Engagement BauWatch en matière de sécurité de l’information

Introduction

Chez BauWatch, la sécurité de l’information est une priorité absolue. En tant qu’acteur clé du secteur de la sécurité (et plus particulièrement de la vidéosurveillance), elle est intégrée à nos processus, nos produits et nos services. Nous prenons toutes les mesures nécessaires pour protéger les données contre les violations, les accès non autorisés et les menaces susceptibles de perturber nos activités ou de compromettre les données de nos clients et partenaires.
Nous considérons la sécurité de l’information comme un facteur différenciant dans notre secteur.

Nous avons adopté une culture « Améliorer chaque jour ». Pour nous, l’amélioration continue ne concerne pas uniquement les collaborateurs — via la formation et le développement — mais aussi nos produits, nos services et nos processus. Pour protéger vos données, nous nous appuyons sur le cadre ISO 27001 et nous nous engageons à optimiser en permanence nos pratiques de sécurité.

Nous disposons de procédures opérationnelles dédiées à la gestion de la sécurité de l’information, d’une équipe spécialisée et d’un mécanisme interne de remontée d’informations pour permettre une prise de décision rapide et efficace en cas d’incident. Notre Système de Management de la Sécurité de l’Information est fondé sur la gestion des risques.

Gouvernance de la sécurité

Nous respectons strictement toutes les lois et réglementations applicables, telles que la directive NIS-2, le Règlement Général sur la Protection des Données (RGPD) et les normes ISO 27001 et EN 50518.
Notre gouvernance repose sur une structure claire, avec un reporting direct vers la direction générale, impliquée dans toutes les décisions liées à la sécurité. Un comité de pilotage sécurité, dirigé par notre CISO, assure la coordination entre nos différentes entités pays. Ce comité supervise les processus de sécurité, examine les incidents et veille à la bonne mise en œuvre du programme de sécurité.

Sécurité dès la conception (Security by Design)

La protection de vos données commence dès la phase de conception.
Nos produits et services sont développés selon le principe de « Sécurité dès la conception ». Nous avons défini un processus de développement sécurisé et une checklist de code sécurisé, applicables à nos développements logiciels, à nos procédés d’ingénierie et à la gestion de projet.
Lorsqu’un composant provient d’un fournisseur, nous nous assurons qu’il respecte nos exigences de sécurité.

Protection de vos données

Nous appliquons les principes de moindre privilège et de besoin d’en connaître afin de limiter les accès aux seules personnes autorisées.
Nous investissons dans des technologies avancées pour nos serveurs, bases de données, sauvegardes et pare-feu.
Pour plus d’informations sur la protection des données personnelles, veuillez consulter notre Déclaration de confidentialité.

Transparence et gestion des incidents

Nous savons qu’aucun système n’est infaillible : des incidents peuvent survenir. Notre engagement est d’être totalement transparents lorsqu’ils se produisent, afin de maintenir la confiance de nos clients.
Nous disposons de plans de reprise après sinistre (PRA) et d’une équipe de réponse aux incidents, entraînée chaque année à la gestion de crises. La gestion des risques est un processus continu chez BauWatch.

Audits et certification

Nos dispositifs et processus de sécurité font l’objet de contrôles internes réguliers et d’audits annuels réalisés par des experts indépendants.
Ces actions nous permettent de maintenir notre certification ISO 27001:2022 et d’inscrire notre démarche dans un cycle d’amélioration continue.

Plus d’informations

Pour toute question ou demande de rapport de conformité, vous pouvez nous contacter à l’adresse : [email protected].

Vous trouverez ci-dessous un aperçu de nos contrôles de sécurité mis en place :

Sécurité des produits

  • Journaux d’audit : suivi des activités (utilisateurs, événements, erreurs) selon notre politique de journalisation.

  • Authentification multi-facteur et SSO : exigées lorsque c’est possible, avec SSO privilégié.

  • Contrôle d’accès basé sur les rôles (RBAC) : application stricte des principes de moindre privilège et de besoin d’en connaître.

  • Tests d’intrusion : réalisés régulièrement, avec correction des vulnérabilités identifiées.

Sécurité de l’information

  • Responsable de la sécurité de l’information : contact direct à [email protected].

  • Chiffrement des données au repos : AES-256.

  • Chiffrement des données en transit : TLS 1.2 ou TLS 1.3.

  • Mots de passe : conformes aux recommandations NIST.

  • Revue et suivi des accès : revue périodique des droits.

  • Sauvegardes : planifiées, surveillées et chiffrées.

  • Inventaire des actifs : matériel, systèmes et logiciels.

  • Classification des données : politique formelle définissant protection, accès et conservation.

Sécurité organisationnelle

  • Vérification des antécédents : adaptée aux lois de chaque pays.

  • Code de conduite sécurité et formation annuelle pour tous les employés.

  • Gestion des actifs : visibilité complète sur les équipements clés.

  • Gestion des changements : procédures pour réduire les risques lors des mises à jour.

  • Gestion des incidents : protocole clair pour signaler et traiter tout événement.

Protection de la vie privée

  • Délégué à la protection des données : [email protected].

  • Contrat de traitement des données (DPA) : établi avec nos clients.

  • Conformité RGPD et respect des obligations de notification.

  • Caméras : paramétrées pour ne filmer que les zones définies par le client, déclenchement uniquement sur événements.        

Centres de télésurveillance

  • Surveillance des alarmes : assurée 24/7 dans nos ARC en propre ou partenaires certifiés EN 50518.

  • Disponibilité garantie : 99,9 % par an.

  • Sécurité physique : accès strictement contrôlé.

Continuité d’activité et reprise après sinistre  

  • Plans BCP et DRP documentés et testés annuellement.

  • Objectifs RTO/RPO garantissant 99,9 % de disponibilité.

Gestion des menaces

  • Gestion des vulnérabilités : analyses annuelles par tiers et corrections.

  • Politique antivirus et antimalware : mise à jour régulière.

  • Tests d’intrusion annuels : réalisés par un prestataire indépendant.

  • Gestion des risques : évaluation annuelle et actions correctives.

Fournisseurs tiers et sous-traitants

  • Gestion des risques tiers (TPRM) : évaluation et suivi rigoureux.

  • Sous-traitants : tenus de respecter nos exigences de sécurité.