Entreprise
Legrand Care Expertise Éthique des affaires Sécurité Qualité Environnement Mentions Légales Politique de confidentialité
Blog
Legrand Care Evénements Produits Services
Téléchargements
Information produits Images Documents Logiciels
Contact
Siège Social International Nous rendre visite LinkedIn X
Entreprise Blog Téléchargements Connexion CMP Contact
Produits
Transmetteurs Récepteurs Radio Adaptation du logement Systèmes de gestion d'alarme Transmetteurs Radio Outils de configuration Accessoires Logiciels / Applications
Téléassistance connectée
Appel infirmier
Gestion des troubles cognitifs
Produits
Entreprise
Blog
Téléchargements
Connexion CMP
Contact
Ne privacy 1920x1080
Accueil
Sécurité

Dernière modification : 15 avril 2024

Politique générale de sécurité de l'information

1. OBJECTIF

La direction de Legrand Group España S.L. définit cette politique générale de sécurité de l'information (PSI), qui est développée dans d'autres politiques plus spécifiques visant à garantir la sécurité de l'information dans différents aspects pertinents pour l'organisation.

2. PROPRIÉTAIRE

Adresse.

3. MISSION ET CHAMP D'APPLICATION

  • Mission de l'organisation
    Notre mission est d'aider les gens à mener une vie saine et épanouie. LEGRAND GROUP ESPAÑA S.L., conscient de l'importance et de la sensibilité des informations traitées dans le cadre de ses services professionnels d'installation, de maintenance et de support des systèmes d'information pour le secteur de la santé et des services sociaux, a décidé de mettre en place un Système de gestion de la sécurité de l'information (SGSI), afin de démontrer son engagement en matière de sécurité de l'information.

Cette politique a été approuvée par la direction générale de LEGRAND GROUP ESPAÑA S.L. afin de créer un cadre d'action permettant :

  • De garantir un niveau optimal de sécurité de l'information géré par LEGRAND GROUP ESPAÑA S.L., afin de gagner la pleine confiance des utilisateurs des services de santé.
  • De préserver la disponibilité, l'intégrité, la confidentialité, l'authenticité et la traçabilité des informations traitées, en répondant aux besoins et attentes des parties intéressées incluses dans le champ d'application du SGSI.
  • D'assurer le respect de la législation en vigueur et des réglementations applicables concernant la sécurité des informations contenues dans le champ d'application du SGSI, ainsi que des autres exigences contractuelles.
  • D'aligner cette politique de sécurité avec les autres politiques de l'organisation.
  • De protéger les informations gérées par le SGSI contre tout usage abusif, prévenir les incidents de sécurité possibles et réduire leur impact potentiel.
  • D'assurer la capacité de réponse aux situations d'urgence en établissant des plans de continuité et de disponibilité.
  • De définir un système de gestion permettant l'amélioration continue de la sécurité de l'information dans tous les processus impliqués dans le champ d'application défini pour ce système.

À cette fin, une méthodologie de gestion et de traitement des risques a été définie et approuvée, qui :

  • Identifie les actifs du SGSI et leur valeur d'un point de vue sécuritaire.

  • Identifie les menaces potentielles pour ces actifs et évalue leur niveau de risque.

  • Établit un plan de traitement des risques et des contrôles de sécurité visant à réduire les niveaux de risque déterminés à un niveau acceptable.

  • Suit et révise annuellement l'état du système et l'adéquation de l'analyse des risques effectuée.

Champ d'application

  • Service pour la fourniture de la plateforme technologique pour la prestation de services socio-sanitaires, y compris la mise en œuvre, la maintenance et le support.

4. CADRE RÉGLEMENTAIRE

  • Règlement Royal 311/2022, du 3 mai, qui régule le Schéma National de Sécurité.
  • Règlement (UE) 2016/679, du 27 avril, concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).
  • Loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques.
  • Loi 34/2002, du 11 juillet, relative aux services de la société de l'information et au commerce électronique (LSSI).

