-
Suggestions :
Que fait déjà Harmonie Mutuelle pour assurer la sécurité et la confidentialité des données personnelles ?
Harmonie Mutuelle s'est dotée des dispositifs organisationnels et techniques suivants afin de maîtriser les risques de sécurité informatique :
En matière de sécurité
-
Organisation de la sécurité
La sécurisation des systèmes d'information Harmonie Mutuelle est pilotée par le RSSI, et mise en œuvre opérationnellement par la direction informatique d'Harmonie Mutuelle. Harmonie Mutuelle dispose également d'une équipe dédiée de sécurité opérationnelle, en charge de l'administration technique et de la gestion opérationnelle des incidents de sécurité. -
Politiques de sécurité
Harmonie Mutuelle dispose d'une politique de sécurité générale validée par le Direction Générale, ainsi que de plusieurs standards de sécurité définissant les objectifs de sécurité à atteindre. Cette politique de sécurité s'appuie sur les normes ISO 27001 et 27002. -
Plan de reprise d'activité (PRA)
Harmonie Mutuelle dispose d'un PRA piloté par une équipe dédiée, visant à s'assurer de la bonne disponibilité et reprise des données en cas de sinistre majeur sur ses équipements informatiques. Ce plan de reprise d'activité s'appuie notamment sur des capacités de virtualisation.
En matière de confidentialité
Tous les utilisateurs d'Harmonie Mutuelle disposent de comptes nominatifs permettant d'assurer la traçabilité des opérations. Pour les administrateurs techniques, une solution de gestion des droits d'accès à privilèges est mise en œuvre. Une revue des droits privilégiés est réalisée annuellement par l'équipe Sécurité.
La chaîne d'opérateurs intervenant sur les données confiées à Harmonie Mutuelle est soumise à un engagement de confidentialité matérialisé dans le contrat qui nous lie à l'opérateur et, pour des opérations critiques et/ou pour des intervenants externes, dans un document d'engagement en sus.
Tous les utilisateurs d'Harmonie Mutuelle (internes et externes) utilisent des comptes nominatifs, ce qui permet d'octroyer des accès aux seules personnes concernées par le processus en question.
Pour les administrateurs techniques, une solution de gestion de droits d'accès à privilèges est mise en œuvre. Une revue des droits privilégiés est réalisée annuellement par l'équipe Sécurité.
En matière d'intégrité
Harmonie Mutuelle veille à l'intégrité des données qui lui sont confiées et qu'elle manipule, pour des raisons de qualité de service et de continuité d'activité. Chaque nouveau processus fait l'objet d'une analyse qui peut conduire à mettre en place des systèmes contrôlant l'intégrité des données échangées et enregistrées. Les accès aux systèmes d'information sont restreints, de sorte à limiter le risque d'erreur humaine affectant l'intégrité des données.
En matière d'hébergement
Harmonie Mutuelle dispose de son propre Datacenter sécurisé (accès au bâtiment protégé, redondance de l'alimentation électrique et des systèmes télécoms, alarme et vidéoprotection) en France (salle Lampertz), directement administré par des équipes internes Harmonie Mutuelle, suivant un ensemble de procédures formalisées. Ce datacenter se situe dans une zone dépourvue des risques environnementaux. Il est accessible aux équipes Harmonie Mutuelle en moins de 20 minutes. Ce datacenter est équipé de ses propres moyens de destruction sécurisée des données (effacement logique sécurisé ou destruction sécurisée des disques durs en fonction des types de média).
Les prestataires de service auxquels a recours Harmonie Mutuelle sont soumis aux mêmes exigences en terme d'hébergement : les datacenters doivent se situer en Europe, et nous privilégions ceux qui sont installés en France ; aussi, ils doivent être à un niveau de sécurisation adéquat (tant en termes de sécurisation logique que physique).
En matière de transparence
Harmonie Mutuelle travaille sur deux axes :
-
Le premier consiste à améliorer la détection des incidents de sécurité et leur qualification,
-
Le second axe consiste à rédiger et déployer une procédure de notification des failles de sécurité à la CNIL, dans le délai imparti de 72 heures et le cas échéant, aux personnes concernées, afin de répondre à nos obligations règlementaires.
Un dispositif complémentaire pour les entreprises clientes
Harmonie Mutuelle dispose de plusieurs environnements suivant les bonnes pratiques de sécurité (Production / Pré-production) et peut proposer à ses clients plusieurs moyens d'échanges sécurisés en fonction de la nature des données à transmettre (par ex. : solution de containerisation) et dispose de sa propre infrastructure de gestion des certificats (PKI).
En matière de sensibilisation
Des sessions de sensibilisation trimestrielles en présentiel, sur des thèmes choisis par l'équipe RSSI en fonction de l'actualité d'Harmonie Mutuelle et de la veille sécurité assurée par l'équipe, sont réalisées et sont accompagnées d'une lettre de sensibilisation elle aussi trimestrielle, touchant l'ensemble des collaborateurs intervenant sur le SI.
Des modules de E-learning (l'un dédié à la sécurité informatique et un autre dédié au RGPD) ont été mis en place sur la plateforme interne d'e-learning d'Harmonie Mutuelle. Ils font partie des formations obligatoires pour l'ensemble des collaborateurs.
Parallèlement, différents dispositifs de sensibilisation ponctuels nationale (affiches, flyers, kakémonos…) sont également déployés sur ces thématiques à l'échelle nationale.