+ 41 52 511 3200 (SUI)     + 1 713 364 5427 (USA)     
Politique de cybersécurité

 

1. Introduction et objectif

1.1 Rheonics s'engage à protéger ses actifs informationnels, y compris les données propriétaires, les informations clients, la propriété intellectuelle et l'infrastructure informatique, contre tout accès, utilisation, divulgation, altération, perturbation ou destruction non autorisés.

1.2 Cette politique établit le cadre pour maintenir un environnement sécurisé pour Rheonics« opérations numériques, alignées sur :

  • Réglementations : LPD suisse, RGPD (le cas échéant), lois fédérales/d'État américaines et autres lois nationales applicables lorsque Rheonics fonctionne
  • Normes : principes Zero Trust, benchmarks CIS, directives NIST (par exemple, SP 800-88, SP 800-171 le cas échéant) et directives OWASP.

1.3 Objectifs :

  • Protéger la confidentialité, l’intégrité et la disponibilité (CIA) des données et des systèmes.
  • Minimisez les risques d’incidents de cybersécurité et assurez la continuité des activités.
  • Favoriser une culture de sécurité parmi l’ensemble du personnel.
  • Assurer le respect des obligations légales, réglementaires et contractuelles.

 

2. Portée

S'applique à tous Rheonics employés, entrepreneurs, consultants, stagiaires, bénévoles et tiers (« Utilisateurs ») accédant Rheonics systèmes, données ou installations. Couvre :

2.1 Actifs

  • Matériel
  • Logiciels (y compris SaaS/IaaS/PaaS)
  • Données (électroniques et physiques)
  • Réseaux
  • Installations physiques

2.2 Activités

  • Travail sur site
  • Travail à distance
  • Utilisation des appareils appartenant à l'entreprise
  • Utilisation d'appareils personnels (BYOD)
  • Activités de développement
  • Interactions avec les fournisseurs tiers

 

3. Rôles et responsabilités


RôleTâches principales
ManagementPromouvoir la politique, allouer les ressources, assurer la conformité globale et la gestion des risques.
Équipe informatique/sécuritéMettre en œuvre/gérer les contrôles ; diriger la réponse aux incidents ; réaliser des audits et des évaluations.
Tous les utilisateursRespectez la politique ; utilisez des mots de passe forts + MFA ; signalez rapidement les incidents ; suivez la formation.

 

4. Énoncés de politique

4.1 Data Security

  • Classification et manutention : Les données doivent être classées et traitées en fonction de leur sensibilité (voir annexe A). Les exigences augmentent avec la sensibilité.
  • Cryptage: Les données restreintes et confidentielles doivent être cryptées au repos et en transit à l'aide d'algorithmes robustes et conformes aux normes du secteur.
  • Disposition: Des méthodes sécurisées doivent être utilisées : effacement conforme à la norme NIST SP 800-88 pour les supports électroniques ; déchiquetage croisé (niveau P-4 ou supérieur) pour les documents physiques contenant des données confidentielles ou à diffusion restreinte. Les calendriers de conservation des données doivent être respectés.

4.2 Contrôle d'accès

  • Privilège minimum et RBAC : L'accès est accordé en fonction de la nécessité de la fonction (privilège minimum) à l'aide du contrôle d'accès basé sur les rôles (RBAC).
  • Authentification: Identifiants utilisateur uniques requis. Mots de passe forts (voir annexe B) ​​et MFA obligatoires pour les services cloud, l'accès à distance, les comptes administratifs et les systèmes gérant des données confidentielles/restreintes.
  • Avis: Les droits d'accès sont révisés trimestriellement par les responsables/responsables du système ; ils sont révoqués immédiatement en cas de licenciement ou de changement de fonction. Un processus d'approbation formel est requis pour les octrois/modifications d'accès.

