Sécurité des données
Introduction
But
La sécurité des données est importante pour nous. Ces informations sur la sécurité des données sont destinées à répondre au plus grand nombre possible de questions sur la sécurité, la fiabilité et la disponibilité des applications et des systèmes de traitement des données de DDI. Ce document décrit le flux de données pour les solutions basées sur la technologie DDI et aborde les mesures de sécurité que nous avons prises pour protéger chaque partie du processus.
Pour recevoir des alertes lorsque des modifications sont apportées à cette page, abonnez-vous à notre Centre de gestion de la confidentialité.
DDI : Qui nous sommes, ce que nous faisons
Fondée en 1970, Development Dimensions International (DDI), une société mondiale de conseil en ressources humaines, aide les organisations à combler l’écart entre les capacités de talents d’aujourd’hui et les besoins futurs en matière de talents. L’expertise de DDI comprend la conception et la mise en œuvre de systèmes de sélection, ainsi que l’identification et le développement des talents de première ligne et de leadership exécutif. Pour plus d’informations sur DDI, rendez-vous sur http://www.ddiworld.com.
L’approche de DDI en matière de sécurité des données
L’environnement de gestion des talents d’aujourd’hui nécessite le traitement de dossiers électroniques. La fonctionnalité de l’application dépend du stockage et du transfert d’informations sur les réseaux DDI et Internet. Une sécurité appropriée est essentielle et est entièrement intégrée aux fonctionnalités et aux processus de l’application. DDI maintient un cadre de sécurité cohérent avec des normes de confidentialité appropriées au sein desquelles les applications système et les populations d’utilisateurs exploitent les informations dans divers contextes commerciaux. DDI utilise une approche à plusieurs niveaux de la sécurité de l’information en ce qui concerne la protection des données des utilisateurs (y compris les informations sur les candidats, les participants, les apprenants, les administrateurs et les clients) et la prévention de l’accès, de l’altération ou de la destruction non autorisés. Nos politiques et processus sont conçus pour :
- Établir l’approche de DDI en matière de sécurité de l’information
- Définir des mécanismes pour protéger les données et prévenir leur utilisation abusive
- Sensibiliser les collaborateurs de DDI à l’importance d’une gestion sécurisée des données et à la reconnaissance des menaces potentielles pour la sécurité
- Fournir un canal de communication pour les demandes externes concernant cette politique et les systèmes associés
DDI s’engage à exploiter ses activités d’une manière qui favorise la confiance, ce qui inclut l’utilisation et la gestion appropriées des données personnelles qui nous sont fournies par nos collègues, nos clients et nos fournisseurs.
Gouvernance de la sécurité
Pour garantir l’intégrité des données, DDI dispose de ressources, de politiques et de processus dédiés à la protection des données, notamment d’un bureau de la sécurité et de la conformité des données et d’un délégué à la protection des données, qui surveillent régulièrement les normes mondiales.
Le délégué à la protection des données (DPD) de DDI définit et applique la vision et la stratégie du programme de sécurité et de conformité de l’entreprise, dans le but d’assurer la cohérence mondiale, de s’assurer que les risques sont gérés de manière appropriée et que les objectifs sont atteints.
La sécurité en partenariat
La sécurité et la confidentialité des données de nos clients sont une responsabilité partagée entre DDI et nos clients. DDI fournit une plate-forme sécurisée sur laquelle les clients peuvent accéder à leurs données et les exploiter. En outre, DDI fournit des outils, des services, une assistance et des ressources qui permettent à nos clients d’assurer la sécurité de leurs données tout au long du cycle de vie de la mission. Consultez la déclaration de confidentialité de DDI.
Les clients sont conjointement responsables de la sécurité de leurs données pendant et après leur engagement avec DDI. Les clients doivent comprendre quelles données sont collectées et conservées dans les systèmes DDI et définir la politique de partage de données appropriée pour s’assurer que les données ne sont partagées qu’avec ceux qui sont autorisés à y accéder. La politique de partage des données doit s’aligner sur les exigences en matière de risque et de conformité qui sont en corrélation avec l’importance et la classification de ces données.
