Politique de Sécurité

Mis à jour le 17/02/2026

Introduction

Objet

Le présent document constitue la Politique Stratégique de Sécurité des Systèmes d’Information (PSSI Stratégique) du Groupe BODET SA. 

Approuvée par le Président-Directeur Général, la PSSI Stratégique définit : 

  • Les enjeux et objectifs stratégiques en matière de sécurité des systèmes d’information ; 
  • Les principes de gouvernance de la Sécurité des Systèmes d’Information (SSI) ; 
  • Les engagements de la Direction Générale visant à garantir la pérennité, l’efficacité et l’amélioration continue du dispositif de sécurité. 

La PSSI Stratégique est complétée par une PSSI Opérationnelle, laquelle regroupe l’ensemble des exigences thématiques relatives à la sécurité physique, logique, organisationnelle et humaine du système d’information. 

Les critères de diffusion

Le corpus documentaire de la PSSI fait l’objet d’une diffusion maîtrisée selon le principe du besoin d’en connaître.

  • La PSSI Stratégique est diffusable en externe sous forme intégrale. Elle représente les engagements du Groupe Bodet relatifs à la SSI. 
  • La PSSI Opérationnelle est destinée prioritairement à un usage interne. Des extraits pertinents peuvent être communiqués à des parties prenantes externes (clients, partenaires, autorités) concernés par des exigences contractuelles ou réglementaires. 
  • Les procédures associées sont diffusées en interne de manière ciblée. 

Chaque document précise explicitement sa liste de diffusion autorisée. Lorsque requis pour des raisons de confidentialité, seuls des extraits pertinents peuvent être communiqués.

Le périmètre d’application

La PSSI Stratégique s’applique :

  • À l’ensemble du Système d’Information du Groupe Bodet, dans toutes ses composantes ;
  • À tous les collaborateurs, dirigeants, salariés, intérimaires, stagiaires ;
  • À tous les prestataires, partenaires et tiers accédant au système d’information ou manipulant des informations sous la responsabilité du Groupe.

Le Système d’Information est entendu comme l’ensemble des moyens permettant de créer, acquérir, traiter, stocker, transmettre ou détruire l’information, quels que soient les supports, technologies ou localisations. 

Les référentiels de sécurité

Le Groupe Bodet s’inscrit dans une démarche d’alignement avec les références suivantes : 

  • La norme ISO/IEC 27001 (2022) ; 
  • Le Guide d’hygiène informatique de l’ANSSI (42 mesures) ; 
  • Le RGPD et les exigences de la CNIL ; 
  • Les obligations réglementaires et contractuelles applicables à ses activités (RED2, CRA, NIS2). 
  • L’Esquema Nacional de Seguridad (ENS) 

