1

randstad group belgium

information security policy.

résumé. La présente politique contient les objectifs de Randstad et les conditions devant être respectées en

matière de sécurité des informations.

Nos objectifs en matière de sécurité des informations impliquent que nous devions protéger les

informations en nous focalisant sur les domaines suivants:

2

La présente politique se compose de deux parties:

1. La première partie, les chapitres a à e, constitue l’introduction, qui comprend une explication de

l’objectif, de la portée, de l’application et du statut de la présente politique, ainsi que sa relation

avec d’autres documents.

2. La seconde partie, chapitres numérotés, constitue la politique à proprement parler. La présente

politique définit les objectifs généraux de sécurité des informations du groupe Randstad en

Belgique et illustre notre implication dans la sécurité des informations. Elle se base sur la version

2013 de la norme ISO 27002 et sur la Holding Information Security Policy de 2016. Elle

s’applique immédiatement à toutes les sociétés du groupe Randstad en Belgique, et remplace

avec effet immédiat toutes les règles de politiques existantes et directives en matière de sécurité

des informations et de sécurité IT, dans la mesure où elles ont le même objet. Les vendeurs

externes doivent également respecter la présente politique lorsqu’ils traitent des informations

d’une société du groupe Randstad.

3

partie I préambule.

a introduction.

Les informations constituent une ressource précieuse de l’entreprise, qui doit être protégée

adéquatement. La sécurité des informations vise à protéger les informations de l’entreprise de diverses

menaces et à garantir la continuité de l’entreprise. Ces dernières années, la sécurité des informations a

gagné en importance et a évolué en pierre angulaire de la gestion d’entreprise moderne. Les sociétés du

groupe Randstad doivent rester vigilantes quant à la protection des informations et des systèmes

d’information en gestion propre ou externe.

Les informations doivent toujours être sécurisées adéquatement, quelles que soient leur forme et la

manière dont elles sont enregistrées ou échangées.

La sécurité des informations peut être définie comme la tentative de garantir:

• la confidentialité: veiller à ce que les informations soient exclusivement disponibles pour les personnes

habilitées à les consulter;

• l’intégrité: veiller à ce que les informations et éventuelles modifications soient correctes;

• la disponibilité: veiller à ce que seuls les utilisateurs finaux autorisés aient accès aux informations et

aux moyens y liés lorsque c’est nécessaire.

L’objectif de la présente politique consiste à définir les objectifs généraux de sécurité des informations

du groupe Randstad. Elle illustre l’implication du groupe Randstad dans la sécurité des informations.

La politique contient la norme minimale à respecter pour la sécurité des informations, et vise des

mesures de précaution adéquates et cohérentes pour toutes les sociétés du groupe Randstad.

La présente politique s’inscrit dans le prolongement des et soutient les Business Principles du groupe

Randstad, à savoir les principes 4, 9 et 10:

4. Nous garantissons que nos documents (notamment ceux contenant des informations

personnelles) sont créés, utilisés, stockés et détruits conformément à la loi

9. Nous respectons le droit au respect de la vie privée, garantissons la confidentialité des

informations sensibles et ne faisons pas mauvais usage des informations confidentielles qui nous

sont transmises

10. Nous n’utilisons pas les propriétés de Randstad à des fins personnelles.

b champ d’application.

La présente politique s’applique à toutes les sociétés du groupe Randstad. Il est capital que le

management des sociétés concernées du groupe Randstad veille à ce que toutes les fonctions, y compris

le management, les partenaires outsourcing, les consultants et les intérimaires, soient conscientes de

4

leurs responsabilités respectives sur la base de la présente politique pour appliquer un niveau de

sécurité adéquat.

La présente politique entre immédiatement en vigueur et remplace avec effet immédiat toutes les règles

de politiques existantes et directives en matière de sécurité des informations et de sécurité IT, dans la

mesure où elles ont le même objet.

c responsabilité.

Chaque société du groupe Randstad est responsable de veiller à ce que la présente politique, ainsi que

la législation et la réglementation applicables soient respectées. Si une société du groupe Randstad a

sous-traité des activités liées aux objectifs cités dans la présente politique, l’entité reste responsable de

justifier et de prendre les mesures nécessaires avec les fournisseurs respectifs (voir également 1.10

supplier relationships.). Les éventuelles questions ou inquiétudes quant au fonctionnement de la

présente politique doivent, dans un premier temps, être signalées à l’Information Security Officer

(information.security@randstadgroup.be) ou au département IT local, à Group IT ou au Group

Information Security Officer (privacyofficer@randstadholding.com).

d statut.

