INTRODUCTION
Présentation de la Politique de Sécurité du Système d'Information (PSSI) de Transactis
CONSIGNES DE NAVIGATION
Avant de commencer, veillez à :
Vous isoler
Éteindre votre téléphone
Activer le son et utiliser un casque si possible
Durée : environ 35 minutes
Présentation de la Politique de Sécurité du Système d'Information (PSSI) de Transactis
Introduction
Sommaire
Les bonnes pratiques de la SSI
La gestion de la classificationet de la documentation
Un panorama des risques
Quiz
Conclusion
Introduction
Objectifs
- Améliorer la vigilance des utilisateurs du SI ;
- Réduire les risques de fuite d'informations ;
- Développer une culture commune basée sur la prise en compte des risques en sécurité de l'information ;
- Améliorer la vigilance des utilisateurs du SI.
Présentation de l'organisation
2008
Rôles et responsabilités
Gouvernance
Respect
Communication
Implication
Intégration
Cohérence
Rôles et responsabilités
Direction Générale
- Approbation de la stratégie SSI globale ;
- Approbation de la PSSI et de la note de gouvernance associée ;
Président
- Arbitrage des points de décisions remontés par le Responsable de la DSSI lorsqu'ils ont un impact sur la stratégie globale de l'entreprise.
DirecteurGénéral
Rôles et responsabilités
Sensibilisation et information des collaborateurs, actualisation des sites à bloquer
Définition de la stratégie et la politique SI, garant de la sécurité du SI
Alerte sur les risques majeurs et anormalies
RSSI, membre de la DSSI
Rôles et responsabilités
Habilitation selon le besoin d'en connaître
Respect des obligations de sécurité
L'utilisateur : personne physique utilisatrice du SI
Signalement des mauvaises pratiques, des alertes et des incidents
Application des règles, exigences et bonnes pratiques
Connaissance et mise à disposition de la documentation
Corpus documentaire
Documents référencés
Politiques de Gestion des Risques
Note de gouvernance
Règlement Intérieur
Politique de Sécurité des Systèmes d'Information
Politique de Protection de l'Information
Politique de Gestion des Incidents SSI
Politique de Sensibilisation des Utilisateurs du SI
Politique de Gestion des Mécanismes Cryptographiques
Corpus associé
Charte Informatique
L'ensemble des documents est accessible, selon le besoin d'en connaître, sur l'Intranet (lien dans la fiche de synthèse disponible à la suite de ce module)
Les bonnes pratiques en Sécurité des Systèmes d'Information (SSI)
Les principes du contrôle d'accès et des droits associés
Besoin d'en connaître
Principe du moindre privilège
Droit d'accès de l'utilisateur
Authentification
L'authentification est la procédure permettant, pour un système informatique, de vérifier l'identité d'une personne ou d'un ordinateur et d'autoriser l'accès de cette entité à des ressources comme des systèmes, des réseau ou des applications.
Authentification
Devoirs de l'utilisateur :
- Choisir des codes confidentiels sécurisés, les garder secrets et les mettre à jour selon la fréquence en vigueur ;
- S'engager à ne pas mettre à la disposition d'utilisateurs non autorisés un accès au système d'information, à travers des matériels dont il a l'usage ;
- Verrouiller sa session logicielle ou système avant de laisser son équipement sans surveillance ;
- Ne pas utiliser ou essayer d'utiliser de compte utilisateur autre que le sien ou masquer sa véritable identité ;
- Ne pas contourner les moyens de sécurité et de surveillance ;
- Ne pas user de son droit d'accès au système d'information à d'autres fins que celles pour lesquelles le droit d'accès a été accordé ;
- Utiliser les ressources du système d'information dans le strict cadre de son activité professionnelle, défini par sa fonction et dans les limites de ses attributions ou des délégations qui lui ont été accordées.
La pratique des bureaux propres
S'isoler dans une salle
Verrouiller sa session de travail
Effacer ou récupérer les informations
Sécuriser son PC portable
Ranger les informations
Rester vigilant
Fermer son bureau
Cryptographie
Ensemble des procédés visant à chiffrer des informations pour en assurer la confidentialité entre l'émetteur et le destinataire.