Glossaire

  • Authenticité : propriété ou caractéristique par laquelle une entité est ce qu'elle prétend être ou garantit la source des données. 
  • Collaborateur : toute personne contribuant aux activités du Groupe et accédant au SI (salarié, étudiant / stagiaire, intérimaire, etc.). 
  • Confidentialité : Permet de s’assurer que l’information n’est accessible qu’aux personnes ayant, dans le cadre de leur activité, un besoin de connaissance 
  • Conformité réglementaire : propriété qui garantit que les informations sont gérées conformément aux principes éthiques, professionnels et juridiques établis par les réglementations applicables dans chaque contexte. 
  • Disponibilité : Permet de s'assurer que les données sont accessibles et utilisables par les entités au moment souhaité et avec les performances souhaitées. 
  • Information : toute donnée appartenant au Groupe ou confiée par un client, quel que soit son format (papier, numérique, oral). 
  • Intégrité : Permet de s’assurer que les données manipulées sont exactes et cohérentes, en entrée comme en sortie, mais également que ces données ne subissent pas de modifications non souhaitées durant leur traitement ou leur stockage. 
  • Logiciel : tout programme ou exécutable participant au traitement de l’information (système d’exploitation, logiciel de supervision, application bureautique, application métier, etc.). 
  • Matériel : tout équipement physique supportant le SI (postes, serveurs, mobiles, supports amovibles, équipements réseau, etc.). 
  • Politique de Sécurité du Système d’Information (PSSI) : L'ensemble des directives définissant les engagements, les objectifs et les règles du Groupe en matière de sécurité de l'information. 
  • Réseau : toute forme d’interconnexion des composants matériels et logiciels du Système d’Information permettant l’échange de données (ligne spécialisée, réseau téléphonique, Internet, VPN, liaisons intersites). 
  • Site : tout emplacement physique exploité par le Groupe (bureaux, usines, data centers, etc.). 
  • Système de Management de la Sécurité de l’Information (SMSI) : L'ensemble des directives définissant les engagements, les objectifs et les règles du Groupe en matière de sécurité de l'information. 
  • Système de management de la protection des données (SMPD) : Est un ensemble de mesures organisationnelles mises en œuvre par une entreprise afin de garantir que les données à caractère personnel sont traitées conformément à la réglementation en matière de protection des données. Basé sur les exigences du RGPD, il s'agit d'une directive interne qui contribue à garantir la conformité en matière de protection des données et qui fournit des preuves à cet égard si nécessaire. Ce système de gestion vise principalement à prévenir les violations, mais peut également les rectifier ou les réfuter a posteriori. 
  • Traçabilité : Permet d’assurer la preuve de l’occurrence d’un événement ou d’une action sur le système d’information ainsi que des entités ou des personnes impliquées.

Les activités du Groupe Bodet s’inscrivent dans un environnement impacté par les cybermenaces.

Contexte de cybersécurité

La numérisation des usages apporte de nombreux bénéfices, tant pour les citoyens que pour les entreprises, en favorisant l’innovation et le développement de nouvelles opportunités économiques. Cependant, elle génère une dépendance accrue aux infrastructures critiques et une complexité interconnectée qui expose la société et les organisations à des attaques informatiques toujours plus sophistiquées.

Le cyberespace est devenu un espace de compétition et de confrontation, reflétant les tensions géopolitiques et les rivalités internationales. La France, à l’instar d’autres pays, est confrontée à une cybermenace intense et étendue, provenant d’États, de cybercriminels, d’activistes ou de combinaisons de ces acteurs

Ces cyberattaques peuvent être motivées par des raisons économiques, politiques, militaires ou idéologiques. Elles peuvent perturber le fonctionnement de la société, menacer la sécurité nationale et générer des pertes économiques importantes, affectant les chaînes d’approvisionnement et la continuité des activités des organisations.

Les cyberattaques prennent de multiples formes, allant de l’espionnage au sabotage, en passant par l’extorsion et la subversion. Elles se matérialisent notamment par l’essor de la cybercriminalité et la prolifération d’outils cyber-intrusifs. Les infrastructures critiques, y compris les services cloud hébergeant des données sensibles et des applications stratégiques, sont particulièrement exposées.

L’émergence de technologies de rupture — intelligence artificielle, blockchain, informatique quantique — amplifie les risques en rendant certaines protections actuelles obsolètes et en complexifiant le paysage de la menace.

Les activités du Groupe

Le Groupe BODET conçoit et fabrique des logiciels et équipements pour ses clients. Il les livre, les installe chez les clients et assure les réparations et appels hotline.

Le Groupe est ainsi amené à manipuler des informations sensibles, telles que :

  • Les données de recherche et développement ;
  • Les données de pilotage de la production industrielle ;
  • Les données personnelles de ses tiers (clients, fournisseurs, etc…) ;
  • Les données personnelles de ses collaborateurs.

Ces informations sont des éléments indispensables pour le bon fonctionnement du Groupe.

Stratégies, enjeux et objectifs de sécurité

Les axes stratégiques

Le Groupe Bodet ambitionne d’asseoir sa position de leader sur chacune de ses activités, en assurant la satisfaction de ses clients.

