Politique de sécurité de l’information

1. Introduction

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. dépend des systèmes d’information et des technologies de l’information et de la communication (TIC) pour atteindre ses objectifs et fournir ses services à ses clients. À cet égard, grâce au Système de gestion de la sécurité de l’information (SGSI), tous les systèmes sont gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés pouvant affecter la disponibilité, l’intégrité, la confidentialité, l’authenticité et la traçabilité des informations traitées ou des services fournis.

L’objectif du Système de gestion de la sécurité de l’information (SGSI) est donc de garantir la qualité de l’information et la continuité de la prestation des services, en agissant de manière préventive, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents.

Avec l’application de ce Système de gestion de la sécurité de l’information (SGSI), les systèmes d’information de l’organisation sont protégés contre des menaces en évolution rapide susceptibles d’affecter la confidentialité, l’intégrité, la disponibilité, l’authenticité et la traçabilité, ainsi que l’utilisation prévue et la valeur de l’information et des services. Pour se défendre contre ces menaces, l’organisation dispose d’une stratégie qui s’adapte aux changements de son environnement afin de garantir la continuité de la prestation des services. Cela signifie que dans toute l’organisation, au minimum, les mesures de sécurité exigées par la Directive (UE) 2022/2555, dite Network and Information Security Directive 2 (ci-après Directive NIS2), sont appliquées, en se basant sur les mesures de contrôle du Schéma national de sécurité (ci-après ENS) et de tout développement réglementaire précisant la transposition de cette Directive (UE) dans le droit espagnol, ainsi que sur le suivi continu des niveaux de prestation des services, l’analyse de toute vulnérabilité détectée et la préparation d’une réponse efficace à tout incident pour garantir la continuité des services fournis.

Dans tous les domaines de l’organisation, la sécurité de l’information est une partie intégrante de chaque étape du cycle de vie de ses systèmes, depuis leur conception jusqu’au retrait des services, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation. Les exigences de sécurité et les besoins de financement sont dûment identifiés et inclus dans la planification, dans la demande d’offres et dans les cahiers des charges pour les projets liés aux technologies de l’information et de la communication (TIC). Toutes ces mesures sont également préparées pour prévenir, détecter, réagir et se remettre des incidents, conformément à l’article 21 de la Directive NIS2, ainsi qu’à l’article 8 du décret royal régissant l’ENS.

2. Mission, vision et valeurs

Ce qui identifie MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. en tant qu’organisation et les caractéristiques qui la distinguent des autres entreprises sont définis dans sa Mission, Vision et Valeurs. Grâce à celles-ci, il est possible d’expliquer aux personnes externes à MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. qui elle est en tant qu’organisation, ce qu’elle cherche à accomplir et comment elle souhaite le faire.

2.1. Mission

La mission de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. est d’aider ses clients à atteindre l’excellence opérationnelle dans leurs usines.
C’est ce qui donne un sens à ses actions, ce qui définit qui sont les personnes qui en font partie, pourquoi elles se regroupent au sein d’une organisation et pourquoi elles ont choisi d’agir socialement.

Toute personne externe à MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., en lisant la mission de l’organisation, peut décider si elle s’identifie à celle-ci et si elle souhaite s’engager dans cet objectif. Tout ce qui est réalisé au sein de l’entité a un sens précis, suit une direction déterminée et n’est pas fait par hasard.

2.2. Vision

La vision de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. est de diriger la nouvelle génération des opérations industrielles, en autonomisant les équipes des usines et les usines numériques pour opérer avec intelligence et technologie grâce à l’organisation.

Cette vision représente l’endroit où l’organisation souhaite se situer dans quelques années, ce qu’elle espère accomplir à moyen terme, comment la mission se concrétise sur le terrain, reflétant ses idéaux et les objectifs choisis pour l’avenir.

Les personnes externes à MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. qui s’identifient actuellement à la mission de l’organisation peuvent, grâce à la vision, comprendre pourquoi un travail est effectué d’une certaine manière.

2.3. Valeurs

Toutes les personnes faisant partie de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. partagent une même vision de l’organisation fondée sur les valeurs suivantes.

2.3.1. Attitude

Chez MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., l’attitude prime toujours sur l’aptitude : Attitude > Aptitude.

Au sein de l’organisation, on adopte toujours une attitude honnête, proactive et engagée.

L’enthousiasme, la motivation, la transparence et la positivité font la différence.

