Paramètres des cookies

Nous utilisons nos propres cookies et ceux de tiers pour analyser nos services et vous présenter des publicités en rapport avec vos préférences sur la base d'un profil de vos habitudes de navigation (par exemple, les pages visitées). Vous pouvez accepter tous ces cookies en cliquant sur le bouton ACCEPTER ou les configurer ou refuser leur utilisation en cliquant sur la section CONFIGURATION DES COOKIE.

Pour plus d'informations, voir le Politique de cookies et Liste des cookies de notre site web.

Vos préférences






ACCEPTER TOUT
N'ACCEPTER QUE LE NÉCESSAIRE
ENREGISTRER LA CONFIGURATION
VSaaS
Contact

Politique de sécurité

Politique de sécurité

Approbation et entrée en vigueur

Texte adopté le 02/07/2025 par procès-verbal du directeur général de LANACCESS TELECOM S.A. (ci-après « LANACCESS »).
La présente Politique de sécurité de l’information, ci-après dénommée « Politique », entre en vigueur à compter de sa date d’adoption et reste applicable jusqu’à son remplacement par une nouvelle politique.
 
Introduction

LANACCESS dépend fortement des systèmes TIC (technologies de l’information et de la communication) pour atteindre ses objectifs. L’entreprise est consciente que la transformation numérique a entraîné une augmentation des risques liés aux systèmes d’information qui soutiennent les services publics. En tant que fournisseur du secteur public, elle s’engage à gérer ces risques de manière appropriée.
L’objectif de cette gestion des risques est de protéger les systèmes TIC contre les dommages, qu’ils soient accidentels ou intentionnels, susceptibles d’affecter la disponibilité, l’intégrité, la confidentialité, l’authenticité ou la traçabilité des informations traitées par LANACCESS dans le cadre des services fournis au secteur public, notamment aux maisons de retraite et aux centres sociosanitaires.
Les systèmes TIC doivent être protégés contre des menaces en constante évolution susceptibles d’affecter la confidentialité, l’intégrité, la disponibilité, l’usage prévu et la valeur des informations et des services. Pour y faire face, il est nécessaire de mettre en place une stratégie adaptée, afin de garantir la continuité des services. Cela implique l’application des mesures de sécurité minimales prévues par l’Esquema Nacional de Seguridad (ENS), cadre réglementaire espagnol de cybersécurité, ainsi qu’un suivi continu des niveaux de service, une surveillance et une analyse des vulnérabilités, et la mise en place d’une réponse efficace aux incidents.
Les différents services de LANACCESS doivent veiller à ce que la sécurité TIC soit intégrée à chaque étape du cycle de vie des systèmes, de leur conception à leur mise hors service, y compris lors des décisions de développement ou d’acquisition et des activités d’exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et intégrés dès la phase de planification, ainsi que dans les procédures d’appel d’offres et de passation des marchés liés aux projets TIC.
Les services doivent être préparés à prévenir, détecter, réagir et se rétablir en cas d’incident, conformément à l’article 8 de l’ENS.
 
Champ d’application

3.1. Champ d’application subjectif
Sont soumis à la présente politique l’ensemble du personnel de LANACCESS, ainsi que toute personne ou entité, interne ou externe, fournissant des services à LANACCESS, que ce soit dans ses locaux ou à distance.

3.2. Champ d’application objectif
La présente politique s’applique aux systèmes d’information de LANACCESS liés aux activités de conception et de développement de solutions d’enregistrement, de gestion et d’analyse de vidéos de sécurité.
L’identification et la mise à jour du cadre réglementaire relèvent de la responsabilité du Responsable de la sécurité de LANACCESS et sont encadrées par la procédure relative à l’identification et à l’évaluation des exigences légales. Ce cadre inclut les instructions techniques de sécurité obligatoires, publiées par décision du Secrétariat d’État à la numérisation et à l’intelligence artificielle du ministère espagnol des Affaires économiques et de la Transformation numérique, ou de l’organisme exerçant ces fonctions.
Par ailleurs, le Responsable de la sécurité de LANACCESS est également chargé d’identifier les guides de sécurité du Centre espagnol de cryptologie (Centro criptológico nacional, CCN) applicables, afin de renforcer la conformité aux exigences de l’ENS.
 
