Lettre d'engagement de la Direction

La protection de l’information et la confiance sont deux piliers historiques de notre entreprise. Nos clients nous fournissent au travers des Call Details Records (CDR) des millions de données personnelles à traiter depuis plus de quinze ans. Assurément, les modalités de transmission de ces données évoluent avec le temps.

Ces dernières années sont marquées par de nombreuses réglementation : RGPD, NIS2 ou encore DORA.
Outre des ajouts de normes, l’objectif est évidemment de protéger nos entreprises françaises et européennes contre la cybercriminalité. Nous n’avons pas attendu ces textes pour mettre en œuvre la protection des données de nos clients.

Nos clients nous confient la fonction la plus sensible de leur système d’information : leur facturation. C’est un choix stratégique et qui repose sur une confiance basée sur notre expérience, notre histoire, notre fidélité. Assurer la sécurité des données est vital pour la pérennité de notre entreprise, mais également celle des 300 entreprises nous ayant confié les clefs de leur affaire.

Pour ce faire nous devons commencer par assurer à nos collaborateurs les moyens de travailler dans cet univers. La protection du patrimoine informationnel prend racine dans la Politique de Sécurité des Systèmes d’Information (PSSI). Ce document pose un cadre commun destiné à l’ensemble des équipes (Direction, pôle commercial, pôle support, pôle technique).

Fruit de notre expérience et notre relation avec nos clients, ce cadre commun rappelle à chacun les enjeux de la protection de l’information, les principes de gestion et de traitement des risques cyber, l’organisation et les responsabilités en matière de protection.

Il reviendra à la Direction et aux manager de décliner la PSSI et de la compléter par les procédures opérationnelles adaptées aux différents pôles qui composent notre entreprise. L’implication de tous est indispensable pour préserver la précieuse confiance de nos clients.

Abraham Bomer (Président) & Paul-Antoine Gerbay (DG)

2. Contexte et Objectifs

  1. Contexte

Gestion Systèmes Télécom (GST) est l’éditeur et l’hébergeur du logiciel CFAST à destination des professionnels.
Depuis 15 ans GST développe le logiciel CFAST à destination des opérateurs télécoms et MSP français. La société a acquis la confiance de plus de 400 opérateurs accompagnés au quotidien dans leurs enjeux en facturation et système d’information. La technologie évolue, la réglementation aussi avec la réforme de la facturation électronique (RFE). Les clients attendent de GST le suivi de tous leurs enjeux.
Ses activités sont basées à St Apollinaire et le logiciel CFAST est hébergé dans des datacenters Parisiens.

2. Périmètre de la SSI

La Sécurité des Systèmes d’Information (SSI) de GST couvre l’ensemble des systèmes d’information avec toute la diversité que cela implique dans les usages, les lieux d’utilisation, les méthodes d’accès, les personnes concernées :
– Le système informatique interne à GST
– La gestion du télétravail
– Les applications à usage professionnelles (messagerie, stockage, sauvegarde, application de développement, usine logiciel, gestion de tickets, …)
– Les systèmes de télécommunication (VoIP, Mobile, Visio conférence)
– Les systèmes hors champs informatiques s’appuyant néanmoins sur ses ressources (Surveillances des locaux, contrôles d’accès)
– Les interconnexions avec les clients et prestataires

3. Besoin de sécurité 

La sécurité du Système d’Information repose sur les critères suivants :
– Confidentialité : « La confidentialité est la propriété qu’une information n’est ni disponible ni divulguée aux personnes, composantes ou processus non autorisés » norme ISO 7498-2 (ISO90).
– Disponibilité : Propriété d’accessibilité au moment voulu des données et des fonctions par les utilisateurs autorisés.
– Intégrité : « L’intégrité est la prévention d’une modification non autorisée de l’information » norme ISO 7498-2 (ISO90).
Les besoins de sécurité s’appliquent aussi bien aux ressources du système d’information (postes informatiques, réseaux, applications…) qu’aux données traitées par ces ressources. Il est nécessaire d’inventorier et de classifier ces données afin d’en identifier le degré de sensibilité et donc le besoin de protection nécessaire.