La Holding Information Security Policy, sur laquelle se base le présent document, a été définie le 19

octobre 2016 par le conseil d’administration de Randstad Holding.

Cette Information Security Policy a été approuvée en date du 21 Décembre par le Legal Director, IT

Director et le Group Data Protection et Information Security Officer.

L’Information Security Officer est propriétaire du présent document. Il veille à l’examiner au moins une

fois tous les deux ans ou en cas d’importantes modifications.

e règles de politique apparentées et documents de support.

1. La présente politique contient les objectifs du groupe Randstad Belgique et les conditions devant

être respectées en matière de sécurité des informations.

2. Dans différents domaines, des mesures doivent être prises pour améliorer la sécurité des

informations. Certains de ces domaines sont techniques, par exemple une meilleure sécurisation des

appareils ou le paramétrage de mesures de sécurité sur les serveurs. D’autres domaines sont de

nature organisationnelle, par exemple veiller à paramétrer les droits d’accès adéquats. Une troisième

catégorie est constituée des mesures de sécurité visant les utilisateurs, notamment l’interdiction

d’échanger des mots de passe. La présente politique de sécurité des informations est basée sur la

norme ISO 27002:2013, qui aborde les objectifs les plus pertinents pour la sécurité des informations

au fil de 13 chapitres. Les objectifs sont obligatoires pour toutes les sociétés du groupe Randstad.

5

3. La présente politique s’applique en combinaison à d’autres règles de politiques et procédures

définies par les sociétés du groupe Randstad et pouvant concerner des exigences légales et des

besoins d’entreprise dans des domaines légaux spécifiques ou dans d’autres circonstances

particulières.

4. D’autres règles de politiques et accords sont, par exemple, les exigences pouvant être liées à ou

avoir une influence sur la sécurité des informations. Si nécessaire, il convient d’y faire référence. Ces

autres règles de politiques sont notamment:

• Data Protection Policy

• Software Asset Management Policy

• Email Archiving Policy

• Computer Use & E-communication Policy

• Document Retention Policy

5. La présente Information Security Policy est soutenue par les Information Security Guidelines de la

holding. Celles-ci développent chaque objectif cité dans la présente politique et sont utilisées par

l’Information Security Officer et le Data Protection Officer pour fournir la direction opérationnelle et

le support adéquats (directives, modèles).

6. Un collaborateur interne à Randstad qui suppose ou peut prouver que la présente politique a été

violée doit aborder cette problématique avec son supérieur direct, le Data Protection Officer ou

l’Information Security Officer. Si de telles procédures de signalement locales ne semblent pas

efficaces ou pas appropriées, le travailleur peut utiliser la Misconduct Reporting Procedure

(procédure de signalement de conduite inappropriée).

6

partie II information security policy.

01 objectifs de la sécurité des informations.

L’objectif de la présente politique vise à aider à protéger nos informations de situations pouvant

influencer leur disponibilité, leur intégrité ou leur confidentialité dans le cadre de nos processus.

Toutes les informations à traiter doivent l’être en regard des objectifs décrits dans les domaines

suivants:

1. organization.

2. human resource security.

3. asset management.

4. access control.

5. cryptography.

6. physical and environmental security.

7. operations security.

8. communication security.

9. system acquisition, development and maintenance.

10. supplier relationships.

11. incident management.

12. business continuity.

13. compliance.

L’essence de chacun de ces objectifs est décrite plus en détail ci-après.

7

1.1 organization.

1.1.1 Les sociétés du groupe Randstad ont établi un cadre de gestion sur la base des meilleures

pratiques de la norme ISO 27002:2013, afin d’initier et de maîtriser la mise en œuvre et le

fonctionnement de la sécurité des informations au sein de Randstad, qui se compose des éléments

suivants:

• tâches et responsabilités;

• scission des droits et tâches;

• sécurité des informations dans le cadre de la gestion de projet;

• si applicable, contact avec les parties prenantes externes (telles que les autorités et les groupes ayant

des intérêts spéciaux).

1.1.1.1 Les tâches et responsabilités pour la sécurité des informations au sein du groupe Randstad sont

réparties comme suit:

a) Le Managing Director et le Chief Finance Officer sont responsables de:

i) faire des affaires dans leur domaine de responsabilité conformément à la présente politique;

ii) soutenir tous les départements dans la réalisation de leurs tâches conformément à la

présente politique;

iii) confirmer le respect de la présente politique.

b) Le Group Information Security Officer est responsable de favoriser les bonnes pratiques en

matière de sécurité des informations au sein de tout Randstad et de soutenir les sociétés du

groupe Randstad dans le respect de la présente politique et des directives apparentées.

c) En tant qu’Intern Shared Services Center de Randstad, Global IT Solutions fournit certains

services IT et réseau pour l’infrastructure IT aux sociétés du groupe Randstad. Il s’agit

notamment des services suivants:

• ITIL service management (services de support de deuxième et troisième ligne)

• réseaux

• capacité informatique (serveurs, stockage, etc.)