Rôle de DDI en tant que sous-traitant
Les clients de DDI opèrent en tant que « responsable du traitement des données » conformément aux clauses types de confidentialité de l’Union européenne (UE). DDI fonctionne en tant que « sous-traitant » conformément aux clauses types de l’UE et au règlement général sur la protection des données (RGPD). Consultez la déclaration de confidentialité de DDI.
Règlement sur la protection des données
DDI, dont le siège social est situé aux États-Unis, sert des clients dans le monde entier et a mis en place des mécanismes pour s’assurer que les transferts de données de l’UE vers les États-Unis offrent les protections juridiques requises par les réglementations de l’UE en matière de protection des données, y compris l’auto-certification avec le cadre de confidentialité des données (DPF) UE-États-Unis, les clauses contractuelles types de l’UE et le consentement de l’utilisateur final. La certification de DDI dans le cadre du DPF peut être consultée à https://www.dataprivacyframework.gov/. DDI se conforme à toutes les réglementations applicables en matière de sécurité et de confidentialité des données. Pour plus d’informations, veuillez consulter la déclaration de confidentialité de DDI sur DDIWorld.com. Si vous avez des questions sur l’applicabilité de la réglementation, communiquez avec DataProtectionOfficer@ddiworld.com.
Fournisseurs tiers
DDI fait appel à des fournisseurs tiers pour la fourniture de nos Services, comme décrit dans nos accords. Tous les fournisseurs tiers sont tenus de se conformer aux normes de DDI en matière de traitement, de protection et de sécurité des données.
Pour obtenir la liste de nos sous-traitants actuels, veuillez consulter https://www.ddiworld.com/thirdpartyproviders
Classification des données
DDI classe les données personnelles que nous collectons et traitons en quatre catégories, chacune nécessitant des actions spécifiques pour assurer la sécurité. Les données recueillies sont examinées périodiquement et classées en fonction de leur utilisation, de leur sensibilité et de leur importance.
Mesures techniques et organisationnelles
Bon nombre de nos principales mesures techniques et organisationnelles (TOM) en matière de sécurité et d’intégrité des données sont énumérées ci-dessous. Des détails supplémentaires pour ces contrôles et d’autres sont décrits en détail plus loin dans ce document.
CONTRÔLE | Utilisations de DDI |
Nuage |
|
Formation de sensibilisation à la confidentialité et à la sécurité des données |
|
Applications d’entreprise internes |
|
Sécurité du réseau |
|
Redondances d’infrastructure |
|
Surveillance et détection d’intrusion |
|
Contrôles d’accès à l’infrastructure |
|
Audit indépendant |
|
Assurance qualité et tests |
|
Authentification et autorisation |
|
Disponibilité, stabilité et performances de la plate-forme (ASP) |
|
Évaluation de la vulnérabilité |
|
Contrôles de l’infrastructure
Environnement d’hébergement
Les services DDI sont hébergés sur Microsoft Azure (https://azure.microsoft.com). Les centres de données Microsoft hébergent en toute sécurité les ressources physiques et l’infrastructure utilisées pour fournir des solutions cloud. Microsoft possède, exploite et entretient tous ses centres de données physiques. Tous les services sont hébergés dans des centres de données Azure redondants basés aux États-Unis.
Les services cloud Microsoft Azure fonctionnent avec une infrastructure de contrôle cloud, qui aligne les contrôles sur plusieurs normes réglementaires. Microsoft conçoit et crée des services cloud à l’aide d’un ensemble commun de contrôles, ce qui rationalise la conformité à une série de réglementations non seulement pour aujourd’hui, mais aussi pour demain. Microsoft engage des auditeurs indépendants pour effectuer des audits approfondis de la mise en œuvre et de l’efficacité de ces contrôles.
Microsoft Azure est certifié ISO/IEC 27001 et ISO/IEC 27017. Les rapports d’audit, y compris SOC 1 et SOC 2, sont disponibles à l’adresse https://servicetrust.microsoft.com
Les processus, outils et technologies de supervision du cloud de DDI pour assurer la supervision, le contrôle, l’administration et la maintenance organisés de l’infrastructure, des services et des ressources du cloud computing. Ces processus, outils et technologies sont la propriété du directeur des services technologiques mondiaux et de la sécurité de l’information, en partenariat avec le directeur du DevOps. Les outils de supervision couvrent à la fois les installations d’infrastructure et les installations basées sur les produits. La supervision permet aux administrateurs DDI de promouvoir le contrôle, la visibilité et l’évolutivité tout en s’adaptant rapidement aux changements dans l’environnement du cloud. Voici quelques exemples d’opérations critiques : - l’installation, la modification et la suppression de périphériques virtualisés tels que les serveurs, les réseaux et le stockage ; - les procédures de résiliation pour l’utilisation du service cloud ; - Sauvegarde et restauration.