2.3.2. Recherche de l’excellence

Chez MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., l’excellence n’est pas une destination, mais un chemin d’évolution continue, où chaque réussite ouvre la porte à de nouvelles opportunités de croissance.

Au sein de l’organisation, les besoins sont anticipés et une valeur durable est créée, bénéfique pour l’équipe comme pour les clients.

On fait preuve de proactivité et on répond aux besoins réels de l’environnement, en améliorant les résultats attendus grâce à des solutions efficaces et mesurables qui dépassent les attentes.

2.3.3. Esprit d’équipe

Chez MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., on parle toujours au pluriel et tout le monde s’entraide.

Le travail d’équipe se déroule à tous les niveaux, des équipes de développement à l’équipe dirigeante, en passant par tous les départements et services.

Les 5 « C » du travail d’équipe dans l’organisation sont les suivants :

• Communication : Dialogue entre les membres de l’équipe basé sur le respect, la liberté et la sincérité.

• Confiance : Assurance en soi et dans le travail réalisé par le reste de l’équipe.

• Engagement : Respect volontaire des responsabilités individuelles au sein d’une équipe.

• Collaboration : Aider et servir spontanément les autres membres de l’équipe.

• Cohésion : Union de tous les membres de l’équipe, plaçant le succès du groupe avant les intérêts personnels.

3. Objectifs et lignes directrices pour la structuration de la documentation de sécurité

Le corpus normatif de sécurité de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. s’articule en une structure hiérarchique à trois niveaux, conçue pour garantir la cohérence institutionnelle de l’organisation, l’agilité dans la mise à jour technique et le respect des principes de base ainsi que des exigences minimales de la Directive NIS 2 et de l’ENS.

3.1. Objectifs de la structure documentaire

Les objectifs poursuivis par la structure documentaire de l’organisation sont les suivants :

• Systématique : Établir un cadre normatif clair couvrant tous les domaines organisationnels, techniques et opérationnels.

• Accessibilité : Garantir que chaque membre de l’organisation ait accès aux normes et procédures nécessaires à l’exercice de ses fonctions.

• Maintenabilité : Faciliter la mise à jour indépendante des procédures techniques sans avoir à modifier les politiques de haut niveau.

• Traçabilité : Permettre l’audit de la conformité réglementaire à travers des preuves documentaires solides.

3.2. Niveaux de documentation

La documentation de sécurité de l’organisation est structurée aux niveaux suivants :

• Premier niveau : Politique de sécurité de l’information. Il s’agit du présent document. Il définit la mission, les objectifs, le cadre légal, les rôles principaux et la stratégie de sécurité. Il est approuvé par la direction de l’organisation et révisé annuellement ou en cas de changements significatifs.

• Deuxième niveau : Normes de sécurité. Elles développent les principes de la Politique de sécurité de l’information. Ce sont des documents à caractère tactique qui définissent ce qui doit être fait et les exigences obligatoires pour des domaines spécifiques (par exemple, normes de contrôle d’accès, normes de sauvegarde, normes de sécurité dans la chaîne d’approvisionnement, etc.).

• Troisième niveau : Processus, procédures et instructions techniques. Ce sont des documents opérationnels détaillant comment effectuer des tâches spécifiques. Ils incluent des manuels de configuration, guides d’exploitation et plans de réponse aux incidents. Ils ont un caractère dynamique et technique.

3.3. Directives pour leur gestion

Les directives pour la gestion de la documentation de sécurité de l’organisation sont les suivantes :

• Approbation : Chaque niveau documentaire est approuvé par l’organe compétent (personne responsable de la sécurité, comité de sécurité de l’information ou direction de l’organisation) selon son périmètre.

• Validité et révision : Toute la documentation est révisée périodiquement (au minimum tous les deux ans ou en cas de changements réglementaires, comme la transposition de la Directive NIS2) afin d’assurer sa validité.

• Confidentialité : L’accès à la documentation de sécurité est restreint selon le principe du besoin de savoir, en particulier concernant les instructions techniques et configurations critiques.

• Contrôle des versions : Tous les documents disposent d’un contrôle des versions et d’un historique des modifications pour garantir l’intégrité et le suivi du système de gestion de la sécurité.

4. Principes directeurs de la politique de sécurité de l’information

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., pour se conformer aux articles de la Directive NIS2 qui énoncent les principes de base et les exigences minimales concernant les mesures à adopter pour la gestion des risques liés à la cybersécurité, et pour assurer leur approbation par les organes de direction des entités concernées (principalement les articles 20 et 21), ainsi que leur éventuelle transposition dans le droit espagnol, et également aux articles du Décret Royal 311/2022 du 3 mai régissant l’ENS, a mis en œuvre diverses mesures de sécurité proportionnelles à la nature de l’information et aux services à protéger, en tenant également compte de la catégorie des systèmes affectés. Les principes qui régiront l’ensemble des mesures adoptées sont précisés ci-dessous.