4. Menaces

Afin de mettre en place les moyens de sécurité adéquates, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – DCSSI) préconise de connaître les typologies de menaces et leurs impacts. On distingue ainsi :

– Intrusion ou compromission du SI (accès non autorisé au système, utilisation abusive de privilèges, installation de logiciels malveillants.)
– Perturbation du fonctionnement (déni de service (DoS/DDoS), panne ou dégradation des services critiques, saturation ou blocage des ressources.)
– Altération des données (modification malveillante ou accidentelle des données, falsification d’informations (logs, commandes, capteurs…).
– Divulgation d’informations (fuite de données sensibles (secrets industriels, informations personnelles, codes sources…, espionnage industriel ou cyber espionnage.)
– Destruction de données ou de systèmes (suppression volontaire ou accidentelle de fichiers ou de composants système, ransomwares, effacement de disques, sabotage matériel.)
– Utilisation frauduleuse (usurpation d’identité, détournement de services à des fins non autorisées.)
– Manœuvres d’ingénierie sociale (phishing, spear-phishing, manipulation psychologique d’utilisateurs légitimes pour obtenir des accès.)

Pour chaque menace, il est alors nécessaire d’en évaluer le risque, considérer la probabilité que celle-ci devienne réalité et détecter les éventuels facteurs aggravants (négligence constatée, insuffisance d’information, de consignes…). Une analyse complète EBIOS est en cours de réalisation à GST dans le cadre de la formalisation d’une PRA et PCA.

5. Pilotage

Au sein de GST, la responsabilité générale de la sécurité des systèmes d’information relève du Président et du Directeur Général. Ils sont assistés dans cette fonction par le Responsable de la Sécurité des Système d’Information (RSSI).
La PSSI de GST s’inscrit dans la volonté d’une conformité aux règles de l’ANSSI et de la futur directive Européenne NIS2.
Le pilotage courant est de la responsabilité du RSSI. La mise en œuvre opérationnel est assurée par le RSSI et le Pôle Exploitation de GST coordonnée avec les différents services de GST.

3. mise en oeuvre de la PSSI à Gestion Systèmes Télécom

La PSSI de GST affiche un ensemble de principes d’ordre organisationnel et technique à caractère prioritaire. Ces principes sont explicités, voire complétés, dans le cadre d’instructions ou dispositions techniques dont la responsabilité d’élaboration, de diffusion et d’information relève de la chaîne fonctionnelle SSI.

  1. Organisation – Responsabilité

Responsabilité des différents acteurs :
Les acteurs intervenant en matière de sécurité des systèmes d’information doivent être informés de leurs responsabilités en matière de SSI. Dans l’exercice de leur activité, ils sont liés à leur devoir de réserve voire à des obligations de secret professionnel.

Responsable de la Sécurité des Systèmes d’Information
Le RSSI exerce sous l’autorité directe du Président et du Directeur Général de GST, les activités suivantes :
– Contribuer activement à l’élaboration d’une politique de sécurité cohérente admise par tous et la mettre en œuvre.
– Contribuer activement à l’élaboration d’une politique de sécurité cohérente admise par tous et la mettre en œuvre.
– Exploiter et relayer les informations relatives à la sécurité en provenance du CERT-FR ou d’autre autorité en matière de cybersécurité.
– Faire connaître et respecter la charte informatique au sein de GST
– Proposer et mettre en œuvre des actions de sensibilisation et d’information de tous les utilisateurs aux aspects sécurité des systèmes d’information.

Accès aux ressources informatiques :
La mise à disposition d’un utilisateur de moyens informatiques doit être formalisée à l’arrivée, au changement de fonction et au départ de l’intéressé. L’accès aux ressources doit être contrôlé (identification, authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur).

Charte informatique :
Préalablement à son accès aux outils informatiques, l’utilisateur doit prendre connaissance des droits et devoirs que lui confère la mise à disposition par sa composante de ces outils. Cette information se fait au travers de la « charte informatique » intégrée dans le règlement intérieur de GST.

Cybersurveillance :
La sécurité des systèmes d’information exige de pouvoir surveiller le trafic sur le réseau et tracer les actions effectuées. Les dispositifs mis en œuvre doivent être conformes à la réglementation en vigueur et respecter les principes de proportionnalité (adaptation du niveau des moyens à l’enjeu effectif de la sécurité) et de transparence (information des partenaires sociaux et utilisateurs).