DDI maintient un plan de reprise après sinistre détaillé pour rétablir le service de l’entreprise en cas de défaillance du système à grande échelle. Ce plan est mis à jour au fur et à mesure que des modifications sont apportées à l’infrastructure système ou à la configuration de la batterie de serveurs Web de production et est testé sur une base annuelle.
Certifications/normes applicables
SSAE-18 (en anglais seulement)
DDI ne stocke les données que dans des centres de données qui ont fait l’objet d’audits annuels SAS 70 Type II favorables et impartiaux. Notez que le SAS 70 a été remplacé par le Statement on Standards for Attestation Engagements (SSAE) n° 18 et que nos centres de données sont certifiés selon cette norme.
ISO 27001 / ISO 27701
DDI n’utilise que des centres de données qui ont démontré leur adhésion par des évaluations périodiques et une certification annuelle.
DDI maintient sa propre certification ISO27001 et fait l’objet d’un audit annuel. DDI maintient également sa propre certification ISO27701, auditée chaque année.
SOC 1/ SOC 2
DDI a réalisé un audit SOC 2 de type 1® en date du 30 septembre 2023 couvrant la plate-forme Pinpoint.
DDI héberge tous les services dans des centres de données qui ont été audités pour SOC1 et SOC2.
Renforcement des serveurs
Les serveurs de DDI fournissent une grande variété de services aux utilisateurs internes et externes, et certains serveurs stockent ou traitent des informations qui peuvent être considérées comme sensibles ou confidentielles par nature. Étant donné que les serveurs peuvent être la cible d’attaques, il est essentiel que les serveurs DDI soient sécurisés de manière appropriée. Le processus d’amélioration de la sécurité des serveurs de DDI comprend les mesures suivantes :
- La désactivation ou la suppression de services, d’applications et de protocoles réseau inutiles.
- La désactivation des comptes d’utilisateurs inutiles et le renommage des comptes par défaut.
- Exigences en matière de mots de passe configurées pour se conformer à la politique de DDI en matière de mots de passe (voir l’annexe I).
- Activation de la journalisation du serveur et des pistes d’audit.
- Installation d’un logiciel anti-virus / anti-malware avec les fichiers de définition actuels.
- Configuré avec les correctifs de sécurité actuels.
Pour des raisons de sécurité, nous ne pouvons pas fournir tous les détails des contrôles de sécurité de nos serveurs.
Gestion des correctifs
Les correctifs à fort impact sont définis comme des correctifs qui protègent contre un risque de sécurité susceptible d’avoir un impact significatif sur notre réseau au plus tard à la date du correctif. L’équipe informatique de DDI distribue immédiatement ces correctifs sur tous les appareils après les avoir testés sur nos plateformes de test. La distribution aura lieu au plus tard 24 heures après l’identification.
Les correctifs à impact moyen ou faible sont définis comme des correctifs qui protégeront contre un risque de sécurité futur. DDI distribue ces correctifs sur tous les appareils après avoir testé le correctif sur nos plates-formes de test et l’avoir testé auprès d’un groupe témoin d’utilisateurs. La distribution aura lieu au plus tard 2 semaines après la fin des tests.
Procédures de sauvegarde, de conservation et d’archivage
Les données sont sauvegardées de manière incrémentielle tous les soirs pour s’assurer que toutes les applications et les données des clients sont préservées et disponibles pour être restaurées en cas de perte de données ou d’événement catastrophique. Les sauvegardes à chaud sont effectuées directement vers le stockage cloud de niveau d’accès rapide et transférées vers le stockage cloud de niveau d’archivage. Les sauvegardes quotidiennes sont stockées dans un stockage à chaud pendant deux semaines avec un cryptage AES-256. Les sauvegardes complètes hebdomadaires sont stockées dans un stockage d’archives pendant un mois. Les sauvegardes complètes mensuelles sont stockées pendant un an dans le niveau d’archivage. Les sauvegardes complètes annuelles sont stockées au niveau d’archivage pendant cinq ans. Tout le stockage au niveau de l’archivage est un chiffrement AES-256.
