Politique de communications sécurisées et d’authentification multifacteur

La Politique de communications sécurisées et d’authentification multifacteur (MFA) établit des contrôles complets pour protéger les communications de l’organisation et l’accès des utilisateurs, en s’alignant sur des normes réglementaires et sectorielles rigoureuses. Son objectif principal est d’assurer la confidentialité et l’intégrité des informations transmises sur l’ensemble des canaux de communication, y compris la voix, la vidéo, le texte et les systèmes d’urgence, en imposant des processus d’authentification avancés conformément à l’article 21(2)(j) de NIS2. S’appliquant à tous les employés, contractants et parties externes, la politique impose l’utilisation exclusive d’outils de communication approuvés par l’organisation et de canaux chiffrés pour les informations sensibles ou opérationnelles. Ces exigences s’étendent aux systèmes de notification d’urgence, garantissant que, même en situation de crise, la communication reste sécurisée, résiliente et disponible. Les coordinateurs de réponse d’urgence se voient attribuer un rôle direct à la fois dans les tests et les validations périodiques de ces systèmes et dans la formation du personnel à leur utilisation correcte et sécurisée. Un objectif essentiel de la politique est d’imposer l’authentification multifacteur pour tout accès au réseau et aux systèmes, en particulier pour les comptes à privilèges et l’accès à distance. Les titulaires de comptes à privilèges doivent utiliser des identifiants uniques distincts qui imposent systématiquement l’authentification multifacteur ou une authentification continue, et toute élévation temporaire de privilèges est strictement limitée dans le temps et surveillée. Si des limitations techniques empêchent la mise en œuvre immédiate de l’authentification multifacteur ou du chiffrement, telles que des contraintes de systèmes hérités ou des interruptions opérationnelles, des mesures compensatoires, telles qu’une surveillance renforcée des systèmes ou des restrictions de ports temporaires, sont requises ; toutes les exceptions doivent être formellement approuvées par le Responsable de la sécurité des systèmes d’information (RSSI) et faire l’objet d’une revue trimestrielle. La politique impose également des programmes rigoureux de sensibilisation et de formation pour tous les utilisateurs, lors de l’enrôlement puis annuellement. Ces sessions, avec un accent renforcé pour les fonctions à haut risque telles que les administrateurs informatiques et la direction, garantissent que le personnel peut distinguer les canaux sécurisés des canaux non sécurisés, comprendre les tactiques d’attaques par hameçonnage et d’ingénierie sociale, et utiliser correctement les outils de communications sécurisées. Au-delà de l’enrôlement, une formation ciblée est fournie aux utilisateurs présentant des niveaux de risque élevés, en se concentrant sur les méthodes d’authentification avancées et les risques particuliers associés aux communications d’urgence. Pour assurer une conformité continue, une surveillance continue de la conformité et un audit annuel de tous les systèmes d’authentification et de communication sont réalisés. Tout utilisateur tentant de contourner les politiques ou d’utiliser des méthodes de communication non autorisées ou non sécurisées s’expose à des sanctions disciplinaires, y compris une éventuelle résiliation. Les équipes informatiques et de sécurité maintiennent la responsabilité de la surveillance des journaux et de l’application de configurations par défaut sécurisées, tandis que les processus d’audit vérifient l’alignement continu avec les obligations de conformité et les obligations réglementaires. Cette politique fournit ainsi une approche en couches et complète pour protéger les actifs informationnels de l’organisation en intégrant étroitement les contrôles de communications sécurisées et d’authentification d’accès, en alignement total avec des directives telles que NIS2, ISO/IEC 27001:2022 et les cadres associés.