Exigences minimales en matière de sécurité
La politique de sécurité de LANACCESS encadre la gestion continue du processus de sécurité. Elle a été élaborée conformément aux principes fondamentaux énoncés au chapitre II de l’ENS et à l’article 21 de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (directive NIS 2), et tient compte des exigences minimales de sécurité suivantes :

a) Organisation et mise en œuvre du processus de sécurité (art. 13 ENS)
b) Analyse et gestion des risques (art. 14 ENS et art. 21 a de la directive NIS 2)
c) Gestion du personnel (art. 15 ENS) et pratiques de base en matière de cyberhygiène et de formation à la cybersécurité (art. 21 g de la directive NIS 2)
d) Professionnalisme (art. 16 ENS et art. 21 j de la directive NIS 2)
e) Autorisation et contrôle des accès (art. 17 ENS et art. 21 j de la directive NIS 2)
f) Protection des installations (art. 18 ENS)
g) Acquisition de produits de sécurité et sous-traitance de services de sécurité (art. 19 ENS et art. 21 e de la directive NIS 2)
h) Principe du moindre privilège (art. 20 ENS)
i) Intégrité et mise à jour du système (art. 21 ENS)
j) Protection des informations stockées et en transit (art. 22 ENS)
k) Protection vis-à-vis des autres systèmes d’information interconnectés (art. 23 ENS)
l) Journalisation des activités et détection de codes malveillants (art. 24 ENS)
m) Gestion des incidents de sécurité (art. 25 ENS)
n) Continuité des activités (art. 26 ENS et art. 21 c de la directive NIS 2)
o) Amélioration continue du processus de sécurité (art. 27 ENS)

Afin de se conformer à ces exigences minimales, LANACCESS applique les mesures de sécurité prévues à l’annexe II de l’ENS, en tenant compte :
– des actifs constituant le système d’information de LANACCESS ;
– de la catégorie de sécurité du système, conformément aux dispositions de l’article 40 ;
– des décisions adoptées pour gérer les risques identifiés.
 
Principes fondamentaux
La politique de sécurité de l’information de LANACCESS repose sur les principes fondamentaux suivants, qui doivent être pris en compte lors de l’utilisation des systèmes d’information :
La sécurité comme processus intégral : la sécurité est un processus qui couvre l’ensemble des aspects humains, matériels, techniques, juridiques et organisationnels liés aux systèmes d’information.
Une gestion fondée sur les risques : l’analyse et la gestion des risques constituent un élément essentiel du processus de sécurité et doivent être menées de manière continue et actualisées régulièrement. Elles permettent de maintenir un environnement maîtrisé, en réduisant les risques à un niveau acceptable.
Prévention, détection et réponse : la sécurité des systèmes d’information repose sur la mise en place de mesures de prévention, de détection et de réponse aux incidents.
Une défense en profondeur : le système d’information de LANACCESS doit s’appuyer sur une stratégie de protection reposant sur plusieurs niveaux de sécurité.
Surveillance continue et amélioration régulière : la surveillance continue permet de détecter les activités ou comportements anormaux et d’y répondre rapidement. Une évaluation régulière permet d’en mesurer l’efficacité et d’adapter les mesures de sécurité à l’évolution des risques et des systèmes de protection.
 
