EGEROBOT
Système de Management de la Sécurité de l'Information

Politique de Sécurité de l'Information

Système de Management de la Sécurité de l'Information conforme à ISO 27001:2022, RGPD et KVKK

Dernière mise à jour: 2026-02-04

Objectif

EGEROBOT considère les informations de l'entreprise comme un actif extrêmement précieux. L'information est d'une importance cruciale pour la durabilité de nos activités commerciales et doit être protégée de manière appropriée.

EGEROBOT vise à minimiser les risques pouvant survenir concernant la confidentialité, l'intégrité et la disponibilité des informations de l'entreprise en mettant en œuvre la norme ISO 27001:2022 dans le cadre du Système de Management de la Sécurité de l'Information (SMSI).

Notre objectif principal est d'assurer la confiance des organisations et institutions que nous servons et de sécuriser les actifs informationnels que nous utilisons.

Portée

Le Système de Management de la Sécurité de l'Information d'EGEROBOT englobe l'ensemble de l'organisation, les partenaires commerciaux, les fournisseurs et les relations clients. Cette politique s'applique à toutes les activités de traitement de l'information, y compris les environnements physiques, les systèmes numériques, les infrastructures cloud et les environnements de travail à distance.

Engagements

En tant qu'EGEROBOT et nos employés, nous nous engageons à éliminer et gérer tous types de risques pour notre continuité d'activité, nos actifs informationnels et nos données personnelles;

  1. 1Documenter, certifier et améliorer continuellement notre système de management de la sécurité de l'information
  2. 2Assurer la confidentialité, l'intégrité et l'accessibilité des informations des clients, partenaires commerciaux, parties prenantes, fournisseurs ou autres tiers
  3. 3Assurer la conformité à toutes les réglementations légales et contrats relatifs à la sécurité de l'information
  4. 4Organiser des formations pour développer les compétences techniques et comportementales
  5. 5Protéger la confidentialité des données critiques telles que les objectifs stratégiques, les sources d'approvisionnement, les informations des clients, parties prenantes, partenaires commerciaux et employés
  6. 6Créer des environnements physiques et électroniques appropriés pour la sécurité des actifs informationnels
  7. 7Fournir les plans et l'infrastructure technique nécessaires pour assurer la continuité de nos services informatiques
  8. 8Détecter en temps opportun les situations contraires à la sécurité de l'information et répondre immédiatement
  9. 9Prendre les mesures prévues par la Loi sur la Protection des Données Personnelles n° 6698
  10. 10Protéger toutes les données personnelles et actifs informationnels d'EGEROBOT et améliorer continuellement la sécurité de l'information en gérant les risques existants et potentiels

nous nous engageons.

Cadre Juridique et Normes

Cette politique a été préparée conformément aux réglementations nationales et internationales suivantes:

Normes Internationales

ISO/IEC 27001:2022Système de Management de la Sécurité de l'Information
ISO/IEC 27002:2022Contrôles de Sécurité de l'Information
ISO/IEC 27701:2019Gestion des Informations de Confidentialité
ISO 22301:2019Système de Management de la Continuité d'Activité

Réglementations de l'UE

RGPDRèglement Général sur la Protection des Données – UE 2016/679
Directive NIS2Sécurité des Réseaux et des Systèmes d'Information

Législation Turque

Loi n° 6698 KVKKLoi sur la Protection des Données Personnelles
Loi n° 5651Réglementation des Publications sur Internet
Loi n° 5237 TCKCybercrimes (Articles 243-246)
Loi n° 6102 TTKLivres Commerciaux et Obligations de Conservation des Documents

Principes Fondamentaux

La politique de sécurité de l'information d'EGEROBOT repose sur les principes suivants:

Confidentialité

  • L'information est protégée contre l'accès non autorisé
  • Elle ne peut être divulguée intentionnellement ou par négligence à des personnes non autorisées
  • La classification des données et le contrôle d'accès sont appliqués

Intégrité

  • L'exactitude et la cohérence de l'information sont assurées
  • Des mécanismes de protection contre les modifications non autorisées sont appliqués
  • Des enregistrements de journal et des pistes d'audit sont maintenus

