Les services de télécommunications deviennent de plus en plus complexes et dépendent ainsi d’infrastructures techniques très développées. Les défauts des logiciels et du matériel, les erreurs humaines, les virus et les attaques de hackers peuvent nuire à la qualité du service ou, dans le pire des cas, entraîner des pannes du système. La certification ISO 27001 relative au Système de management de la sécurité de l’information (SMSI) ainsi que le Business Continuity Management (BCM) de Sunrise garantissent que les services de l’entreprise respectent les normes les plus élevées et répondent ainsi aux besoins de ses clients.
La certification ISO 27001 a été confirmée par un organisme de contrôle externe et garantit les normes de qualité les plus élevées au sein de l’entreprise. Ces normes concernent les processus liés au personnel et les processus opérationnels sur tous les sites, le traitement des données et des messages des clients, ainsi que l’infrastructure technique et les services de traitement, de stockage et de transmission des données et des messages des clients. La certification concerne aussi bien les données des clients privés que des clients commerciaux.
Un Système de management de la sécurité de l’information (SMSI) activement entretenu est l’une des conditions requises pour que la sécurité des informations soit gérée de manière efficace et efficiente. Notre SMSI définit des règles et des méthodes afin de garantir la sécurité des informations. Le SMSI est axé sur les processus et suit une approche descendante partant de la direction générale de l’entreprise, c’est-à-dire du Comité d’audit en tant que comité du Conseil d’administration, en passant par la direction et le Steering Board (comité directeur) du SMSI dirigé par l’ Information Security Officer (responsable de la sécurité de l’information), jusqu’aux collaborateurs. En particulier, sa maturité est mesurée au moyen d’une évaluation des risques régulièrement mise à jour. Le statut du SMSI est présenté au Comité d’audit du Conseil d’administration sur une base trimestrielle. L’audit interne procède régulièrement à des contrôles dans certains secteurs afin de vérifier leur conformité aux exigences. Le Steering Board du SMSI, où tous les secteurs sont représentés, se rencontre régulièrement et plusieurs fois par an.
Sunrise a élaboré des ligne directrices en matière de sécurité, appelées «Policies», «Procedures» et «Guidelines», pour mettre en œuvre les mesures adéquates. Nos directives sur la sécurité de l’information tiennent également compte des exigences de la protection des données. La sécurité de l’information et la protection des données se chevauchent très largement. Cependant, lorsque les exigences en matière de protection des données ne sont pas couvertes par les directives sur la sécurité de l’information, des directives explicites sur la protection des données régissent ses aspects spécifiques, sur la base de principes tels que la transparence, la finalité, la minimisation des données, l’exactitude, l’intégrité, la confidentialité et la responsabilité lors du traitement des données. Sunrise fournit des informations transparentes sur le traitement des données personnelles reçues (déclaration de protection des données). Le respect de la sécurité des informations et de la protection des données, en particulier le traitement des données sensibles, y compris les données personnelles au sens de la protection des données, est une question dynamique. C’est pourquoi nous misons sur une amélioration continue à l’aide d’un processus en quatre phases (roue de Deming: Plan, Do, Check, Act).
Afin que tous nos collaborateurs soient tenus informés, Sunrise organise chaque année une formation en ligne obligatoire de sensibilisation qui couvre à la fois les sujets de la sécurité de l’information et la protection des données. D’autres campagnes de sensibilisation sont menées régulièrement en fonction des besoins et du niveau de responsabilité. Les collaborateurs sont également encouragés à signaler activement les incidents de sécurité et de protection des données observés. Les moyens appropriés sont mis à disposition. S’ils souhaitent le faire de manière anonyme, cela est également possible via le portail Sunrise Whistleblowing. Sunrise a également mis en place ledit «processus d’incident» dans le cadre des directives sur le SMSI. Les violations de données au sens de la protection des données y sont traitées en conséquence. Dans le cycle de vie des données de l’entreprise, les principaux sujets sont l’accès aux données (notamment l’identification et l’authentification), la durée de vie des données (notamment le pseudonymat, la protection des données, la destruction des données), la transmission des données (notamment la transmission sécurisée, le cryptage) et le droit d’accès (notamment les droits à l’information et à la correction des données). Ces sujets sont des composantes des directives Sunrise existantes, permettant de garantir que les données sensibles puissent être suivies jusqu’à leur suppression.
Compte tenu des défis croissants que pose la cybersécurité, Sunrise a centralisé ses dispositifs de sécurité dans un Security Operation Center (SOC) afin de protéger les données de l’entreprise et de ses clients de manière encore plus efficace, efficiente et avec la priorité stratégique requise.
Dans le monde connecté d’aujourd’hui, la cybersécurité est toujours un sujet à considérer avec beaucoup d’attention. Les cyber-risques ne peuvent jamais être complètement éliminés. Une violation des règles de sécurité et de protection des données ne peut pas non plus être exclue. Ceci peut entraîner des dommages et une atteinte à la réputation, c’est pourquoi Sunrise a également souscrit une assurance cyber-risques adaptée.