Politique de sécurité de l'information

1. Champ d'application

L'information et ses référentiels sont des actifs cruciaux pour Vieira de Almeida (VdA). Quels que soient la forme et les moyens de transmission, de collecte et de stockage de l'information, celle-ci doit être protégée de manière adéquate. Dans ce contexte, la sécurité de l'information est une priorité absolue et un point central de toutes les activités du cabinet, et elle est considérée comme une pratique essentielle pour le développement durable de son activité.

La politique de sécurité de l'information (PSI) est un document qui relève du niveau stratégique de la structure documentaire de la sécurité de l’information de VdA, structure qui est définie et organisée dans le système de gestion de la sécurité de l'information (SGSI), conformément à la norme ISO/IEC 270001 (Systèmes de management de la sécurité de l'information), qui :

  • Définit la stratégie et les principes généraux de la gestion de la sécurité de l'information ;
  • Définit le modèle d'organisation et de gouvernance de la sécurité de l'information ;
  • Vise à promouvoir une culture de la sécurité de l'information ;
  • Vise à promouvoir la sécurité de l'information en tant qu'objectif indispensable.

2. Définition de la sécurité de l'information

La sécurité de l'information vise à protéger les informations contre un large éventail de menaces par le biais d'un processus de gestion des risques, assurant la continuité de l’activité du cabinet et maximisant le retour sur les investissements réalisés.

Toute information a de la valeur pour le cabinet et doit être correctement protégée. La protection de l'information s'articule toujours autour de trois axes principaux :

  • Confidentialité : veiller à ce que l’information ne soit accessible qu’aux personnes autorisées à y accéder ;
  • Intégrité : préserver l'exactitude des informations et des méthodes de traitement afin de garantir leur crédibilité et leur solidité ; et
  • Disponibilité : veiller à ce que les utilisateurs autorisés aient accès aux informations et aux actifs correspondants chaque fois que cela est nécessaire.

VdA utilise la norme ISO/IEC 20071 comme référence pour la gestion de la sécurité de l'information, qui, conjointement avec la législation et la réglementation applicables, ainsi que d'autres bonnes pratiques internationales dans ce domaine, constituent la base de tous les contrôles, politiques et procédures qui composent son SGSI.

3. Principes et objectifs de la sécurité de l'information

Les principes de la sécurité de l'information sont fondés sur le soutien et la protection de l'activité opérationnelle de VdA, ainsi que sur la promotion de comportements acceptables et souhaitables que tous les utilisateurs devraient adopter, définissant ainsi une culture favorable à la sécurité de l'information dans l'ensemble du cabinet. Dans ce contexte, les objectifs du SGSI sont les suivants :

  • Veiller à ce que la sécurité de l'information fasse partie intégrante de toutes les activités essentielles ;
  • Veiller à ce que la sécurité de l'information contribue à la création de valeur et soutienne l’activité du cabinet ;
  • Veiller à ce que les obligations légales et réglementaires soient respectées, que les attentes des parties prenantes soient gérées et prises en compte, et que les amendes imposées par les organismes de réglementation soient évitées ;
  • Analyser et évaluer les menaces émergentes pour la sécurité de l'information, afin que des mesures puissent être prises pour atténuer les risques en connaissance de cause et en temps utile ;
  • Réduire les coûts, améliorer l'efficacité et l'efficience et promouvoir une culture d'amélioration continue de la sécurité de l'information ;
  • Veiller à ce que les risques soient traités de manière cohérente et efficace ;
  • Orienter les ressources en matière de sécurité de l'information vers la protection des actifs où les incidents de sécurité pourraient avoir un impact significatif sur l'activité opérationnelle ;
  • Promouvoir une culture proactive en ce qui concerne les questions de sécurité de l'information, en encourageant un comportement responsable de la part des utilisateurs finaux, réduisant la probabilité d'incidents de sécurité et limitant l'impact sur l'activité opérationnelle.

4. Responsabilités en matière de sécurité de l'information

La PSI s'applique à tous les employés de VdA, quel que soit leur poste ou leur fonction, quel que soit leur niveau de responsabilité et les fonctions qu'ils exercent, ainsi qu'à toutes les parties prenantes (parties intéressées ou impliquées dans l’activité commerciale de VdA ; y compris, mais sans s'y limiter, les employés, les clients, les fournisseurs, les actionnaires, les organismes de réglementation, etc.) qui ont accès aux informations dont VdA est responsable.

Les parties prenantes doivent connaître les instructions, les règles et les sanctions relatives au fonctionnement des services qu'elles utilisent et :

  • Accepter pleinement les règles et les responsabilités définies dans le présent document et dans les règles et procédures internes de VdA concernant l'utilisation des ressources liées au traitement de l’information ;
  • Respecter les codes de déontologie professionnelle, ainsi que les exigences de la législation en vigueur relative aux activités du secteur, en accordant une attention particulière à la législation sur la protection des données ;
  • Signaler immédiatement toute défaillance ou non-conformité identifiée dans le domaine de la sécurité de l'information, conformément à la procédure de signalement des incidents ;
  • Assumez la responsabilité de leur identité électronique, de leurs mots de passe, de leurs références d'authentification, de leurs autorisations ou de tout autre dispositif de sécurité, et ne pas partager ces informations avec qui que ce soit ;
  • Respecter les règles d'accès et de distribution de tous les actifs classés comme informations confidentielles, informations restreintes ou informations internes.

5. Divulgation

La PSI est stratifiée en fonction de son objectif et de son public et est disponible pour toutes les parties prenantes internes et externes de VdA.

6. Validité et révision

Ce document est valable à partir de sa date d'approbation jusqu'à ce qu'une nouvelle version soit communiquée et approuvée. Il est révisé chaque année ou lorsque des changements dans les exigences internes ou externes exigent une révision plus régulière.

7. Version et classification

Ce document est accessible au public et correspond à sa mise à jour du 2025-02-13.