Disponibilité

  • L'accès en temps opportun à l'information par les utilisateurs autorisés est assuré
  • Des précautions contre les pannes système sont prises
  • Des plans de continuité d'activité sont mis en œuvre

Sécurité dès la Conception

  • Les systèmes sont développés avec une approche de sécurité dès la phase de conception
  • Le principe de confidentialité dès la conception est adopté

Catégories de Menaces Modernes et Mesures

Ransomware

  • Stratégies de sauvegarde régulières et isolées
  • Chiffrement des données contre les attaques de double extorsion
  • Systèmes de Détection et Réponse aux Endpoints (EDR)

Ingénierie Sociale et Phishing

  • Formations de sensibilisation des employés
  • Protocoles de vérification contre les menaces de deepfake alimentées par l'IA
  • Filtres de sécurité email et configuration SPF/DKIM/DMARC

Menaces Persistantes Avancées (APT)

  • Détection des menaces basée sur le comportement
  • Segmentation du réseau
  • Architecture Zero Trust

Attaques de la Chaîne d'Approvisionnement

  • Évaluation des risques tiers
  • Analyse des composants logiciels (SBOM)
  • Audits de sécurité des fournisseurs

Sécurité IoT et OT

  • Isolation des systèmes de contrôle industriel
  • Inventaire des appareils IoT et mises à jour de sécurité
  • Surveillance du trafic réseau

Politique de Sécurité Cloud

Principes Généraux

  • Les certifications de sécurité des fournisseurs cloud sont vérifiées
  • L'architecture Zero Trust est appliquée
  • Les données sont chiffrées en transit et au repos

Contrôle d'Accès

  • L'authentification multi-facteurs (MFA) est obligatoire
  • Le principe du moindre privilège est appliqué
  • Le contrôle d'accès basé sur les rôles (RBAC) est utilisé

Sécurité de Configuration

  • Des outils de Gestion de la Posture de Sécurité Cloud (CSPM) sont utilisés
  • Des audits de configuration réguliers sont effectués
  • La sécurité des API est assurée

Politique de Sécurité du Travail à Distance

Sécurité Réseau

  • L'utilisation du VPN est obligatoire
  • La configuration sécurisée du réseau domestique est recommandée
  • Les données sensibles ne sont pas traitées sur les réseaux Wi-Fi publics

Sécurité des Appareils

  • Les appareils accédant aux données de l'entreprise sont chiffrés
  • Le logiciel antivirus à jour et les correctifs de sécurité sont obligatoires
  • La Gestion des Appareils Mobiles (MDM) est appliquée

Protection des Données

  • Les données sensibles ne sont pas stockées sur les appareils locaux
  • Le partage de fichiers basé sur le cloud est utilisé
  • Les règles de partage d'écran et d'affichage sont appliquées

Sécurité des Tiers et Fournisseurs

Évaluation

  • Des évaluations de sécurité des fournisseurs sont effectuées
  • La certification ISO 27001 ou équivalent est requise
  • Des audits de sécurité réguliers sont effectués

Exigences Contractuelles

  • Des accords de confidentialité (NDA) sont signés
  • Des accords de traitement des données (DPA) sont conclus
  • Les obligations de notification de violation sont définies

Réponse aux Incidents et Gestion des Violations

Plan de Réponse aux Incidents

  • Procédures de détection, classification et escalade des incidents
  • Surveillance de sécurité 24/7
  • L'équipe de réponse aux incidents (CSIRT) est définie

Notification de Violation de Données

  • KVKK: Notification à l'Autorité de Protection des Données Personnelles 'dès que possible'
  • RGPD: Notification à l'autorité de contrôle compétente dans les 72 heures
  • Les personnes concernées sont informées

Post-Incident

  • Une analyse des causes profondes est effectuée
  • Des actions d'amélioration sont mises en œuvre
  • Les leçons apprises sont documentées

Continuité d'Activité et Reprise après Sinistre

Plan de Continuité d'Activité (PCA)

  • Les processus métier critiques sont identifiés
  • Les Objectifs de Temps de Récupération (RTO) et les Objectifs de Point de Récupération (RPO) sont définis
  • Des sites de travail alternatifs sont planifiés

