION ET SENSIBILISATION

La Direction d’INTELCOM s’engage à fournir les ressources nécessaires pour la formation et la sensibilisation appropriées en matière de sécurité à tous les employés d’INTELCOM, en fonction des rôles et des responsabilités qui leur incombent dans ce domaine. Elle veillera également à la mise à jour des connaissances des responsables de la sécurité, de l’information et des systèmes d’information.

GESTION DES RISQUES

Tous les systèmes d’information et éléments nécessaires à la prestation des services couverts par cette politique doivent faire l’objet d’une analyse des risques, évaluant les menaces et les risques auxquels ils sont exposés. La fréquence de réalisation de cette analyse des risques sera :

• Au moins une fois par an.
• Lorsque les informations manipulées changent.
• Lorsque les services fournis ou leur portée dans le Système de Sécurité de l’Information changent.
• Lorsqu’un incident de sécurité grave survient.
• Lorsqu’une vulnérabilité grave est signalée.

Pour assurer la traçabilité des analyses de risques, le Comité de Sécurité établira une évaluation de référence pour les différents types d’information traités et les différents services fournis. La Direction des Services veillera à ce que des ressources soient disponibles pour répondre aux besoins en matière de sécurité des différents systèmes, en fonction du rapport coût/avantage.

DONNEES A CARACTERE PERSONNEL

La Direction d’INTELCOM est consciente de l’importance d’un traitement adéquat des informations pour garantir un service optimal au client. En particulier, il existe des données nécessaires au développement des affaires d’INTELCOM qui entrent dans la définition légale des données à caractère personnel. Par conséquent, une attention particulière doit être portée à la collecte, au traitement, à la mise à jour et à la destruction de ces données.

Le registre des activités de traitement, auquel seules les personnes autorisées auront accès, répertorie les fichiers concernés et les responsables correspondants. Tous les systèmes d’information d’INTELCOM seront conformes aux niveaux de sécurité en fonction de la classification de l’information et aux exigences légales concernant la nature et l’objectif des données à caractère personnel collectées dans le registre mentionné.

TIERS

Dans le cas où INTELCOM fournit des services à d’autres entités ou traite des données et informations d’autres organisations, celles-ci seront informées et impliquées dans cette politique de sécurité, en définissant les canaux nécessaires à la communication, ainsi que les processus à suivre en cas de sinistre ou d’incident de sécurité.

De même, lorsque INTELCOM a besoin des services de tiers ou cède des informations, les exigences applicables et contenues dans cette politique et dans les procédures qui en découlent seront communiquées, les tiers étant soumis aux obligations définies par cette réglementation. Il sera impératif de garantir que le personnel impliqué dans la prestation de services connaisse et soit sensibilisé à ces exigences.

OBLIGATIONS DU PERSONNEL

La Direction d’INTELCOM souhaite exprimer clairement sa connaissance et son approbation de cette politique, ainsi que de tout ce qui s’y rapporte, de sorte que le personnel doive la connaître et l’adopter comme faisant partie de ses fonctions professionnelles.

DEVELOPPEMENT ET REVISION DE LA POLITIQUE

Cette politique est développée dans le Manuel des Politiques du SGSI, ainsi que dans les différentes procédures de sécurité établies par INTELCOM.

La conformité de cette politique sera révisée au moins une fois par an dans le cadre de la révision par la Direction.