Charte « sites sensibles & clients premium »

Est qualifié de « site sensible » tout établissement dont la compromission des systèmes de sécurité ou la divulgation de leur configuration serait susceptible de porter atteinte à la sécurité des personnes, à la continuité d'une activité critique ou à des intérêts nationaux. Cette catégorie inclut notamment : les ministères et administrations centrales, les établissements judiciaires (tribunaux, maisons d'arrêt), les établissements bancaires et financiers, les sites industriels classés SEVESO, les opérateurs d'importance vitale (OIV) au sens de la loi de programmation militaire, et les data centers hébergeant des infrastructures critiques.

La qualification de site sensible peut également résulter d'une demande explicite du client, d'une obligation contractuelle (marché public avec clause de sécurité) ou d'une évaluation interne de Mileo Technology au regard des informations accessibles lors de l'intervention (accès à des zones classifiées, connaissance de dispositifs anti-intrusion actifs).

Pour tout site sensible, une fiche de site spécifique est établie avant la première intervention et mise à jour à chaque évolution significative. Cette fiche documente les procédures d'accueil, les zones autorisées, les interlocuteurs habilités et les restrictions particulières (interdiction de certains outils, obligation de dépôt des téléphones, accompagnement permanent).

Les interventions sur sites sensibles font l'objet d'une planification renforcée : validation préalable du plan d'intervention par le responsable technique Mileo Technology et par le référent sécurité du client, confirmation écrite des créneaux d'accès, liste nominative des intervenants transmise 48 heures à l'avance.

Aucune intervention sur site sensible ne peut être sous-traitée sans accord explicite et écrit du client. En cas de sous-traitance autorisée, les prestataires sont soumis aux mêmes exigences d'habilitation et de confidentialité que les collaborateurs directs de Mileo Technology.

Les collaborateurs intervenant sur des sites sensibles font l'objet d'un processus de qualification interne renforcé : vérification des antécédents professionnels, signature de l'engagement de confidentialité renforcé, formation aux procédures spécifiques sites sensibles. Un registre des intervenants habilités par catégorie de site est tenu à jour par la direction des opérations.

Pour les sites relevant du secret de la défense nationale ou exigeant une habilitation administrative, Mileo Technology accompagne ses collaborateurs dans la démarche d'habilitation auprès des autorités compétentes (SGDSN). Seuls les collaborateurs habilités au niveau requis peuvent intervenir sur ces sites.

Le principe de limitation du nombre d'intervenants est appliqué de façon stricte sur les sites sensibles. L'équipe projet est restreinte au strict nécessaire opérationnel. Les intervenants sont identifiés nominativement dès la phase contractuelle et toute modification de l'équipe fait l'objet d'une validation préalable du client.

En phase d'exploitation et de maintenance, un référent technique dédié est désigné pour chaque site sensible. Ce référent assure la continuité de la relation et limite le nombre de personnes ayant connaissance de la configuration du site. En cas d'indisponibilité du référent principal, un remplaçant désigné à l'avance et présenté au client prend le relais.

Tout intervenant sur un site sensible signe, avant la première mission, un accord de non-divulgation (NDA) spécifique au site, en plus des engagements généraux de confidentialité. Ce NDA précise les informations couvertes, la durée de l'obligation (minimum cinq ans après la fin de la mission), les sanctions contractuelles applicables et la juridiction compétente.

Mileo Technology s'engage à faire respecter ces NDA auprès de ses collaborateurs et sous-traitants. En cas de violation avérée, des mesures conservatoires peuvent être demandées en urgence et une procédure judiciaire engagée sans préavis. Le client premium est informé de toute violation suspectée dans les vingt-quatre heures suivant sa détection.