Politique de sécurité
La protection des données de nos clients est une priorité absolue chez WeGroup. Notre objectif est d'offrir un environnement sûr tout en tenant compte des performances des applications et de l'expérience utilisateur globale.
Conformité
WeGroup respecte les exigences du RGPD et d'autres exigences de conformité.
Sécurité de bout en bout
Les services back-end
Les services back-end de WeGroup sont entièrement hébergés sur Microsoft Azure et offrent des fonctionnalités intégrées de sécurité et de confidentialité de bout en bout. L'équipe prend des mesures proactives supplémentaires pour garantir un environnement d'infrastructure sécurisé.
Sécurité de l'infrastructure
Les systèmes sont protégés par une authentification par clé et l'accès est restreint par un contrôle d'accès basé sur les rôles (RBAC). Le RBAC garantit que seuls les utilisateurs qui ont besoin d'accéder à un système peuvent s'y connecter.
Politique de sécurité
WeGroup applique des normes et mesures de sécurité strictes dans toute l'organisation. Chaque membre de l'équipe est formé et tenu informé des derniers protocoles de sécurité.
Sécurité du data center
L'infrastructure de Microsoft Azure est sécurisée par une approche en couches de défense en profondeur. L'accès à l'infrastructure du réseau de gestion est accordé via des points d'authentification multi-facteurs.
Sécurité applicative
Toutes les communications de l'application web WeGroup transitent via HTTPS. WeGroup utilise les algorithmes aes256 et sha256. L'équipe surveille activement la sécurité, les performances et la disponibilité, 24h/24, 7j/7, 365j/an.
Le chiffrement et l'authentification à deux facteurs sont des mesures standards.
1. Objet, portée et organisation
La présente politique définit les contrôles comportementaux, processuels, techniques et de gouvernance relatifs à la sécurité chez WeGroup, qui doivent être appliqués par l'ensemble du personnel afin de garantir la confidentialité, l'intégrité et la disponibilité du service et des données de WeGroup.
L'ensemble du personnel doit prendre connaissance des règles et actions ci-dessous et s'y familiariser. La présente politique fixe les exigences de sécurité pour :
- tous les employés, contractants, consultants de WeGroup et autres tiers fournissant des services à WeGroup ;
- la gestion des systèmes, tant matériels que logiciels, indépendamment de leur emplacement ;
- les circonstances dans lesquelles WeGroup a une obligation légale, contractuelle ou fiduciaire de protéger les données ou les ressources qui lui sont confiées.
1.1. Politique et évolution
La présente politique a été élaborée en étroite collaboration avec et approuvée par les dirigeants de WeGroup. Elle est revue au moins une fois par an et adaptée si nécessaire.
1.2. Équipe sécurité
L'équipe sécurité de WeGroup supervise la mise en œuvre de la présente politique, qui inclut notamment :
- l'achat, la mise à disposition, la maintenance, la mise hors service et la récupération des ressources informatiques de l'entreprise ;
- tous les aspects du développement et de l'exploitation de ce service liés à la sécurité, à la confidentialité, à l'accès, à la fiabilité et à la durabilité ;
- l'évaluation continue des risques, la gestion des vulnérabilités, la réponse aux incidents ;
- les contrôles et la formation du personnel liés à la sécurité.
2. Personnel et environnement de bureau
WeGroup s'engage à protéger ses clients, son personnel, ses partenaires et l'entreprise contre les actes illégaux ou nuisibles, intentionnels ou non, commis par des individus.
2.1. Comportement au travail
La première ligne de défense en matière de sécurité des données est le comportement informé du personnel.
Formation
Tous les employés et contractants doivent suivre le programme de formation à la sécurité de WeGroup, proposé au moins deux fois par an.
Personnes non reconnues et visiteurs
L'ensemble du personnel est responsable de prendre des mesures positives pour maintenir la sécurité physique. Tous les visiteurs des bureaux de WeGroup doivent être enregistrés comme tels ou accompagnés d'un employé de WeGroup.
Poste de travail dégagé
Le personnel doit maintenir les postes de travail libres de matériel sensible ou confidentiel et s'assurer qu'ils en sont dégagés à la fin de chaque journée de travail.
Appareils sans surveillance
Les appareils sans surveillance doivent être verrouillés. Tous les appareils disposent d'un verrouillage automatique de l'écran qui s'active après quinze minutes maximum d'inactivité.
