Politique de synchronisation de l’heure - PME

Cette Politique de synchronisation de l’heure (P23S) établit des exigences claires et obligatoires pour configurer et maintenir une synchronisation de l’heure précise sur l’ensemble des systèmes de l’organisation impliqués dans le stockage, la transmission ou le traitement de données pertinentes pour l’activité. En tant que politique PME, P23S est conçue spécifiquement pour les organisations disposant de rôles informatiques rationalisés, tels que le Directeur général et le Prestataire de support informatique, tout en assurant la conformité avec ISO/IEC 27001:2022, le RGPD, NIS2, DORA et d’autres référentiels. L’objectif de cette politique est de préserver l’intégrité des journaux système, de faciliter une enquête d’incident précise et d’assurer la défendabilité lors des audits grâce à une mise en application stricte des contrôles de synchronisation de l’heure automatisés. Elle exige que tous les systèmes appartenant à l’entreprise, les systèmes à distance et les systèmes hébergés dans le cloud, y compris les terminaux utilisateurs, serveurs, pare-feu et plateformes SaaS, s’appuient sur des sources de temps de confiance, sécurisées cryptographiquement (p. ex., des serveurs NTP authentifiés ou des outils du fournisseur cloud). Les équipements doivent se synchroniser au moins deux fois par jour et rester dans des seuils définis (±5 secondes pour les postes de travail ; ±1 seconde pour les serveurs et les équipements de sécurité). Les écarts de temps en dehors des seuils déclenchent des alertes et doivent être corrigés rapidement afin d’éviter des menaces pour la traçabilité des données ou la situation réglementaire. La politique attribue des responsabilités au Directeur général, au Prestataire de support informatique et à un Coordinateur Protection des données ou Responsable conformité. Le Directeur général supervise et approuve la politique ou toute dérogation, tandis que le Prestataire de support informatique configure, supervise et documente le statut de synchronisation de l’heure. Les employés et prestataires ont l’interdiction stricte de modifier les paramètres d’heure des équipements ; tout problème de synchronisation doit être escaladé immédiatement. Des contrôles réguliers de l’état de santé des systèmes et des revues périodiques contribuent à assurer une conformité continue, tandis que la gestion des exceptions et les mesures compensatoires sont soigneusement gouvernées et documentées. La synchronisation de l’heure est explicitement liée à d’autres politiques PME essentielles, notamment la Politique de journalisation et de surveillance, la Politique de réponse aux incidents (P30), la Protection des données et la vie privée, la Gestion des actifs et la Sécurité des tiers. Ensemble, ces politiques fournissent une couverture cohérente, garantissant que les journaux utilisés pour la conformité, la surveillance de la sécurité ou la réponse aux violations sont exacts tant sur le contenu que sur l’horodatage. Le document met en avant un processus rigoureux de revue et de mise à jour, imposant une réévaluation annuelle par le Directeur général, l’informatique et les rôles Protection des données, avec des mises à jour déclenchées par des changements technologiques ou de nouvelles obligations réglementaires. Cette approche globale donne aux PME la capacité d’adhérer à des normes de sécurité de niveau entreprise sans nécessiter de structures de supervision complexes et gourmandes en ressources.