Toutes les données de sauvegarde sont stockées dans un cloud Zero Trust fourni par le cloud Commvault. La rotation des sauvegardes dans le stockage de niveau archive est gérée automatiquement par le logiciel Commvault.
Si une restauration du système est nécessaire, les ingénieurs système de DDI récupèrent le fichier, les données ou l’état du système à partir d’un système de sauvegarde en ligne. Dans ce cas, la récupération du système ou de la base de données peut être effectuée en quelques minutes, voire en plusieurs heures. Les ingénieurs système DDI récupèrent immédiatement le fichier, les données ou l’état du système.
Planifications de sauvegarde et conservation des données
· Sauvegardes du serveur de base de données : 1 jour de sauvegardes de journaux toutes les 15 minutes (dans le stockage cloud de niveau chaud) Sauvegardes incrémentielles stockées pendant 3 jours (dans le stockage cloud de niveau chaud)
· Serveurs de fichiers et machines virtuelles de production : conservés pendant 14 jours dans un stockage cloud de niveau chaud
· Office 365/Sharepoint Online : éléments supprimés conservés pendant 5 ans dans le stockage cloud
· Copie hebdomadaire : conservée pendant 1 mois dans le stockage en nuage des archives
· Copie mensuelle : Conservée pendant 1 an dans le stockage en nuage des archives
· Copie annuelle : Conservée pendant 5 ans dans un stockage en nuage d’archives
Récupération, recyclage et élimination des actifs
Procédure de recyclage et d’élimination du matériel
- Lorsque le matériel a atteint la fin de son cycle de vie, il est stocké dans une salle d’actifs verrouillée et conservé pour être éliminé.
- L’équipement mis hors service est recyclé par l’intermédiaire d’un fournisseur de recyclage certifié R2
- DDI reçoit un rapport détaillé de destruction des actifs qui ont été recyclés pour la tenue de registres.
Procédure de mise au rebut du disque dur
- Tous les disques durs, les bandes, les lecteurs optiques, etc... sont retirés du matériel et conservés pour une destruction en vrac sécurisée à une date ultérieure.
- Pour la destruction sécurisée des données, DDI a fait appel aux services de fournisseurs de recyclage qui utilisent des outils d’effacement en 7 passes de bas niveau, approuvés par le ministère de la Défense (DoD 5220.22-M(ECE)).
- Ce processus est conforme aux normes HIPPA, FACTA, GLB et aux documents gouvernementaux non classifiés
- Les disques durs non fonctionnels seront démagnétisés.
- Toutes les données sont purgées comme indiqué dans la publication spéciale 800-88 du NIST
- DDI reçoit et conserve un certificat de destruction pour la tenue des dossiers.
Sécurité du réseau
Renseignements sur les menaces
DDI a mis en place une équipe de sécurité composée d’associés interfonctionnels spécialisés dans la sécurité des infrastructures et des applications afin d’améliorer continuellement sa posture de sécurité. En collaboration avec le Bureau de la confidentialité, de la sécurité et de la conformité (PSCO) de DDI, l’équipe de sécurité recueille, analyse, diffuse et répond aux informations sur les menaces émergentes et potentielles pour la sécurité de l’organisation et de ses données.
L’équipe de sécurité de DDI recherche et prend en compte de manière proactive les informations sur les menaces provenant de diverses sources internes et externes et à travers les couches suivantes :
- Stratégique : informations de haut niveau sur l’évolution du paysage des menaces.
- Tactique : informations sur les méthodologies, les outils et les technologies des attaquants.
- Opérationnel : détails sur les attaques spécifiques, y compris les indicateurs techniques.