4.3 Politique d'utilisation acceptable (PUA)

  • Des fins commerciales: Rheonics Les ressources sont principalement destinées à un usage professionnel. Une utilisation personnelle occasionnelle est autorisée, à condition qu'elle n'interfère pas avec les fonctions, ne consomme pas de ressources excessives, n'entraîne pas de coûts et ne viole pas les politiques ou les lois.
  • Activités interdites : Y compris, mais sans s'y limiter : activités illégales, harcèlement, accès/distribution de matériel offensant, violation du droit d'auteur, modification non autorisée du système, contournement des contrôles de sécurité, installation de logiciels non autorisés, introduction de logiciels malveillants, partage/exfiltration de données non autorisé, utilisation personnelle excessive.
  • Vigilance des utilisateurs : Les utilisateurs doivent faire preuve de prudence avec le courrier électronique (phishing), la navigation sur le Web (sites malveillants) et la gestion des pièces jointes/liens.

4.4 Sécurité du réseau

  • Périmètre et segmentation : Pare-feu et IDS/IPS maintenus. La segmentation du réseau isole les systèmes critiques (par exemple, R&D, production) et les entrepôts de données.
  • Wi-Fi: WPA3-Enterprise sécurisé (ou WPA2-Enterprise minimum) pour les réseaux internes. Le Wi-Fi invité doit être logiquement séparé et ne fournir aucun accès aux ressources internes.
  • Accès à distance: Uniquement via un VPN approuvé par l'entreprise avec MFA. Le split-tunneling peut être restreint.
  • Zéro confiance : La mise en œuvre des principes de l'architecture Zero Trust (par exemple, la micro-segmentation, la vérification continue, les contrôles de l'état des appareils) est en cours et vise une achèvement d'ici le premier trimestre 1 pour les réseaux critiques.

4.5 Sécurité des terminaux appartenant à l'entreprise

  • Protection:Tous les terminaux appartenant à l'entreprise (ordinateurs de bureau, ordinateurs portables, mobiles) doivent disposer d'un logiciel de détection et de réponse aux terminaux (EDR) ou d'un logiciel antivirus approuvé, géré par l'entreprise, en cours d'exécution et mis à jour.
  • Patcher : Les systèmes d'exploitation et les applications doivent être mis à jour régulièrement grâce au processus de gestion des correctifs de l'entreprise. Les correctifs critiques sont appliqués dans des délais définis.Rheonics pour définir des délais, par exemple 72 heures pour les systèmes d’exploitation critiques].
  • Cryptage: Le chiffrement complet du disque (par exemple, BitLocker, FileVault) est obligatoire sur les ordinateurs portables et les appareils portables.

4.6 Apportez votre propre appareil (BYOD)

  • Approbation et normes : Utilisation d'appareils personnels (BYOD) pour accéder à des informations non publiques Rheonics les données nécessitent une approbation explicite et le respect de normes minimales (voir l’annexe D).
  • Exigences de sécurité : Inclut l'inscription MDM, les versions de système d'exploitation prises en charge, les logiciels de sécurité, le cryptage, les codes d'accès, la capacité d'effacement à distance et la ségrégation/conteneurisation des données.
  • Clause de non-responsabilité : Rheonics se réserve le droit de gérer/effacer les données de l'entreprise à partir des appareils BYOD ; Rheonics n'est pas responsable de la perte de données personnelles lors d'actions de sécurité.

4.7 Sécurité et gestion des logiciels

  • Logiciel autorisé : Seuls les logiciels sous licence approuvés par le service informatique peuvent être installés. Il est interdit aux utilisateurs d'installer des applications non autorisées.
  • Gestion des correctifs: S'applique à tous les logiciels (OS, applications, firmware) sur tous les systèmes (serveurs, terminaux, périphériques réseau).
  • Gestion des vulnérabilités: Analyse régulière des vulnérabilités. Les vulnérabilités critiques doivent être corrigées dans des délais définis.Rheonics [à définir]. Tests de pénétration effectués périodiquement sur des systèmes critiques.
  • Développement sécurisé : (Le cas échéant) Les équipes de développement doivent suivre des pratiques de codage sécurisées (par exemple, OWASP Top 10), effectuer des revues de code et utiliser des outils de test de sécurité (SAST/DAST).
  • Analyse de la composition logicielle (SCA) : Les composants open source doivent être inventoriés et analysés pour détecter leurs vulnérabilités. L'utilisation de logiciels/composants en fin de vie est interdite, sauf si la direction ou la sécurité informatique en accepte explicitement les risques.