Dans un monde toujours plus interconnecté et digitalisé, les sociétés sont plus exposées aux cybermenaces (rançongiciel, hameçonnage, défiguration de site internet, etc.)., et la Sécurité du Système d’Information est essentielle au Groupe BODET pour garantir son développement.

Le Groupe Bodet est exposé à des risques cyber qui peuvent affecter :

  • La confidentialité, l’intégrité, la disponibilité, l’authenticité, la traçabilité et la conformité réglementaire des données d’entreprise et des informations clients ;
  • La continuité opérationnelle de ses activités critiques ;
  • Sa réputation et sa position sur les marchés nationaux/internationaux.

La réussite du Groupe dépend donc de la sécurisation globale de son SI. La cybersécurité est un élément incontournable, réalisé à travers le système de management de la sécurité de l’information (SMSI), et décliné dans la PSSI :

  • Anticiper et réduire les risques cyber ;
  • Se conformer aux obligations légales, réglementaires et contractuelles ;
  • Protéger les actifs informationnels et numériques ;
  • Assurer la continuité et la résilience des activités.

Les enjeux de sécurité

Le Groupe Bodet est soumis à des enjeux primordiaux de sécurité qui répondent aux orientations stratégiques :

  • Compétitivité : garantir la disponibilité et la fiabilité des SI dans un contexte concurrentiel mondial.
  • Environnement : soutenir les démarches certifiées ISO 14001 par des systèmes fiables et maîtrisés.
  • Innovation : protéger les travaux de R&D, les secrets industriels et la propriété intellectuelle.
  • International : sécuriser les échanges de données avec les filiales, distributeurs et partenaires dans plus de 110 pays.
  • Qualité : intégrer la cybersécurité comme composante essentielle de la qualité des produits et services, notamment en 2026.
  • Réactivité : assurer un haut niveau de disponibilité et de support aux clients.

Les objectifs opérationnels

Face à ces enjeux, des objectifs de sécurité garantissent les besoins de confidentialité, d’intégrité, de disponibilité et de traçabilité des données et de leurs traitements. Le Groupe Bodet à ce titre s’engage à :

  • Maintenir en condition de sécurité le SI 7j/7 et 24h/24 ;
  • Protéger les données du Groupe et de ses clients ;
  • Promouvoir une culture partagée de la sécurité de l’information ;
  • Veiller au respect des exigences définies par les contraintes légales, et réglementaires ;
  • Connaitre et maîtriser les risques cyber ;
  • Assurer la résilience du système d’information en cas d’incident ;
  • Définir un niveau de sécurité lors de l’intégration de nouvelles interconnexions au SI ;
  • Garantir l’image de l’ensemble du Groupe ;

Ces objectifs se déclinent par thématique dans la PSSI Opérationnelle. Cette dernière s’appuie sur la norme ISO 27002 :2022, sur le Guide d’hygiène de l’ANSSI, et sur les bonnes pratiques relatives à la sécurité de l'information.

Gouvernance de la sécurité du SI

L’engagement de la Direction Générale

La Direction Générale est consciente que la pérennité du Groupe Bodet dépend de sa capacité à sécuriser ses actifs face aux menaces pouvant porter atteinte aux activités et aux données de l’entité.

La Direction inscrit la PSSI dans la stratégie générale du Groupe, et fournit les ressources nécessaires au bon fonctionnement du SMSI.

Une lettre d’engagement détaillée a été signée par la Direction Générale.

Le comité cybersécurité

Le comité cybersécurité du Groupe Bodet est chargé de piloter et de coordonner les actions relatives à la sécurité du système d’information, et ce au regard des axes stratégiques de l’organisation. Ce comité se réunit selon une fréquence minimale mensuelle. La Direction générale suit les évolutions du SMSI, et valide les prises de décisions importantes. Elle est son meilleur sponsor. 

