Levio Conseils inc.

POLITIQUE DE SECURITÉ DE L'INFORMATION

Code de référence : POL.INFOSEC.FR

Version : 2.10
Statut : Proposition
Date de la version : 2023-01-26
Propriétaire : Chef de la sécurité de l’information d’entreprise (CISO)
Approuvée par : Comité de sécurité de l’information (CSI)
Classification
Utilisation Interne
de confidentialité :
Levio Conseils inc. UTILISATION INTERNE

Historique des modifications

Date Version Auteur Description des modifications

2020-06-04 0.9 Denis Delmaire / Révision intégrale

Guillaume
Courtemanche

2020-08-17 0.91 Denis Delmaire Intégration des commentaires du Comité Capital

Humain

2020-09-14 0.92 Denis Delmaire Intégration des commentaires de Neil Meagher

2020-10-23 0.93 Nora Thibault Révision

2020-11-25 1.00 Denis Delmaire Version approuvée par le CCC-OP

2020-12-01 1.10 Denis Delmaire Intégration des commentaires de Michael Orozco

2021-04-08 1.20 Denis Delmaire Intégration de corrections mineures

2021-07-14 1.30 Guillaume Intégration des commentaires de Claude Perreault

Courtemanche

2022-01-11 2.00 Denis Delmaire Version approuvée par le CSI

2023-01-26 2.10 Catherine Hoang Révision et adaptation à ISO/IEC 27001:2022

Claude Landry Version proposée au CSI

Politique de sécurité de l'information Version 2.10 Page 2 de 8

Levio Conseils inc. UTILISATION INTERNE

Table des matières

1. BUT, DOMAINE D'APPLICATION ET AUDIENCE ...............................................................................................4
1.1. BUT ................................................................................................................................................................ 4
1.2. DOMAINE D’APPLICATION ................................................................................................................................... 4
1.3. AUDIENCE ........................................................................................................................................................ 4
2. RÉFÉRENCES ET DOCUMENTS ASSOCIÉS ........................................................................................................4
3. MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION ....................................................................................5
3.1. PRINCIPES DIRECTEURS ....................................................................................................................................... 5
3.1.1. Besoins de l’entreprise ......................................................................................................................... 5
3.1.2. Attente de nos clients et partenaires ................................................................................................... 5
3.1.3. Mesures de sécurité et de contrôle ...................................................................................................... 5
3.2. REVUE DU SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ................................................................... 6
3.3. EXIGENCES DE SÉCURITÉ DE L'INFORMATION............................................................................................................ 6
3.4. MESURES DE SÉCURITÉ ET DE CONTRÔLE DE L'INFORMATION ...................................................................................... 6
3.5. CONTINUITÉ DES ACTIVITÉS .................................................................................................................................. 6
3.6. RÔLES ET RESPONSABILITÉS ................................................................................................................................. 7
3.7. COMMUNICATION DE LA POLITIQUE ...................................................................................................................... 7

4. SOUTIEN POUR L'IMPLÉMENTATION DU SMSI...............................................................................................7

5. TERMINOLOGIE DE BASE DE LA SÉCURITÉ DE L'INFORMATION ......................................................................8

6. VALIDITÉ ET GESTION DOCUMENTAIRE .........................................................................................................8

Politique de sécurité de l'information Version 2.10 Page 3 de 8

Levio Conseils inc. UTILISATION INTERNE

1. But, domaine d'application et audience

1.1. But

Le but de cette politique est de définir le cadre servant à guider la gestion de la sécurité de l'information
au sein de l’organisation. Elle établit les principes directeurs dans le but d’atténuer les risques tout en
maintenant l’efficacité opérationnelle de Levio Conseils inc., et ce, afin de :

• Assurer la disponibilité, l’intégrité et la confidentialité de l’information.

• Assurer une utilisation acceptable des actifs informationnels.
• Structurer la prise en charge de la sécurité de l’information, de la protection des renseignements
personnels et de la vie privée.
• Appuyer une démarche globale de gestion du risque et des incidents, couvrant notamment :
- des approches pour évaluer systématiquement les risques de sécurité de l’information en
tenant compte des menaces, des vulnérabilités et des impacts actuels et futurs.
- des méthodologies permettant d’établir l’appétit et la tolérance aux risques du comité
direction de Levio.
- des méthodologies permettant d’identifier, de quantifier et de mesurer l’impact d’affaires des
risques par lesquels ceux-ci sont priorisés.
- la conception et l’implantation de contrôles et/ou autres formes de traitement du risque
offrant un risque résiduel à un niveau acceptable.
- une gouvernance des processus de gestion assurant que les mesures de sécurité et de contrôle
répondent aux besoins de l’organisation.

1.2. Domaine d’application

Cette politique est appliquée à l'ensemble du domaine d'application du Système de Management de la

Sécurité de l'Information (SMSI) de Levio Conseils inc.