4.8 Sécurité physique

  • Contrôle d'Accès : L'accès à la Rheonics Accès aux installations, salles de serveurs et laboratoires de R&D restreint par des contrôles physiques (badges, clés, biométrie). Registres d'accès conservés pour les zones sensibles.
  • Gestion des visiteurs : Les visiteurs doivent s'enregistrer, recevoir une pièce d'identité temporaire et être accompagnés dans les zones non publiques.
  • Sécurité du poste de travail : Les utilisateurs doivent verrouiller les postes de travail lorsqu'ils ne sont pas surveillés (Windows+L / Ctrl+Cmd+Q).
  • Bureau/écran dégagé : Les informations sensibles (documents physiques, écrans) doivent être protégées contre toute consultation non autorisée, en particulier dans les espaces ouverts ou lorsque les bureaux sont laissés sans surveillance. Des poubelles sécurisées doivent être utilisées.

4.9 Sécurité du cloud

  • Services approuvés : Utilisation de services cloud (SaaS, IaaS, PaaS) pour Rheonics les données doivent être approuvées par le service informatique/sécurité.
  • Configuration et surveillanceoring: Les services doivent être configurés de manière sécurisée, conformément aux critères de référence CIS, le cas échéant (AWS/GCP/Azure). Les politiques d'accès conditionnel (par exemple, géolocalisation, conformité des appareils) doivent être appliquées. La journalisation des activités des API et des utilisateurs doit être activée et surveillée.
  • Protection des données: Assurez-vous que les fournisseurs de cloud répondent Rheonics« exigences de sécurité des données, de cryptage, de sauvegarde et de résidence via des contrats et des évaluations.

4.10 Gestion des tiers/fournisseurs

  • L'évaluation des risques: Des évaluations de sécurité sont réalisées avant d'engager des fournisseurs qui accèdent, traitent et stockent des données. Rheonics données ou se connecter aux réseaux. Le niveau de risque détermine la profondeur de l'évaluation.
  • Exigences contractuelles : Les contrats doivent inclure des clauses couvrant la confidentialité, la protection des données (y compris les DPA en cas de traitement de données personnelles dans le cadre du RGPD/FADP), les contrôles de sécurité, la notification des incidents et les droits d'audit.
  • Surveillance continueoring: Examen périodique de la posture de sécurité critique des fournisseurs.

4.11 Réponse aux incidents

  • Reporting: Les incidents suspects doivent être signalés immédiatement (cible dans l'heure suivant la découverte) via () ou (canal Équipes internes de l'entreprise 24h/7 et XNUMXj/XNUMX).
  • Plan de réponse : Rheonics maintient un plan d'intervention en cas d'incident (PII). Voir l'annexe C pour le déroulement de base.
  • Incidents critiques : (par exemple, rançongiciel, violation de données confirmée) Déclencher des actions d'escalade et de confinement (cible dans les 4 heures). La notification juridique/exécutive suit les délais dictés par la réglementation (par exemple, notification de violation de 72 heures RGPD/FADP, le cas échéant).
  • La coopération: Tous les utilisateurs doivent coopérer pleinement aux enquêtes sur les incidents.

 

5. Application

Les violations seront traitées en fonction de leur gravité et de leur intention, sous réserve du droit du travail local.

ViolationExempleConséquence (exemples)
MineursÉcart de politique accidentel ; formation non critique manquéeAvertissement écrit; recyclage obligatoire
MajeursInformations d'identification partagées ; violations mineures répétées ; installation de logiciels P2P non autorisésSuspension; mesure disciplinaire formelle
Critique / IntentionnelViolation intentionnelle de données ; activité malveillante ; sabotageRésiliation; action en justice potentielle

 

6. Maintenance des politiques

  • Cadence de révision : Révisé au moins une fois par an par le propriétaire de la politique (responsable informatique) et les parties prenantes.
  • Déclencheurs d'examen : Examens ponctuels déclenchés par : des incidents de sécurité majeurs, des changements réglementaires importants (par exemple, de nouvelles lois sur la confidentialité des données), des changements technologiques/d'infrastructure majeurs (par exemple, une migration vers le cloud à grande échelle), des conclusions d'audit.
  • Mises à jour: Modifications approuvées communiquées à tous les utilisateurs.