2. Protection des données

Disponibilité, confidentialité et intégrité des données :
Le traitement et le stockage des données numériques, l’accès aux applications et services et les échanges de données entre systèmes d’information doivent être réalisés selon des méthodes visant à prévenir la perte, la modification et la mauvaise utilisation des données ou la divulgation des données ayant un caractère sensible.
Une sauvegarde régulière des données avec des processus de restauration régulièrement validés est mise en place. On distinguera les sauvegardes de production (par exemple, restauration d’une donnée) des sauvegardes de recours (par exemple, reprise des services sur des moyens externes suite à incident majeur). Une étude fine des données (criticité, volatilité, fluctuation…) permettra de définir la périodicité et le type de sauvegarde ainsi que la durée de rétention dans le respect des législations en vigueur.
L’ensemble des données de CFAST sont traité dans des datacenters en situé en France. Il en va de même pour les sauvegardes.

Protection des données sensibles :
L’ensemble des données sensibles sont soit chiffrées soit hachées au moyen d’algorithmes de hachage cryptographique (mot de passe, corp d’email).
Le personnel de GST accède uniquement aux informations nécessaires à la réalisation de son travail.

Données à caractère personnel :
Les traitements de données susceptibles de contenir des informations à caractère personnel (au sens de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés) font l’objet des formalités requises et listé dans les différents registre RGPD. Les données à caractère personnel constituent des données sensibles et comme telles font l’objet de protection.

Chiffrement :
Le chiffrement, en tant que moyen de protection, est obligatoire pour le stockage et l’échange de données sensibles. Les produits matériels et logiciels utilisés font l’objet d’un agrément par la RSSI. Une copie des clés permettant de restituer les données en clair sont stockées et sauvegardées de manière sécurisé.

3. Sécurisation du système d’information

Administration des serveurs :
L’administration des serveurs d’hébergement de la solution CFAST en mode SAAS est placé sous la responsabilité des administrateurs systèmes et réseaux de GST.

Administration des postes de travail:
L’administration des postes de travail individuels est placée sous la responsabilité des administrateurs systèmes et réseaux de GST.
Les administrateurs systèmes et réseaux de GST peuvent intervenir à distance pour des opérations de maintenance sur le poste de travail d’un utilisateur après l’en avoir averti et en respectant les principes de la loi Informatique et Libertés.

Sécurisation des postes de travail et des moyens nomades:
La sécurisation des postes de travail et des moyens nomades est placée sous la responsabilité des administrateurs systèmes et réseaux de GST. L’accès aux postes de travail et moyens nomades sont protégé par une authentification à double facteur ; soit un mot de passe suffisamment robustes et l’usage d’un appareil ; chaque mot de passe est personnel et confidentiel et, à ce titre, il ne doit pas être divulgué à un tiers, quel qu’il soit, ni laissé sans protection. Les utilisateurs veillent au bon déroulement des applicatifs de sécurisation installés sur les moyens informatiques mis à leur disposition : mises à jour effectives de l’anti-virus, du système d’exploitation et des applications présentes, remontée des dysfonctionnements et incidents auprès du correspondant sécurité… En particulier, les utilisateurs prendront des mesures spécifiques adaptées en cas d’utilisation des moyens nomades en dehors de leur zone de sécurité (protection contre le vol, chiffrement…).

Contrôle d’accès:
Tout accès au système d’information est soumis à l’identification/authentification du demandeur et au contrôle de ses autorisations/habilitations. L’authentification doit se faire, dans la mesure du possible, au travers du système SSO mis en place. Il importe de bien définir les autorisations et de n’attribuer que les privilèges nécessaires. Les accès doivent être journalisés. L’utilisation de comptes partagés ou anonymes doit demeurer l’exception et être justifiée en termes de besoins. L’attribution et la modification des accès et privilèges d’un service doivent être validées par le propriétaire du service. Pour les services sensibles, un inventaire régulièrement mis à jour en sera dressé.

Infogérance et télémaintenance externes :
L’infogérance correspond au fait que des sociétés extérieures, chargées de gérer une partie de l’informatique de GST, ont accès au système d’information depuis l’extérieur ou l’intérieur. Un contrat entre l’établissement et chaque société doit clairement préciser les droits d’accès, les engagements de responsabilités et l’imputabilité en cas d’incident. Des mécanismes permettant de s’assurer du respect des limites d’intervention doivent être mis en œuvre dans la mesure du possible. L’externalisation de la gestion d’exploitation d’un composant critique pour le système d’information est à proscrire, sauf dispositions de garantie spécifiques et validées au niveau du RSSI, voire le Président et le Directeur Général selon l’importance de l’application.