1.3. Audience

Cette politique est destinée à l'ensemble de Levio Conseils inc. et à ses filiales ci-appelées collectivement
« Levio ». Elle vise tout le personnel, soient les employés, les contractuels, les pigistes, les sous-
contractants ainsi que les partenaires d’affaires.

2. Références et documents associés

• Norme ISO/IEC 27001:2022, clauses 5.2 et 5.3, contrôles A.5.1 et A.5.2
• Domaine d'application du SMSI
• Déclaration d'applicabilité du SMSI
• Liste des exigences légales, statutaires, réglementaires et contractuelles
• Méthodologie d'évaluation et de traitement des risques
• Plan de continuité des affaires
• Procédure de gestion des incidents de sécurité
Politique de sécurité de l'information Version 2.10 Page 4 de 8
Levio Conseils inc. UTILISATION INTERNE

3. Management de la sécurité de l'information

3.1. Principes directeurs

Les principes directeurs du système de management de la sécurité de l’information sont regroupés en

plusieurs catégories soient les besoins de Levio Conseils inc., les attentes de nos clients et partenaires,
ainsi que les contrôles désirés. Les politiques, les cadres de référence, les méthodologies et les procédures
sont mis à jour périodiquement afin d’assurer la pertinence du SMSI à l’environnement d’affaires,
répondre aux exigences de conformité des juridictions et des industries dans lesquelles nous œuvrons,
ainsi que protéger l’organisation contre les menaces émergentes.

3.1.1. Besoins de l’entreprise

• Protéger l’entreprise, ses conseillers et ses clients contre des actes illégaux ou préjudiciables,
accidentels ou prémédités pouvant entrainer des impacts opérationnels, réputationnels, légaux,
financiers ou autres impacts négatifs.
• Identifier, mitiger, contenir ou réduire efficacement les dommages causés éventuellement par des
incidents potentiels.
• Sensibiliser nos employés et collaborateurs aux risques et menaces affectant les actifs
informationnels afin de s’assurer de leur compréhension des attentes de Levio en termes de
sécurité de l’information.
• Se conformer à la législation et à la réglementation en vigueur.
• Maintenir l’appétit et la tolérance aux risques à un niveau acceptable.
• Protéger les renseignements personnels, les informations privilégiées et les renseignements
confidentiels selon les directives établies dans cette politique, notamment en s’assurant que la
conservation, l’utilisation et la destruction de ces informations respectent les normes prescrites.
• Se munir d’un Plan de continuité des affaires afin d’assurer une remise en opération rapide des
services jugés essentiels en cas de sinistre majeur.

3.1.2. Attente de nos clients et partenaires

• Satisfaire aux exigences de nos clients et partenaires en matière de sécurité de l’information.

3.1.3. Mesures de sécurité et de contrôle

• Avoir connaissance en tout temps des actifs informationnels à protéger et identifier des
propriétaires pour chacun de ces actifs.
• Identifier des mesures de sécurité et de contrôle de l’information en fonction de la nature des
actifs informationnels, de leur degré de risque face aux menaces et vulnérabilités ayant un impact
sur leur disponibilité, leur intégrité ou leur confidentialité.
• Être en mesure de déterminer en tout temps les accès aux actifs informationnels de la société et
de les révoquer au besoin.
• Avoir la capacité d’effectuer des vérifications de l’existence et de l’efficacité des mesures de
sécurité décrites dans la politique de sécurité.
Politique de sécurité de l'information Version 2.10 Page 5 de 8
Levio Conseils inc. UTILISATION INTERNE

• Être en mesure d’effectuer des vérifications ciblées ou encore des enquêtes informatiques lorsque
des activités contreviennent aux législations, aux politiques, aux règlements, aux conventions et
aux ententes de Levio.

3.2. Revue du Système de management de la sécurité de l’information

Les principes directeurs énumérés à la section 3.1 sont alignés avec les objectifs, la stratégie et les plans
d'affaires de la société.

Le Chef de la Sécurité de l’information d’entreprise (CISO) est responsable de la revue des objectifs
généraux du SMSI et d'en déterminer de nouveaux, au besoin.

Les objectifs pour les contrôles de sécurité sont proposés par le Chef de la Sécurité de l’information
d’entreprise (CISO) et approuvés par le Comité de sécurité de l’information dans la Déclaration
d'applicabilité.

Tous les objectifs doivent être révisés au moins une fois par an.

Levio Conseils inc. mesurera l'accomplissement de tous les objectifs. Le CISO est responsable de la
définition d'une méthode pour la mesure de l'accomplissement des objectifs. Cette mesure devra être
réalisée au moins une fois par an. Le CISO analysera et évaluera les résultats des mesures et les rapportera
au Comité de sécurité de l’information comme matière pour la revue de direction.

3.3. Exigences de sécurité de l'information

Cette politique et l'ensemble du SMSI doivent être en conformité avec les exigences légales et
règlementaires applicables à l'organisation dans le domaine de la sécurité de l'information, de la
protection des renseignements personnels et de la vie privée, ainsi qu'avec les obligations contractuelles.