 

7. Annexes

7.1 Annexe A : Classification des données

ClassificationExempleExigences de manipulation
LimitéInformations personnelles identifiables du client, code source de R&D, clés cryptographiques• Chiffrement (au repos/en transit)
• Journaux d'accès stricts
• Besoin de savoir + approbation explicite
• Examen annuel de l'accès
ConfidentielDossiers des employés, données financières, stratégies internes• MFA recommandé/requis
• Base du besoin de savoir
• Partage limité en interne
InterneNotes de réunion, politiques internes, communications générales• Aucun partage externe sans approbation.
• Utiliser les systèmes de l'entreprise
PublicSupports marketing, contenu public du site Web• Aucune restriction sur la manipulation/le partage

 

7.2 Annexe B : Exigences de mot de passe

  • Longueur minimale:
    • Comptes utilisateurs : 12 caractères
    • Comptes administrateur/service : 16 caractères
  • Complexité
    • Au moins 3 des 4 éléments suivants : majuscules, minuscules, chiffres, symboles (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Ne peut contenir ni nom d'utilisateur ni mots courants du dictionnaire.
  • Rotation
    • 90 jours maximum (sauf si vous utilisez des méthodes d'authentification continue approuvées).
  • Historique
    • Les 5 mots de passe précédents ne peuvent pas être réutilisés.
  • Stockage:
    • Ne doit pas être écrit sans sécurité. Utilisez un gestionnaire de mots de passe approuvé par l'entreprise (par exemple, Bitwarden, 1Password) pouroring Mots de passe complexes et uniques. Interdiction de partager les mots de passe. Interdiction de contourner l'authentification multifacteur.

 

7.3 Annexe C : Flux de réponse aux incidents

  • Détection et analyse : Identifier les incidents potentiels.
  • Reporting: Signaler IMMÉDIATEMENT (dans un délai d'une heure) au service informatique/sécurité via les canaux définis.
  • Triage et évaluation : L'informatique/sécurité évalue la gravité et l'impact.
  • Endiguement: Isoler les systèmes/comptes affectés (dans un délai de 4 heures pour les incidents critiques).
  • Éradication: Supprimer la menace/vulnérabilité.
  • Récupération: Restaurez les systèmes/données en toute sécurité.
  • Examen post-incident : Leçons apprises, amélioration des processus.
    • Notification : Notifications juridiques/réglementaires/clients effectuées selon les besoins en fonction de l'évaluation (par exemple, dans les 72 heures pour les violations de données personnelles GDPR/FADP).

 

7.4. Annexe D : Normes minimales BYOD

  • Garantie:Requis avant d'accéder à des données non publiques.
  • Exigences de l'appareil:
    • Versions du système d'exploitation : Doit exécuter les versions actuellement prises en charge par le fournisseur (par exemple, Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Sécurité : Verrouillage de l'écran/biométrie activés ; cryptage de l'appareil activé ; un logiciel de sécurité approuvé (AV/anti-malware) peut être requis ; appareil non jailbreaké/rooté.
    • MDM:Inscription à Rheonics« La solution de gestion des appareils mobiles (MDM) est obligatoire.
    • Effacement à distance : La fonctionnalité doit être activée pour les données/le profil de l'entreprise.
  • Ségrégation des données : Données d'entreprise accessibles/stockées via des applications approuvées au sein d'un profil ou d'un conteneur géré (par exemple, Microsoft Intune MAM, Android Work Profile). Aucune copie des données d'entreprise vers des applications/stockages personnels n'est autorisée.
  • Réseau:Connectez-vous via un Wi-Fi sécurisé ; évitez les réseaux Wi-Fi publics non fiables pour travailler.

 

8. Contact et accusé de réception

  • Questions/préoccupations en matière de sécurité : Contact () ou l'équipe informatique/sécurité via les canaux internes.
  • Signaler un incident : Utiliser des méthodes urgentes : () et (canal Équipes internes de l'entreprise 24h/7 et XNUMXj/XNUMX).
  • Reconnaissance: Tous les utilisateurs sont tenus de lire, de comprendre et d'accuser réception de cette politique par voie électronique (portail RH, système de formation) dès leur intégration et après toute mise à jour importante. L'absence d'accusé réception n'annule pas l'applicabilité de la politique.
Télécharger la politique de cybersécurité
Rheonics Politique de cybersécurité
Rechercher