¶ºÒõ¹Ý

Mesures techniques et organisationnelles mises en Å“uvre par ¶ºÒõ¹Ý pour garantir la confidentialité et la sécurité des informations

Afin de garantir la sécurité et la confidentialité des données dont elles disposent, ¶ºÒõ¹Ý et ses filiales (ci-après dénommées ensemble, «Ìý¶ºÒõ¹ÝÌý») ont mis en Å“uvre une série de mesures (incluant des politiques, des bonnes pratiques, des procédures et des mécanismes) visant à prévenir toute consultation, divulgation, utilisation, modification, exposition ou destruction non autorisée ou involontaire desdites données. L’application de ces mesures nous permet d’identifier et de réduire ces risques de façon appropriée.

Les contrôles techniques et organisationnels déployés par ¶ºÒõ¹Ý répondent aux normes sectorielles et à ses propres exigences métiers pour garantir les niveaux adéquats de confidentialité et de sécurité. Les mesures décrites ci-dessous représentent le niveau minimal de protection appliqué par ¶ºÒõ¹Ý pour garantir la sécurité des données.

1. Gestion des politiques et des documents – ¶ºÒõ¹Ý teste et contrôle au moins une fois par an sa Politique de sécurité de l'information, ses Plans de continuité d’activité (PCA) et de reprise d’activité (PRA), ainsi que ses processus de réponse aux incidents. ¶ºÒõ¹Ý établit et actualise des accords régissant le partage de données entre les différentes entités du groupe, ainsi que des accords de traitement des données avec ses fournisseurs. Outre les avis de confidentialité publiés par ¶ºÒõ¹Ý relatifs à ses produits et services, ¶ºÒõ¹Ý applique en interne et met à jour chaque année une politique de confidentialité régissant le cadre général des normes et des processus garantissant la confidentialité des données qu’elle détient.
2. Contrôles de sécurité du réseau – Les administrateurs système de ¶ºÒõ¹Ý veillent à ce que les composants des systèmes d’information accessibles au public (serveurs web publics, par exemple) soient hébergés dans des sous-réseaux distincts disposant de leur propre interface réseau physique. Ils veillent également à ce que les interfaces contrôlées sécurisant le périmètre réseau filtrent certains types de paquets pour protéger les appareils du réseau interne de ¶ºÒõ¹Ý. Les pare-feu et autres systèmes de contrôle du périmètre sont configurés pour n’autoriser l’accès qu’aux services nécessaires aux opérations de ¶ºÒõ¹Ý.
3. Contrôles de sécurité des bases de données – Tout accès aux bases de données ¶ºÒõ¹Ý, que ce soit via le système ou directement par ses collaborateurs, est suivi et journalisé pour détecter les modifications non autorisées. Les données contenues dans les bases sont chiffrées à l’aide d’un algorithme recommandé pour les instances sectorielles. L’accès direct à ces données est réservé à certaines fonctions, tel que spécifié dans la Politique de sécurité de l'information et la Déclaration des pratiques de certification ¶ºÒõ¹Ý.
4. Contrôles des accès et authentification – Chaque interaction utilisateur avec les systèmes ¶ºÒõ¹Ý peut être tracée jusqu’à son auteur et les utilisateurs ne peuvent interagir avec les systèmes ¶ºÒõ¹Ý sans s’être au préalable identifiés. Chaque membre du personnel de ¶ºÒõ¹Ý doit s’authentifier sur les systèmes ¶ºÒõ¹Ý avant de pouvoir accéder aux composants dont il a besoin dans le cadre de ses fonctions. Les rôles associés à chaque fonction sont spécifiés dans la Politique de sécurité de l'information et la Déclaration des pratiques de certification ¶ºÒõ¹Ý. Les comptes, et tout autre type d’accès aux systèmes informatiques de ¶ºÒõ¹Ý, doivent être approuvés conformément à la Politique d’accès utilisateur. ¶ºÒõ¹Ý procède régulièrement (au minimum une fois par an) à l’examen des contrôles physiques et logiques définis dans les politiques applicables en la matière et mis en place afin d’authentifier les personnes autorisées.
