Politique de sécurité de l’information

1. Mission et objectifs

La Direction de SPHERAG, consciente de l’engagement pris envers ses clients et de l’importance de la sécurité globale, a mis en place au sein de son organisation un Système de Gestion de la Sécurité de l’Information fondé sur le Décret royal 311/2022 du 3 mai, qui régule le Schéma National de Sécurité, en se fondant sur les objectifs suivants:

Les systèmes TIC de SPHERAG doivent être protégés contre des menaces en constante évolution, susceptibles d’affecter la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations ou services. Pour y faire face, une stratégie adaptative aux conditions changeantes de l’environnement est nécessaire afin d’assurer la continuité des services. Cela implique que les départements respectent l’ensemble du Schéma National de Sécurité (principes fondamentaux et exigences minimales), assurent un suivi continu des niveaux de service, analysent les vulnérabilités signalées et préparent une réponse efficace aux incidents

Les différents départements de SPHERAG doivent s’assurer que la sécurité TIC est intégrée à chaque étape du cycle de vie des systèmes, de la conception à la mise hors service, en passant par les phases de développement, d’acquisition et d’exploitation.
L’objectif ultime de la sécurité de l’information chez SPHERAG est de permettre à l’organisation d’atteindre ses objectifs grâce à l’utilisation sécurisée des systèmes d’information. Les décisions en matière de sécurité doivent tenir compte des principes suivants:
 • Sécurité comme processus global et sécurité par défaut.
• Réévaluation périodique, intégrité et mise à jour du système.
• Gestion des ressources humaines et professionnalisme.
• Gestion de la sécurité basée sur l’analyse et la gestion des risques.
• Incidents de sécurité : prévention, réaction et récupération.
• Défense et prévention face à d’autres systèmes interconnectés.
• Fonction différenciée et organisation du processus de sécurité.
• Autorisation et contrôle d’accès.
• Protection des installations.
• Acquisition de produits de sécurité et sous-traitance de services de sécurité.
• Protection des informations stockées et en transit.

SPHERAG dépend des systèmes TIC (Technologies de l’Information et de la Communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec rigueur, en adoptant les mesures appropriées pour les protéger contre les dommages accidentels ou intentionnels pouvant affecter la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations traitées ou des services fournis.

L’objectif de SPHERAG est de garantir la qualité de l’information et la continuité des services, en agissant de manière préventive, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents.

2. Portée

SPHERAG appliquera la présente Politique de Sécurité de l’Information aux systèmes liés au développement des applications utilisées dans le cadre de son activité.

Plus précisément, cette Politique de Sécurité s’applique aux TIC ainsi qu’au système d’information associé à l’activité liée à la création de solutions IoT pour le contrôle des systèmes d’irrigation, conformément à la déclaration d’applicabilité en vigueur.

L’organisation exclut l’application de la présente Politique de Sécurité de l’Information aux systèmes d’information non mentionnés dans cette section.

3. Cadre réglementaire

• RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
• Loi organique 3/2018, du 5 décembre, relative à la protection des données personnelles et à la garantie des droits numériques.
  Décret royal 311/2022, du 3 mai, régissant le Schéma National de Sécurité.
• Loi 34/2002, du 11 juillet, sur les services de la société de l’information et le commerce électronique (LSSI).
• Loi 9/2017, du 8 novembre, sur les contrats du secteur public.
• RÈGLEMENT (UE) N° 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014.
• Décret royal 1720/2007, du 21 décembre, approuvant le règlement de développement de la loi organique 15/1999, du 13 décembre, relative à la protection des données à caractère personnel.

4. Rôles et responsabilités

Le Responsable de l’Information sera le propriétaire des données et aura les fonctions suivantes

• Établir et approuver les exigences de sécurité applicables à l’information dans le cadre défini à l’annexe I du Décret royal 311/2022 du 3 mai, sur proposition préalable du Responsable de la Sécurité et/ou du Comité de Sécurité de l’Information.
• Accepter les niveaux de risque résiduel affectant l’Information.

Le Responsable du Service déterminera les exigences des services fournis et aura les fonctions suivantes:

• Établir et approuver les exigences de sécurité applicables au service dans le cadre défini à l’annexe I du Décret royal 311/2022 du 3 mai, sur proposition préalable du Responsable de la Sécurité et/ou du Comité de Sécurité de l’Information.
• Accepter les niveaux de risque résiduel affectant le Service.

