Déclaration externe
Introduction
Les activités d'ACERTA impliquent l'utilisation de données sensibles, tant à caractère professionnel que personnel, de ses clients et partenaires. Ces données doivent être sécurisées contre diverses menaces et être conformes aux normes établies sur le plan international.
Outre une bonne protection technique, nos clients et partenaires attendent de nous que nous traitions leurs données avec soin. ACERTA confirme qu'il traite ces données de manière responsable dans le cadre de ses activités.
Chez ACERTA, nous considérons que la continuité de notre service est une priorité essentielle. Cela se reflète dans un processus de gestion entièrement développé en vue de la continuité de l'entreprise.
Vous trouverez de plus amples informations dans :
- Sécurisation des données
- Protection de l'information
- Continuité de l'entreprise
Contact
En cas de questions à ce propos, n'hésitez pas à vous adresser au security officer d'Acerta (ict.security@acerta.be)
Pour les clients d’Acerta Secrétariat Social asbl il est renvoyé à acerta.be/DispositionsGénérales.
- Mots de passe et parties sécurisées du site web
- Vous avez besoin d’un mot de passe pour avoir accès à des parties de nos sites web et à certains produits. Vous êtes responsable de ces mots de passe et devez traiter ce mot de passe de manière strictement personnelle et confidentielle. En cas de perte ou d’usage impropre de votre mot de passe, nous vous demandons de contacter Acerta dans les plus brefs délais afin que nous puissions prendre les mesures nécessaires. En cas de présomption de violation éventuelle, nous nous réservons le droit d’adapter le mot de passe ou de supprimer l’accès pour des raisons de sécurité.
Acerta respecte votre vie privée: en savoir plus
Les informations que nous proposons sur nos sites web peuvent contenir des erreurs ou des informations incomplètes de toute nature. Acerta n’est pas responsable de ces éventuelles erreurs ou lacunes et décline toute forme de préjudice découlant de ces informations. Acerta prendra toutes les mesures nécessaires pour proposer au mieux les informations et se réserve le droit de les adapter à tout moment.
Le site web d’Acerta contient également des liens cliquables vers d’autres sites web, mais Acerta n’est pas responsable de la manière dont ces sites web gèrent votre vie privée.
- Acerta prendra toutes les mesures nécessaires pour faire toujours se dérouler les traitements selon la législation et la réglementation en vigueur et suivant les normes actuelles du marché.
- Acerta entreprendra les mesures nécessaires pour surveiller activement les violations en vue du déroulement correct et sûr de la prestation de services.
- Acerta entreprendra toutes les mesures nécessaires pour surveiller ses entrepreneurs, ses travailleurs et d’autres parties impliquées, pour les former et pour les accompagner dans le cadre de l’exécution correcte de leurs missions respectives.
- Acerta prendra les mesures techniques et organisationnelles nécessaires pour proposer une prestation de services correcte et de qualité.
- Acerta mettra toujours en œuvre le traitement des données avec le soin et la confidentialité nécessaires et respectera une stricte confidentialité en maintenant l’accès aux données de toutes les parties impliquées limité au strict minimum nécessaire pour l’exécution de leurs missions.
Les divers processus d'entreprise impliquent le traitement de données à caractère personnel et de données confidentielles de l'entreprise (payroll, allocations familiales, etc.). Nous devons à tout moment garantir la confidentialité, l'intégrité et la disponibilité de ces informations.
Chez Acerta, nous appliquons un haut niveau de protection pour le traitement de données traitées ou stockées. Notre protection se base sur des normes internationalement acceptées, telles que ISO/IEC 27001.
Les 10 principaux principes appliqués par Acerta :
- Nous avons défini des rôles et des responsabilités afin de veiller à une exécution adéquate de toutes les activités de protection.
- Nous avons établi un ensemble de lignes stratégiques, normes, procédures et directives afin d'organiser la sécurité. Ces documents sont révisés régulièrement.
- Acerta suit une approche basée sur le risque afin de déterminer les mesures de protection requises sur le plan technique et non technique. Ceci veille à ce que nous fixions les bonnes priorités et sélectionnions et installions uniquement des mesures de protection efficaces et efficientes.
