Dernière mise à jour : 18 décembre 2025
1. INTRODUCTION
Objet
La présente politique de sécurité de l’information est un guide destiné aux employés de Praxas. Elle établit des lignes directrices et des pratiques exemplaires pour la protection des informations confidentielles, sensibles ou exclusives contre l’accès, l’utilisation, la divulgation, l’altération ou la destruction non autorisés. L’information est un actif et doit être protégée de manière appropriée.
Définition
La sécurité de l’information est l’ensemble des processus conçus pour protéger les données en atténuant les risques. Elle comprend les données numériques, les données physiques et la cybersécurité.
Champ d’application
La présente politique de sécurité de l’information s’applique à tous les employés de Praxas, quels que soient leur contrat de travail, leur poste ou leur lieu de travail. Elle s’applique également à tous les sous-traitants et prestataires de services tiers qui ont accès aux informations et aux systèmes d’information de l’entreprise.
Praxas se conforme à l’ensemble des lois, réglementations et normes industrielles applicables en matière de sécurité de l’information dans les pays où elle exerce ses activités.
2. RESPONSABILITÉ
Praxas veillera à ce que tous les employés soient formés à leurs responsabilités et obligations en matière de sécurité de l’information.
Aux fins de la présente politique et de certaines réglementations régionales, Praxas est un contrôleur de données (DC) et veille à ce qu’un délégué à la protection des données (DPO) soit désigné, le cas échéant. Ce dernier doit disposer de ressources suffisantes, rendre compte aux directeurs et n’effectuer aucune autre tâche susceptible d’entraîner un conflit d’intérêts. Il est également le point de contact pour toute autorité de régulation régionale et pour les personnes dont les données sont traitées par l’entreprise.
Direction
Les directeurs, les responsables et les superviseurs sont chargés de mettre en œuvre et de superviser les politiques et les procédures qui réduisent le risque de violation des données et de veiller à ce que la planification soit suffisante pour répondre aux incidents. Une formation appropriée doit être dispensée aux employés, en fonction de leur rôle et de leurs tâches.
Les responsables informatiques de CIMSense et le personnel régional d’assistance informatique sont chargés de mettre à jour les logiciels et les appareils avec les derniers correctifs et mises à jour de sécurité, de protéger les réseaux contre tout accès non autorisé aux systèmes et de superviser la formation informatique.
Employés
Tous les employés sont tenus de :
- Respecter toutes les politiques de Praxas et toutes les procédures et directives supplémentaires figurant dans le manuel de l’employé de l’entreprise ou dans d’autres documents pertinents de l’entreprise, concernant le traitement des données, l’utilisation du courrier électronique et de l’internet, la gestion des appareils et les réseaux sociaux.
- Protégez les mots de passe et les identifiants d’accès – créez des mots de passe forts, ne les partagez jamais, n’utilisez pas le même mot de passe pour plusieurs comptes et si vous accédez aux courriels et/ou aux documents de l’entreprise sur votre appareil mobile personnel, assurez-vous que cet appareil est suffisamment protégé. Au minimum, cela signifie qu’il faut s’assurer que l’appareil est protégé par un mot de passe, un code PIN ou une identification biométrique.
- Signalez les incidents de sécurité – soyez attentif à toute activité suspecte (courriels d’hameçonnage, infections par des logiciels malveillants, connexions suspectes) et signalez immédiatement tout incident à un responsable informatique de CIMSense ou à un membre du personnel d’assistance informatique régional. Les incidents peuvent également être signalés par courrier électronique à l’adresse support@cimsense.com.
- Protégez les documents physiques – les documents physiques contenant des informations sensibles doivent être correctement protégés et éliminés en toute sécurité lorsqu’ils ne sont plus nécessaires.
- Évitez les actions à haut risque – faites preuve de prudence lorsque vous accédez à des réseaux WiFi publics en vous assurant que votre appareil est protégé par un logiciel antivirus mis à jour. Ne téléchargez pas de logiciels provenant de sources non fiables qui pourraient compromettre la sécurité des informations de l’entreprise. Réfléchissez bien avant d’utiliser un support amovible (par exemple une clé USB) et n’oubliez pas de le retirer de l’appareil hôte.
3. CONTRÔLE D’ACCÈS
Praxas fournira à tous les employés et autres utilisateurs les informations dont ils ont besoin pour s’acquitter de leurs responsabilités de manière efficace et efficiente. L’accès aux informations et aux systèmes d’information est accordé selon les principes du moindre privilège et du besoin de savoir.
