Charte informatique de DATASHIELD Risk Consulting

01 / Objet et périmètre de la charte

La charte informatique a pour objet de définir les bonnes pratiques et les règles minimales à respecter pour garantir la sécurité, la confidentialité, l’intégrité et la disponibilité des systèmes d’information de DATASHIELD Risk Consulting et des données qui y sont traitées.

Elle s’applique à :

• l'ensemble des collaborateurs de DATASHIELD (CDI, CDD, alternés, stagiaires) ;
• les prestataires, partenaires ou consultants travaillant au nom de DATASHIELD, lorsqu'ils accèdent à nos outils, données ou environnements ;
• plus largement, à toute personne autorisée à utiliser les ressources numériques mises à disposition par DATASHIELD (postes, comptes, accès distants, outils cloud, etc.).

L’usage des systèmes d’information implique l’adhésion aux principes de cette charte. En cas de doute sur une situation non prévue, le réflexe attendu est de consulter la direction ou la personne référente sécurité.

02 / Principes généraux d’utilisation

Les ressources numériques de DATASHIELD (postes de travail, comptes, messageries, outils collaboratifs, plateformes techniques, moyens de communication) sont fournies pour les besoins de l’activité professionnelle et des missions confiées.

Un usage personnel raisonnable, ponctuel et non abusif peut être toléré, tant qu’il ne nuit pas à la sécurité, au bon fonctionnement du système, ni à l’image de DATASHIELD, et qu’il reste conforme aux lois en vigueur.

L’utilisateur :

• ne doit pas utiliser les outils pour des activités illicites ;
• s'interdit toute consultation, diffusion ou stockage de contenus contraires à la loi ou aux valeurs de DATASHIELD (incitation à la haine, contenus violents ou dégradants, etc.) ;
• s’engage à signaler toute anomalie, comportement suspect ou incident de sécurité dont il aurait connaissance.

03 / Identifiants, mots de passe et authentification forte

Les identifiants de connexion (logins, mots de passe, secrets d’API, clés d’authentification) sont strictement personnels et confidentiels. Ils ne doivent en aucun cas être partagés, prêtés ou communiqués à un tiers, y compris à un collègue ou à un interlocuteur externe.

Les règles suivantes s’appliquent :

• utilisation systématique de mots de passe robustes (longueur suffisante, mélange de caractères, absence d'informations évidentes type prénom, date de naissance, etc.) ;
• activation, dès que possible, de l’ authentification multifacteur (MFA / 2FA) pour les comptes sensibles (messageries, outils internes, consoles administratives, services cloud) ;
• interdiction de noter les mots de passe sur des supports non sécurisés (post-it, notes non chiffrées, e-mails, etc.) ;
• obligation de changer immédiatement un mot de passe en cas de suspicion de compromission.

L’utilisation d’un gestionnaire de mots de passe approuvé est fortement encouragée afin d’éviter la réutilisation de mots de passe et de faciliter l’application de ces règles.

04 / Postes de travail, appareils mobiles et accès distants

Les équipements (PC portables, stations, smartphones, tablettes) utilisés pour les activités de DATASHIELD doivent être protégés et maintenus à jour.

• verrouillage de session obligatoire en cas d'absence (même courte) ;
• mise à jour régulière des systèmes et logiciels (correctifs de sécurité) ;
• antivirus/EDR actif et non désactivé sans motif légitime ;
• chiffrement des disques durs pour les postes ou terminaux susceptibles de contenir des données sensibles ;
• usage d’un VPN ou d’un accès sécurisé pour se connecter aux ressources internes depuis l’extérieur.

L’utilisation d’équipements personnels pour accéder aux systèmes de DATASHIELD (BYOD) doit être validée au préalable et encadrée par des mesures techniques et organisationnelles spécifiques (durcissement minimal, isolation, etc.).

05 / Usage de la messagerie et d’Internet

La messagerie professionnelle et les outils de communication (e-mail, visioconférence, messageries instantanées) sont des outils de travail. Ils doivent être utilisés avec prudence, en particulier dans le contexte de la cybersécurité.

• vigilance accrue face aux e-mails suspects (pièces jointes inattendues, liens douteux, demandes urgentes ou inhabituelles) ;
• vérification systématique de l’authenticité des demandes sensibles (changement de RIB, transfert de fonds, envoi de données confidentielles) par un canal secondaire ;
• pas d’envoi d’éléments sensibles non chiffrés (rapports, journaux, identifiants, copies de pièces d’identité, etc.) ;
• pas de diffusion de contenus inappropriés, insultants, discriminants ou susceptibles de nuire à l’image de DATASHIELD.

La navigation Internet doit rester compatible avec l’activité professionnelle et respecter les lois en vigueur. Les téléchargements non maîtrisés (logiciels piratés, outils non validés, fichiers d’origine inconnue) sont strictement interdits.

06 / Données, classification et stockage

Les données manipulées dans le cadre des missions (logs, exports, copies d’écran, rapports, preuves techniques, documents transmis par les clients, éléments bancaires ou administratifs) peuvent être particulièrement sensibles.