Des comités de cybersécurité spécifiques peuvent également être mis en place afin de traiter la sécurité des activités et des données sur des périmètres sensibles ou en nécessité.

La composition de ces comités peut varier en fonction des périmètres concernés et des sujets traités. Une revue des rôles et responsabilités est réalisée au minimum tous les deux ans.

Les rôles principaux attenants au comité sont les suivants : le RSSI, le responsable de l’information, le responsable de service, le responsable du système.

Les principales responsabilités

  • Direction Générale : Porte la responsabilité finale de la sécurité du SI, valide la PSSI et alloue les ressources nécessaires. 10 
  • Responsable de la Sécurité du Système d’Information (RSSI/CISO : ciso@kelio.com) : Définit, pilote et contrôle la mise en œuvre de la PSSI et du SMSI. Il est garant de la conformité de l’organisation aux exigences de l’ISO/IEC 27001, et des réglementations applicables en matière de Sécurité du Système d’Information (NIS2, CRA, etc.).
  • Délégué à la Protection des Données (DPD/DPO) : Définit, pilote et contrôle la mise en œuvre du DPMS. Il est garant de la conformité de l’organisation aux exigences du Règlement Général sur la Protection des Données (RGPD), ainsi qu’aux réglementations applicables en matière de protection des données à caractère personnel. • DSI : Met en œuvre les mesures techniques de sécurité en coordination avec le RSSI. 
  • Chefs d’équipe : Veillent à l’application des règles de sécurité dans leurs équipes. 
  • Collaborateurs et prestataires : Respectent les règles de sécurité et signalent tout incident ou anomalie.

La PSSI, pilier de la mise en œuvre du SMSI

La structure de la documentation

Le SMSI a pour objectif de garantir que les risques liés à la sécurité et à la confidentialité des informations sont connus, acceptés, gérés ou minimisés de manière documentée, systématique, structurée, reproductible et acceptable, en s'adaptant aux changements en matière de risques, d'environnement et de technologies. La documentation liée au SMSI se décline en 4 niveaux :

  • La PSSI stratégique : C’est le document de référence qui rappelle les enjeux stratégiques du Groupe, les principes de gouvernance, et qui fixe les fondamentaux de sécurité.
  • La PSSI opérationnelle : Il s’agit des règles de sécurité que l’entreprise a décidé de suivre, en fonction des guides de bonnes pratiques de sécurité (ISO/IEC 27001/2, Guide d’hygiène de l’ANSSI, RGPD, etc.).
  • Les procédures : Il s’agit des méthodes d’implémentation technique et organisationnelle que l’organisation s’est fixées.
  • Les preuves et indicateurs : Ce sont les méthodes d’évaluations qui permettent de mesurer la performance du SMSI.

La mise en application

Les objectifs de sécurité de l’information qui ont été définis précédemment font l’objet d’une déclinaison en directives de sécurité au sein du document PSSI Opérationnelle. Ces directives doivent être mises en application par l’ensemble des acteurs du Système d’Information.

De manière générale, chaque évolution du Système d’Information intègre la sécurité en prenant en compte les exigences de la PSSI Opérationnelle en fonction des besoins de sécurité exprimés en termes de confidentialité, d’intégrité, de disponibilité et de traçabilité des données et des traitements. C’est l’approche Security/Privacy by Design.

Les grands principes

Seul le RSSI a l’entièreté des droits sur la gestion et la structuration du SMSI. Certains profils peuvent avoir des accès limités qui seront adaptés en fonction du besoin d’en connaitre au cas par cas (ex : apport de preuves par un administrateur, relecture par un validateur, signature de la Direction, etc.).