Objectifs en matière de sécurité de l’information
LANACCESS s’est fixé les objectifs suivants en matière de sécurité :
Protection de l’information : LANACCESS garantit la sécurité des informations traitées.
Sécurité physique : LANACCESS installe ses systèmes d’information dans des zones sécurisées, protégées par des contrôles d’accès physique adaptés à leur niveau de criticité.
Contrôle des accès : LANACCESS limite l’accès aux actifs d’information aux seuls utilisateurs, processus et systèmes autorisés, au moyen de mécanismes d’identification, d’authentification et d’autorisation adaptés à leur niveau de criticité.
Acquisition, développement et maintenance des systèmes d’information : LANACCESS prend en compte les exigences de sécurité à toutes les étapes du cycle de vie des systèmes d’information.
Continuité des services : LANACCESS met en place des procédures visant à assurer la disponibilité des systèmes d’information et la continuité des activités.
Protection des données : LANACCESS met en œuvre les mesures techniques et organisationnelles nécessaires pour gérer les risques liés au traitement des données à caractère personnel.
Conformité : LANACCESS met en œuvre les mesures techniques et organisationnelles nécessaires pour se conformer à la réglementation applicable en matière de sécurité de l’information.
 
Mission
La mission de LANACCESS est de concevoir des solutions innovantes qui garantissent la sécurité des personnes et soutiennent la croissance des organisations.
Pour LANACCESS, l’innovation est essentielle pour améliorer en continu les performances des systèmes que nous développons, et les personnes en sont le moteur. LANACCESS s’engage à former et à faire évoluer ses équipes, qui se diversifient chaque jour avec l’arrivée de profils juniors et seniors, femmes et hommes.
Voici nos valeurs :
Engagement envers la réussite du client : nous aidons les organisations à rentabiliser au mieux leurs investissements en vidéosurveillance.
Optimisation : nous cherchons à faire plus avec moins, dans nos solutions comme dans notre manière de travailler et de nous améliorer.
Initiative : la rapidité est essentielle, c’est pourquoi nous agissons avec réactivité en prenant des risques mesurés.
Ambition : nous voyons grand et poursuivons des objectifs exigeants.

Conformité aux dispositions
Afin de se conformer aux dispositions du décret royal espagnol 311/2022 du 3 mai relatif à l’ENS, des mesures de sécurité adaptées à la nature des informations et des services à protéger ont été mises en œuvre, en tenant compte de la catégorie des systèmes concernés.
La conformité aux exigences de l’ENS est détaillée dans le document « Déclaration d’applicabilité ».
 
Élaboration de la politique
Le Comité de sécurité de l’information de LANACCESS a approuvé la mise en place d’un système de gestion de la sécurité, établi, mis en œuvre, maintenu et amélioré conformément aux normes applicables. Ce système est adapté à la gestion des contrôles de l’ENS. Il fait l’objet d’une documentation permettant d’attester de la mise en œuvre des contrôles et du respect des objectifs définis par le Comité. Une procédure de gestion documentaire est mise en place afin de définir les règles relatives à la structuration, à la gestion et à l’accès à la documentation de sécurité.
Le Comité de sécurité de l’information est chargé de réviser la présente politique au moins une fois par an et, le cas échéant, de proposer des améliorations, soumises à l’approbation du directeur général de LANACCESS.
La présente politique de sécurité est obligatoire et s’organise, sur le plan documentaire, selon les niveaux hiérarchiques suivants :
Premier niveau : Politique de sécurité de l’information
Deuxième niveau : Règlements de sécurité.
Troisième niveau : Procédures de sécurité.
Le Responsable de la sécurité de l’information (CISO) procède également à une révision annuelle de ces documents et propose, si nécessaire, les améliorations correspondantes.
Le personnel de LANACCESS, ainsi que celui des entreprises tierces, doit avoir connaissance, outre la présente politique de sécurité, de l’ensemble des réglementations, procédures, instructions techniques et autres documents susceptibles d’avoir une incidence sur l’exercice de ses fonctions.

9.1. Premier niveau réglementaire : Politique de sécurité de l’information.
La politique de sécurité de l’information constitue le cadre normatif de plus haut niveau au sein du dispositif de sécurité de LANACCESS. Elle est approuvée par le directeur général de LANACCESS.

9.2. Deuxième niveau normatif : Normes de sécurité de l’information.
Les normes de sécurité de l’information constituent des instruments de niveau intermédiaire couvrant des domaines spécifiques de la sécurité. Elles sont approuvées par le Comité de sécurité de LANACCESS.