DONNÉES À CARACTÈRE PERSONNEL

Dans le domaine des données à caractère personnel, LEGRAND GROUP ESPAÑA S.L. a respecté la Loi organique 3/2018 du 5 décembre sur la protection des données personnelles et la garantie des droits numériques.
LEGRAND GROUP ESPAÑA S.L. maintient un registre des activités de traitement (RAT) décrivant tous les traitements de données personnelles.

PRINCIPES ET LIGNES DIRECTRICES

Les principes fondamentaux devant être pris en compte pour garantir la sécurité de l'information sont ceux énoncés à l'article 5 du Règlement Royal 311/2022, qui régule le Schéma National de Sécurité, de manière à ce que les menaces existantes ne se concrétisent pas ou, si elles se concrétisent, n'affectent pas gravement les informations traitées ou les services fournis.

  • Prévention
    LEGRAND GROUP ESPAÑA S.L. doit éviter ou chercher à prévenir que l'information ou les services ne soient altérés par des incidents de sécurité. À cet effet, les départements ont mis en place les mesures minimales de sécurité déterminées par le SNS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. Ces contrôles, ainsi que les rôles et responsabilités en matière de sécurité pour tout le personnel, sont clairement définis et documentés.

    Pour garantir le respect de la politique, LEGRAND GROUP ESPAÑA S.L. :
    - Autorise les systèmes avant leur mise en service.
    - Évalue régulièrement la sécurité, y compris les évaluations des modifications de configuration effectuées régulièrement.
    - Demande une révision périodique par des tiers pour obtenir une évaluation indépendante.

  • Détection
    Puisque les services peuvent se détériorer rapidement à cause d'incidents, allant d'un simple ralentissement à un arrêt complet, les services doivent surveiller en continu leur fonctionnement pour détecter toute anomalie dans les niveaux de prestation des services et agir en conséquence, comme le prévoit l'article 10 du RD 311/2022.
    La surveillance est particulièrement pertinente lors de l'établissement des lignes de défense, conformément à l'article 9 du RD 311/2022. Des mécanismes de détection, d'analyse et de rapport doivent être mis en place pour informer régulièrement les responsables lorsque des écarts significatifs se produisent par rapport aux paramètres préétablis comme étant normaux.

  • Réponse
    LEGRAND GROUP ESPAÑA S.L. dispose de mécanismes pour répondre efficacement aux incidents de sécurité. Cela comprend des communications bidirectionnelles avec les équipes de réponse d'urgence (CERTs) ou avec les responsables de la sécurité ou les points de contact des incidents d'autres entités concernées.
    L'adresse e-mail pour les communications liées aux incidents est : soporte@neat-group.com.
    Le protocole pour l'échange d'informations relatives aux incidents est défini par la procédure « SI-PR-03 »

  • Récupération
    Pour garantir la disponibilité des services critiques, LEGRAND GROUP ESPAÑA S.L. dispose d'un plan de continuité des systèmes TIC dans le cadre de son plan général de continuité des activités et de récupération. Il est défini dans la procédure « SI-PR-13 ».