  • Principe du besoin d’en connaître : L’accès aux informations est strictement limité aux personnes qui ont réellement besoin d’en prendre connaissance pour l’exercice de leurs fonctions.
  • Principe du besoin de sécurité : Chaque actif est protégé selon un niveau de sécurité proportionnel à sa criticité et à son importance pour l’organisation.
  • Principe du moindre privilège : Chaque utilisateur, processus ou service dispose uniquement des permissions strictement nécessaires à sa fonction, et jamais plus.
  • Principe de pertinence de la collecte : La quantité de données collectées est limitée aux finalités prévues. Seules les données strictement utiles au traitement sont conservées.
  • Principe de maîtrise des données : Les activités de traitement sont cartographiées et les données sont maintenues à jour. La prolifération de données personnelles inutiles est évitée, et les données obsolètes ou devenues inutiles sont régulièrement purgées.
  • Principe de licéité du traitement : Les traitements de données doivent reposer sur une base légale appropriée : consentement, obligation légale, intérêt public, contrat, nécessité vitale ou intérêt légitime.
  • Principe de collecte loyale : Les données doivent être collectées de manière transparente et loyale, sans surprise pour les personnes concernées. L’objet de la collecte doit être clairement expliqué et le consentement renforcé si nécessaire.
  • Principe de finalité du traitement : Les informations sur les personnes physiques ne peuvent être enregistrées et utilisées que pour un objectif précis. Tout usage non prévu au moment de la collecte est interdit.
  • Principe de conservation limitée : Chaque activité de traitement doit définir une durée de conservation adaptée. Elle doit s’appuyer sur les obligations légales et les besoins opérationnels, et les données conservées au-delà de cette durée doivent être purgées.

La révision annuelle

La PSSI est revue annuellement par le Comité Cyber du Groupe Bodet, et est validée par la Direction Générale. L’objectif est de vérifier son adéquation avec les axes stratégiques du Groupe, ses enjeux, ou en cas de changement significatif au sein du SI de l’entreprise.

L’amélioration continue

L’ensemble du cycle de vie du SMSI s’appuie sur le principe d’amélioration continue, illustré par la roue de Deming (PDCA : Plan, Do, Check, Act) ci-dessous : 

PhaseAction
PLANIFIER (PLAN)La Commission SI établit la PSSI et sa déclinaison opérationnelle, validées par la Direction Générale. Ils élaborent ensuite un plan d’action permettant d’organiser l’implémentation des règles fixées.
RÉALISER (DO)La PSSI est suivie par tous les collaborateurs, en s’appuyant sur les moyens fournis par la Direction Générale, via le Responsable informatique et son équipe.
CONTRÔLER (CHECK)L’application des règles de la PSSI est contrôlée régulièrement à travers des audits et tests. Des indicateurs de sécurité (KPI) sont obtenus et analysés lors des Comités cyber.
AJUSTER (ACT)Les écarts relevés sont corrigés et/ou pris en compte pour la définition d’un nouveau cycle. Une nouvelle itération (PDCA) est effectuée.

Les dérogations

Tous les écarts par rapport aux règles de sécurité fixées sont considérés comme des failles de sécurité. Il peut exister des exceptions. Toute exception aux règles de sécurité exige une dérogation formalisée, validée par le RSSI et la Direction Générale, et revue périodiquement.

IDObjetDemandeur/ RéférentRègle PSSI dérogéeMesures de mitigationDurée de la dérogation accordéeDate de validationValideurDate d'expirationStatutDate de clôture
           

Les sanctions

Tout manquement aux règles définies par la PSSI expose le salarié à des mesures disciplinaires, différenciées en fonction de la gravité de la faute, définies au sein du Règlement Intérieur.

Les thématiques de la PSSI opérationnelle

La PSSI opérationnelle reprend les chapitres de l’ISO/IEC 27002, avec les exigences mis à jour en 2022. Voici les chapitres principaux.