4.1. Sécurité en tant que processus intégré et sécurité par défaut

La sécurité constitue un processus intégrant tous les éléments techniques, humains, matériels et organisationnels liés aux systèmes d’information de l’organisation.

L’application et le développement de la présente Politique de sécurité de l’information chez MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. sont guidés par ce principe, qui exclut toute action en dehors du périmètre de la politique.

Une attention maximale est portée à la sensibilisation des personnes impliquées dans le processus et à leurs responsables hiérarchiques afin de minimiser tout risque pouvant affecter la sécurité de l’organisation.

Les systèmes sont conçus de manière à garantir la sécurité par défaut, de la manière suivante :

• Le système doit fournir la fonctionnalité minimale requise pour permettre à l’organisation d’atteindre ses objectifs.

• Les fonctions d’exploitation, d’administration et de journalisation doivent être strictement nécessaires, accessibles uniquement aux personnes, sites ou équipements autorisés, avec éventuellement des restrictions d’horaires et de points d’accès.

• Dans un système d’exploitation, les fonctions non pertinentes ou inutiles doivent être supprimées ou désactivées via le contrôle de configuration, y compris celles inappropriées à l’objectif poursuivi.

• L’utilisation ordinaire d’un système doit être simple et sûre, de sorte qu’une utilisation non sécurisée nécessite un acte conscient de la part des utilisateurs.

4.2. Réévaluation périodique, intégrité et mise à jour du système

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a mis en place des contrôles et évaluations régulières de la sécurité (y compris des évaluations des changements de configuration de manière routinière) pour connaître en permanence l’état de sécurité des systèmes par rapport aux spécifications des fabricants, aux vulnérabilités et aux mises à jour les concernant, et pour réagir avec diligence afin de gérer le risque en fonction de l’état de sécurité.

Avant l’ajout de nouveaux éléments, qu’ils soient physiques ou logiques, une analyse formelle est toujours requise.

De plus, des examens externes périodiques sont demandés afin d’obtenir des évaluations indépendantes.

4.3. Gestion du personnel et professionnalisme

Tous les employés de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. ont l’obligation de connaître et de respecter cette Politique de sécurité de l’information, ainsi que les normes, procédures ou guides qui en découlent. Il est de la responsabilité de l’organisation, par l’intermédiaire du Comité de sécurité de l’information, de fournir les moyens nécessaires pour que l’information parvienne à toutes les personnes concernées.

4.4. Gestion de la sécurité basée sur l’analyse et la gestion des risques

Tous les systèmes affectés par la présente Politique de sécurité de l’information, ainsi que tous les traitements de données personnelles, font l’objet d’une analyse de risques évaluant les menaces et les risques auxquels ils sont exposés.

Cette analyse est répétée :

• Régulièrement, au moins une fois par an.

• Lorsqu’il y a un changement significatif de l’information traitée ou des services fournis.

• Lorsqu’un incident de sécurité grave se produit ou que des vulnérabilités critiques sont détectées.

La personne responsable de la sécurité est chargée de réaliser l’analyse des risques, d’identifier les lacunes et faiblesses existantes, et d’en informer le Comité de sécurité de l’information.

4.5. Incidents de sécurité, prévention, réaction et récupération

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a mis en place un processus complet de détection, réaction et récupération face aux codes malveillants, avec le développement de procédures couvrant les mécanismes de détection, les critères de classification, les procédures d’analyse et de résolution, ainsi que les voies de communication avec les parties concernées et l’enregistrement des actions. Ce registre est utilisé pour l’amélioration continue de la sécurité du système.

Pour que l’information et les services ne soient pas affectés par des incidents de sécurité, l’organisation a mis en œuvre les mesures de sécurité appropriées pour se conformer aux dispositions de l’article 21 de la Directive NIS2, ainsi que des contrôles supplémentaires, y compris ceux prévus par l’ENS, identifiés comme nécessaires à travers une évaluation des menaces et des risques. Ces contrôles, ainsi que les rôles et responsabilités en matière de sécurité de tout le personnel, sont clairement définis et documentés.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. prévoit d’incorporer dans ses politiques tout développement législatif précisant les exigences de cet article 21, y compris tout développement réglementaire éventuel, les Profils de Conformité Spécifique NIS2 publiés dans le cadre de l’ENS, ainsi que tout autre élément pertinent pour la présente Politique de sécurité de l’information.