  • Exigence minimales de sécurité

    1. L'analyse et la gestion des risques sont des éléments essentiels du processus de sécurité et sont maintenues constamment à jour.
    2. La sécurité de l'information est la responsabilité de tous. Toute personne ayant accès à l'information de l'organisation doit la protéger, et doit donc être adéquatement formée et sensibilisée à cet égard.
    3. La formation est essentielle pour maintenir des niveaux appropriés de professionnalisme et garantir que le personnel soit qualifié et formé de manière continue.
    4. L'information est protégée contre tout accès non autorisé ou modification, en la maintenant confidentielle et intacte. Elle doit être disponible et un accès autorisé doit être permis chaque fois que nécessaire.
    5. Tous les actifs (infrastructure, supports, systèmes, communications, etc.) où l'information réside, est transportée ou traitée doivent être adéquatement protégés.
    6. La sécurité dans l'acquisition de produits et la sous-traitance de services doit être proportionnelle à la criticité des informations qu'ils protègent et aux dommages ou pertes qui pourraient en résulter.
    7. Tous les systèmes doivent être conçus et configurés pour garantir la sécurité par défaut, en fournissant la fonctionnalité minimale nécessaire pour atteindre les objectifs de l'organisation.
    8. Tout élément physique ou logique doit être autorisé avant son installation dans le système.
    9. Les informations stockées ou transitant par des environnements non sécurisés doivent être adéquatement protégées.
    10. Les systèmes d'information doivent être adéquatement protégés à leur périmètre, en particulier en ce qui concerne leur connexion aux réseaux publics.
    11. La surveillance et l'analyse des activités inappropriées ou non autorisées sont effectuées sur la base d'un journal d'activité respectant le droit à l'honneur, à la vie privée familiale et personnelle, et à l'image des utilisateurs, et conformément aux réglementations applicables en matière de protection des données.
    12. Les systèmes de détection et de réaction aux codes malveillants sont adéquatement mis en place et sont régulièrement revus.
    13. La continuité des activités est garantie en protégeant et sécurisant les informations contre la perte de disponibilité et d'intégrité, notamment par la politique de sauvegarde.
    14. La sécurité de l'information n'est pas statique, elle est constamment surveillée et révisée périodiquement dans le cadre du cycle d'amélioration continue PDCA (Plan-Do-Check-Act) de l'organisation.
    15. Le traitement des données personnelles doit toujours être conforme aux lois en vigueur, en particulier le Règlement (UE) 2016/679 du 27 avril sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et la Loi organique 3/2018 du 5 décembre sur la protection des données à caractère personnel et la garantie des droits numériques.

5. ORGANISATION DE LA SÉCURITÉ

  • Rôles et responsabilités

Gouvernance : Comité ISS. Une figure intégrant les fonctions suivantes :

  • Responsable des données.
  • Responsable des données.
  • Responsable du service.

Supervision : Une figure, relevant de la direction, chargée de :

  • Responsable de la sécurité.

Opération : Une figure, relevant de la direction, intégrant les fonctions suivantes :

  • Responsable des systèmes
  • Administrateur de la sécurité.

Responsable de l'information

  • Il a le pouvoir d'établir les exigences de sécurité pour l'information gérée. Si cette information inclut des données personnelles, les exigences issues de la législation en vigueur en matière de protection des données doivent également être prises en compte.
  • Il détermine les niveaux de sécurité de l'information.

Responsable du service

  • Il a le pouvoir d'établir les exigences de sécurité pour les services fournis.
  • Il détermine les niveaux de sécurité du service.

Responsable de la sécurité

Cette personne est responsable de définir, coordonner et vérifier le respect des exigences de sécurité de l'information définies en fonction des objectifs stratégiques.
Les fonctions du responsable de la sécurité de l'information sont les suivantes :

  • Coordonner et contrôler les mesures de sécurité de l'information et de protection des données au sein de l'organisation.
  • Superviser la mise en œuvre, maintenir, contrôler et vérifier la conformité des règles et procédures contenues dans la politique de sécurité de l'information de l'organisation.
  • Superviser les incidents de sécurité au sein de l'organisation.
  • Diffuser au sein de l'organisation les règles et procédures contenues dans la politique de sécurité de l'information.
  • Superviser et collaborer aux audits internes ou externes nécessaires pour vérifier le degré de conformité avec la politique de sécurité, les règlements et les lois applicables en matière de protection des données personnelles et de sécurité de l'information.
  • Conseiller sur les questions de sécurité de l'information auprès des différentes zones opérationnelles de l'organisation.

Responsable des systèmes

Le responsable des systèmes est chargé de garantir la mise en œuvre des mesures visant à sécuriser les actifs et les services des systèmes d'information qui soutiennent l'activité de l'organisation, en accord avec les objectifs de celle-ci. Ses fonctions sont les suivantes :