Utilisation des ressources de l'entreprise
Les systèmes doivent être utilisés à des fins professionnelles dans l'intérêt de l'entreprise. Seuls le matériel et les logiciels gérés par WeGroup peuvent être connectés ou installés sur les équipements ou réseaux de l'entreprise.
Supports amovibles, pas de sauvegardes, usage du cloud
L'utilisation de supports amovibles tels que les clés USB est interdite. Le personnel ne doit pas configurer les appareils de l'entreprise pour effectuer des sauvegardes ou des copies de données en dehors de la politique de l'entreprise. Les données de WeGroup doivent être stockées dans un stockage cloud sécurisé approuvé par l'entreprise.
Activités interdites
Les activités suivantes sont interdites :
- Le personnel de WeGroup ne peut en aucun cas, en utilisant les ressources de WeGroup, exercer des activités illégales au regard du droit local, étatique, fédéral ou international ;
- La violation des droits de personnes ou d'entreprises protégés par le droit d'auteur, les secrets d'affaires, les brevets ou tout autre droit de propriété intellectuelle ;
- La violation ou la tentative de contourner les conditions d'utilisation ou le contrat de licence d'un produit logiciel utilisé par WeGroup ;
- La copie non autorisée de matériel protégé par le droit d'auteur ;
- L'exportation de logiciels, d'informations techniques, de logiciels ou de technologies de chiffrement sans consultation préalable de la direction compétente ;
- La divulgation à des tiers du mot de passe de votre compte ;
- L'offre frauduleuse de produits, articles ou services provenant de tout compte de WeGroup ;
- L'octroi explicite ou implicite de garanties, sauf si cela fait partie des obligations normales de la fonction ;
- L'introduction de programmes malveillants sur le réseau ou sur le serveur ;
- Les atteintes à la sécurité ou la perturbation des communications réseau ;
- La réalisation de scans de ports ou de scans de sécurité ;
- La réalisation de toute forme de surveillance réseau interceptant des données non destinées à l'hôte de l'employé ;
- Le contournement de l'authentification utilisateur ou de la sécurité d'un hôte, d'un réseau ou d'un compte ;
- Toute tentative de perturber ou refuser le service à un autre utilisateur ;
- La communication d'informations ou de listes concernant le personnel de WeGroup à des parties extérieures à WeGroup ;
- L'installation de logiciels qui installent toute forme de malware, spyware ou adware ;
- Le crash d'un système d'information ;
- Les tentatives de saper les technologies utilisées pour la configuration système des appareils gérés par l'entreprise.
2.2. Configuration, propriété et confidentialité des systèmes du personnel
Configuration système centralisée
Les équipements du personnel et leur configuration logicielle peuvent être gérés à distance par les membres de l'équipe sécurité via une technologie de gestion de configuration.
Réserve de propriété
Tous les programmes logiciels, données et documentations générés ou fournis par le personnel lors de la prestation de services à WeGroup sont la propriété de WeGroup, sauf accord contractuel contraire.
Vie privée du personnel
Bien que l'administration réseau de WeGroup souhaite garantir un niveau raisonnable de vie privée, les utilisateurs doivent être conscients que les données qu'ils créent sur les systèmes de l'entreprise restent la propriété de WeGroup.
WeGroup se réserve le droit de contrôler à sa discrétion les fichiers ou communications électroniques du personnel, dans la mesure nécessaire pour s'assurer que tous les médias et services électroniques sont utilisés conformément à toutes les lois et réglementations applicables ainsi qu'à la politique de l'entreprise.
2.3. Pratiques RH
Vérifications d'antécédents
Chaque employé peut être soumis à une vérification d'antécédents avant la date de début de son activité.
Formation
L'équipe sécurité organise au moins une fois par an, pour l'ensemble du personnel, un programme transverse de sensibilisation à la sécurité.
Départ
Lorsqu'un membre du personnel est licencié ou démissionne, l'équipe sécurité coordonne avec les RH la mise en œuvre d'une procédure de départ standardisée.
2.4. Environnement physique de bureau
L'accès aux bureaux de WeGroup est régi par un système de contrôle électronique offrant un accès basé sur la reconnaissance d'identité. En conditions normales, toutes les portes sont verrouillées en permanence. Des caméras de sécurité connectées sont installées pour capturer des images horodatées des entrées et sorties, stockées hors site.