Lorsqu’un écart significatif par rapport aux paramètres préétablis comme normaux se produit, des mécanismes de détection, d’analyse et de rapport sont mis en place pour informer régulièrement les responsables.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a établi les mesures suivantes de réaction face aux incidents de sécurité :

• Mécanismes pour répondre efficacement à tout incident de sécurité.

• Un point de contact pour les communications concernant les incidents détectés dans d’autres départements, zones ou organismes.

• Protocoles pour l’échange d’informations liées à l’incident, incluant les communications bidirectionnelles avec les équipes de réponse aux urgences (CERT).

• Les moyens et techniques nécessaires pour garantir la récupération des services critiques et assurer la disponibilité des services.

4.6. Lignes de défense et prévention vis-à-vis d’autres systèmes interconnectés

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a mis en œuvre une stratégie de protection multicouche, composée de mesures organisationnelles, physiques et logiques, de sorte que lorsqu’une couche échoue, le système permette :

• Gagner du temps pour une réaction appropriée aux incidents non évités.

• Réduire la probabilité que le système dans son ensemble soit compromis.

• Minimiser l’impact final sur le système.

Cette stratégie prévoit la protection du périmètre, en particulier pour la connexion, si nécessaire, aux réseaux publics.

Dans tous les cas, les risques liés à l’interconnexion du système avec d’autres systèmes via des réseaux ont été analysés, en contrôlant le point de jonction.

4.7. Fonction différenciée dans l’organisation

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a organisé sa sécurité en impliquant tous les membres de l’organisation via la désignation de différents rôles de sécurité avec des responsabilités clairement différenciées.

4.8. Autorisation et contrôle des accès

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a mis en place des mécanismes de contrôle d’accès aux systèmes d’information, limitant l’accès aux personnes strictement nécessaires et dûment autorisées.

4.9. Protection des installations

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a également mis en œuvre des mécanismes de contrôle d’accès physique, prévenant les accès non autorisés ainsi que les dommages aux informations et ressources, grâce à des périmètres de sécurité, des contrôles physiques et des protections générales dans différentes zones.

4.10. Acquisition de produits et services de sécurité

Pour l’acquisition de produits et services, MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. veille à ce que ceux-ci disposent d’une fonctionnalité de sécurité certifiée relative à l’objet de l’acquisition, sauf dans les cas où les exigences de proportionnalité par rapport aux risques encourus ne le justifient pas, selon l’appréciation de la personne responsable de la sécurité.

4.11. Protection de l’information stockée et en transit et continuité de l’activité

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a mis en place des mécanismes pour protéger les informations stockées ou en transit, en particulier lorsqu’elles se trouvent dans des environnements moins sécurisés (ordinateurs portables, téléphones mobiles, tablettes, supports d’information, réseaux externes, etc.).

L’organisation dispose de sauvegardes des systèmes et de mécanismes pour garantir la continuité des opérations en cas de perte des moyens de travail habituels.

Des procédures ont été développées pour assurer la récupération et la conservation à long terme des documents électroniques produits dans le cadre des compétences de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.

De même, des mécanismes de sécurité ont été mis en place selon la nature des supports pour garantir que toute information sur support non électronique est protégée au même niveau que l’information électronique.

4.12. Journaux d’activité

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a mis en place des journaux d’activité des utilisateurs, conservant les informations nécessaires pour surveiller, analyser, enquêter et documenter les activités inappropriées ou non autorisées, permettant d’identifier à tout moment la personne responsable. Tout cela a pour seul objectif de garantir le respect de l’objet du présent décret royal, avec pleine garantie du droit à l’honneur, à la vie privée, à l’image des personnes concernées, et conformément à la législation sur la protection des données personnelles et autres dispositions applicables.

5. Organisation de la sécurité

L’organisation de la sécurité de l’information chez MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. est établie comme indiqué ci-dessous.

5.1. Rôles ou profils de sécurité

Pour garantir la conformité et l’adaptation aux mesures exigées par la réglementation, les rôles ou profils de sécurité suivants ont été créés au sein de l’organigramme de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. :

• Personne Responsable de la Sécurité

• Personne Responsable du Système

• Personnes Responsables de l’Information et du Service

• Personne Responsable du Contact avec les entreprises Fournisseuses

La section suivante précise les profils au sein de l’organisation qui occupent les rôles indiqués.