L’équipe de sécurité se réunit chaque semaine pour examiner et trier les alertes provenant de systèmes de surveillance tiers concernant les menaces potentielles et émergentes et communiquer ces informations aux niveaux appropriés de l’organisation, en fonction de la portée, de l’urgence et de l’impact. Les résultats du processus de triage sont utilisés pour déterminer les éléments d’action à traiter, saisis dans le système DevOps. Le chef de l’équipe de sécurité informe l’équipe de direction de DDI de toute menace imminente ou active ayant un impact direct ou potentiel sur l’entreprise et lui donne un aperçu de toute menace thématique ou importante, immédiatement le cas échéant, ou régulièrement sur une base trimestrielle.
Infrastructure réseau
Les services de DDI sont hébergés dans une instance cloud à l’aide de services qui fournissent des capacités d’accélération fiables et évolutives à notre application. Toutes les demandes entrantes sont équilibrées en charge et inspectées par un module sécurisé avec possibilité de mise en cache. Toute l’infrastructure est placée en toute sécurité dans des conteneurs protégés par des pare-feu entrants et sortants. Tout le trafic est inspecté et enregistré. Des méthodes d’authentification forte sont appliquées pour protéger tous les actifs.
Pare-feu
Les pare-feu de la couche applicative sont déployés avec tous les actifs/infrastructures à des fins de protection. Tous les pare-feu inspectent le trafic entrant et sortant lors de l’enregistrement de toutes les sessions. Tous les pare-feu fournissent le décryptage SSL, l’IDPS et l’intelligence Theat.
Détection et surveillance des intrusions
DDI utilise un ensemble complet d’outils qui fournissent une surveillance continue en temps réel de chaque composant pour permettre
Fonctions. DDI emploie une société de sécurité de services gérés pour la surveillance de la sécurité, la gestion des pare-feu et les systèmes de détection des intrusions (systèmes conçus pour détecter les menaces potentielles en temps réel) et les processus de réponse.
DDI utilise à la fois des systèmes de détection basés sur l’hôte et sur le réseau qui sont surveillés et traités sur une base 24x7. DDI IT est immédiatement averti de la détection de toute anomalie via un téléphone portable. Des rapports hebdomadaires sont fournis à DDI pour examen. Des tests d’intrusion sont effectués tous les trimestres.
Protection contre les logiciels malveillants et antivirus
DDI utilise plusieurs produits de surveillance pour surveiller le réseau, les serveurs, les bases de données et les sites Web. Tous les journaux d’événements des applications et du système sont également surveillés. L’environnement de surveillance est configuré pour envoyer automatiquement des alertes au personnel approprié qui est de garde 24x7. Des voies d’escalade spécifiques vers les ingénieurs système DDI et les administrateurs de bases de données appropriés existent pour aider à résoudre le problème le plus rapidement possible.
En outre, les systèmes de surveillance du réseau DDI effectuent périodiquement des analyses complètes de chaque nœud actif du réseau pour s’assurer que ces nœuds sont correctement configurés et exécutent la ou les versions les plus récentes de l’antivirus et d’autres codes ayant un impact sur la sécurité (par exemple, les correctifs, les Service Packs, etc.).
Tous les systèmes appropriés (PC, serveurs, passerelles, systèmes, etc.) sont protégés par un logiciel antivirus Microsoft Defender et un logiciel de « protection contre les attaques zero-day » qui est géré et mis à jour de manière centralisée.
Toutes les passerelles sont protégées par un logiciel antivirus géré et mis à jour de manière centralisée, et l’infrastructure de messagerie et de navigation utilise des techniques d’analyse de contenu et d’analyse heuristique pour garantir l’absence de virus dans les données.
Transmission et cryptage sécurisés des données
DDI utilise SSL/TLS 1.2 pour un accès sécurisé aux données d’application HTTPS. La technologie SSL est fournie en standard pour toutes les applications DDI. Tous les mots de passe et les clés API sont stockés en toute sécurité dans des coffres de clés chiffrés.
Tous les fichiers (quelle que soit leur confidentialité) restent cryptés lorsqu’ils sont copiés d’un ordinateur portable DDI vers un périphérique de stockage externe. Si le périphérique externe n’est pas chiffré, le logiciel de chiffrement d’entreprise de DDI le chiffrera automatiquement et le protégera par mot de passe.
Le courrier électronique n’est pas considéré comme une forme de communication sécurisée, mais DDI offre la possibilité de chiffrer des messages individuels lorsqu’il en fait explicitement la demande.