Politique de gestion des mécanismes cryptographiques
Corpus documentaire de la PSSI
A = 1
DES
SHA-1
ECB
20-18-1-14-19-1-3-20-9-19
T-R-A-N-S-A-C-T-I-S
Utilisation
Rotation
Recouvrement
Fin de vie
Génération
Affectation
Stockage et Sauvegarde
Distribution et Installation
Mails et stockage de fichiers
Les envois extérieurs d'informations à caractère professionnel, sur des messageries et autres supports externes, ne relevant pas du cadre professionnel de l'utilisateur, génèrent un risque particulier de fuite d'information. Ils sont donc proscrits par principe.
Il existe cependant des exceptions : si l'accord formel a été sollicité mais n'a pas pu être recueilli, l'utilisateur peut alors, en cas d'urgence, envoyer des données à l'extérieur ; Il doit mettre son manager en copie de son envoi extérieur et lui en indiquer l'objet.
L'utilisateur devra supprimer les informations envoyées à l'extérieur dès que le besoin ayant justifié l'envoi à l'externe de l'information a disparu, et ce, dès que possible.
Mails et stockage de fichiers
Un usage raisonnable du système d'information à titre privé, comme la consultation de sites internet, l'envoi d'e-mails, le stockage de fichiers et la téléphonie, les impressions, les photocopies, les numérisations, est toléré dans le cadre des nécessités de la vie courante et familiale.
Cet usage privé doit être limité, tant dans la durée que dans la fréquence, et ne doit pas avoir d'impact sur l'activité professionnelle de l'utilisateur.
L'utilisateur est tenu d'utiliser, pour identifier les informations comme privées, le mot clé [prv] dans le nom des répertoires informatiques et des documents et dans l'objet des courriers électroniques et des sms, ou à défaut en début de message si le champ "objet" n'existe pas.
Aucune information à caractère professionnel ne peut bénéficier du mot [prv].
Utilisation d'Internet et des réseaux sociaux
Il est donc interdit de :
- Créer ou administrer des services internet ou de communication électronique étrangers aux besoins de son activité professionnelle ;
- Visualiser, télécharger, transmettre ou conserver des contenus illégaux, contraires à l'ordre public ou aux bonnes moeurs, attentatoires à l'image de marque interne ou externe de Transactis ;
- Participer à des jeux d'argent ;
- Exercer une activité commerciale à titre privé ;
- Transmettre ou publier des informations confidentielles ou non publiques à propos de Transactis, de ses actionnaires, de ses clients ou partenaires, ou de son personnel ;
- Commettre des actes répréhensibles au regard de la loi applicable.
Un tableau récapitulatif des types de sites bloqués par défaut est disponible dans la fiche de synthèse téléchargeable à la suite de ce module.
Utilisation d'Internet et des réseaux sociaux
Leur usage à titre privé peut se faire à condition d'utiliser un compte personnel et une adresse mail personnelle. Il est interdit de communiquer, transmettre ou télécharger toute information classifiée.
Par ailleurs, l'usage des réseaux sociaux à titre professionnel avec un compte personnel ou avec un compte appartenant à Transactis ne peut se faire que dans le cadre défini par la Direction de la Communication.
Dans tous les cas, il convient de rester prudent sur le contenu des messages échangés, et les liens internet ou téléchargement diffusés ou proposés. Il est aussi formatement recommandé de rester vigilant sur l'identité des interlocuteurs et leurs motivations. Ainsi, il est préférable de n'accepter les demandes de connexion qu'en provenance de personnes de confiance, connues ou recommandées.
La gestion de la classification de l'information et de la documentation
Le plan de classification et le convertisseur de classification
La confidentialité
L'information publique
Le plan de classification
Le plan de classification et le convertisseur de classification
C0-PUBLIC
C1-RESTREINT
- Une information ne possédant pas de marquage n'a pas de niveau de confidentialité par défaut.
- En cas de doute, il faut en référer au propriétaire de l'information.
C2-CONFIDENTIEL
C3-SECRET
- Dans le cas où le propriétaire n'est pas identifiable, il faut se référer au RSSI.