- Une systématique pour la classification des données a été instaurée afin de distinguer divers degrés de sensibilité des données et de les protéger en conséquence. En outre, nous travaillons avec une gestion du cycle de vie des données pour la création, l'utilisation, le stockage et la suppression des données.
- Acerta s’engage à sensibiliser l’ensemble de l’organisation à la sécurité des informations et à la protection des données au moyen de formations et d'exercices réguliers.
- Des techniques de gestion de l’identité et de contrôle des accès ont été mises en place afin que nos informations soient protégées contre les accès non autorisés ainsi que contre toute modification ou destruction, tant intentionnels qu'accidentels.
- Des mesures de sécurité physiques protègent nos données et systèmes contre l'incendie et garantissent le contrôle des accès aux bâtiments.
- Des cyber mesures de sécurité sont opérationnelles. Tant nos applications que nos plateformes technologiques sont conçues, configurées, entretenues et évaluées sur la base de critères de sécurité reconnus, tels que OWASP, NIST SP 800 et la suite CIS Benchmark. Les points faibles et les menaces font l'objet d'un suivi permanent.
- Un programme de continuité d’exploitation nous permet de rétablir le fonctionnement d’entreprise et la prestation de services après une panne ou une calamité. Les normes en matière de protection des informations sont maintenues pendant l'activation de ce programme.
- La politique relative à la sécurité de l’information et sa mise en œuvre sont évaluées régulièrement (notamment dans le cadre d’audits ISAE3402 de type II).
« Continuity Philosophy »
Le Business Continuity Management (BCM) a été introduit au sein d’Acerta à travers toute l’entreprise dans le cadre d’une « corporate governance ». Le BCM veille à l’application correcte de la réglementation ainsi que des normes et bonnes pratiques pour la continuité de l'entreprise, publiées par les organisations nationales et internationales telles que BSI et ISO. Le système de Business Continuity Management d’ACERTA veille à la continuité de notre service en cas de perturbation résultant d'un incident grave ou d'une calamité, tel que, notamment, une panne de courant, un incendie, une inaccessibilité des bâtiments et des incidents avec l'infrastructure ICT. Toutes les activités cruciales de la société sont documentées et sont testées/optimisées régulièrement, en conformité avec la stratégie de continuité.
Mise en œuvre du BCM
Notre processus BCM se base sur la British Standard 25999 for business continuity management et l'ISO 22301 for Societal Security. Notre stratégie de continuité de l'entreprise porte sur l'inaccessibilité des bâtiments, ICT et le personnel, à l'aide de plans d'action et de l'instauration de mesures d'urgence. Nous pouvons notamment citer :
- la mesure relative aux sites de repli et à l'infrastructure permettant d'accueillir nos collaborateurs lorsqu'un immeuble est inutilisable. Dans ce cadre, la confidentialité des données de notre client est préservée ;
- l’élaboration judicieuse de nos systèmes d’information et de technologie, de telle sorte que nous pouvons redémarrer nos services essentiels à l’aide d’un ICT Disaster Recovery Plan (ICT DRP) ;
- la désignation de titulaires et de remplaçants pour toutes les fonctions cruciales dans le cadre de la résilience opérationnelle.
Résilience opérationnelle
Acerta a développé une structure de résilience opérationnelle afin de réagir de manière appropriée à tout type d'incident risquant de menacer la continuité de l'entreprise. La résilience opérationnelle se base sur le fonctionnement de différentes équipes spécifiques afin de garantir la continuité : les équipes Incident, Crisis, Facility et IT DRP. Pour chacune de ces équipes, il existe des plans actualisés qui comprennent des procédures d’évaluation pour les incidents, des directives pour l'escalade, des call trees et d'autres exigences en matière de business recovery. Il existe également des instructions pour la gestion de crise et la communication de crise, de telle sorte qu'en cas d'incident grave ou de calamité, la coordination et la communication puissent se faire de manière adéquate avec toutes les parties prenantes.
Entretien et tests
Outre la révision annuelle des plans, en tant qu’élément du processus d’entretien, nous veillons activement et continuellement à une sensibilisation de l'ensemble de l'entreprise et à l'ancrage d'une culture de la continuité par le biais de formations et d'exercices réguliers. Nous considérons que les exercices relatifs aux procédures de continuité constituent un élément vital de notre processus BCM et une opportunité de découvrir les points à améliorer.