Sécurité des applications
Flux de données
Lors de l’utilisation d’applications DDI, les données circulent généralement entre trois parties importantes : les utilisateurs finaux, les associés/candidats clients et DDI.
Lorsqu’un utilisateur final accède à une application DDI, les informations qu’il fournit sont envoyées via des méthodes de chiffrement sécurisé (TLS). Les données Web sont fournies à l’utilisateur final sous forme de questions de test/évaluation, d’enquêtes, de graphiques et d’autres contenus inclus dans l’application DDI. Les données sont traitées par les serveurs d’applications et soumises aux serveurs de base de données pour être stockées. Les serveurs Web/d’applications et de bases de données sont situés sur des réseaux logiques et physiques distincts protégés par des pare-feu.
DDI utilise SSL/TLS 1.2 pour un accès sécurisé aux données d’application HTTPS. Le chiffrement TLS est fourni en standard pour toutes les applications DDI. Toutes les données de sauvegarde sont stockées dans un cloud Zero Trust utilisant le cryptage AES-256 à tous les niveaux. Le chiffrement est utilisé pour les mots de passe stockés dans les bases de données de l’application. Toutes les données (quelle que soit leur confidentialité) restent cryptées lors de la transmission et au repos.
Sécurité basée sur les rôles
Les applications utilisent un modèle de sécurité basé sur les rôles pour déterminer les droits d’accès. Les données client sont séparées logiquement en fonction du site, du document, de l’utilisateur et d’autres critères. Les modifications apportées au système sont contrôlées par le processus de gestion des modifications (détaillé dans les sections suivantes) qui traite de l’assurance qualité, des tests, de la documentation, de la planification des modifications et d’autres « meilleures pratiques » opérationnelles informatiques.
Administration et accès au compte
L’administration des composants de l’infrastructure et la gestion des comptes sont strictement contrôlées par DDI. Les comptes d’utilisateurs sont automatiquement verrouillés/désactivés en cas d’échec excessif de la connexion correcte. Les comptes de serveur et de service doivent avoir des mots de passe forts contenant des mots de passe alphabétiques, numériques,
et les caractères spéciaux. DDI utilise une solution VPN à distance globale qui inclut l’authentification et le cryptage à un niveau standard de l’industrie.
L’accès à toutes les données (quelle que soit leur classification) est fourni à l’aide d’un modèle de sécurité « Least Rights Necessary », c’est-à-dire accordé à ceux qui ont un besoin commercial légitime tel que DDI et les utilisateurs finaux clients autorisés, y compris les participants, les administrateurs ainsi que diverses équipes de DDI et de support client. Les utilisateurs finaux se voient accorder des autorisations d’accès à moindre privilège pour effectuer leur travail de manière efficace et efficiente. Toute l’administration et la gestion des comptes sont strictement contrôlées par DDI. Les comptes d’utilisateurs doivent disposer de mots de passe forts et d’économiseurs d’écran protégés par mot de passe. L’accès au compte sera automatiquement désactivé en cas d’échecs de connexion excessifs ou de cessation d’emploi.
Accès direct à la base de données
Seuls des membres très triés sur le volet de l’équipe d’ingénierie de DDI ont accès à une base de données. Cet accès est utilisé pour créer des sauvegardes hors site et effectuer des restaurations de données. Tout cela se fait sans affichage des données. Voir l’annexe II pour de plus amples renseignements.
Dans le cadre du processus de gestion des identités privilégiées (PIM) de DDI, DDI utilise les outils Azure AD Entitlement Management et Azure Identity Governance pour l’administration et la surveillance des comptes privilégiés et leur accès aux informations sensibles. À l’appui de ce processus, toutes les demandes d’accès à la base de données doivent être formellement justifiées et approuvées. En cas d’approbation, l’accès n’est accordé que pour une durée limitée.
Accès aux applications
Les applications utilisent un modèle de sécurité basé sur les rôles pour déterminer les droits d’accès. Les données client sont séparées logiquement en fonction du site, du document, de l’utilisateur et d’autres critères. Les modifications apportées au système sont contrôlées par le biais d’un processus de gestion des modifications fondé sur les meilleures pratiques.
