RCCM: CD/KNG/RCCM/22-B-02165

ID Nat: 01-J6100-N17367K
NIF: A2300308L

POLITIQUE DE SECURITE
DE SYSTEMES
D’information
 02
INTRO
La politique de sécurité des systèmes d’information (PSSI)
contribue à :*
$ Assurer la continuité des activités;*
$ Prévenir la fuite d’informations sensibles ;*
$ Renforcer la confiance des clients dans les entreprises et
dans les téléprocédures.

Le présent document définit les mesures de sécurité

applicables aux systèmes d’information de l’entreprise.

Dans cette politique nous tenons à exposer les 10 principes pour

garantir la robustesses de systèmes d’informations tant internes
que ceux développés pour les partenaires et clients de
Rhincoeros Software SAS

Cette Politique de sécurité de systèmes d’information définit

l’approche de Rhinoceros Software SAS en matière de
prévention des risque liés aux systèmes d’informations internes
et externes (logiciels développé pour le compte des tiers).

A QUI S’ADDRESSE CETTE POLITIQUE

La Politique s’applique à tous les employés, directeurs et cadres
de Rhinoceros Software SAS.
 03

NOTRE PSSI

En tant qu’acteur de la transformation digitale des entreprises,

notre mission ne se limite pas à rationaliser les processus

métiers de nos clients mais surtout à garantir la résistance de

nos solutions livrées dans le futur face à des attaques ou

défaillances humaines

Pendant le développement des systèmes d’information de nos

clients et partenaires, nous tenons compte de standards

internationaux de la sécurité des systèmes d’information. Parmi

ces standards, on peut citer 

 La famille des normes ISO 27000 (27001, 27002, 27003,

27004, 27005, 27006, 27007 et 27008)

 La norme Open Web Application Security Project (OWASP)

pour la sécurité des application s web.

Nous sommes engagés à mettre les moyens nécessaires en

œuvre pour le développement d’un Système de Management

de la Sécurité d’Information efficace.

 04

INSTRUCTIONS
 05

Article 1 : Objet du document

Le présent document fixe les conditions de mise en œuvre de
la politique de sécurité des systèmes d’information de
l’entreprise (PSSI).
Article 2 : Champs d’application
La PSSI s’applique à tous les systèmes d’information (SI) de
l’entreprise ainsi que ceux développé pour les clients et
partenaires. La PSSI concerne l’ensemble des personnes
physiques ou morales intervenant dans ces SI, qu'il s'agisse
des agents de l’entreprise ou bien de tiers (prestataires ou
sous-traitants) et de leurs employés. La PSSI s’impose aussi
aux systèmes aptes à traiter des informations classifiées de
défense même s’ils sont soumis à un corpus réglementaire
spécifique et complémentaire. La plupart des règles de
sécurité de la PSSI constituent des règles de base.

Article 3 : Entrée en vigueur

La PSSI entre en vigueur le jour de sa publication.

Article 5 : Formation des agents

L’entreprise forme les agents chargés d’appliquer la PSSI. Ces
derniers doivent être sensibilisés à la sécurité des SI (SSI) et au
respect des règles de sécurité. Les agents exploitant les SI ou
assurant des missions en lien avec la SSI font l’objet de
formations adaptées.
 06
Article 6 : Pilotage et évolutions
La PSSI est amenée à évoluer dans le temps. Elle pourra
notamment être revue afin de prendre en compte

Les évolutions des menaces et les retours d’expérience des

traitements d’incidents ;)
Les résultats d’analyses de risques ainsi que les actions
découlant de contrôles ou d’inspections ;)
Les évolutions des contextes organisationnel, juridique,
réglementaire et technologique. Le suivi de ces évolutions
est assuré par le RSSI en liaison avec la direction, il a pour
principales missions : suivre la mise en œuvre de la PSSI;
proposer des mises à jour ; proposer des documents
complémentaires et des directives permettant d’en
faciliter ou d’en préciser la mise en œuvre et de suivre les
évolutions des documents techniques.