Réseau:
L’administration du réseau de GST est placée exclusivement sous la responsabilité des administrateurs systèmes et réseaux de GST.
Les systèmes d’information sont être protégés vis-à-vis de l’extérieur à l’aide de filtres d’accès appliqués sur les équipements en tête de son réseau. Ces filtres s’appliquent tant sur les flux réseau entrants que sur les flux sortants. Les flux entrants concernent principalement l’accès aux serveurs privés ; l’accès extérieur aux postes de travail doit demeurer l’exception et être justifiée en termes de besoins et de compétences. La politique de définition des filtres d’accès décrivant les flux réseau entrants est systématiquement du type « tout ce qui n’est pas explicitement autorisé est interdit ».
Les serveurs doivent être protégés spécifiquement vis-à-vis des postes de travail et des autres serveurs. Nous distinguons les serveurs accessibles uniquement à partir du réseau de GST et ceux accessibles aussi de l’extérieur. Pour chaque réseau de serveurs, les filtres d’accès, tant sur les flux réseau entrants que sur les flux sortants, sont systématiquement du type « tout ce qui n’est pas explicitement autorisé est interdit ». Les serveurs potentiellement accessibles de l’extérieur feront l’objet d’une surveillance accrue (outils d’analyse des traces, de métrologie…). L’accès externe aux serveurs par les moyens nomades de GST s’effectue au travers de connexions dédiées et chiffrées (VPN).
L’accès au réseau sans-fil doit faire l’objet d’un contrôle spécifique et n’être accessible qu’après authentification de l’utilisateur. Les accès doivent être journalisés. Une attention particulière doit être portée aux moyens nomades lors de leur réintroduction sur le réseau de GST pour éviter, notamment, de contaminer l’intérieur par des logiciels malveillants.

Maintien du niveau de sécurité:
Le maintien du niveau de sécurité fait l’objet de dispositions techniques sous la responsabilité du RSSI. Ces dispositions intègrent le maintien au cours du temps de l’état de sécurité des différents matériels : application des correctifs, mises à jour des anti-virus, pare-feu… Elles précisent les conditions de surveillance du fonctionnement du système d’information de manière à s’assurer de son état de sécurité : analyse des journaux, vérification des vulnérabilités, suivi des avis de sécurité…

4. Mesure du niveau effectif de sécurité

Contrôle de gestion:
Le contrôle de gestion de la sécurité des systèmes d’information s’opère sous la responsabilité du RSSI.

Audits:
Le niveau de sécurité des systèmes d’information et la conformité de mise en œuvre des recommandations sur le terrain peuvent donner lieu à des audits internes sous la responsabilité du RSSI ou des audits externes sous la supervision du RSSI et après accord du Président et du Directeur Général.

Journalisation, tableaux de bord:
Le système d’information doit comprendre des dispositifs de journalisation centralisée et protégée de l’utilisation des services. L’objectif est de permettre de détecter des intrusions ou des utilisations frauduleuses, de tenter d’identifier les causes et les origines, d’éviter des contaminations d’autres sites par rebond et de remettre en place le système. Conformément à la législation française, ces informations peuvent faire l’objet d’une transmission aux autorités compétentes après avis du Président et du Directeur Général.
La durée de conservation des fichiers de traces à des fins de preuve doit être conforme aux lois et règlements en vigueur.
Il importe de définir, et de faire connaître aux utilisateurs, les règles d’exploitation des fichiers de traces (contenu, durée de conservation, utilisation) dans le respect du « principe de proportionnalité » et des contraintes législatives et réglementaires concernant notamment le traitement des informations à caractère personnel.

Les fichiers de traces:
Les fichiers de traces seront systématiquement analysés afin de repérer d’éventuels problèmes et de produire des statistiques et tableaux de bord.

Gestion d’incidents:
Chaque acteur du système d’information, utilisateur ou administrateur, doit être sensibilisé à l’importance de signaler tout incident réel ou suspecté ; ceci inclut le vol de moyens informatiques ou de supports de données. Le signalement des incidents à la chaîne fonctionnelle SSI et aux autorités hiérarchiques est systématique.
Lorsque l’incident peut mettre en cause GST dans son fonctionnement, le RSSI doit être informé directement, voire, parallèlement, le Président et le Directeur Général selon la gravité de l’incident (données sensibles…).
Toute infraction susceptible d’implications juridiques fera l’objet d’un dépôt de plainte par le RSSI auprès des autorités compétentes.

Gestion de crise:
GST dispose d’un Plan de Reprise d’Activité et d’un Plan de Continuité d’Activité en cours de documentation. Ces deux plans assurent à GST une pérennité de ses fonctions et de l’accès à CFAST en mode SAAS aux clients.