Une liste des exigences légales, statutaires, réglementaires et contractuelles est maintenue dans le
document du SMSI portant le même nom.

3.4. Mesures de sécurité et de contrôle de l'information

Le processus de sélection des mesures est défini dans la Méthodologie d'évaluation et de traitement des
risques.

Les mesures sélectionnées et leur état de mise en œuvre sont énumérés dans la Déclaration
d'applicabilité.

3.5. Continuité des activités

La gestion de la continuité des activités est décrite dans le Plan de continuité des affaires.

Politique de sécurité de l'information Version 2.10 Page 6 de 8

Levio Conseils inc. UTILISATION INTERNE

3.6. Rôles et Responsabilités

Les responsabilités de base pour le SMSI sont les suivantes :

• Le Président Directeur Général est responsable de veiller à ce que le SMSI soit mis en œuvre
conformément à cette politique et d'assurer la disponibilité des ressources pour y parvenir.
• Le Chef de la Sécurité de l’information d’entreprise (CISO) est responsable de la coordination
opérationnelle du SMSI, ainsi que de faire rapport au sujet de sa performance. Il agit comme agent
de liaison avec les autorités compétentes et les agents externes. En phase 2 du SMSI, le CISO sera
le premier responsable de la liaison avec l’agent régional de la sécurité industrielle (ARSI), l’agent
de la Direction de la sécurité industrielle canadienne et internationale (DSICI), et l’agent des
Travaux publics et Services gouvernementaux Canada (TPSGC)1.
• Le Comité de sécurité de l’information (CSI) doit réviser le SMSI au moins une fois par an ou à
chaque fois qu'un changement significatif survient et préparer des comptes-rendus de ces
réunions. Le but de la revue par le CSI est d'établir la pertinence, l'adéquation et l'efficacité du
SMSI. Le CSI doit mette en œuvre les formations et les programmes de sensibilisation sur la
sécurité de l'information pour les employés en collaboration avec les services de Ressources
humaines et des Communications.
• Chaque membre du personnel, conseiller, employé ou pigiste, est responsable de respecter les
politiques en matière de sécurité de l’information tel qu’il déclare avoir lues et acceptées. Chaque
conseiller, employé ou pigiste, est également responsable d’adhérer aux politiques en matière de
sécurité de l’information de chaque client pour lequel il est mandaté, si de telles politiques
existent. Il est également de la responsabilité du conseiller de rapporter selon la Procédure de
gestion des incidents de Levio, les incidents ou les vulnérabilités de sécurité.
• Chaque actif informationnel possède un propriétaire désigné dans l'Inventaire des actifs. Le
propriétaire de l’actif informationnel est responsable d’en préserver la confidentialité,
l’intégrité et la disponibilité de l'information.

3.7. Communication de la Politique

Le CISO doit veiller à ce que tous les employés de Levio Conseils inc., ainsi que tous les tiers, soient
familiers avec cette politique.

4. Soutien pour l'implémentation du SMSI

Par la présente, le Président Directeur Général déclare que la mise en œuvre du SMSI et son amélioration
continue seront soutenues par des ressources adéquates afin d'atteindre tous les buts et objectifs fixés
dans cette politique, ainsi que pour satisfaire toutes les exigences identifiées.

1
Intervenants identifiés dans le cadre du programme des Marchandises contrôlées et du programme de Sécurité
industrielle du gouvernement canadien
Politique de sécurité de l'information Version 2.10 Page 7 de 8
Levio Conseils inc. UTILISATION INTERNE

5. Terminologie de base de la sécurité de l'information

Sécurité de l'information : préservation de la confidentialité, de l'intégrité et de la disponibilité de
l'information, soient :
• Confidentialité : propriété selon laquelle l'information n'est accessible uniquement qu'aux
personnes ou systèmes autorisés.
• Intégrité : propriété selon laquelle l'information n'est modifiée que par des personnes ou
systèmes autorisés de manière à contrôler sa qualité.
• Disponibilité : propriété selon laquelle l'information n'est disponible qu’aux personnes ou
systèmes autorisés au moment où elle est nécessaire.

Système de Management de la Sécurité de l'Information : la partie du système de management global

qui s'occupe de planifier, mettre en œuvre, maintenir, revoir et améliorer la sécurité de l'information

Mesure de sécurité : mesure permettant de mitiger le risque

Mesure de contrôle : mesure permettant d’assurer la conformité et la reddition de compte

6. Validité et gestion documentaire

Ce document est valide à compter de la date de sa version approuvée la plus récente.

Le propriétaire de ce document est le Chef de la Sécurité de l’information d’entreprise (CISO). Ce dernier

doit vérifier et, si nécessaire, mettre à jour le document au moins une fois par an.

Un compte-rendu du Comité de sécurité de l’information (CSI) fera foi de la validation documentaire tel
que mentionné dans la Politique pour le contrôle des documents et enregistrements.

Politique de sécurité de l'information Version 2.10 Page 8 de 8