Article 7 : Organisation de l’entreprise pour la

mise en application de la PSSI
La direction :)

Est l’autorité en charge de la sécurité des systèmes

d’information. A ce titre, elle est chargée de valider les
mesures de protection des SI élaborés par le RSSI et de
veiller à leur application. C’est dans ce cadre que la
présente PSSI a été définie ;)
Est chargée de faire mener des inspections des systèmes
d’information au sein des services de l’Entreprise ;

 07
Œ Se fait présenter régulièrement la situation des systèmes
d’information de l’entreprise en liaison avec les directions
ou responsables des systèmes d’information; - etc.

Article 8 : Contrôle et suivi de l’application

Le respect de la PSSI fait l’objet de contrôles réguliers à
différents niveaux, à définir par l’entreprise. Le RSSI vérifie, lors
de ces contrôles, la conformité des dispositions prises par les
entités avec les exigences de la présente PSSI. En
complément, des actions de contrôle peuvent être engagées
à la suite d'incidents de sécurité majeurs, ou en cas de forte
suspicion de non-conformité.

Article 9 : Traitement des incidents et gestion

de crise
La rapidité des attaques informatiques rend nécessaire une
veille renforcée et une réaction coordonnée des différents
acteurs. Afin de rétablir le fonctionnement rapide des activités
vitales de l’entreprise, une stratégie de traitement des
incidents et de gestion de crise est mise en place. L’ensemble
des acteurs (utilisateurs, responsables d’applications, des
réseaux et des centres serveurs ....) doit remonter au RSSI tout
événement affectant ou pouvant affecter la disponibilité,
l’intégrité, la confidentialité ou la traçabilité des systèmes
d’information d’une entité.

 08

Une situation d’urgence SSI résulte de toute alerte ou incident

sur un ou plusieurs systèmes d’information (SI) générant un
dysfonctionnement majeur des activités de l’entreprise. Une
situation de cette nature impose une forte réactivité et une
coordination planifiée des différents acteurs concernés. Il est
donc impératif que les responsables prennent en compte la
problématique SSI dans leur organisation de gestion de crise et
leurs plans de continuité et de reprise d’activité. Ces actions
doivent être menées en cohérence, si besoin, avec la
planification gouvernementale de gestion de crise.
 09

OBJECTIFS
 10
Objectif 1 : Politique, organisation, gouvernance
organisation de la SSI. Mettre en place une organisation
adéquate, garantissant la prise en compte préventive et
réactive de la sécurité.

Objectif 2 : Ressources humaines

Faire des personnes les maillons forts des SI de l’entreprise.

Objectif 3 : Gestion des biens

Subdivisé en deux objectifs suivants E
L Cartographie des SI. Tenir à jour une cartographie détaillée
et complète des SI.@
L Qualification et protection de l’information. Qualifier
l’information de façon à adapter les mesures de protection
Objectif 3 : Intégration de la SSI dans le cycle de
vie des systèmes d’information
Subdivisé en deux objectifs suivants E
L Risques. Apprécier, traiter, et communiquer sur les risques
relatifs à la sécurité des systèmes d’information.@
L Maintien en condition de sécurité. Gérer dynamiquement
les mesures de protection, tout au long de la vie du SI.
 11

 Produits et services qualifiés ou certifiés. Utiliser des

produits et services dont la sécurité est conforme aux
standards internationaux, afin de renforcer la protection
des SI.
 Maîtrise des prestations. Veiller aux exigences de sécurité
lorsqu’il est fait appel à de la prestation par des tiers

Objectif 4 : Sécurité physique

Sécurité physique des locaux abritant les SI. Inscrire la

sécurisation physique des SI dans la sécurisation physique
des locaux et dans les processus associés.

Objectif 5 : Sécurité physique des centres

informatiques

Subdivisé en deux objectifs suivants e

 Sécurité physique des centres informatiques.