Le plan de classification et le convertisseur de classification
Responsabilités du propriétaire de l'information
- Définition du niveau de confidentialité de l'information ;
- Respect des procédures internes dans le cas où l'information doit être publiée ;
- Mise à jour du niveau de confidentialité des informations dont il est propriétaire et sa communication aux acteurs concernés dans la mesure du possible ;
- Respect des règles d'usage associées, en particulier le marquage en confidentialité de l'information qui est différent pour chaque niveau de confidentialité ;
- Respect de l'utilisation des moyens de protection afférents lors de la manipulation de l'information.
Le plan de classification et le convertisseur de classification
Transactis applique la classification des données de la Société Générale
Outil accessible aux utilisateurs sur l'Intranet
Marquage et support des informations
La marquage doit être réalisé selon les règles définies, en fonction des supports. Par ailleurs, en fonction du marquage de l'information, les règles d'usage et les outils relatifs aux informations peuvent changer.
C0-PUBLIC
C1-RESTREINT
C2-CONFIDENTIEL
C3-SECRET
Par exemple, l'utilisation d'un filtre écran de confidentialité est recommandée pour les informations classifiées C2-CONFIDENTIEL, mais obligatoire pour les informations classifiées C3-SECRET.
Marquage et support des informations
Transfert de données
Messagerie électronique
Répertoire partagé
L'utilisation de supports mobiles, comme un PC portable ou un smartphone, est interdite par défaut. Par ailleurs, les envois extérieurs sont interdits pour les collaborateurs en stage, alternance ou CDD.
Le transfert de données sur périphèriques externes amovibles de stockage est autorisé, mais uniquement dans ces cas spécifiques, sous couvert de validation par la hiérarchie.
OODRIVE
SecureShare
SecureHub
Cellule d'aide
Dans tous les cas, le support à privilégier est la clé USB sécurisée par mot de passe.
Archivage de données
Espace de stockage v:
Global Relay
Le RGPD et les données sensibles
Le RGPD est une règlementation européenne applicable depuis 2018 qui tend à protéger les données à caractère personnel des personnes physiques citoyennes de l'Union européenne. L'expression "donnée à caractère personnel" désigne toute information se rapportant à une personne physique identifiée ou identifiable, c'est-à-dire une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
L'utilisateur doit s'assurer que les traitements de données à caractère personnel qu'il peut être amené à effectuer dans le cadre de son activité professionnelle sont conformes aux politiques de protection des données applicables à son périmètre et à la politique interne en matière de protection des données à caractère personnel. Il ne peut pas communiquer ou utiliser les données à caractère personnel faisant l'objet d'un traitement par Transactis, sous quelque forme que ce soit, à des fins étrangères ou contraires à la mission qui lui a été confiée par Transactis, à des fins personnelles ou dans le cadre d'activités extérieures à l'entreprise.
En cas de question, l'utilisateur est invité à contacter le DPO.
Panorama des risques
Les principaux risques
Le ransomware
Une entreprise française sur 2 victime d'une cyberattaque en 2022
L'espionnage stratégique
La déstabilisation
L'exploitation de vulnérabilités
Les risques identifiés dans les Politiques de Gestion des Risques
RTSSI01 - la cyberattaque : atteinte à des systèmes informatiques réalisée dans un but malveillant.
RTSSI03 - la fuite d'information : incident de sécurité au cours duquel des personnes malveillantes parviennent à accéder de façon non autorisée à du contenu confidentiel ou sensible.
RTSSI02 - le défaut de gestion des accès ou l'abus de droits : l'accès non autorisé à des ressources suite à l'interception ou l'utilisation d'éléments de connexion non sécurisés, sans possibilité de tracer les actions de connexion au système d'information.
Qu'est-ce qu'un incident de sécurité ?
J'ai reçu un mail frauduleux ou suspect.
Évènement de sécurité
J'ai détecté un virus informatique ou je soupçonne une infection
Je constate un dysfonctionnement important et anormal d'une application de travail.
Incident de sécurité
Les moyens de signalement d'un incident de sécurité
Quand un utilisateur est confronté à un potentiel évènement de sécurité, il a le devoir d'alerter son responsable d'activité ainsi que l'équipe de réponse à incident de sécurité.