2.5. Réseau de bureau
Les appareils accèdent à Internet via Ethernet filaire et Wi-Fi WPA2. Les commutateurs et routeurs réseau doivent être placés dans une armoire réseau verrouillée à laquelle seule l'équipe sécurité a accès. Un pare-feu réseau doit être installé pour bloquer tout le trafic WAN.
3. Gestion des identités et des accès pour le personnel
3.1. Comptes utilisateurs et authentification
Toute personne ayant accès à un système géré par WeGroup le fait via un compte utilisateur G Suite. Ces comptes doivent disposer d'un nom d'utilisateur unique, d'un mot de passe fort d'au moins 8 caractères et d'un mécanisme d'authentification à deux facteurs (2FA).
Connexion au système de WeGroup
Le personnel ne peut se connecter qu'à partir d'appareils gérés par WeGroup. L'authentification est effectuée par le système de gestion de comptes de Google.
Connexion aux systèmes tiers
Lorsque c'est possible, les systèmes tiers doivent être configurés pour déléguer l'authentification au système d'authentification G Suite de WeGroup. Si l'authentification via G Suite n'est pas possible, des mots de passe uniques et forts doivent être créés et stockés dans le gestionnaire de mots de passe approuvé par WeGroup. Les mots de passe doivent être associés à une authentification à deux facteurs / MFA.
Révocation et contrôle des comptes utilisateurs
Les comptes utilisateurs sont révoqués immédiatement après le départ du personnel. De plus, l'ensemble des comptes est contrôlé au moins une fois par trimestre, et tout compte inactif est révoqué.
3.2. Gestion des accès
WeGroup applique le principe du moindre privilège et chaque action entreprise par un compte utilisateur est soumise à un contrôle d'accès.
Contrôle d'accès basé sur les rôles
WeGroup utilise un modèle de contrôle d'accès basé sur les rôles (RBAC) à l'aide des fonctionnalités fournies par Google.
Navigateurs web et extensions
WeGroup peut exiger l'utilisation de certains navigateurs web pour l'usage professionnel courant et pour l'accès aux données de l'entreprise. Tout navigateur accédant aux données de l'entreprise est soumis à une restriction basée sur une liste blanche d'extensions installables.
Accès administratif
L'accès aux opérations d'administration est strictement limité aux membres de l'équipe sécurité et davantage restreint selon la fonction et le principe du moindre privilège.
Revue régulière
La politique de contrôle d'accès est régulièrement revue dans le but de restreindre ou d'affiner les droits d'accès là où c'est possible.
3.3. Départ
En cas de départ volontaire ou forcé du personnel, l'équipe sécurité suit la procédure de départ du personnel de WeGroup. Cette procédure comprend la révocation du compte utilisateur concerné et la récupération du matériel appartenant à l'entreprise.
4. Origine de la technologie
4.1. Développement logiciel
WeGroup stocke son code source dans un service git auto-hébergé. Les équipes sécurité et développement effectuent des revues de code et exécutent un outil d'analyse statique sur chaque commit.
Des revues de sécurité doivent être effectuées pour chaque commit concernant des modules sensibles. Ces modules incluent ceux liés à l'authentification, à l'autorisation, au contrôle d'accès, à l'audit et au chiffrement.
Tous les composants importants des bibliothèques et outils open-source intégrés doivent être évalués sous l'angle de la robustesse, de la stabilité, des performances, de la sécurité et de la maintenabilité.
Les équipes sécurité et développement établissent et appliquent un processus formel de mise en production logicielle.
4.2. Gestion de la configuration et du changement
Les équipes sécurité et développement de WeGroup documentent la configuration de tous les systèmes et services utilisés. Toutes les configurations sont revues au moins une fois par an. Toute modification de configuration doit être approuvée par des personnes désignées et documentée en temps utile.
Les configurations système doivent appliquer les contrôles suivants de manière fondée sur le risque :
- chiffrement de protection des données au repos ;
- protection en transit de la confidentialité, de l'authenticité et de l'intégrité des données entrantes et sortantes ;
- intégrité des données et des fichiers ;
- détection et lutte anti-malware ;
- enregistrement des journaux d'événements ;
- authentification des utilisateurs disposant de droits d'administration ;
- application du contrôle d'accès ;
- suppression ou désactivation des logiciels et configurations inutiles ;
- allocation de ressources matérielles suffisantes.