• services d’hébergement et de contrôle de domaine

• end user device images

• services de sécurité et de gestion

d) L’Information Security Officer local est responsable, au niveau opérationnel, du respect

quotidien local de la présente politique de sécurité. Il effectue des contrôles, garantit et fait

office de personne de contact en matière de sécurité opérationnelle, conseille et fait

mensuellement rapport des questions de sécurité à l’IT Director. L’Information Security Officer

local est autorisé à déléguer des tâches de sécurité à d’autres personnes. L’Information Security

Officer local est responsable de la coordination locale des initiatives en matière de sécurité des

informations et soutient tous les collaborateurs dans le respect de leurs responsabilités en

matière de sécurité des informations. L’Information Security Officer local est responsable de

transmettre les éventuels risques répertoriés en matière de sécurité des informations au Risk &

Audit Manager. Les Information Security Officers sont également responsables d’entretenir des

contacts pertinents avec les autorités de protection des données locales et les groupements

d’intérêt, en concertation avec le Data Protection Officer local. Les sociétés du groupe Randstad

peuvent choisir de confier les responsabilités de l’Information Security Officer aux IT managers.

8

e) Le Risk & Audit Manager favorise les activités de gestion des risques en matière de sécurité des

informations visant à soutenir les décisions relatives à l’acceptation des risques résiduels et pour

les audits.

f) Le Procurement Manager est responsable de la réalisation de l’évaluation des risques en matière

de sécurité des informations lors de la conclusion de contrats avec des tiers et doit veiller à ce

que les contrôles adéquats soient repris dans les contrats.

g) Tout utilisateur final est tenu de respecter la présente politique et d’agir en conformité avec

cette dernière, tel que décrit dans la « Computer Use & E-communications Policy », et a

l’obligation de communiquer les éventuels incidents en matière de sécurité directement à son

supérieur ou à l’Information Security Officer local. Les utilisateurs finaux sont tous les

collaborateurs fixes, les stagiaires et les étudiants, les collaborateurs externes (les conseillers,

les freelancers, etc.) et les travailleurs intérimaires qui ont accès aux systèmes et appareils

informatiques, ainsi qu’aux outils de communication électronique du groupe Randstad.

h) L’IT Director est responsable de la livraison de produits et services IT qui revêtent une

importance cruciale pour le fonctionnement de la société du groupe. Il revient à l’IT Director

d’identifier les meilleures manières de minimiser nos dépenses d’achat et d’ainsi protéger notre

entreprise contre les risques y liés, afin que cette dernière puisse investir dans sa croissance et

dans l’humain.

1.2 human resource security.

1.2.1 Les sociétés du groupe Randstad veillent à ce que les collaborateurs et les partenaires externes

(indépendants, fournisseurs...) aient connaissance de leurs responsabilités et soient compétents pour les

fonctions pour lesquelles ils sont pris en considération.

1.2.2 Les sociétés du groupe Randstad veillent à ce que les collaborateurs et les partenaires externes

(indépendants, fournisseurs...) soient conscients de leurs responsabilités en matière de sécurité des

informations et de la protection des intérêts du groupe Randstad Belgique au cours de leur contrat, et à

ce qu’ils soient formés et interpellés à ce sujet.

1.2.3 Les sociétés du groupe Randstad veillent à ce que les collaborateurs et les partenaires externes

(indépendants, fournisseurs...) soient conscients de leurs responsabilités en matière de sécurité des

informations et de la protection des intérêts de Randstad dans le cadre des changements apportés à ou

de la fin de la relation de travail, et les respectent.

1.3 asset management.

1.3.1 Les sociétés du groupe Randstad répertorient les moyens organisationnels et définissent les

responsabilités adéquates en matière de protection par le biais de règlements concernant:

• l’aperçu des actifs;

• la propriété des actifs;

• l’utilisation acceptable des actifs;

• la restitution des actifs.

1.3.2 Les informations sont sécurisées au niveau approprié, conformément à leur intérêt pour Randstad,

sur la base de la classification des informations par le biais de règlements concernant:

• la répartition des informations;

9

• la labellisation des informations;

• la gestion des actifs.