À ce titre, l’utilisateur s’engage à :

• stocker les données de mission uniquement dans les espaces prévus à cet effet (serveurs, NAS, solutions cloud validées) ;
• éviter le stockage local non nécessaire sur les postes, et ne jamais utiliser de solutions personnelles non autorisées (stockage grand public, messageries privées, clés USB non contrôlées) ;
• respecter les règles de classification et de partage (données internes, confidentielles client, sensibles réglementées, etc.) ;
• supprimer ou archiver de manière sécurisée les données à l’issue des missions, selon les procédures définies.

07 / Interventions chez les clients et gestion des preuves

Dans le cadre d’interventions forensic, d’analyses techniques ou d’assistance à incident, l’utilisateur peut être amené à manipuler des preuves numériques susceptibles d’être utilisées dans un cadre juridique ou assurantiel.

Les principes suivants s’appliquent :

• respect des procédures internes de collecte, d'imagerie et de conservation de preuves (chaîne de possession, intégrité, horodatage) ;
• absence de modification non justifiée des systèmes analysés, au-delà des mesures nécessaires à la sécurisation immédiate ;
• consignation des actions dans un journal technique ou un rapport d’intervention structuré ;
• confidentialité stricte sur les éléments découverts, y compris vis-à-vis de tiers non autorisés côté client.

08 / Confidentialité et secret professionnel

Toute information obtenue dans le cadre des missions (technique, financière, organisationnelle, personnelle) est considérée comme strictement confidentielle.

L’utilisateur s’engage à :

• ne pas divulguer ces informations à des tiers non autorisés, y compris en dehors du cadre professionnel (famille, proches, réseaux sociaux, conférences, etc.) ;
• ne pas réutiliser, pour son propre compte ou celui d’un tiers, les connaissances ou données obtenues dans le cadre d’une mission, d’une manière qui nuirait au client ou à DATASHIELD ;
• respecter les éventuelles clauses de confidentialité spécifiques prévues par contrat.

09 / Journalisation, contrôle et conformité

Pour assurer la sécurité des systèmes, le respect des obligations légales et la traçabilité des opérations sensibles, DATASHIELD peut mettre en place des mécanismes de journalisation et des contrôles d’accès sur ses systèmes d’information.

Ces dispositifs sont mis en œuvre dans le respect du cadre réglementaire applicable (notamment en matière de protection des données personnelles) et ont pour objectifs principaux :

• la détection d'incidents ou d'anomalies de sécurité ;
• l'analyse technique en cas d'incident avéré ;
• la vérification du respect des règles d’usage définies par la présente charte.

Les informations recueillies dans ce cadre ne sont pas utilisées à d’autres fins que celles de la sécurité, de la conformité ou de la défense des intérêts légitimes de DATASHIELD, sauf obligation légale contraire.

10 / Signalement des incidents et suspicions

Tout utilisateur a un rôle actif dans la détection et la remontée des incidents ou comportements anormaux.

Doivent être signalés sans délai :

• la perte ou le vol d'un équipement (PC, mobile, support) ;
• la réception d'e-mails suspects, demandes anormales, tentatives de hameçonnage (phishing, smishing, vishing, etc.) ;
• tout comportement étrange d’un système (verrouillage, messages inhabituels, ralentissements inexpliqués) pouvant évoquer un malware ou une intrusion ;
• toute fuite potentielle de données ou envoi erroné de documents sensibles à un mauvais destinataire.

Le signalement se fait auprès de la direction ou de la personne référente technique / sécurité, selon les procédures internes (téléphone, canal dédié, e-mail spécifique, etc.).

11 / Sensibilisation, formation et amélioration continue

La sécurité et le bon usage des systèmes d’information reposent autant sur les outils que sur le niveau de sensibilisation et de compétence des personnes qui les utilisent.

DATASHIELD encourage et organise :

• des actions de sensibilisation régulière aux risques cyber (phishing, fraude, ransomwares, etc.) ;
• des formations techniques et méthodologiques adaptées au niveau de responsabilité de chacun ;
• des retours d’expérience (REX) anonymisés lorsque cela est possible, pour transformer les incidents en apprentissages collectifs.

12 / Manquements à la charte et sanctions

Le non-respect de la présente charte peut avoir des conséquences graves pour la sécurité des systèmes, la protection des données, la continuité des activités et l’image de DATASHIELD Risk Consulting et de ses clients.

En fonction de la nature et de la gravité du manquement, des mesures adaptées peuvent être mises en œuvre, pouvant aller :

• du simple rappel des règles et accompagnement ;
• à des mesures disciplinaires ou contractuelles (pour les salariés, prestataires, partenaires) ;
• jusqu’à des actions civiles ou pénales, lorsqu’une infraction à la loi a été commise.

L’objectif premier reste toutefois la prévention et l’accompagnement, dans une logique de responsabilité partagée.

13 / Mise à jour et évolution de la charte

La présente charte est un document vivant, amené à évoluer avec l’activité de DATASHIELD, l’état de la menace, les retours d’expérience et les évolutions légales ou normatives.

Toute version mise à jour pourra être communiquée aux personnes concernées par les canaux habituels (intranet, e-mail, annexes contractuelles, etc.). Il appartient à chaque utilisateur de prendre connaissance de ces évolutions.