Politique de sécurité IT - D.A.P. (Distrib Auto Pieces)

 

Aucune donnée sensible n’est stockée dans les infrastructures D.A.P. (Distrib Auto Pieces).

Analyse des risques

Une analyse des risques a été réalisée lors d’un audit RGPD, et les mesures correctives d’ores et déjà mises en place:

-          sensibilisation du personnel avec charte informatique et signature d’une note de service d’information sur la réglementation générale de la protection des données.

 

-          actions de maintenance sur les postes des collaborateurs • gestion des habilitations et mise en place des procédures de gestion des accès aux systèmes contenant de données personnelles (gestion des droits utilisateurs)

 

-          hébergement des serveurs confié à un prestataire externe, pour optimiser la sécurité et la conservation des données, notamment à l’aide d’un serveur redondant.

 

-          un registre des traitements des données a été créé, ainsi qu’un registre des incidents

 

-          mise en place de mécanismes de protection des données personnelles (anonymisation des données de + de 30 jours)

 

-          mise en place des process permettant d'isoler les environnements de production et de non-production

 

-          mise en place des mécanismes de traçabilité et de détection d’accès aux données personnelles (notamment déplacement ou copies de données non autorisées déclenchant des alertes aux équipes sécurité)

 

-          mise en place des mécanismes d'archivage et de suppression des données personnelles

 

-          en télétravail, l'accès aux données internes à l'entreprise se fait exclusivement depuis le réseau local dans les bureaux ou depuis une connexion à un serveur VPN sécurisé, uniquement si nécessaire.

 

Maintenance du parc informatique et accès internet

 

Le parc informatique est régulièrement maintenu par le personnel IT interne, qui veille à la sécurité informatique de l’entreprise.

Les accès internet, notamment le réseau Wifi, sont sécurisés.

Un registre des modifications informatiques et fonctionnalités est également tenu à jour.

 

Utilisation d’outils permettant de faire face aux attaques informatiques

 

La majorité du parc informatique est composé de PC sous Windows, dotés d’outils de protection (antivirus, antispam, pare-feux).

Chaque utilisateur dispose d’un gestionnaire sécurisé de mot de passe.

 

Hébergement et stockage des données

 

Les données sont stockées dans des environnements sécurisés et monitorés, via un prestataire de service, sur des serveurs français. Elles sont sauvegardées quotidiennement, et redondées.

 

Responsabilisation du personnel

 

Une charte informatique a été diffusée à l’ensemble des salariés : elle porte sur l’utilisation acceptable des données de l’entreprise.

 

Règles de sécurité

 

Ne jamais installer de logiciel sans avoir au préalable fait analyser le fichier d’installation par un antivirus. En cas de doute, demander assistance plutôt qu’agir.

Les ports USB des devices des salariés sont désactivés; par défaut, ne jamais brancher sur un ordinateur de la société une clé usb personnelle ou trouvée dans la rue.

Ne jamais ouvrir un e-mail dont on ne connaît pas la provenance, ni cliquer à l'intérieur ou ouvrir les pièces jointes.

Ne pas écrire de mots de passe dans un fichier sur l’ordinateur, et ne pas les copier/coller non plus dans les emails ni dans les logiciels de communication en temps réel (skype, slack, etc.). Utiliser uniquement Lastpass pour les partager si besoin, mais jamais à un tiers.

Sur les sites internet, vérifier la présence du cadenas dès lors que des informations sensibles sont saisies.

 

Protection des données

 

Ne pas uploader des fichiers d’entreprise sur des plateformes tiers pour les transferts, utiliser notre serveur interne.

Verrouiller son ordinateur dès que l'on quitte son poste de travail.

Ne pas accéder, tenter d'accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l'utilisateur. Il est interdit de dupliquer et conserver des fichiers et documents d’entreprise pour usage personnel, en poste ou après le départ. Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement.

 

Comment votre plan de réponse aux incidents traite-t-il:

 

Que faire en cas de piratage de vos serveurs / bases de données?

 

Les éléments corrompus sont isolés du réseau, la sauvegarde quotidienne non effectuée pour ne pas corrompre les données et pouvoir restaurer les informations. Le correctif est appliqué. Enclenchement de la procédure de remontée d'incidents, de détection, de traitement et de notification des violations de données personnelles sous 24h à Amazon (par e-mail à 3psecurity@amazon.com), et selon retour Amazon, à la CNIL ainsi que la communication aux personnes concernées. Mise à jour du registre des incidents. Planification d'exercices de gestion de crise et d'incident pur vérifier que le problème ne se reposera pas.

Que faire en cas d'accès non autorisé aux données client?

Les éléments corrompus sont isolés du réseau, la sauvegarde quotidienne non effectuée pour ne pas corrompre les données et pouvoir restaurer les informations. Le correctif est appliqué, et la procédure de notification des violations de données enclenchée sous 24h.

 

Qui contacter en cas d'incident et quelles étapes suivre?

 

Les référents IT D.A.P. (Distrib Auto Pieces) sont contactés par le personnel en cas de suspicion d'incident. Ils consultent le registre des modifications informatiques et fonctionnalités, déterminent s'il y a une incidence, prennent les mesures correctives nécessaires après avoir sécurisé les données en amont, et déclenchent sous 24h la procédure de remontée d'incident.

 

Que faire en cas de fuite d'informations Amazon sur vos serveurs?

 

Amazon est alerté dans les 24h, et les correctifs appliqués.

 

Comment contacter Amazon pour les informer de l'incident?

 

Par e-mail à 3p-security@amazon.com