5.2. Comité de sécurité de l’information

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a constitué un Comité de sécurité de l’information, en tant qu’organe collégial, composé des membres suivants :

• Présidence : Directeur Général

• Secrétariat : Directeur People & Culture

• Membres :

o Personne Responsable de la Sécurité et personne Référente en Protection des Données : Directeur People & Culture
o Personne Responsable du Système : Administrateur des Systèmes d’Information et Technologies
o Personne Responsable de l’Information et du Service : Directeur Produit
o Personne Responsable de l’Information et du Service : Directeur des Services Professionnels

L’organisation et les fonctions du Comité de sécurité de l’information, ainsi que les fonctions de ses membres, sont décrites dans le document de définition des rôles et responsabilités, destiné à un usage interne dans l’organisation.

6. Développement de la politique de sécurité de l’information

Le Comité de sécurité de l’information de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a approuvé le développement d’un Système de Gestion de la Sécurité de l’Information (SGSI) qui a été établi, mis en œuvre, maintenu et amélioré conformément aux standards de sécurité. Ce système a été adapté et sert à la gestion des contrôles nécessaires pour se conformer aux dispositions de la Directive NIS2, ainsi qu’à l’intégration des contrôles pertinents tels que décrits dans l’ENS.

Le Système de Gestion de la Sécurité de l’Information (SGSI) est documenté et permet de générer des preuves des contrôles et de la conformité aux objectifs fixés par le Comité de sécurité de l’information. Il existe une procédure de gestion documentaire qui établit les lignes directrices pour la structuration de la documentation de sécurité du système, sa gestion et son accès.

Il revient au Comité de sécurité de l’information de procéder à la révision annuelle de la présente Politique de sécurité de l’information, en proposant, le cas échéant, des améliorations, pour approbation par la Direction compétente de l’organisation selon le domaine d’activité de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.

Cette Politique de sécurité de l’information a été développée et complétée par l’ensemble des politiques de l’organisation, documentées dans le référentiel documentaire qui regroupe et définit tous les processus de sécurité en relation avec le Système de Gestion de la Sécurité de l’Information (SGSI) de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U.

La présente Politique de sécurité de l’information a été développée au moyen d’une réglementation de sécurité abordant des aspects spécifiques. La réglementation de sécurité est mise à la disposition de tous les employés de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U., en particulier pour ceux qui utilisent, exploitent ou administrent des systèmes d’information et de communication.

7. Sensibilisation et formation

Tous les employés de MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. concernés par cette Politique de sécurité de l’information participent à des sessions de sensibilisation à la sécurité au moins une fois par an. De plus, des programmes de sensibilisation continue ont été mis en place pour tous les employés, en particulier pour les nouveaux arrivants.

Les personnes de l’organisation ayant des responsabilités dans l’utilisation, l’exploitation ou l’administration des systèmes reçoivent une formation continue pour la gestion sécurisée des systèmes. Cette formation est obligatoire avant de prendre une responsabilité, que ce soit lors d’une première affectation ou de tout changement ultérieur de responsabilités ou de poste impliquant des fonctions différentes de celles exercées jusqu’à présent.

8. Traitement des données à caractère personnel

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. collecte des Données à Caractère Personnel lorsqu’elles sont adéquates, pertinentes et non excessives, et qu’elles sont liées au domaine et aux finalités pour lesquels elles ont été obtenues. De même, les mesures techniques et organisationnelles nécessaires sont adoptées pour garantir le respect de la législation en vigueur sur la protection des données.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. traite les Données à Caractère Personnel, comme décrit dans le Registre des Activités de Traitement (RAT).

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a évalué les risques liés aux Données à Caractère Personnel traitées, en proposant un plan d’action pour corriger les risques dépassant le seuil autorisé. La personne Référente en Protection des Données à Caractère Personnel est chargée d’intégrer les conditions de traitement des Données à Caractère Personnel dans cette Politique de Sécurité de l’Information, ainsi que dans tous les documents qui en découlent et qui affectent le Système de Gestion de la Sécurité de l’Information (SGSI).

L’analyse des risques est réévaluée périodiquement, avec les conseils et la supervision de la personne Référente en Protection des Données à Caractère Personnel de l’organisation, et, en tout état de cause, lorsqu’un traitement à haut risque est identifié, une évaluation d’impact doit être réalisée si nécessaire. La mise en œuvre du plan de traitement des risques est coordonnée avec les actions appropriées concernant le Système de Gestion de la Sécurité de l’Information (SGSI), ainsi qu’avec les autres procédures ou normes de sécurité découlant des obligations en matière de protection des données, notamment dans le contrôle des entreprises prestataires ou en réponse aux incidents et violations de Données à Caractère Personnel.

