top of page

Politique de Sécurité
de l'Information

CATÉGORIE III : POLITIQUE 12

Date d'entrée en vigueur : 01 octobre 2025

Version : v3.0

Applicable à : Tous les membres de l'équipe NexaRH.

Juridictions couvertes : Canada (Québec), France, États-Unis et toute juridiction où NexaRH opère pour ces clients internationaux.

Alignée sur les principes ISO/IEC 27001:2022 : Solutions, outils et pratiques approuvés. 

 

12.1 Objectif

NexaRH s'engage à protéger la confidentialité, l'intégrité et la disponibilité de toute information qu'elle détient, information client, interne ou partenaire. Cette politique est alignée sur les principes de la norme ISO/IEC 27001:2022, adaptés à la réalité opérationnelle d'une Très Petite Entreprise (TPE) de conseil.

 

12.2 Outils et Solutions Approuvés

Suite de productivité et collaboration :

  • Microsoft 365 Business Premium : Suite bureautique, SharePoint, Teams, OneDrive avec chiffrement et contrôle d'accès.

  • SharePoint / OneDrive Entreprise : Stockage et partage sécurisé de tous documents professionnels. Aucun document client ne doit résider sur un stockage local non chiffré ou sur un service personnel non approuvé.

Gestion des accès et authentification :

  • Double authentification (2MFA) : Obligatoire sur l'ensemble des accès professionnels : Microsoft 365, outils IA approuvés, plateformes clients. Méthode recommandée : application d'authentification (Microsoft Authenticator). Les SMS sont tolérés en second recours uniquement.

Sécurité des appareils :

  • Système d'exploitation et logiciels maintenus à jour : correctifs de sécurité appliqués dans les 30 jours suivant leur publication.

  • Antivirus/EDR actif sur tous les appareils (Microsoft Defender ou équivalent entreprise).

 

12.3 Règles de Partage : Interdictions Absolues

  • Aucun fichier contenant de l'information client ou confidentielle ne doit être transmis par courriel, ni en pièce jointe ni via un lien de partage temporaire non sécurisé. Utiliser exclusivement SharePoint ou OneDrive Entreprise.

  • Aucun document professionnel ne doit être stocké sur un service de stockage cloud personnel non approuvé.

  • Aucune information confidentielle ne doit être partagée via des messageries personnelles (WhatsApp, iMessage personnel, etc.).

 

12.4 Gestion des Accès

  • Principe du moindre privilège : Chaque collaborateur n'a accès qu'aux ressources nécessaires à l'exécution de sa mission.

  • Les accès sont révoqués dans les 24 heures suivant la fin d'un contrat ou d'un mandat.

  • Les accès partagés avec des clients ou partenaires sont gérés via des comptes dédiés avec des permissions limitées, et révoqués à la fin du mandat.

12.5 Gestion des Incidents de Sécurité

  • Tout incident de sécurité (perte d'appareil, accès non autorisé suspecté, courriel de phishing, comportement anormal d'un système) doit être signalé immédiatement à la direction.

  • NexaRH s'engage à traiter tout incident dans un délai maximal de 24 heures et à notifier les parties affectées selon les obligations légales applicables.

 

12.6 Formation et Sensibilisation Continue à la Cybersécurité

La sécurité de l'information n'est pas uniquement une question technique, c'est avant tout une question de comportements humains. NexaRH s'engage à former et sensibiliser en continu son équipe face aux menaces émergentes et aux nouvelles formes de cybercriminalité.

  • Hameçonnage (phishing) et ingénierie sociale : Reconnaissance des tentatives de manipulation par courriel, SMS, appels téléphoniques ou messageries instantanées. Les attaques par hameçonnage ciblé (spear phishing) visant les firmes de conseil sont en progression constante.

  • Rançongiciels (ransomware) : Prévention, procédures de signalement immédiat et comportements à adopter en cas d'infection suspectée.

  • Intelligence artificielle au service de la fraude : Sensibilisation aux deepfakes audio et vidéo, aux courriels générés par IA à des fins malveillantes, et aux nouvelles formes d'usurpation d'identité.

  • Hygiène numérique quotidienne : Verrouillage des postes, gestion des pièces jointes, vérification des liens, utilisation des canaux approuvés.

 

Une session de sensibilisation collective est organisée au minimum une fois par an.

En cas de menace émergente significative (alerte du Centre canadien pour la cybersécurité, ANSSI France, CISA américain), une communication d'alerte est diffusée sans délai à l'ensemble de l'équipe.

 

12.7 Révision

Cette politique est révisée annuellement ou à la suite de tout incident significatif.

Un audit léger des accès et des pratiques est effectué semestriellement.

bottom of page