9.3. Troisième niveau réglementaire : Procédures de sécurité de l’information.
Les procédures de sécurité de l’information sont des documents de niveau opérationnel, plus détaillés, applicables à des domaines spécifiques. Elles sont approuvées par le Responsable de la sécurité.
 
Organisation de la sécurité

10.1. Rôles et responsabilités
Afin de garantir la mise en œuvre et l’adaptation des mesures requises par la réglementation, des rôles de sécurité ont été définis et attribués comme suit :
Responsable de l’information : Antonio José Marco Pérez
Responsable des services : Antonio José Marco Pérez
Responsable de la sécurité : Antonio José Marco Pérez
Responsable du système : Carles Silva Riera 

10.2. Comité de sécurité de l’information
LANACCESS a constitué un Comité de sécurité de l’information, en tant qu’organe collégial, composé des membres suivants :
Directeur général : Directeur général de LANACCESS.
Membres :
Responsable du service
Responsable du système
Responsable de la sécurité
D’autres membres de LANACCESS peuvent également participer aux travaux du Comité, à titre facultatif, y compris dans le cadre de groupes de travail spécialisés, internes, externes ou mixtes.
Le Comité de sécurité de l’information se réunit tous les six mois, dans les locaux de LANACCESS ou à distance, sur convocation de son directeur. Des réunions extraordinaires peuvent être organisées à tout moment si les circonstances l’exigent.