Signalement à faire via l'adresse mail suivante : Incident-securite@transactis.fr
Ces règles sont à disposition sur l'Intranet dans le document « Dispositif de gestion des incidents SSI ». Un lien est disponible dans la fiche de synthèse téléchargeable à la suite de ce module.
Quelles recommandations suivre et pourquoi ?
Alerter le responsable d'activité et l'équipe de réponse à incident de sécurité
Rester disponible et suivre les instructions de la personne en charge
Ne pas chercher à résoudre l'incident de sécurité par soi-même
Conclusion
Consignes du quiz
- Mélange de vrai/faux et de questions à choix multiple ;
- Pas de malus en cas de mauvaise réponse ;
- 26 points sont répartis sur 16 questions ;
- 80% de bonnes réponses pour valider le module.
À retenir
À retenir
Incident-securite@transactis.fr
Ressources disponibles sur l'Intranet
Rôle du RSSI
Usage du SI à titre privé toléré
Droits et devoirs de l'utilisateur
Mot-clé [prv]
Merci
Félicitations, vous avez terminé ce module. Vous pouvez cliquer sur "Recommencer" pour améliorer votre score ou sur la croix en haut à droite pour quitter.
Présentation de la Politique de Sécurité du Système d'Information (PSSI) de Transactis
Digital Learning
Created on February 17, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Search Bar Card
View
Piñata
View
Microlearning: When to Use Chat, Meetings or Email
View
Magazine dossier
View
Microlearning: Graphic Design
View
Microlearning: Enhance Your Wellness and Reduce Stress
View
Microlearning: Teaching Innovation with AI
Explore all templates
Transcript
INTRODUCTION
Présentation de la Politique de Sécurité du Système d'Information (PSSI) de Transactis
CONSIGNES DE NAVIGATION
Avant de commencer, veillez à :
Vous isoler
Éteindre votre téléphone
Activer le son et utiliser un casque si possible
Durée : environ 35 minutes
Présentation de la Politique de Sécurité du Système d'Information (PSSI) de Transactis
Introduction
Sommaire
Les bonnes pratiques de la SSI
La gestion de la classificationet de la documentation
Un panorama des risques
Quiz
Conclusion
Introduction
Objectifs
Présentation de l'organisation
2008
Rôles et responsabilités
Gouvernance
Respect
Communication
Implication
Intégration
Cohérence
Rôles et responsabilités
Direction Générale
Président
DirecteurGénéral
Rôles et responsabilités
Sensibilisation et information des collaborateurs, actualisation des sites à bloquer
Définition de la stratégie et la politique SI, garant de la sécurité du SI
Alerte sur les risques majeurs et anormalies
RSSI, membre de la DSSI
Rôles et responsabilités
Habilitation selon le besoin d'en connaître
Respect des obligations de sécurité
L'utilisateur : personne physique utilisatrice du SI
Signalement des mauvaises pratiques, des alertes et des incidents
Application des règles, exigences et bonnes pratiques
Connaissance et mise à disposition de la documentation
Corpus documentaire
Documents référencés
Politiques de Gestion des Risques
Note de gouvernance
Règlement Intérieur
Politique de Sécurité des Systèmes d'Information
Politique de Protection de l'Information
Politique de Gestion des Incidents SSI
Politique de Sensibilisation des Utilisateurs du SI
Politique de Gestion des Mécanismes Cryptographiques
Corpus associé
Charte Informatique
L'ensemble des documents est accessible, selon le besoin d'en connaître, sur l'Intranet (lien dans la fiche de synthèse disponible à la suite de ce module)
Les bonnes pratiques en Sécurité des Systèmes d'Information (SSI)
Les principes du contrôle d'accès et des droits associés
Besoin d'en connaître
Principe du moindre privilège
Droit d'accès de l'utilisateur
Authentification
L'authentification est la procédure permettant, pour un système informatique, de vérifier l'identité d'une personne ou d'un ordinateur et d'autoriser l'accès de cette entité à des ressources comme des systèmes, des réseau ou des applications.