Dimensionner les protections physiques des centres
informatiques en fonction des enjeux liés à la
concentration des moyens et données abritésQ
 Sécurité du SI de sûreté. Traiter de manière globale la
sécurité des systèmes d’information et de
communication qui assurent la sûreté d’un site

Objectif 6 : Sécurité des réseaux

Subdivisé en sept objectifs suivants :

 12

$ Usage sécurisé des réseaux nationaux. Utiliser les

infrastructures nationales, en respectant les règles de
sécurité qui leur sont attachées
$ Usage sécurisé des réseaux locaux. Maîtriser les
interconnexions de réseaux locaux. Configurer de manière
adéquate les équipements de réseau actifs.
$ Accès spécifiques. Ne pas porter atteinte à la sécurité du SI
par le déploiement d’accès non supervisés.
$ Usage sécurisé des réseaux sans fil. Maîtriser le
déploiement, la configuration et l’usage des réseaux sans
fil.
$ Sécurité des mécanismes de commutation et de routage.
Configurer les mécanismes de commutation et de
routage pour se protéger des attaques.
$ Cartographie réseau. Tenir à jour une cartographie
détaillée et complète des réseaux et des interconnexions.
$ Architecture sécurisée des centres informatiques.
Appliquer les principes de défense en profondeur à
l’architecture matérielle et logicielle des centres
informatiques.

Objectif 7 : Exploitation des SI

Subdivisé en six objectifs suivants >

$ Protection des informations sensibles. Définir et mettre en

œuvre des mesures de protection renforcées pour les
informations sensibles.
$ Surveillance et configuration des ressources informatiques.
Durcir les configurations des ressources informatiques, et
surveiller les interventions opérées sur celles-ci.
 13

) Autorisations et contrôles d’accès. Authentifier les usagers

et contrôler leurs accès aux ressources des SI de
l’Entreprise, en fonction d’une politique explicite
d’autorisations.
) Sécurisation de l’exploitation. Fournir aux administrateurs
les outils nécessaires à l’exercice des tâches SSI et
configurer ces outils de manière sécurisée.
) Défense des systèmes d’information. Défendre les SI
nécessite une vigilance de tous, et des actions
permanentes.
) Exploitation sécurisée des centres informatiques. Exploiter
de manière sécurisée les centres informatiques en
s’appuyant sur des procédures adaptées et sur la maîtrise
des outils de supervision.

Objectif 8 : Sécurité du poste de travail

Subdivisé en quatre objectifs suivants >

) Sécurisation des postes de travail. Durcir les configurations

des postes de travail en protégeant les utilisateurs1
) Sécurisation des copieurs multifonctions. Paramétrer les
imprimantes et copieurs multifonctions afin de diminuer
leur surface d’attaque.
) Sécurisation de la téléphonie. Sécuriser la téléphonie pour
protéger les utilisateurs contre des attaques malveillantes1
) Contrôles de la conformité des postes de travail. Contrôler
régulièrement la conformité des paramétrages de sécurité
appliqués aux postes de travail.
 14
Objectif 9 : Sécurité du développement des
systèmes
Subdivisé en trois objectifs suivants 
Prise en compte de la sécurité dans le développement des
SI. Reconnaître la sécurité comme une fonction
essentielle, et la prendre en compte dès la conception des
projets
Prise en compte de la sécurité dans le développement des
logiciels. Mener les développements logiciels selon une
méthodologie de sécurisation du code produit
Sécurisation des applications à risques. Accompagner le
développement sécurisé d’applications à risques par des
contre-mesures minimisant l’impact d’attaques nouvelles.
Objectif 10 : Continuité d’activités
Gestion de la continuité d’activité. Se doter de plans de
continuité d’activité, et les tester.
Objectif 11 : Contrôles
Contrôles réguliers. Effectuer des contrôles (audits,
inspections) et des exercices réguliers de façon à mesurer les
progrès accomplis et corriger les manquements.
 15

CONCLUSION