10.3. Responsabilités associées à l’ENS
Les fonctions et responsabilités associées aux rôles de sécurité définis par l’ENS sont les suivantes :
Fonctions du responsable de l’information et des services
Définir et approuver les exigences de sécurité applicables aux services et aux informations, dans le cadre établi à l’annexe II de l’ENS, sur proposition du Responsable de la sécurité et/ou du Comité de sécurité de l’information.
Accepter les niveaux de risque résiduel affectant les services et les informations.
Fonctions du responsable de la sécurité (CISO/ RSF)
Veiller au maintien d’un niveau de sécurité adapté pour les informations traitées et les services électroniques fournis par les systèmes d’information.
Assurer la gestion, la supervision et le maintien de la sécurité physique des installations de LANACCESS.
Promouvoir la formation et la sensibilisation à la sécurité.
Désigner les responsables de l’analyse des risques et de la déclaration d’applicabilité, identifier les mesures de sécurité, définir les configurations nécessaires et élaborer la documentation du système.
Conseiller sur la détermination de la catégorie du système, en collaboration avec le Responsable du système et/ou le Comité de sécurité de l’information.
Participer à l’élaboration et à la mise en œuvre des plans d’amélioration de la sécurité et, le cas échéant, des plans de continuité, ainsi qu’à leur validation.
Piloter les audits internes et externes du système.
Gérer les processus de certification.
Soumettre au Comité de sécurité les modifications et exigences du système pour approbation.
Fonctions du responsable du système
Suspendre ou limiter l’accès aux informations ou aux services en cas de détection de graves failles de sécurité.
Mettre en œuvre et administrer les systèmes d’information de LANACCESS tout au long de leur cycle de vie, y compris la mise en place des contrôles de cybersécurité, leur exploitation et la vérification de leur bon fonctionnement.
Définir l’architecture et les modalités de gestion du système d’information, en précisant les conditions d’utilisation et les services disponibles.
Veiller à la bonne intégration des mesures de sécurité spécifiques dans le cadre global de sécurité.
Collaborer avec le Responsable de la sécurité pour enquêter sur les incidents de cybersécurité affectant les systèmes d’information de LANACCESS, y remédier et mettre en œuvre les enseignements tirés afin de réduire la probabilité ou l’impact d’incidents futurs.
Assurer les fonctions d’administrateur de la sécurité du système, notamment :
la gestion, la configuration et, le cas échéant, la mise à jour du matériel et des logiciels sur lesquels reposent les mécanismes et services de sécurité ;
la gestion des autorisations des utilisateurs, en particulier des privilèges accordés, ainsi que la surveillance de leur utilisation et de leur conformité avec les droits attribués.
Approuver les modifications apportées à la configuration du système d’information.
Veiller au respect strict des contrôles de sécurité mis en place.
S’assurer de l’application des procédures approuvées pour la gestion du système d’information.
Superviser les installations matérielles et logicielles, ainsi que leurs évolutions, afin de garantir que la sécurité n’est pas compromise et que celles-ci restent conformes aux autorisations en vigueur.
Surveiller l’état de sécurité au moyen des outils de gestion des événements de sécurité et des mécanismes d’audit technique.
Lorsque la complexité du système le justifie, le Responsable du système peut désigner des responsables délégués, placés sous son autorité fonctionnelle, et leur confier tout ou partie de ses responsabilités dans leur domaine de compétence. Il peut également déléguer certaines fonctions spécifiques à une ou plusieurs personnes.
Fonctions du Comité de sécurité de l’information
Le Comité de sécurité exerce notamment les fonctions suivantes :
Répondre aux demandes en matière de sécurité de l’information émanant de l’organisation et des différents rôles de sécurité, et rendre compte régulièrement de l’état de la sécurité de l’information.
Fournir des conseils en matière de sécurité de l’information.
Résoudre les éventuels conflits de responsabilité entre les différentes unités administratives.
Promouvoir l’amélioration continue du système de gestion de la sécurité de l’information. À ce titre, le Comité est chargé des missions suivantes :
Coordonner les actions des différents services en matière de sécurité de l’information, afin d’en garantir la cohérence, l’alignement avec la stratégie définie et d’éviter les doublons.
Proposer des plans d’amélioration de la sécurité de l’information, accompagnés des ressources budgétaires nécessaires, en priorisant les actions lorsque les ressources sont limitée.
Veiller à l’intégration de la sécurité de l’information dans l’ensemble des projets, depuis leur conception jusqu’à leur mise en service, notamment en favorisant la mise en place de services transverses permettant de réduire les redondances et d’assurer un fonctionnement homogène des systèmes TIC.
Assurer le suivi des principaux risques résiduels et formuler les recommandations appropriées.
Assurer le suivi de la gestion des incidents de sécurité et formuler les recommandations appropriées.
Élaborer et réviser régulièrement la politique de sécurité de l’information en vue de son approbation par l’organe compétent.
Élaborer la réglementation en matière de sécurité de l’information, en coordination avec la direction générale, en vue de son approbation.
Examiner les procédures de sécurité de l’information et toute autre documentation en vue de leur validation.
Mettre en place des programmes de formation et de sensibilisation du personnel à la sécurité de l’information, notamment en matière de protection des données à caractère personnel.
Définir et approuver les exigences en matière de formation et de qualification des administrateurs, opérateurs et utilisateurs du point de vue de la sécurité de l’information.
Promouvoir la réalisation d’audits périodiques relatifs à l’ENS et à la protection des données, afin de vérifier le respect des obligations en matière de sécurité de l’information.

10.4. Procédures de désignation
La création du Comité de sécurité de l’information, la nomination de ses membres ainsi que la désignation des responsables identifiés dans la présente politique ont été effectuées par le directeur général de LANACCESS et communiquées aux parties concernées.
Les membres du Comité ainsi que les rôles de sécurité font l’objet d’un réexamen tous les trois ans ou en cas de vacance.

10.5. Matrice RACI : attribution des responsabilités

Tâche

DG

RI

RS

CISO/RSF

CIO

Politique de sécurité

A

C

C

R

C

Détermination de la catégorie du système

C

C

 

A/R

C

Analyse des risques

 

I

R

A/R

R

Déclaration d’applicabilité

 

I

R

A/R

R

Normes et procédures de sécurité des systèmes d’information

 

I

 

A/R

R

Réponse aux incidents de sécurité

I

I

C

A/R

R

Sécurité du cycle de vie des services et des systèmes d’information

 

 

 

C

A/R

A : Accountable (responsable de la décision, validation et approbation)
R : Responsible (responsable de l’exécution)
C : Consulted (consulté avant décision)
I : Informed (informé des décisions)


Résolution des conflits
Le Comité de sécurité de l’information de LANACCESS est chargé de résoudre les conflits et divergences d’opinion pouvant survenir entre les différents acteurs de la sécurité.