Authentification
Devoirs de l'utilisateur :
La pratique des bureaux propres
S'isoler dans une salle
Verrouiller sa session de travail
Effacer ou récupérer les informations
Sécuriser son PC portable
Ranger les informations
Rester vigilant
Fermer son bureau
Cryptographie
Ensemble des procédés visant à chiffrer des informations pour en assurer la confidentialité entre l'émetteur et le destinataire.
Politique de gestion des mécanismes cryptographiques
Corpus documentaire de la PSSI
A = 1
DES
SHA-1
ECB
20-18-1-14-19-1-3-20-9-19
T-R-A-N-S-A-C-T-I-S
Utilisation
Rotation
Recouvrement
Fin de vie
Génération
Affectation
Stockage et Sauvegarde
Distribution et Installation
Mails et stockage de fichiers
Les envois extérieurs d'informations à caractère professionnel, sur des messageries et autres supports externes, ne relevant pas du cadre professionnel de l'utilisateur, génèrent un risque particulier de fuite d'information. Ils sont donc proscrits par principe.
Il existe cependant des exceptions : si l'accord formel a été sollicité mais n'a pas pu être recueilli, l'utilisateur peut alors, en cas d'urgence, envoyer des données à l'extérieur ; Il doit mettre son manager en copie de son envoi extérieur et lui en indiquer l'objet.
L'utilisateur devra supprimer les informations envoyées à l'extérieur dès que le besoin ayant justifié l'envoi à l'externe de l'information a disparu, et ce, dès que possible.
Mails et stockage de fichiers
Un usage raisonnable du système d'information à titre privé, comme la consultation de sites internet, l'envoi d'e-mails, le stockage de fichiers et la téléphonie, les impressions, les photocopies, les numérisations, est toléré dans le cadre des nécessités de la vie courante et familiale.
Cet usage privé doit être limité, tant dans la durée que dans la fréquence, et ne doit pas avoir d'impact sur l'activité professionnelle de l'utilisateur.
L'utilisateur est tenu d'utiliser, pour identifier les informations comme privées, le mot clé [prv] dans le nom des répertoires informatiques et des documents et dans l'objet des courriers électroniques et des sms, ou à défaut en début de message si le champ "objet" n'existe pas.
Aucune information à caractère professionnel ne peut bénéficier du mot [prv].
Utilisation d'Internet et des réseaux sociaux
Il est donc interdit de :
Un tableau récapitulatif des types de sites bloqués par défaut est disponible dans la fiche de synthèse téléchargeable à la suite de ce module.
Utilisation d'Internet et des réseaux sociaux
Leur usage à titre privé peut se faire à condition d'utiliser un compte personnel et une adresse mail personnelle. Il est interdit de communiquer, transmettre ou télécharger toute information classifiée.
Par ailleurs, l'usage des réseaux sociaux à titre professionnel avec un compte personnel ou avec un compte appartenant à Transactis ne peut se faire que dans le cadre défini par la Direction de la Communication.
Dans tous les cas, il convient de rester prudent sur le contenu des messages échangés, et les liens internet ou téléchargement diffusés ou proposés. Il est aussi formatement recommandé de rester vigilant sur l'identité des interlocuteurs et leurs motivations. Ainsi, il est préférable de n'accepter les demandes de connexion qu'en provenance de personnes de confiance, connues ou recommandées.
La gestion de la classification de l'information et de la documentation
Le plan de classification et le convertisseur de classification
La confidentialité
L'information publique
Le plan de classification
Le plan de classification et le convertisseur de classification
C0-PUBLIC
C1-RESTREINT
C2-CONFIDENTIEL
C3-SECRET
Le plan de classification et le convertisseur de classification
Responsabilités du propriétaire de l'information
Le plan de classification et le convertisseur de classification
Transactis applique la classification des données de la Société Générale
Outil accessible aux utilisateurs sur l'Intranet
Marquage et support des informations
La marquage doit être réalisé selon les règles définies, en fonction des supports. Par ailleurs, en fonction du marquage de l'information, les règles d'usage et les outils relatifs aux informations peuvent changer.