1.3.3 Les sociétés du groupe Randstad préviennent la divulgation, la modification, la suppression ou la

destruction illicite d’informations stockées sur des médias au moyen de règlements concernant:

• la gestion des médias transportables;

• la destruction de médias;

• le transfert physique de médias.

1.4 access control.

1.4.1 Les sociétés du groupe Randstad restreignent l’accès aux informations et aux équipements de

traitement des informations sur la base des besoins de l’entreprise et des exigences en matière de

sécurité des informations.

1.4.2 Les sociétés du groupe Randstad veillent à ce que les utilisateurs finaux autorisés aient accès aux

systèmes et services, et évitent tout accès illicite au moyen des règlements suivants:

• inscription et désinscription des utilisateurs finaux;

• octroi de l’accès aux utilisateurs finaux;

• gestion des droits d’accès privilégiés;

• gestion des données d’authentification secrètes des utilisateurs finaux;

• évaluation des droits d’accès des utilisateurs finaux;

• suppression ou adaptation des droits d’accès.

1.4.3 Les sociétés du groupe Randstad rendent les utilisateurs finaux responsables de la sécurité de

leurs données d’authentification.

1.4.4 Les sociétés du groupe Randstad évitent tout accès illicite aux systèmes et applications par le biais

de règlements concernant:

• la restriction de l’accès aux informations;

• les procédures de connexion sûres;

• l’approche ou le système de gestion des mots de passe;

• l’utilisation de programmes d’aide privilégiés;

• le contrôle de l’accès aux codes sources des programmes.

1.5 cryptography.

1.5.1 Les sociétés du groupe Randstad s’efforcent de veiller à une utilisation correcte et efficace de la

cryptographie et de la gestion des clés, afin de protéger la confidentialité, l’authenticité et/ou l’intégrité

des informations.

10

1.6 physical and environmental security.

1.6.1 Les sociétés du groupe Randstad tentent de prévenir tout accès physique illicite aux, tout

dommage aux et toute manipulation des informations de Randstad et des équipements de traitement

des informations au moyen de règlements concernant:

• les zones de sécurité physique;

• les contrôles d’accès physique;

• la sécurité des agences, des espaces et des bâtiments;

• la protection contre les risques externes et environnementaux;

• le travail dans des zones sécurisées;

• les zones de chargement et de déchargement.

1.6.2 Les sociétés du groupe Randstad tentent de limiter à un minimum les pertes, les dommages, le vol

ou la mise en danger de moyens et l’interruption des activités de l’entreprise de Randstad au moyen de

règlements concernant:

• le placement et la protection d’appareils ;

• les équipements de support;

• la sécurité des câblages;

• la maintenance des appareils;

• la suppression de moyens;

• la sécurité des appareils et des moyens hors du terrain de l’entreprise;

• la suppression ou la réutilisation sûre des appareils;

• les appareils d’utilisateurs non gérés;

• la politique Clear desk & Clear screen.

1.6.3 Les sociétés du groupe Randstad ont introduit des règlements en vue d’assurer la sécurité du

télétravail et l’utilisation d’appareils mobiles.

1.7 operations security.

1.7.1 Les sociétés du groupe Randstad assurent le fonctionnement correct et sûr des équipements de

traitement des informations par le biais de règlements concernant:

• des procédures opérationnelles documentées;

• le Change Management;

• la gestion de la capacité;

• la séparation des environnements de développement, de test et opérationnel.

1.7.2 Les sociétés du groupe Randstad veillent à ce que les informations et les équipements de

traitement des informations soient protégés des logiciels malveillants.

1.7.3 Les sociétés du groupe Randstad font le nécessaire pour éviter toute perte de données.

1.7.4 Les sociétés du groupe Randstad tiennent des fichiers de journal, qu’elles suivent et protègent en

vue d’enregistrer les événements et de générer des preuves.

1.7.5 Les sociétés du groupe Randstad veillent à garantir l’intégrité des systèmes opérationnels.

1.7.6 Les sociétés du groupe Randstad veillent à prévenir l’exploitation de vulnérabilités techniques.

1.7.7 Les sociétés du groupe Randstad veillent à limiter à un minimum l’impact des activités de contrôle

sur les systèmes opérationnels.

11

1.8 communication security.

1.8.1 Les sociétés du groupe Randstad assurent le fonctionnement correct et sûr des équipements de

traitement des informations par le biais de règlements concernant:

la protection du réseau;

la sécurité des services réseau;

la séparation des réseaux.

1.8.2 Les sociétés du groupe Randstad s’efforcent de garantir la sécurité des informations transmises au

sein de Randstad ou d’entités externes par le biais de protections techniques, de procédures et de

contrats.