Au niveau du groupe, CIMSense dispose de plusieurs moyens pour protéger les informations qui peuvent lui être fournies par l’intermédiaire de ses sociétés, y compris Praxas. Il s’agit notamment de la politique de contrôle d’accès de CIMSense.
Contrôle d’accès physique
Les employés de Praxas qui doivent avoir accès à des informations confidentielles et sensibles dans le cadre de leurs fonctions seront formés à la manipulation sûre de toutes les informations et aux procédures qui régissent l’utilisation, le stockage, le partage et l’organisation des données au sein de l’entreprise.
Les données personnelles et confidentielles doivent être conservées sous clé lorsqu’elles ne sont pas utilisées et les clés ne doivent pas être laissées dans la serrure des classeurs et des portes.
Contrôle d’accès numérique
Les comptes utilisateurs doivent être créés avec des mots de passe forts et l’accès doit être révoqué en cas de cessation d’emploi ou de contrat.
Les utilisateurs ne doivent pas partager leurs identifiants de connexion avec d’autres personnes ni permettre à d’autres personnes d’utiliser leurs comptes. Aucun identifiant générique ou de groupe n’est normalement autorisé.
Les systèmes d’information doivent disposer de mécanismes d’authentification et d’autorisation garantissant que seuls les utilisateurs autorisés peuvent accéder aux informations, y compris l’authentification multifactorielle.
Les utilisateurs à distance doivent être autorisés par un responsable informatique de CIMSense ou par un membre du personnel de soutien informatique régional. Aucun accès externe non contrôlé n’est autorisé à un dispositif ou à un système de réseau.
4. PROTECTION DES DONNÉES
Tous les territoires
Praxas dispose d’une politique de confidentialité distincte qui détaille la manière dont la société respecte la vie privée des individus et s’engage à protéger les données personnelles.
Les informations confidentielles, sensibles ou exclusives doivent être protégées contre tout accès, utilisation, divulgation, altération ou destruction non autorisés. Les données Praxas comprennent généralement des noms ou des chiffres. Il s’agit par exemple des coordonnées des employés, des noms de produits, des prix, des coûts, des codes fiscaux, des marques d’enregistrement, des codes et des dates.
Les informations sont classées en fonction de leur sensibilité et des contrôles appropriés sont mis en œuvre pour les protéger.
Le cryptage est utilisé pour protéger les informations sensibles lors de leur transmission et de leur stockage.
Les informations numériques doivent être régulièrement sauvegardées afin d’éviter toute perte de données en cas de défaillance du matériel ou de catastrophe. Les tiers hébergeant des données numériques, par exemple les services en nuage, devront répondre à des exigences strictes et obtenir une certification.
Union européenne et Royaume-Uni
Le Règlement général sur la protection des données (RGPD) de l’UE, et la loi britannique sur la protection des données 2018 qui met en œuvre les règlements du RGPD, protègent les données personnelles appartenant aux citoyens ou résidents de l’UE. Comme ci-dessus, la politique de confidentialité détaille la manière dont l’entreprise traite et protège les données personnelles.
Conformément à la réglementation GDPR, les personnes concernées seront informées de toute violation de données personnelles dans les 72 heures suivant l’incident.
5. SURVEILLANCE
Les systèmes d’information doivent être surveillés afin de détecter tout accès, utilisation ou divulgation non autorisés. Les journaux sont régulièrement examinés et analysés afin de détecter les incidents de sécurité et d’y répondre.
Des évaluations des risques de vulnérabilité et des tests de pénétration sont effectués périodiquement afin d’identifier et d’atténuer les risques potentiels en matière de sécurité.
6. INCIDENTS DE SÉCURITÉ
Les incidents peuvent avoir un impact considérable sur une entreprise en termes de coûts, de productivité et de réputation. Tous les incidents de sécurité doivent être signalés immédiatement à un responsable informatique de CIMSense et au personnel régional d’assistance informatique, afin que l’incident puisse être circonscrit et corrigé le plus rapidement possible.
Des plans de réponse aux incidents doivent être élaborés et mis en place pour tous les types de violations de la sécurité au niveau local et au niveau du groupe. Au niveau du groupe, CIMSense dispose d’une politique et d’un plan de réponse aux incidents. Tous les plans doivent être testés périodiquement pour s’assurer de leur efficacité.
7. NON-CONFORMITÉ ET ACTIONS DISCIPLINAIRES
Toute violation de cette politique peut avoir des conséquences graves pour CIMSense et Praxas et causer un préjudice personnel aux personnes concernées. Toute infraction fera l’objet d’une enquête approfondie et pourra donner lieu à des mesures disciplinaires à l’encontre du contrevenant.