Le Responsable de la Sécurité prendra les décisions appropriées pour satisfaire aux exigences de sécurité de l’information et des services. Ses fonctions seront:

• Maintenir et vérifier le niveau adéquat de sécurité de l’Information traitée et des services électroniques fournis par les systèmes d’information.
• Promouvoir la formation et la sensibilisation à la sécurité de l’information.
• Désigner les responsables de l’exécution de l’analyse des risques, de la déclaration d’applicabilité ; identifier les mesures de sécurité ; déterminer les configurations nécessaires ; élaborer la documentation du système.
• Fournir des conseils pour la détermination de la catégorie du système en collaboration avec le Responsable du Système et/ou le Comité de Sécurité de l’Information.
• Participer à l’élaboration et à la mise en œuvre des plans d’amélioration de la sécurité et, le cas échéant, aux plans de continuité, en procédant à leur validation.
• Gérer les audits externes et internes du système.
• Gérer les processus de certification.
• Soumettre au Comité de Sécurité l’approbation des changements et autres exigences du système.

Le Responsable du Système, dans son domaine d’action, aura les fonctions suivantes:

• Suspendre ou interrompre l’accès à l’information ou à la prestation de services s’il a connaissance de graves déficiences de sécurité.
• Développer, exploiter et maintenir le système d’information tout au long de son cycle de vie.
• Élaborer les procédures opérationnelles nécessaires.
• Définir la topologie et la gestion du système d’information, en établissant les critères d’utilisation et les services disponibles.
• Veiller à ce que les mesures spécifiques de sécurité soient correctement intégrées dans le cadre général de sécurité.
• Fournir des conseils au Responsable de la Sécurité et/ou au Comité de Sécurité pour la détermination de la catégorie du système.
• Collaborer, si nécessaire, à l’élaboration et à la mise en œuvre des plans d’amélioration de la sécurité et, le cas échéant, des plans de continuité.
• Remplir les fonctions d’administrateur de la sécurité du système :
  • Gestion, configuration et mise à jour, le cas échéant, du matériel et des logiciels supportant les mécanismes et services de sécurité.
  • Gestion des autorisations accordées aux utilisateurs du système, en particulier des privilèges, y compris la surveillance des activités réalisées sur le système et leur conformité avec les autorisations.
  • Approuver les changements dans la configuration en vigueur du système d’information.
  • Assurer le strict respect des contrôles de sécurité établis.
  • Veiller à l’application des procédures approuvées pour la gestion du système d’information.
  • Superviser les installations matérielles et logicielles, leurs modifications et améliorations, pour garantir que la sécurité n’est pas compromise et qu’elles respectent toujours les autorisations pertinentes.
  • Surveiller l’état de sécurité fourni par les outils de gestion des événements de sécurité et les mécanismes d’audit technique.

Le Comité de Sécurité de l’Information, qui couvre toute l’entreprise, est le mécanisme de coordination et de résolution des conflits, avec entre autres fonctions :

• Traiter les demandes en matière de sécurité de l’information émanant de l’organisation et des différents rôles de sécurité et/ou départements, en informant régulièrement sur l’état de la sécurité de l’information.
• Conseiller en matière de sécurité de l’information.
• Résoudre les conflits de responsabilité pouvant apparaître entre différentes unités administratives.
• Promouvoir l’amélioration continue du système de gestion de la sécurité de l’information. Pour cela, il doit :
  • Coordonner les efforts des différentes zones en matière de sécurité de l’information, afin d’assurer la cohérence, l’alignement avec la stratégie décidée et éviter les doublons.
  • Proposer des plans d’amélioration de la sécurité de l’information avec le budget correspondant, en priorisant les actions de sécurité lorsque les ressources sont limitées.
  • Veiller à ce que la sécurité de l’information soit prise en compte dans tous les projets depuis leur spécification initiale jusqu’à leur mise en œuvre, notamment en assurant la création et l’utilisation de services horizontaux réduisant les doublons et favorisant un fonctionnement homogène des systèmes TIC.
  • Suivre les principaux risques résiduels assumés par l’organisation et recommander des actions possibles.
  • Suivre la gestion des incidents de sécurité et recommander des actions possibles.
  • Élaborer et réviser régulièrement la Politique de Sécurité de l’Information pour approbation par l’organe compétent.
  • Élaborer la réglementation de sécurité de l’information pour approbation en coordination avec la Direction.
  • Vérifier les procédures de sécurité de l’information et autre documentation pour approbation.
  • Élaborer des programmes de formation destinés à sensibiliser et former le personnel en sécurité de l’information et, en particulier, en protection des données personnelles.
  • Élaborer et approuver les exigences de formation et qualification des administrateurs, opérateurs et utilisateurs du point de vue de la sécurité de l’information.
  • Promouvoir la réalisation des audits périodiques ENS et de protection des données permettant de vérifier le respect des obligations administratives en matière de sécurité de l’information.

La responsabilité générale de la sécurité de l’information incombe au Responsable de la Sécurité, la responsabilité ultime revenant au Comité de Sécurité de l’Information et à la Direction, en tant que responsable principal du système de gestion de la sécurité de l’information. Les détails sur la composition du Comité de Sécurité de l’Information ainsi que les obligations de chaque rôle sont déterminés dans les procès-verbaux du comité.
Il appartient à la Direction de SPHERAG de désigner:

• Le Responsable de l’Information.
• Le Responsable du Service (qui peut être le même que le Responsable de l’Information).
• Le Responsable de la Sécurité.
• Le Responsable du Système.

