La direction de SPHERAG, consciente de son engagement envers ses clients et de l’importance de prendre soin de la sécurité intégrale, a établi dans son organisation un système de gestion de la sécurité de l’information basé sur le décret royal 311/2022, du 3 mai, par lequel est réglementé le système national de sécurité, en veillant aux objectifs suivants:
SPHERAG dépend des systèmes TIC (Technologies de l’Information et de la Communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés susceptibles d’affecter la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations traitées ou des services fournis.
L’objectif de SPHERAG est de garantir la qualité de l’information et la continuité des services, en agissant de manière préventive, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents.
Les systèmes TIC de SPHERAG doivent être protégés contre des menaces en constante évolution, susceptibles d’avoir un impact sur la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations traitées ou des services rendus. Pour se défendre contre ces menaces, une stratégie adaptée aux évolutions de l’environnement est nécessaire afin de garantir la continuité des services. Cela implique que les départements doivent se conformer à l’ensemble des dispositions du Schéma National de Sécurité (principes fondamentaux et exigences minimales), assurer un suivi continu des niveaux de prestation de services, surveiller et analyser les vulnérabilités signalées, et préparer une réponse efficace aux incidents afin de garantir la continuité des services rendus.
SPHERAG appliquera la présente Politique de Sécurité de l’Information aux systèmes liés au développement des applications utilisées dans le cadre de son activité.
Plus précisément, la présente Politique de Sécurité s’applique aux TIC ainsi qu’au système d’information associé à l’activité de création de solutions IoT destinées au contrôle des systèmes d’irrigation, conformément à la déclaration d’applicabilité en vigueur.
L’organisation exclut l’application de la présente Politique de Sécurité de l’Information aux systèmes d’information qui ne sont pas mentionnés dans cette section.
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
Loi organique 3/2018 du 5 décembre relative à la protection des données personnelles et à la garantie des droits numériques.
Décret royal 311/2022 du 3 mai, réglementant le Schéma National de Sécurité (ENS).
Loi 34/2002 du 11 juillet, relative aux services de la société de l’information et au commerce électronique (LSSI).
Loi 9/2017 du 8 novembre, relative aux marchés publics.
RÈGLEMENT (UE) Nº 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS).
Décret royal 1720/2007 du 21 décembre, approuvant le règlement de développement de la Loi organique 15/1999 du 13 décembre, relative à la protection des données à caractère personnel.
Le Responsable de l’Information est le propriétaire de celle-ci et aura les fonctions suivantes:
Établir et approuver les exigences de sécurité applicables à l’information dans le cadre établi à l’annexe I du Décret Royal 311/2022 du 3 mai, sur proposition préalable du Responsable de la Sécurité et/ou du Comité de Sécurité de l’Information.
Accepter les niveaux de risque résiduel affectant l’information.
Le Responsable du Service est la personne chargée de déterminer les exigences des services fournis. À ce titre, il exercera les fonctions suivantes:
Établir et approuver les exigences de sécurité applicables au service, dans le cadre de l’annexe I du Décret Royal 311/2022 du 3 mai, sur proposition préalable du Responsable de la Sécurité et/ou du Comité de Sécurité de l’Information.
Accepter les niveaux de risque résiduel affectant le service.
Le Responsable de la Sécurité est la personne chargée de prendre les décisions adéquates pour satisfaire aux exigences de sécurité de l’information et des services. Il aura les responsabilités suivantes:
Maintenir et vérifier le niveau adéquat de sécurité des informations traitées et des services électroniques fournis par les systèmes d’information.
Promouvoir la formation et la sensibilisation à la sécurité de l’information.
Désigner les responsables de l’analyse des risques, de la déclaration d’applicabilité, de l’identification des mesures de sécurité, de la détermination des configurations nécessaires et de la documentation du système.
Fournir des conseils pour la détermination de la catégorie du système, en collaboration avec le Responsable du Système et/ou le Comité de Sécurité de l’Information.
Participer à l’élaboration et à la mise en œuvre des plans d’amélioration de la sécurité et, le cas échéant, des plans de continuité, en procédant à leur validation.
Gérer les audits internes ou externes du système.
Gérer les processus de certification.
Soumettre au Comité de Sécurité l’approbation des changements et autres exigences du système.
Le Responsable du Système, dans son champ d’action, exercera les fonctions suivantes:
Interrompre ou suspendre l’accès à l’information ou la prestation du service s’il a connaissance de graves lacunes de sécurité.
