Politique de bureau propre et d’écran verrouillé

La Politique de bureau propre et d’écran verrouillé (P10) établit des contrôles rigoureux afin de garantir que les informations sensibles sont protégées contre tout accès non autorisé, toute divulgation, toute perte ou tout vol dans tout environnement de travail physique ou hybride. Elle soutient des obligations réglementaires reconnues mondialement telles que ISO/IEC 27001:2022 (en particulier les clauses traitant de la sécurité physique et du comportement), les articles du GDPR relatifs à la protection des données et à la confidentialité, ainsi que d’autres référentiels, notamment NIST SP 800-53, EU NIS2, EU DORA et COBIT 2019. Cette politique a un champ d’application large et s’applique universellement aux employés permanents et temporaires, aux contractants, aux prestataires tiers de services, et même aux visiteurs susceptibles d’avoir accès à des espaces de travail confidentiels. Elle encadre strictement la conduite dans les bureaux individuels, les espaces ouverts, les salles de réunion et les environnements de travail à distance ou hybrides tels que le hot-desking. L’objectif est de standardiser un comportement conscient de la sécurité afin que l'ensemble du personnel, quel que soit son rôle ou son lieu de travail, respecte les mêmes règles de protection de l’information. Des exigences claires sont établies pour les moyens de contrôle à la fois physiques et techniques. Les utilisateurs doivent garder les bureaux exempts de documents sensibles exposés, verrouiller les écrans avant de s’éloigner, stocker ou éliminer de manière sécurisée les supports confidentiels, et ne pas laisser des identifiants ou des équipements sans surveillance. L’exploitation informatique est tenue de configurer les systèmes avec des temporisations de verrouillage d’écran réglées à un maximum de 5 minutes, de déployer des filtres de confidentialité dans les zones à fort passage et de mettre en place une mise en application technique sur tous les terminaux. Les équipes Gestion des installations et des actifs et Sécurité physique fournissent des solutions de stockage verrouillables, des destructeurs de documents et une signalétique claire, tout en réalisant des tournées régulières de conformité et en traitant les violations. Les responsabilités de mise en application et de supervision sont réparties entre la Direction, le Responsable de la sécurité des systèmes d’information (CISO) / Responsable du SMSI, les installations, l’informatique et les responsables hiérarchiques, garantissant une approche en couches de l’autorité et de la responsabilité. La politique impose un programme de formation robuste, l’enrôlement et des formations de rappel périodiques afin de sensibiliser l'ensemble du personnel aux risques liés aux informations sensibles laissées sans surveillance. Des audits réguliers, le suivi des indicateurs de conformité (tels que les violations observées et les enregistrements d’achèvement de formation) et des circuits d’escalade stricts en cas de non-conformité, y compris des mesures disciplinaires RH, démontrent un engagement à la fois en matière de discipline opérationnelle et de préparation juridique. Des processus de gestion des exceptions et d’acceptation du risque résiduel sont également en place, exigeant une approbation avancée, une documentation et des contrôles supplémentaires pour toute dérogation. De manière exhaustive, cette politique unifie le comportement des utilisateurs, la conception des espaces de travail, la mise en application technique et les processus d’audit au sein d’un cadre reproductible essentiel à la résilience organisationnelle et à la conformité réglementaire. Toutes les mises à jour sont soumises à des exigences de revue et de mise à jour, communiquées via des canaux officiels et nécessitent une nouvelle attestation de prise de connaissance de la politique. Des politiques alignées sur la politique de sécurité de l’information, la gestion des risques, le traitement des actifs, la classification des données, la conservation, l’élimination et la surveillance renforcent encore le système global de gouvernance.