C0-PUBLIC
C1-RESTREINT
C2-CONFIDENTIEL
C3-SECRET
Par exemple, l'utilisation d'un filtre écran de confidentialité est recommandée pour les informations classifiées C2-CONFIDENTIEL, mais obligatoire pour les informations classifiées C3-SECRET.
Marquage et support des informations
Transfert de données
Messagerie électronique
Répertoire partagé
L'utilisation de supports mobiles, comme un PC portable ou un smartphone, est interdite par défaut. Par ailleurs, les envois extérieurs sont interdits pour les collaborateurs en stage, alternance ou CDD.
Le transfert de données sur périphèriques externes amovibles de stockage est autorisé, mais uniquement dans ces cas spécifiques, sous couvert de validation par la hiérarchie.
OODRIVE
SecureShare
SecureHub
Cellule d'aide
Dans tous les cas, le support à privilégier est la clé USB sécurisée par mot de passe.
Archivage de données
Espace de stockage v:
Global Relay
Le RGPD et les données sensibles
Le RGPD est une règlementation européenne applicable depuis 2018 qui tend à protéger les données à caractère personnel des personnes physiques citoyennes de l'Union européenne. L'expression "donnée à caractère personnel" désigne toute information se rapportant à une personne physique identifiée ou identifiable, c'est-à-dire une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
L'utilisateur doit s'assurer que les traitements de données à caractère personnel qu'il peut être amené à effectuer dans le cadre de son activité professionnelle sont conformes aux politiques de protection des données applicables à son périmètre et à la politique interne en matière de protection des données à caractère personnel. Il ne peut pas communiquer ou utiliser les données à caractère personnel faisant l'objet d'un traitement par Transactis, sous quelque forme que ce soit, à des fins étrangères ou contraires à la mission qui lui a été confiée par Transactis, à des fins personnelles ou dans le cadre d'activités extérieures à l'entreprise.
En cas de question, l'utilisateur est invité à contacter le DPO.
Panorama des risques
Les principaux risques
Le ransomware
Une entreprise française sur 2 victime d'une cyberattaque en 2022
L'espionnage stratégique
La déstabilisation
L'exploitation de vulnérabilités
Les risques identifiés dans les Politiques de Gestion des Risques
RTSSI01 - la cyberattaque : atteinte à des systèmes informatiques réalisée dans un but malveillant.
RTSSI03 - la fuite d'information : incident de sécurité au cours duquel des personnes malveillantes parviennent à accéder de façon non autorisée à du contenu confidentiel ou sensible.
RTSSI02 - le défaut de gestion des accès ou l'abus de droits : l'accès non autorisé à des ressources suite à l'interception ou l'utilisation d'éléments de connexion non sécurisés, sans possibilité de tracer les actions de connexion au système d'information.
Qu'est-ce qu'un incident de sécurité ?
J'ai reçu un mail frauduleux ou suspect.
Évènement de sécurité
J'ai détecté un virus informatique ou je soupçonne une infection
Je constate un dysfonctionnement important et anormal d'une application de travail.
Incident de sécurité
Les moyens de signalement d'un incident de sécurité
Quand un utilisateur est confronté à un potentiel évènement de sécurité, il a le devoir d'alerter son responsable d'activité ainsi que l'équipe de réponse à incident de sécurité.
Signalement à faire via l'adresse mail suivante : Incident-securite@transactis.fr
Ces règles sont à disposition sur l'Intranet dans le document « Dispositif de gestion des incidents SSI ». Un lien est disponible dans la fiche de synthèse téléchargeable à la suite de ce module.
Quelles recommandations suivre et pourquoi ?
Alerter le responsable d'activité et l'équipe de réponse à incident de sécurité
Rester disponible et suivre les instructions de la personne en charge
Ne pas chercher à résoudre l'incident de sécurité par soi-même
Conclusion
Consignes du quiz
À retenir
À retenir
Incident-securite@transactis.fr
Ressources disponibles sur l'Intranet
Rôle du RSSI
Usage du SI à titre privé toléré
Droits et devoirs de l'utilisateur
Mot-clé [prv]
Merci
Félicitations, vous avez terminé ce module. Vous pouvez cliquer sur "Recommencer" pour améliorer votre score ou sur la croix en haut à droite pour quitter.