Données à caractère personnel
LANACCESS traite uniquement des données à caractère personnel adéquates, pertinentes et non excessives, en lien avec les finalités pour lesquelles elles ont été collectées. LANACCESS met également en œuvre les mesures techniques et organisationnelles nécessaires pour se conformer à la réglementation applicable en matière de protection des données, conformément à la politique de protection des données à caractère personnel approuvée par la présidence de LANACCESS.
Conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ainsi qu’à la loi organique espagnole 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques, LANACCESS a mis en place les mesures appropriées, notamment : l’analyse du fondement juridique de chaque traitement, l’analyse des risques, la réalisation d’analyses d’impact lorsque le risque est élevé, la tenue du registre des activités de traitement et la désignation d’un délégué à la protection des données.
 
Tiers
Lorsqu’elle fournit des services à d’autres organismes ou traite des informations provenant de ceux-ci, LANACCESS leur communique la présente Politique de sécurité de l’information. LANACCESS définit et approuve les canaux de coordination de l’information ainsi que les procédures d’intervention en cas d’incident de sécurité, ainsi que toute autre mesure de sécurité applicable dans le cadre de ces relations.
Lorsque LANACCESS recourt à des prestataires tiers ou leur transmet des informations, ces derniers sont informés de la présente Politique de sécurité ainsi que de la réglementation de sécurité applicable aux services ou aux informations concernés.
Les tiers sont tenus de respecter les obligations prévues par cette réglementation et peuvent mettre en œuvre leurs propres procédures opérationnelles pour s’y conformer. Des procédures spécifiques de communication et de gestion des incidents sont établies. Il est également garanti que le personnel des tiers bénéficie d’un niveau de sensibilisation à la sécurité au moins équivalent à celui défini dans la présente politique.
De même, conformément aux dispositions des instructions techniques de sécurité prévues à la deuxième disposition additionnelle du décret royal espagnol 311/2022, ainsi qu’à la résolution du 13 octobre 2016 du Secrétariat d’État aux administrations publiques approuvant l’instruction technique de sécurité de l’ENS, les opérateurs privés fournissant des services ou des solutions à des entités publiques soumises à l’ENS doivent être en mesure de présenter une Déclaration de conformité à l’ENS pour les systèmes de catégorie BASIQUE, ou une Certification de conformité pour les systèmes de catégories MOYENNE ou ÉLEVÉE.
Lorsqu’un tiers ne peut satisfaire à un aspect de la présente Politique de sécurité conformément aux dispositions ci-dessus, un rapport du Responsable de la sécurité ENS est requis, précisant les risques identifiés ainsi que leur traitement. L’approbation de ce rapport par les Responsables de l’information et des services concernés est nécessaire avant toute poursuite.
 
Amélioration continue
La gestion de la sécurité de l’information est un processus en constante évolution. À ce titre, LANACCESS met en place un dispositif d’amélioration continue comprenant notamment les actions suivantes :
Révision de la politique de sécurité de l’information.
Révision des services et des informations ainsi que de leur catégorisation.
Réalisation d’une analyse des risques sur une base annuelle.
Réalisation d’audits internes et externes.
Révision des mesures de sécurité.
Révision et mise à jour des normes et procédures.
Pour LANACCESS, la gestion de la sécurité de l’information constitue un effort continu et collectif, essentiel à la pérennité de l’organisation.
 
Approbation de la politique
Je déclare approuvée la Politique de sécurité de l’information de LANACCESS telle que présentée dans le présent document. Elle doit être communiquée à l’ensemble du personnel afin d’en assurer la connaissance générale et de faciliter son respect et son application.