Reprise après Sinistre (DR)

  • Procédures de sauvegarde et de test régulières
  • Sauvegardes géographiquement distribuées
  • Exercices annuels de reprise après sinistre

Actifs Protégés

Informations d'identité et données personnelles
Informations des clients et partenaires commerciaux
Packages logiciels et codes sources
Infrastructure serveur et réseau
Ressources cloud et bases de données
Droits de propriété intellectuelle
Secrets commerciaux et informations commerciales

Politiques de Support

Politique de bureau propre et écran clair
Politique d'utilisation des emails
Politique de contrôle d'accès
Politique des contrôles cryptographiques
Politique de gestion des mots de passe
Politique d'utilisation des appareils mobiles (BYOD)
Politique d'utilisation des réseaux sociaux
Politique de classification des données
Politique de sauvegarde et de récupération
Politique de gestion des changements

Objectifs

  1. 1Identifier la valeur des actifs informationnels par une évaluation appropriée des risques
  2. 2Comprendre les vulnérabilités et les menaces potentielles
  3. 3Réduire les risques à des niveaux acceptables
  4. 4Se conformer à la législation nationale (KVKK, 5651, TTK)
  5. 5Se conformer aux réglementations internationales (RGPD, ISO 27001:2022)
  6. 6Respecter les conditions contractuelles des clients
  7. 7Se conformer aux procédures et instructions de contrôle
  8. 8Augmenter continuellement le niveau de maturité en cybersécurité

Formation et Sensibilisation

  • Formation annuelle sur la sécurité de l'information pour tous les employés
  • La formation d'intégration pour les nouveaux employés est obligatoire
  • Des simulations de phishing et des tests de sensibilisation sont effectués
  • Des formations de sécurité spécialisées basées sur les rôles sont organisées
  • Les registres de formation sont documentés

Responsabilités

Direction Générale

  • Approuve et soutient cette politique
  • Fournit les ressources nécessaires
  • Participe aux réunions de revue annuelles

Responsable de la Sécurité des Systèmes d'Information (RSSI)

  • Coordonne la mise en œuvre de la politique
  • Gère les incidents de sécurité
  • Effectue les évaluations des risques
  • Rend compte à la direction

Responsables d'Unité

  • Assure la mise en œuvre de la politique dans leur unité
  • Signale les vulnérabilités de sécurité
  • Soutient la sensibilisation des employés

Tout le Personnel

  • Se conforme à la politique de sécurité de l'information
  • Signale les incidents de sécurité
  • Participe aux formations
  • Signale les situations suspectes

Sanctions

Tout acte intentionnel ou négligent mettant en danger la sécurité des informations d'EGEROBOT, de ses clients ou fournisseurs:

  • Procédures disciplinaires
  • Résiliation du contrat de travail
  • Actions en justice (Loi n° 5237 TCK - Cybercrimes)
  • Réclamations en dommages-intérêts

est sujet à.

Amélioration Continue (Cycle PDCA)

EGEROBOT applique le cycle Planifier-Faire-Vérifier-Agir (PDCA) pour améliorer continuellement le système de management de la sécurité de l'information:

Planifier (Plan)

  • Évaluation des risques et fixation des objectifs de sécurité
  • Préparation des politiques et procédures
  • Planification des ressources

Faire (Do)

  • Mise en œuvre des contrôles
  • Réalisation des formations
  • Documentation

Vérifier (Check)

  • Audits internes
  • Mesure de la performance
  • Analyse des incidents et évaluation des tendances

Agir (Act)

  • Actions correctives
  • Actions préventives
  • Recommandations d'amélioration continue

Révision

Cette politique:

  • Est révisée au moins une fois par an
  • Est révisée en cas de changements significatifs, d'incidents de sécurité ou de mises à jour réglementaires
  • Est évaluée lors des réunions de Revue de Direction (MR)

Contact

Contactez-nous pour des questions sur la sécurité de l'information ou pour signaler des incidents.

Page de Contact
Ce document fait partie du Système de Management de la Sécurité de l'Information d'EGEROBOT.