Les nominations seront révisées tous les deux ans ou en cas de vacance d’un poste.

En cas de conflit entre les différents responsables, celui-ci sera résolu par leur supérieur hiérarchique. À défaut, la décision du Responsable de la Sécurité prévaudra.

Par la présente, la Direction de SPHERAG assume la responsabilité finale et ultime du respect de cette politique.

5. Révision de la politique de sécurité de l’information

Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por Dirección y difundida para que la conozcan todas las partes afectadas.

6. Données à caractère personnel

SPHERAG ne recueillera des données à caractère personnel que si elles sont adéquates, pertinentes et non excessives, et si elles sont en rapport avec l’étendue et les finalités pour lesquelles elles ont été obtenues. De même, elle adoptera les mesures de nature technique et organisationnelle nécessaires au respect de la réglementation sur la protection des données en vigueur dans chaque cas.

Compte tenu de l’entrée en vigueur, le 25 mai 2018, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de sa transposition en droit espagnol avec la loi organique 3/2018, du 5 décembre, sur la protection des données personnelles et la garantie des droits numériques, les mesures appropriées ont été adaptées, telles que l’analyse de la légitimité juridique de chacun des traitements de données effectués, l’analyse des risques, l’évaluation d’impact si le risque est élevé, le registre des activités et la nomination de la personne qui doit exercer les fonctions de délégué à la protection des données.

De même, le respect de la politique de protection des données établie par SPHERAG doit être garanti.

7. Gestion des risques

Tous les systèmes soumis à la présente politique procèdent à une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse est répétée:

• Régulièrement, au moins une fois par an.
• Lorsque le type d’informations traitées change.
• Lorsque les services fournis changent.
• Lorsqu’un incident de sécurité grave se produit.
• Lorsque des vulnérabilités graves sont signalées.

Pour harmoniser les analyses de risque, le comité de sécurité de l’information établit une évaluation de référence pour les différents types d’informations traitées et les différents services fournis. Le comité de sécurité de l’information rationalise la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en encourageant les investissements horizontaux.

8. Obligations du personnel

Tous les utilisateurs des systèmes d’information de SPHERAG sont responsables de la sécurité du patrimoine d’information
par le biais d’une utilisation correcte de celle-ci, toujours en accord avec leurs attributions professionnelles et académiques.

Tous les membres de SPHERAG ont l’obligation de connaître et de respecter cette politique de sécurité de l’information et la Norme de Sécurité, étant de la responsabilité du Comité de Sécurité de l’Information de mettre en place les moyens nécessaires pour que l’information parvienne aux personnes concernées.

Les membres de SPHERAG recevront une formation en matière de sécurité de l’information. Un programme de sensibilisation continue sera mis en place à l’intention de tous les membres de SPHERAG, en particulier ceux de nouvelle incorporation.

Les personnes chargées de l’utilisation, de l’exploitation ou de l’administration des systèmes TIC sont formées au fonctionnement sécurisé des systèmes dans la mesure où elles en ont besoin pour accomplir leur travail. La formation est obligatoire avant d’assumer une responsabilité, qu’il s’agisse d’une première mission ou d’un changement de poste ou de responsabilités professionnelles.

Le non-respect de la présente politique de sécurité de l’information peut donner lieu à des mesures disciplinaires appropriées, sans préjudice des responsabilités juridiques correspondantes.

9. Tiers

Lorsque SPHERAG fournit des services à d’autres organisations ou traite des informations provenant d’autres organisations, celles-ci seront informées de la présente politique de sécurité de l’information. Des canaux seront établis pour le rapport et la coordination des comités de sécurité de l’information respectifs et des procédures seront établies pour la réaction aux incidents de sécurité.

Lorsque SPHERAG utilise les services de tiers ou cède des informations à des tiers, ceux-ci seront informés de la présente politique de sécurité et des règles de sécurité qui s’appliquent auxdits services ou informations. Ce tiers sera soumis aux obligations établies dans ces règlements, pouvant développer ses propres procédures opérationnelles pour les satisfaire. Des procédures spécifiques de notification et de résolution des incidents doivent être mises en place. Il convient de veiller à ce que le personnel du tiers soit suffisamment sensibilisé à la sécurité, au moins au même niveau que celui défini dans la présente politique.

Lorsqu’un aspect de la politique ne peut être satisfait par un tiers conformément aux paragraphes ci-dessus, un rapport du responsable de la sécurité est exigé, qui expose les risques encourus et la manière dont ils seront traités. Ce rapport devra être approuvé par les responsables des informations et des services concernés avant de poursuivre la procédure.