1 Préambule

La capacité de production et de prestation de Capita dépend essentiellement de la disponibilité et de la qualité des services fournis par les technologies de l’information. De nombreux processus d’entreprise sont maintenant informatisés et sont progressivement intégrés les uns aux autres dans le cadre d’un « système intégré de gestion de l’information » (SIG). La « sécurité des technologies de l’information » est, pour Capita, non seulement une condition de la réalisation de vos demandes mais elle revêt aussi une grande valeur stratégique. La sécurité des technologies de l’information n’est pas une fin en soi.

De même, l’infrastructure de ces technologies est exposée à des dangers en augmentation constante. L’établissement de mesures de protection visant à sécuriser tous les services dépendant de ces technologies de l’information correspond à la plus haute des priorités.

Les principes directeurs relatifs à la sécurité de l’information décrivent la façon dont Capita sécurise les informations et sert de fondement à une stratégie complète de sécurité informatique. Les mesures qui s’ensuivent doivent ainsi assurer la plus grande sécurité possible en ce domaine.

Cette sécurisation représente une condition indispensable pour respecter à la fois la transposition des lois et les instructions de nos clients, surtout celles qui concernent particulièrement le traitement des données personnelles et qui représentent en outre une obligation légale. Mettre en œuvre avec succès le processus de sécurisation de l’information présuppose ainsi la présence de structures de responsabilité ainsi qu’une assistance spécifique donnée à toutes nos collaboratrices et tous nos collaborateurs.

Ces principes directeurs formulent ainsi un cadre général permettant d‘assurer durablement la sécurisation de l’information. L’objectif visé consiste en une protection adéquate des infrastructures, systèmes, applications et informations critiques.

2 Champ d'application

Les principes directeurs de la sécurisation de l’information et les documents s'y rapportant :

  • stratégie de sécurité informatique ISP,
  • stratégie de protection des données,

s’appliquent à toutes les collaboratrices et tous les collaborateurs de Capita. Les partenaires contractuels dont les prestations concernent le domaine des technologies de l’information et de la communication sont tenus au respect des exigences mentionnées ci-après.

3 Classification

Le niveau de sécurisation de l’information chez Capita est globalement classé comme « élevé ».

Cette qualification est due au fait que toutes les fonctions et tâches essentielles sont informatisées et qu'une défaillance éventuelle des systèmes informatiques ne devrait en aucun cas mettre en danger leur bon déroulement.

Le centre relation client de Capita traite également des données qui nécessitent un degré de confidentialité plus élevée et des droits d'accès particuliers (traitement de données contractuelles).

4 Objectifs

Les principes directeurs de la sécurisation de l’information forment le document fondamental qui présente la stratégie de sécurisation de l’information à l’intérieur de Capita relativement aux processus informatisés. Cette sécurisation forme une partie intégrante et essentielle de la gestion et doit, de ce fait, faire l’objet d’un soin constant et tout particulier. Elle sert à garantir aux informations les propriétés suivantes :

Confidentialité
Les informations et les opérations ne doivent être mises à la disposition que des seules personnes habilitées.

Intégrité
L’intégrité des informations doit toujours être garantie.  Les informations doivent être correctes et complètes, les opérations doivent livrer les résultats attendus.

Disponibilité
L'utilisation des informations ou des opérations doit être confiée, avec tout le soin nécessaire, aux personnes habilitées en temps et en heure.

Authenticité
La véracité, la fiabilité et l'imputabilité des informations ou des opérations sont à tout moment exigibles avec preuves à l'appui.

Fiabilité
Tout traitement d'informations doit être effectué de façon univoque, compréhensible, démontrable (sans contestation) et ainsi susceptible d'être révisée.

Responsabilité
Tous les collaborateurs ont l'obligation de protéger les informations de façon à protéger l'entreprise de toute utilisation frauduleuse d'informations.

5 Responsabilité

La responsabilité globale relative à la sécurisation de l'information relève de la direction de l'entreprise Capita.

D'un point de vue technique, cette sécurisation est assurée par le personnel chargé de la sécurité informatique. Cela correspond plus particulièrement à l'obligation de mettre en place un niveau de protection approprié, correspondant à la valeur et au caractère sensible des informations concernées.

Le service de la sécurité informatique est impliqué très tôt dans tous les projets afin d'examiner, dès la phase de planification, tous les aspects relatifs à la sécurité. Cela vaut également pour les données personnelles ; elles relèvent du service de protection des données.

6 Constante amélioration

La direction de l'entreprise participe au maintien et à l'amélioration constante du niveau de sécurité. Les collaboratrices et collaborateurs sont tenus de faire connaître les améliorations possibles et les points faibles aux services concernés.

C'est par une révision continuelle des règles et de leur application que le niveau de protection et de sécurisation visé sera atteint. Les défaillances éventuelles seront analysées avec pour objectif d'améliorer l'état de la sécurité et de se maintenir au niveau des dernières avancées de la sécurité informatique.