  • Développer, exploiter et maintenir le Système d'Information tout au long de son cycle de vie, depuis ses spécifications, son installation jusqu'à la vérification de son bon fonctionnement.
  • Définir la topologie et le système de gestion du Système d'Information, établir les critères d'utilisation du système et les services qu'il propose.
  • S'assurer que des mesures de sécurité spécifiques sont correctement intégrées dans le cadre de sécurité global de l'organisation.
  • Sélectionner et définir les fonctions et les responsabilités des Responsables Techniques IT chargés de mettre en œuvre la gestion de la sécurité des actifs de l'organisation, conformément à la stratégie de sécurité définie.
  • Veiller à ce que l'implémentation de nouveaux systèmes et les modifications des systèmes existants respectent les exigences de sécurité établies au sein de l'organisation.
  • Établir les processus et contrôles de surveillance de l'état de la sécurité afin de détecter les incidents et coordonner leur investigation et leur résolution.
  • Le Responsable des Systèmes peut décider de suspendre le traitement de certaines informations ou la fourniture d'un service si des lacunes de sécurité graves sont signalées, susceptibles d'affecter le respect des exigences établies. Cette décision doit être prise en accord avec les responsables des informations concernées, le service concerné et le Responsable de la Sécurité avant d'être mise en œuvre.

Délégué à la Protection des Données (DPD)

Le rôle de Délégué à la Protection des Données est externalisé auprès de la société GRUPO ADAPTALIA LEGAL FORMATIVO S.L..

Les responsabilités du DPD sont les suivantes :

  • Informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que les employés impliqués dans le traitement, sur les obligations qui leur incombent en vertu du Règlement Général sur la Protection des Données (RGPD) et d'autres dispositions législatives de l'Union européenne ou des États membres en matière de protection des données.
  • Surveiller la conformité avec les dispositions du RGPD, ainsi que d'autres règlements européens ou nationaux en matière de protection des données et des politiques du responsable ou du sous-traitant concernant la protection des données personnelles. Cela inclut la répartition des responsabilités, la sensibilisation et la formation des personnes impliquées dans les opérations de traitement, ainsi que la réalisation d'audits liés à la protection des données.
  • Fournir des conseils sur l'évaluation d'impact relative à la protection des données (DPIA) et veiller à sa mise en œuvre conformément à l'Article 35 du Règlement (UE) 2016/679.
  • Collaborer avec l'autorité de contrôle en matière de protection des données.
  • Agir en tant que point de contact pour l'autorité de contrôle pour les questions relatives au traitement des données, y compris en cas de consultation préalable mentionnée à l'Article 36 du Règlement (UE) 2016/679.

Coordination, Nomination et Résolution des Conflits

  • Coordination : La coordination des actions en matière de sécurité est assurée au sein du Comité de Direction, qui peut déléguer certaines responsabilités au Comité ISS (Comité Stratégie de Sécurité de l'Information). Cette structure garantit que les pratiques de sécurité sont alignées avec les objectifs globaux de l'organisation.
  • Nominations : Les nominations des responsables clés, y compris le Responsable des Systèmes et le Délégué à la Protection des Données, sont faites par la direction de l'organisation. Ces nominations sont révisées tous les deux ans ou lorsqu'un poste devient vacant, afin d'assurer que les personnes en charge sont qualifiées pour remplir leurs fonctions de manière optimale.
  • Résolution des Conflits : En cas de divergences d'opinions ou de conflits sur les critères à adopter, ces derniers sont gérés par le Comité ISS. Dans tous les cas, les critères et décisions de la direction exécutive prévaudront afin de garantir la cohérence des objectifs stratégiques et de sécurité de l'entreprise.

6. FORMATION ET SENSIBILISATION

Les actions spécifiques de sensibilisation et de formation liées à l'ENS (Esquema Nacional de Seguridad) sont gérées par le département des ressources humaines (RH) en collaboration avec le Comité ISS (Comité Stratégie de Sécurité de l'Information). Ces actions ont pour objectif de s'assurer que tout le personnel est formé aux bonnes pratiques en matière de sécurité de l'information, conformément aux exigences de la politique de sécurité de l'organisation.

7. ANALYSE ET GESTION DES RISQUES

Une analyse, une identification et une gestion adéquates des risques auxquels sont soumis les actifs informationnels soutenant les services de LEGRAND GROUP SPAIN S.L. sont essentielles pour une prise de décision éclairée de la direction de l'entreprise.