4.3. Services tiers
Pour chaque service tiers utilisé par WeGroup, l'équipe sécurité évalue annuellement le service et le fournisseur afin de s'assurer que les procédures de sécurité du fournisseur sont conformes à celles de WeGroup.
5. Classification et traitement des données
5.1. Classification des données
WeGroup maintient les classes suivantes et leurs règles de traitement pour les données clients :
Données relatives aux comptes utilisateurs des clients
Il s'agit des données relatives aux comptes de connexion à l'interface web client, utilisés par les représentants clients de WeGroup. Ces données sont chiffrées au repos. Les données de compte utilisateur doivent être hachées de manière à ce que les mots de passe en clair ne puissent pas être récupérés.
Coordonnées des clients
Il s'agit des coordonnées des clients et des représentants de WeGroup.
Données relatives aux préférences clients
Il s'agit des données relatives aux préférences et configurations spécifiques au client du service WeGroup, créées par les représentants client.
Données enregistrées des clients
Il s'agit des données collectées par le service WeGroup lors de l'enregistrement des sessions. Ces données sont chiffrées au repos.
Métadonnées transactionnelles sur les événements clients
Il s'agit de métadonnées sur les transactions effectuées sur toutes les autres classes de données client. Elles comprennent les identifiants d'organisation et d'utilisateur des clients, les données syslog standards relatives aux utilisateurs du client et les instances de coordonnées et de préférences clients.
5.2. Accès des employés de WeGroup aux données clients
Les employés de WeGroup n'ont accès aux données clients que dans les conditions suivantes :
- depuis des appareils gérés ;
- pour la réponse à incident, le support client ou les tests fonctionnels ;
- pas plus longtemps que nécessaire pour atteindre l'objectif de l'accès ;
- de manière auditable.
5.3. Accès pour les clients
WeGroup fournit des interfaces web (UI), des interfaces de programmation applicative (API) et des fonctionnalités d'export pour permettre aux clients d'accéder à leurs données.
5.4. Cas exceptionnels
L'équipe sécurité peut, avec la direction exécutive, approuver des exceptions d'urgence à l'une des règles ci-dessus, en réponse à des incidents de sécurité, des interruptions de service ou des changements significatifs dans l'environnement de travail de WeGroup.
6. Gestion des vulnérabilités et des incidents
6.1. Détection et réponse aux vulnérabilités
Les équipes sécurité et développement de WeGroup prennent toutes les mesures suivantes pour détecter les vulnérabilités :
- recoupement des bases de vulnérabilités avec tous les systèmes et paquets logiciels supportant les services critiques de WeGroup ;
- scanners automatisés de code source sur chaque commit ;
- revues de code pour chaque commit sensible sur le plan sécurité ;
- scan des vulnérabilités sur les services de WeGroup.
L'équipe sécurité de WeGroup évalue la gravité de chaque vulnérabilité identifiée et développe ensuite les stratégies et calendriers de remédiation correspondants.
6.2. Détection et réponse aux incidents
L'équipe sécurité de WeGroup prend toutes les mesures suivantes pour détecter les incidents de sécurité :
- surveillance continue du trafic réseau et des charges de travail sur Microsoft Azure à la recherche d'activités malveillantes ou non autorisées ;
- surveillance continue des journaux pour détecter des activités potentiellement malveillantes ou non autorisées ;
- évaluation des causes de toute interruption de service ;
- réaction aux signalements d'employés, contractants ou parties externes concernant d'éventuels incidents.
L'équipe sécurité de WeGroup détermine si chaque indicateur représente un incident de sécurité réel. La gravité, l'ampleur et la cause racine de chaque incident sont évaluées, et chaque incident est résolu d'une manière et dans un délai proportionnés à sa gravité et à son ampleur.
Si une violation de données concernant un client est détectée, WeGroup assurera la communication avec le client sur la gravité, l'ampleur, la cause racine et la résolution de la violation.
7. Continuité d'activité et plan de reprise
Les services de WeGroup hébergés sur Microsoft Azure sont configurés pour résister à des pannes prolongées dans une zone et une région de disponibilité. L'infrastructure et les données de WeGroup sont répliquées dans plusieurs régions géographiques pour garantir ce niveau de disponibilité. WeGroup vise un Data Recovery Point Objective (RPO) proche de zéro pendant au moins 7 jours et jusqu'à 24 heures au-delà de 7 jours.
La protection des données de nos clients est une priorité absolue chez WeGroup. Contactez-nous si vous avez des questions sur notre politique de sécurité.