9. Gestion des risques

Une analyse des risques est réalisée pour tous les systèmes soumis à cette politique, en évaluant les menaces et les risques auxquels ils sont exposés.

Cette analyse est répétée :

• Régulièrement, au moins une fois par an.

• Lors de changements dans les informations traitées.

• Lors de changements dans les services fournis.

• Lorsqu’un incident grave de sécurité survient.

• Lorsqu’une vulnérabilité grave est signalée.

• Lors de modifications dans l’analyse des risques liés à la protection des données ou dans les évaluations d’impact.

Pour harmoniser les analyses de risques, le Comité de sécurité de l’information a établi une évaluation de référence pour les différents types d’informations traitées et les différents services fournis. Le Comité de sécurité de l’information a facilité la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes. À cet effet, les risques liés à la Protection des Données ont été pris en compte, avec la participation et l’avis de la personne Référente en Protection des Données à Caractère Personnel de l’organisation, ainsi que de tout support externe nécessaire, et la coordination de la Politique de sécurité de l’information avec les autres documents y afférents et le Registre des Activités de Traitement (RAT) a été assurée.

La Politique de sécurité de l’information, ainsi que tous les documents nécessitant l’acceptation explicite des employés pour comprendre et accepter le cadre de sécurité dans lequel ils doivent gérer les informations auxquelles ils ont accès dans le cadre de leurs fonctions, est toujours mise à leur disposition, et l’acceptation explicite des normes qui les concernent a été documentée.

10. Tiers

Lorsque MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. fournit des services à d’autres entités, qu’elles soient privées ou publiques, et que ces services impliquent le traitement d’informations ou de données à caractère personnel les concernant, ces entités sont informées de la présente Politique de sécurité de l’information.

MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. a défini et approuvé les canaux appropriés pour la coordination des informations et les procédures d’intervention en cas d’incidents de sécurité, ainsi que pour toutes les autres actions que MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. entreprend en matière de sécurité vis-à-vis d’autres organisations.

Lorsque MAPEX MANUFACTURING SOFTWARE SOLUTIONS, S.L.U. utilise des services de tiers ou transmet des informations à des tiers, ces derniers sont informés de cette Politique de sécurité de l’information et de la réglementation de sécurité applicable à ces services ou informations. Ce tiers est soumis aux obligations établies dans ladite réglementation, et peut mettre en place ses propres procédures opérationnelles pour s’y conformer. Des procédures spécifiques de communication et de résolution des incidents sont mises en place. Il est demandé que les employés des entreprises tierces soient correctement sensibilisés à la sécurité, au moins au même niveau que celui défini dans cette Politique de sécurité de l’information.

De même, lorsqu’un aspect de cette Politique de sécurité de l’information ne peut être respecté par un tiers comme indiqué dans les paragraphes précédents, un rapport est requis de la part de la Personne Responsable de la Sécurité, précisant les risques encourus et la manière de les traiter. Ce rapport doit être approuvé par les Personnes Responsables de l’Information et du Service avant de poursuivre.

Lorsque l’entité acquiert, développe ou déploie des systèmes d’intelligence artificielle, en plus de se conformer à la réglementation en vigueur dans ce domaine, le rapport de la Personne Responsable de la Sécurité est toujours pris en compte, après consultation des Personnes Responsables de l’Information et du Service et, si nécessaire, de la Personne Responsable du Système, en intégrant le point de vue de la Personne Référente en Protection des Données à Caractère Personnel.

11. Approbation et entrée en vigueur

Les modifications de la présente politique, impliquant des changements ou ajustements nécessaires pour l’adapter à de nouvelles circonstances ou au développement de la prestation de services, seront effectuées par le Comité de sécurité de l’information, qui procédera à une révision au moins une fois par an.

Dans le cas où ces changements impliqueraient une modification substantielle des principes ou des responsabilités désignées, le Comité de sécurité de l’information proposera les modifications qui devront être approuvées au sein de son propre organe.

Le remplacement de la Politique de sécurité de l’information sera initié par le Comité de sécurité de l’information, et les parties concernées en seront informées de manière appropriée par les mêmes canaux utilisés pour sa diffusion.

Dernière mise à jour : 7 avril 2026