  • Chapitre 5 – Gouvernance de la sécurité de l’information : (PSSI). La gouvernance établit le cadre de pilotage de la sécurité de l’information. Elle définit les politiques, les orientations et les principes directeurs permettant d’engager, de contrôler et d’améliorer la sécurité de l’information en cohérence avec la stratégie de l’organisation.
  • Chapitre 6 – Organisation de la sécurité de l’information : (Responsabilités, coordination, mobilité, télétravail). Ce chapitre définit l’organisation de la sécurité, la répartition des rôles et responsabilités, ainsi que l’intégration de la sécurité dans les relations internes et externes. Il couvre également la sécurité liée à la mobilité et au télétravail.
  • Chapitre 7 – Sécurité des ressources humaines : La sécurité des ressources humaines vise à s’assurer que les collaborateurs comprennent leurs responsabilités en matière de sécurité de l’information. Elle protège les intérêts de l’organisation tout au long du cycle de vie des collaborateurs : avant l’embauche, pendant l’activité et après le départ.
  • Chapitre 8 – Gestion des actifs : La gestion des actifs consiste à identifier, inventorier et classifier les actifs de l’organisation. Elle permet d’attribuer des responsabilités claires et de garantir que l’information bénéficie d’un niveau de protection adapté à sa valeur, sa sensibilité et son importance.
  • Chapitre 9 – Contrôle des accès : Ce chapitre vise à maîtriser l’accès aux systèmes et aux informations par des mécanismes d’authentification et d’autorisation appropriés. Il encadre strictement l’utilisation des accès privilégiés selon les principes du besoin d’en connaître et du moindre privilège, et impose la traçabilité des actions sensibles.
  • Chapitre 10 – Cryptographie : La cryptographie garantit l’utilisation correcte et efficace des mécanismes cryptographiques afin de protéger la confidentialité, l’intégrité et l’authenticité des informations. Elle couvre également la gestion des clés cryptographiques.
  • Chapitre 11 – Sécurité physique et environnementale : La sécurité physique vise à prévenir l’accès non autorisé, les dommages et les interruptions d’activité liés à la perte, au vol, à la destruction ou à la compromission des actifs physiques, des locaux et des infrastructures critiques.
  • Chapitre 12 – Sécurité liée à l’exploitation : La sécurité de l’exploitation garantit un fonctionnement fiable et sécurisé des moyens de traitement de l’information. Elle inclut la protection contre les logiciels malveillants, la gestion des vulnérabilités, la journalisation des actions, la sauvegarde des données et la prévention de la perte définitive d’informations.
  • Chapitre 13 – Sécurité des communications : Ce chapitre vise à protéger l’information circulant sur les réseaux internes et externes. Il couvre la sécurisation des communications, des accès distants, des usages mobiles et des échanges avec des entités externes.
  • Chapitre 14 – Acquisition, développement et maintenance des systèmes : La sécurité de l’information doit être intégrée à toutes les étapes du cycle de vie des systèmes et des projets : conception, développement, intégration, exploitation, maintenance et fin de vie.
  • Chapitre 15 – Relations avec les fournisseurs : La sécurité liée aux fournisseurs vise à garantir que les actifs accessibles aux tiers sont protégés conformément aux exigences de l’organisation. Elle impose un cadre contractuel, des exigences de sécurité et un suivi des prestations.
  • Chapitre 16 – Gestion des incidents de sécurité de l’information : La gestion des incidents garantit une réponse cohérente et efficace aux événements de sécurité, qu’ils soient d’origine humaine, technique ou environnementale. Un incident de sécurité est toute situation susceptible d’impacter la confidentialité, l’intégrité ou la disponibilité de l’information. L’organisation suit une procédure qui prend en compte la prévention, la détection, la réponse, et le recouvrement.
  • Chapitre 17 – Continuité d’activité : La continuité d’activité vise à garantir que les actifs critiques et les processus essentiels puissent continuer à fonctionner en cas de sinistre majeur, via des plans de continuité, de reprise et des modes de fonctionnement dégradés.
  • Chapitre 18 – Conformité : La conformité vise à éviter toute violation des obligations légales, réglementaires, contractuelles et normatives. Elle garantit que la sécurité de l’information est mise en œuvre, contrôlée et appliquée conformément aux engagements et politiques de l’organisation.