Développer, exploiter et maintenir le système d’information tout au long de son cycle de vie.
Élaborer les procédures opérationnelles nécessaires.
Définir la topologie et la gestion du système d’information, en établissant les critères d’utilisation et les services disponibles.
S’assurer que les mesures de sécurité spécifiques sont correctement intégrées au cadre général de sécurité.
Fournir au Responsable de la Sécurité et/ou au Comité de Sécurité un appui pour la détermination de la catégorie du système.
Collaborer, si nécessaire, à l’élaboration et à la mise en œuvre des plans d’amélioration de la sécurité et, le cas échéant, aux plans de continuité.
Remplir les fonctions d’administrateur de la sécurité du système:
Gestion, configuration et mise à jour du matériel et des logiciels sur lesquels reposent les mécanismes et services de sécurité.
Gestion des autorisations accordées aux utilisateurs du système, en particulier les privilèges, y compris la surveillance de l’activité du système et sa conformité avec les autorisations.
Approuver les modifications de la configuration en vigueur du système d’information.
Veiller au strict respect des contrôles de sécurité établis.
Appliquer les procédures approuvées pour la gestion du système d’information.
Superviser l’installation, la modification et l’amélioration du matériel et des logiciels afin de garantir que la sécurité n’est pas compromise et que les autorisations pertinentes sont respectées.
Surveiller l’état de la sécurité via les outils de gestion des événements de sécurité et les mécanismes d’audit technique.
Le Comité de Sécurité de l’Information, qui couvre l’ensemble de l’organisation, est l’organe de coordination et de résolution des conflits. Il a pour missions, entre autres:
Répondre aux demandes de la part de l’organisation et des différents rôles ou services en matière de sécurité de l’information, en informant régulièrement de l’état de celle-ci.
Fournir des conseils en matière de sécurité de l’information.
Résoudre les conflits de responsabilité entre les différentes unités administratives.
Promouvoir l’amélioration continue du système de gestion de la sécurité de l’information, en assurant:
La coordination des efforts des différents services pour garantir leur cohérence et leur alignement avec la stratégie définie, et éviter les doublons.
La proposition de plans d’amélioration de la sécurité de l’information, avec leur budget correspondant, en priorisant les actions lorsque les ressources sont limitées.
L’intégration de la sécurité de l’information dans tous les projets dès leur spécification initiale jusqu’à leur mise en service. En particulier, veiller à la création et à l’utilisation de services horizontaux afin de réduire les doublons et garantir un fonctionnement homogène de tous les systèmes TIC.
Le suivi des principaux risques résiduels acceptés par l’organisation et la proposition de mesures éventuelles.
Le suivi de la gestion des incidents de sécurité et la proposition d’actions correctives.
L’élaboration et la révision régulière de la Politique de Sécurité de l’Information, pour approbation par l’organe compétent.
L’élaboration de la réglementation en matière de sécurité de l’information, en coordination avec la direction.
La vérification des procédures de sécurité de l’information et autres documents pour leur approbation.
La mise en place de programmes de formation et de sensibilisation du personnel à la sécurité de l’information, notamment à la protection des données personnelles.
L’élaboration et l’approbation des exigences de formation et de qualification des administrateurs, opérateurs et utilisateurs en matière de sécurité de l’information.
La promotion des audits périodiques du Schéma National de Sécurité (ENS) et de protection des données, permettant de vérifier le respect des obligations en matière de sécurité de l’information.
La responsabilité générale de la sécurité de l’information incombe au Responsable de la Sécurité, tandis que la responsabilité finale est assumée par le Comité de Sécurité de l’Information et la Direction, en tant que plus haute autorité du Système de gestion de la sécurité de l’information. La composition détaillée du Comité, ainsi que les obligations de chaque rôle, sont fixées dans les procès-verbaux dudit comité.
Il appartient à la Direction de SPHERAG de désigner les personnes suivantes:
Le Responsable de l’Information
Le Responsable du Service (qui peut être le même que le Responsable de l’Information)
Le Responsable de la Sécurité
Le Responsable du Système
Les nominations seront revues tous les 2 ans, ou lorsque l’un des postes deviendra vacant.
En cas de conflit entre responsables, celui-ci sera résolu par leur supérieur hiérarchique. À défaut, la décision du Responsable de la Sécurité prévaudra.
