Sécurisation de notre système d’information

Rapport d’activité 2025 / Gouvernance et relation aux parties prenantes / Sécurisation de notre système d’information

La sécurité de notre système d’information est un enjeu de taille. Elle repose à la fois sur la sensibilisation des utilisateurs et sur le renforcement des contrôles techniques.

En 2025, plusieurs projets ont abouti pour se protéger, sensibiliser et former les équipes.

« Avant de cliquer » : sensibiliser et former

La campagne « Avant de cliquer » déployée en 2024 était destinée à l’ensemble des collaborateurs afin de renforcer les bonnes pratiques face aux menaces numériques. Cette campagne a été accompagnée d’audits réguliers de phishing simulés pour mesurer le niveau de vigilance des utilisateurs et identifier les besoins de formation complémentaires.

Tous nos collaborateurs ont suivi la formation « Avant de cliquer ».

Tous les collaborateurs ont dû suivre un module de formation obligatoire et ceux cliquant sur un ou plusieurs « faux mail(s) » devaient suivre des modules complémentaires.

Le risque humain est à l’origine de 95% des cyberattaques, c’est pourquoi nous avons choisi de mettre en place cette vaste campagne de sensibilisation et formation.

La mise en place de l’ensemble de ces actions nous a permis d’améliorer notre maturité face aux attaques cyber. En effet, tout le travail réalisé et la formation des collaborateurs ont permis de passer d’un niveau de risque élevé, à un niveau faible, confirmé par un contre-audit réalisé début d’année 2025.

Se protéger et évoluer

Plusieurs actions ont été mises en place en 2025 pour protéger notre système d’informations :

Déploiement d’un contrôle d’accès réseau (NAC) sur les infrastructures filaires et Wi-Fi afin de vérifier automatiquement la conformité des équipements avant leur connexion au réseau interne. Seuls les ordinateurs Inolya peuvent se connecter sur notre réseau,

Refonte complète des politiques de pare-feu afin d’améliorer la segmentation réseau et de renforcer la protection des flux. Une attention particulière a été portée à la sécurisation des accès distants et des usages liés au télétravail,

Déploiement de la solution EDR Pradeo sur l’ensemble des postes de travail, terminaux mobiles et serveurs. Cet outil permet une meilleure détection des comportements suspects et des menaces avancées,

Renforcement de la politique de mots de passe, avec des exigences de complexité accrues, et révision régulière des droits d’accès afin d’appliquer le principe du moindre privilège.

La modernisation de notre environnement de travail numérique constitue aussi un chantier structurant :

Déploiement progressif de Windows 11 sur l’ensemble de notre parc bureautique durant l’année 2025 afin de maintenir la compatibilité avec les standards de sécurité et de support éditeur, réalisé en parfaite transparence pour les utilisateurs,

Évolution vers le Pack Office 2024 sur l’ensemble du parc informatique avec une mise à jour des procédures de déploiement et de maintenance réalisé à distance via la solution KACE,
Passage des téléphones mobiles à double carte SIM vers un modèle à usage professionnel unique. Cela permet de mieux encadrer l’usage des téléphones et de résoudre les problèmes rencontrés par certains collaborateurs.

Se former à la gestion de crise cyber

Face à l’augmentation des cybermenaces, la capacité de réaction en cas d’incident majeur doit être renforcée.

En 2025, nous avons élaboré un plan de gestion de crise cyber, incluant la définition claire des rôles de chacun, des responsabilités et des procédures d’escalade.

Un exercice de simulation de cyberattaque a été organisé afin de tester les dispositifs existants et d’améliorer la coordination entre les équipes techniques, la direction et les fonctions support.

Un exercice de simulation de cyberattaque a été organisé en 2025.

Les objectifs étaient les suivants

Créer un contexte favorable à l’établissement rapide d’un plan de résolution en cas d’attaque et de crise cyber ;
Établir un processus visant à organiser une réponse coordonnée au niveau cyber, tout en s’interfaçant avec le plan de gestion de crise de l’Office ;
Mettre en alerte ou mobiliser immédiatement les moyens, dispositifs et expertises internes et externes selon le type et la gravité de l’impact ;
Informer et communiquer au bon moment et au bon niveau.

À l’issue de ces séances, une procédure et différents outils (fiches, guide, annuaire …) ont été créés et mis à disposition des collaborateurs concernés avant l’exercice de mise en situation réalisé en septembre.

Un débrief a également été organisé pour faire le point sur nos points forts et nos axes d’amélioration. Des exercices seront réalisés chaque année.

Sécurisation de notre système d’information

« Avant de cliquer » : sensibiliser et former

Se protéger et évoluer

Se former à la gestion de crise cyber

Les objectifs étaient les suivants

Notre rapport RSE