L'analyse des risques doit être effectuée :

  • Au moins une fois par an.
  • Lors de la spécification d'un nouveau système, pour déterminer les exigences de sécurité à intégrer dans la solution.
  • Lors du développement d'un nouveau système, afin d'analyser les différentes options de sécurité possibles.
  • Lors de l'exploitation des systèmes, pour ajuster la gestion des risques aux nouveaux actifs, nouvelles menaces, nouvelles vulnérabilités et nouvelles mesures de sécurité.
  • En cas de changement dans les informations traitées.
  • En cas de changement dans les services fournis.
  • Après la survenue d'un incident de sécurité majeur.
  • En cas de signalement de vulnérabilités graves.

8. DOCUMENTATION DE SÉCURITÉ

La documentation relative à la sécurité de l'information sera classée en trois niveaux, chaque document d'un niveau étant basé sur ceux des niveaux supérieurs :

  • Premier niveau : Politique de sécurité
    Lignes directrices à respecter obligatoirement par tout le personnel, interne ou externe à l'organisation, tel que mentionné dans ce document.
  • Deuxième niveau : Règlements et procédures de sécurité
    Documents obligatoires en fonction du périmètre organisationnel, technique ou juridique correspondant.
  • Troisième niveau : Rapports, registres et preuves électroniques
    Documents techniques recueillant les preuves générées lors de toutes les phases du cycle de vie des systèmes d'information, ainsi que les menaces et vulnérabilités associés.
  • Autres documents
    Les procédures STIC (Sécurité des Technologies de l'Information et de la Communication), les normes et instructions techniques, ainsi que les guides CCN-STIC publiés par le Centre National de la Cryptologie (CCN) peuvent être suivis à tout moment.

9. DOCUMENTATION

Les informations documentées associées à l'ENS sont organisées, codifiées et approuvées conformément aux exigences générales de l'ISS (Système de Sécurité de l'Information).

10. PROCESSUS D'APPROBATION ET DE RÉVISION

Cette Politique de Sécurité est approuvée par la Direction Générale et révisée au moins une fois par an, ou lorsque des circonstances techniques ou organisationnelles l'exigent.

La direction s'engage à communiquer, mettre en œuvre et mettre à jour sa politique de sécurité de l'information à tous les niveaux de l'organisation concernés par son champ d'application, ainsi qu'à la rendre accessible à toutes les parties intéressées. De plus, elle s'engage fermement à spécifier et à mettre à jour les objectifs de la sécurité de l'information par le biais de révisions annuelles de l'ISS menées par la direction de l'entreprise.


Nos certifications

Depuis notre création, nous sommes régulièrement testé. Au sein du Groupe Legrand, ces certifications sont la norme:

Groupe Legrand

ISO 9001:2015
ISO 14001:2015
ISO 27001:2013
Certificat ENS (Schéma National de Sécurité)

Legrand AB

ISO 9001:2015
ISO 14001:2015
ISO 45001:2018

Faire une demande d'information détaillée

Vous souhaitez en savoir plus sur nos produits et solutions ? Notre équipe qualifiée au siège de Legrand Care et nos interlocuteurs régionaux se feront un plaisir de vous aider. Nous analysons avec vous vos besoins et développons une solution adaptée pour y répondre. Appelez-nous dès aujourd'hui et prenez rendez-vous !

  • This field is required!
  • This field is required!
  • This field is required!
Téléphone
Tel.: +33 3 85 77 70 00

Adresse
Legrand Care
59 Avenue de la République
93170 Bagnolet
Email
infofrance.legrandcare@legrand.com
Produits Solutions Groupe Legrand Care Éthique des affaires Expertise Qualité Environnement Mentions Légales Politique de confidentialité Cookies
Legrand Caare Logo
Legrand Care est une société internationale du groupe Legrand. Elle a été fondée en 1988 dans le but d'offrir à ses clients des produits et des services professionnels de haute qualité. Legrand Care est spécialisé dans les solutions technologiques pour les institutions sociales et les services de santé. Nous offrons des produits et des services dans le domaine de la téléassistance, des systèmes d'appel appel d'urgence et de surveillance pour les particuliers, les maisons de retraite et de soins.
Legrand Care - © 2024
Site by Pacepac