5. Contrôles du personnel – Après vérification de leurs antécédents, l’ensemble du personnel ¶ºÒõ¹Ý et tous les autres intervenants amenés à accéder aux données et aux systèmes ¶ºÒõ¹Ý doivent signer un accord de confidentialité et suivre les formations spécifiques à leurs rôles. ¶ºÒõ¹Ý garantit la mise en Å“uvre de politiques et de procédures régissant la gestion des rôles de confiance, l’identification et l’authentification de chaque rôle, l’application de sanctions en cas d’action non-autorisée, la séparation des tâches, l’authentification des membres du personnel par badge et la suppression immédiate des droits d’accès des salariés/intervenants dont le contrat a été résilié.
6. Contrôles de sécurité physique – Les accès aux bureaux, salles informatiques et espaces de travail abritant des données sensibles sont physiquement restreints. Les portes d’accès au bâtiment sont toujours verrouillées et celles des bureaux de ¶ºÒõ¹Ý sont toutes équipées d’une serrure. Ces portes ne peuvent être franchies qu’à l’aide d’une carte ou de tout autre dispositif de contrôle d’accès délivrés uniquement après vérification des antécédents de chaque personne. Les data centers, les cages d’escalier et les bureaux de ¶ºÒõ¹Ý sont tous sous vidéosurveillance. L’accès aux étages par les cages d’escalier est protégé par deux gardiens et un système d’autorisation biométrique. Tous les accès sont enregistrés.
7. Gestion et correction des vulnérabilités – Des analyses mensuelles sont effectuées sur tous les actifs de ¶ºÒõ¹Ý à l'aide d'outils de détection des vulnérabilités. Les systèmes nécessitant une remédiation doivent être corrigés dans les délais définis par Global Security Operations. Les délais sont basés sur le score CVSS (Common Vulnerability Scoring System) attribué. Les vulnérabilités critiques et élevées sont corrigées dans les 72 heures ou font l'objet d'un plan d'action, les vulnérabilités moyennes sont corrigées ou font l'objet d'un plan d'action dans les 30 jours, et les vulnérabilités faibles/informatives sont corrigées à la discrétion de ¶ºÒõ¹Ý.
8. Évaluation complète des risques – Une évaluation complète des risques est effectuée chaque année par ¶ºÒõ¹Ý pour mettre en lumière les éventuelles menaces internes et externes qui planent sur la sécurité, la confidentialité et l'intégrité des données.
9. Tests d’intrusion et évaluations externes – Un test d’intrusion est effectué par un prestataire externe au moins une fois chaque année. ¶ºÒõ¹Ý réalise chaque année plusieurs tests d’intrusion sur le code, l'infrastructure et les systèmes, en plus de ses évaluations Red Team.
10. Formation et sensibilisation – Les membres du personnel ¶ºÒõ¹Ý et autres intervenants concernés assistent chaque année à des formations relatives à la confidentialité, à la sécurité et à la conformité. Les salariés et autres individus amenés à traiter des données sensibles ou à caractère personnel doivent suivre des formations supplémentaires. Toutes les personnes ayant accès aux systèmes ou aux données de ¶ºÒõ¹Ý sont soumis à des politiques et des procédures régissant les opérations de traitement, en particulier aux stipulations de la Politique de sécurité de l’information, du Code de conduite et de la Politique d’utilisation acceptable de ¶ºÒõ¹Ý.
11. Contrôles des accès par des tiers – Les contrats conclus entre ¶ºÒõ¹Ý et des tiers accédant à ses systèmes et données contiennent des clauses définissant les exigences appropriées en matière de sécurité et de confidentialité. Les tiers en question doivent également se soumettre à une évaluation de leur impact sur la sécurité et la confidentialité. Les risques qu’ils présentent sont minimisés avant tout accès.
12. Protection des données lors du stockage et de la transmission – Toutes les données stockées dans les systèmes ¶ºÒõ¹Ý sont chiffrées à l’aide d’un algorithme recommandé pour le secteur. De la même manière, l’ensemble des données échangées entre les systèmes ¶ºÒõ¹Ý internationaux sont chiffrées en transit à l’aide d’un algorithme recommandé par les instances sectorielles.
13. Stockage, conservation et suppression – Les informations stockées sur des supports physiques ou électroniques sont protégées par des contrôles techniques correspondant à leur niveau de classification. Ces informations sont supprimées conformément aux indications contenues dans nos PC/DPC et nos avis de confidentialité applicables.