1.9 system acquisition, development and maintenance.

1.9.1 Les sociétés du groupe Randstad veillent à ce que la sécurité des informations tout au long du

cycle de vie fasse intégralement partie de systèmes d’information par le biais de règlements concernant:

• l’analyse et la spécification des exigences en termes de sécurité des informations;

• la sécurité des services applicatifs sur des réseaux publics;

• la sécurité des transactions avec des services applicatifs.

1.9.2 Les sociétés du groupe Randstad veillent à ce que la sécurité des informations dans le cadre du

cycle de développement de systèmes d’information soit mise en place et implémentée par le biais de

règlements concernant:

• le développement sûr de logiciels;

• les procédures de gestion des changements apportés au système;

• l’évaluation technique des applications après changements au niveau de la plate-forme de contrôle;

• la restriction des modifications apportées aux suites logicielles;

• la sécurité des principes techniques du système;

• la sécurité de l’environnement de développement;

• l’outsourcing du développement;

• les tests de la sécurité du système;

• les tests de l’acceptation du système;

• la suppression d’un système et de données à la fin de leur cycle de vie.

1.9.3 Les sociétés du groupe Randstad garantissent la protection des données utilisées à des fins de

tests.

1.10 supplier relationships.

1.10.1 Les sociétés du groupe Randstad garantissent la protection des moyens de Randstad accessibles

aux fournisseurs, en reprenant la sécurité dans les contrats conclus avec les fournisseurs.

1.10.2 Les sociétés du groupe Randstad utilisent un niveau convenu de sécurité des informations et de

prestation de services, conformément aux contrats avec les fournisseurs par le biais de règlements

concernant:

• le suivi et l’évaluation des services des fournisseurs;

12

• la gestion des modifications apportées aux services des fournisseurs;

• la résiliation des contrats de fournisseurs.

1.11 incident management.

1.11.1 Les sociétés du groupe Randstad garantissent une approche cohérente et efficace de la gestion

des incidents au niveau de la sécurité des informations, y compris la communication au sujet des et les

leçons tirées des incidents de sécurité et des points faibles.

1.12 business continuity.

1.12.1 Les sociétés du groupe Randstad intègrent la continuité de la sécurité des informations dans les

systèmes de gestion pour la continuité d’entreprise de Randstad.

1.12.2 Les sociétés du groupe Randstad veillent à garantir la disponibilité des équipements de traitement

des informations.

1.13 compliance.

1.13.1 Les sociétés du groupe Randstad veillent à prévenir les violations des obligations en matière de

sécurité des informations découlant de la législation et de la réglementation, ou de contrats et

d’exigences de sécurité.

1.13.2 Les sociétés du groupe Randstad veillent à ce que la sécurité des informations soit mise en

œuvre et réalisée conformément aux règles de politiques et procédures de Randstad.

02 obligation vis-à-vis des autorités.

Toute société du groupe Randstad doit réagir ponctuellement et adéquatement aux demandes des

autorités. Les demandes peuvent concerner des communications aux autorités ou, de manière plus

générale, le respect de la législation et de la réglementation applicables en matière de protection des

données et de sécurité des informations. L’Information Security Officer soutient le Data Protection

Officer local et Legal Services dans le cadre de la communication avec les autorités. Le cas échéant et

après concertation avec le Data Protection Officer et Legal Services, l’Information Security Officer peut

communiquer directement avec les autorités.

13

03 conformité et confirmation.

Il relève de la responsabilité du management local de faire des affaires dans son domaine de

responsabilité et conformément à la présente politique. Le respect de la présente politique doit être

confirmé via l’In Control Statement.

04 conflits ou divergences d’opinions, et exceptions.

Les éventuelles demandes d’exceptions à la présente politique doivent être adressées à l’Information

Security Officer local et/ou au département IT local.

Les éventuels conflits ou divergences d’opinions au sujet des exigences découlant de la présente

politique ou d’autres exigences relatives à la sécurité des informations doivent être soumis à l’arbitrage

du Group Information Security Officer.

05 communication, conscientisation et formation.

Tous les collaborateurs des sociétés du groupe Randstad sont conscientisés par rapport aux objectifs et

à leurs obligations découlant de la présente politique, conformément aux objectifs cités au chapitre 1.2

human resource security.

Les sociétés du groupe Randstad prennent les mesures nécessaires pour informer leurs collaborateurs

des exigences de la présente politique, dans la mesure où cela s’avère pertinent pour les tâches et

responsabilités de leur fonction, et les y former.