Par la présente, la Direction de SPHERAG assume la responsabilité finale et ultime du respect de la politique.
Il appartiendra au Comité de Sécurité de l’Information de procéder à la révision annuelle de cette politique de sécurité de l’information et de proposer soit sa mise à jour, soit son maintien. La politique devra être approuvée par la Direction et diffusée pour que toutes les parties concernées en soient informées.
SPHERAG ne collectera des données à caractère personnel que lorsqu’elles seront adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles ont été obtenues. De même, SPHERAG adoptera les mesures techniques et organisationnelles nécessaires pour garantir le respect de la réglementation en vigueur sur la protection des données.
Conformément à l’entrée en application, le 25 mai 2018, du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et à sa transposition dans le droit espagnol par la Loi organique 3/2018, du 5 décembre, relative à la protection des données personnelles et à la garantie des droits numériques, SPHERAG a mis en œuvre les mesures suivantes:
Analyse de la légitimité juridique de chaque traitement de données.
Analyse des risques.
Évaluation d’impact en cas de risque élevé.
Tenue du registre des activités de traitement.
Désignation d’un Délégué à la Protection des Données (DPD).
De même, il conviendra de garantir le respect de la politique de protection des données établie par SPHERAG.
Tous les systèmes soumis à cette politique devront réaliser une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse devra être répétée :
De façon régulière, au moins une fois par an.
Lors d’un changement de la typologie des informations traitées.
Lors d’un changement dans les services fournis.
En cas d’incident grave de sécurité.
Lorsqu’une vulnérabilité importante est signalée.
Pour harmoniser les analyses de risques, le Comité de Sécurité de l’Information établira une évaluation de référence pour les différents types d’informations traitées et les services fournis. Il facilitera également la mise à disposition de ressources afin de répondre aux besoins en matière de sécurité des différents systèmes, en promouvant des investissements transversaux.
Chaque utilisateur des systèmes d’information de SPHERAG est responsable de la sécurité des actifs informationnels par une utilisation correcte, toujours en lien avec ses attributions professionnelles et académiques.
Tous les membres de SPHERAG sont tenus de connaître et de respecter la présente politique de sécurité de l’information ainsi que la réglementation en vigueur. Le Comité de Sécurité de l’Information est chargé de veiller à ce que les informations nécessaires soient mises à disposition des personnes concernées.
Les membres de SPHERAG recevront une formation en sécurité de l’information. Un programme de sensibilisation continue sera mis en place pour l’ensemble du personnel, en particulier pour les nouveaux arrivants.
Les personnes responsables de l’utilisation, de l’exploitation ou de l’administration des systèmes TIC recevront une formation adaptée pour manipuler les systèmes en toute sécurité, en fonction de leurs besoins opérationnels. Cette formation sera obligatoire avant d’assumer toute responsabilité, qu’il s’agisse d’un nouveau poste ou d’un changement de fonction.
Le non-respect de la présente politique pourra entraîner des mesures disciplinaires, sans préjudice des responsabilités légales qui pourraient en découler.
Lorsque SPHERAG fournit des services à d’autres entités ou gère des informations appartenant à d’autres organismes, ces derniers devront être informés de la présente politique de sécurité de l’information. Des canaux de communication seront établis entre les Comités de Sécurité respectifs, ainsi que des procédures d’intervention en cas d’incident de sécurité.
Lorsque SPHERAG fait appel à des prestataires externes ou transmet des informations à des tiers, ceux-ci devront être informés de la présente politique de sécurité ainsi que de la réglementation applicable aux services ou informations concernés. Ces tiers seront tenus de se conformer à cette réglementation et pourront développer leurs propres procédures pour y répondre. Des procédures spécifiques de signalement et de gestion des incidents seront établies. Il sera garanti que le personnel externe est sensibilisé à la sécurité au moins au même niveau que celui exigé par la présente politique.
Dans les cas où un tiers ne pourrait satisfaire à un aspect de la politique, le Responsable de la Sécurité devra rédiger un rapport précisant les risques encourus et les mesures de traitement prévues. Ce rapport devra être approuvé par les responsables de l’information et des services concernés avant toute poursuite des opérations.
Spherag Teck IoT, as part of the ICEX Next program, was supported by ICEX and co-financed by the European ERDF fund. The aim of this support is to contribute to the international development of the company and its environment.
© 2025 All Rights Reserved.