Accès aux données de l’application
Les participants sont des clients ou des associés de DDI qui saisissent des informations personnelles dans un système d’application DDI dans le cadre d’une activité de diagnostic ou d’apprentissage en ligne (telle qu’une évaluation, un test, une enquête ou un parcours d’apprentissage). Les administrateurs d’utilisateurs finaux sont des utilisateurs finaux du système qui gèrent les comptes et les processus de flux de travail au sein d’un système d’application DDI. Les administrateurs peuvent être des associés à la clientèle ou des associés de DDI qui saisissent des informations personnelles au nom de clients ou de demandeurs et peuvent les faire progresser à travers différentes phases du processus. Il peut s’agir, par exemple, de gestionnaires d’embauche, de professionnels du développement du personnel et d’autres rôles liés aux ressources humaines.
Lorsqu’un utilisateur demande une assistance technique à l’équipe d’assistance produit de DDI, il peut accorder à un représentant de l’assistance un accès temporaire au compte. L’équipe d’assistance peut avoir besoin d’afficher les données d’un utilisateur individuel dans le cadre de la résolution de l’incident d’assistance. L’accès au compte est limité à l’étendue de la demande et aux processus de dépannage/résolution de problèmes nécessaires pour fournir à l’utilisateur final une assistance appropriée.
Tests d’intrusion d’applications
DDI emploie une société de sécurité de services gérés pour tester les « vulnérabilités dynamiques » telles que les problèmes de failles logiques, les exploits non publiés et d’autres risques spécifiques à l’environnement applicatif, qui teste également les vulnérabilités connues et publiées ou « statiques ».
Effectuées tous les trimestres, les évaluations de pénétration des applications (APA) comprennent une analyse des applications suivie de tests manuels intensifs pour identifier les vulnérabilités des applications. Les rapports sont entièrement personnalisés et comprennent à la fois des résultats positifs et négatifs.
Examen des résultats
· Rapport détaillé reçu d’un fournisseur de sécurité tiers.
· Les conclusions ont été examinées par le délégué à la protection des données, le directeur de l’infrastructure et de la cybersécurité et le directeur du développement des produits.
Constatations Analyse des risques
· Pour les notes critiques et élevées, un ticket de problème est créé dans le système de gestion des services et attribué pour une action immédiate.
· Pour les notes moyennes et faibles, les entrées sont ajoutées au backlog de l’application et classées par ordre de priorité par rapport à d’autres travaux de développement.
· Toutes les conclusions et les détails de la hiérarchisation sont partagés et approuvés lors de la réunion d’analyse des risques du Bureau de la sécurité des données de DDI. Si la gravité d’une constatation est jugée modifiée, cette décision est documentée et partagée avec les partenaires de développement de l’application.
Classification des vulnérabilités
Les vulnérabilités sont classées à l’aide de l’échelle CVSS conformément à la spécification CVSS v3.0 (https://www.first.org/cvss/specification-document) et peuvent être calculées par vulnérabilité à l’aide du calculateur CVSS (https://www.first.org/cvss/calculator/3.0).
La correction des vulnérabilités doit être effectuée dès que possible une fois identifiée à l’aide du tableau suivant :
Sévérité | Description | Niveau de service |
Critique | Les vulnérabilités critiques ont un score CVSS de 9,0 ou plus. Ils peuvent être facilement compromis par des logiciels malveillants ou des exploits accessibles au public | 2 jours |
Élevé | Les vulnérabilités de gravité élevée ont un score CVSS de 7,0 à 8,9. Il n’y a pas de logiciel malveillant ou d’exploit public connu disponible | 30 jours |
Douleur moyenne | Les vulnérabilités de gravité moyenne ont un score CVSS compris entre 4,0 et 6,9 et peuvent être atténuées dans un délai prolongé | 90 jours |
Bas | Les vulnérabilités de faible gravité sont définies avec un score CVSS compris entre 0,1 et 3,9. Toutes les vulnérabilités faibles ne peuvent pas être facilement atténuées en raison des applications et du fonctionnement normal du système d’exploitation. Ceux-ci doivent être documentés et correctement exclus s’ils ne peuvent pas être corrigés | 180 jours |
Aucun | Les vulnérabilités de l’information ont un score CVSS de 0,0. Ceux-ci sont considérés comme des risques potentiels, mais il s’agit généralement d’informations de référence pour l’état et la configuration d’un actif | Non requis |
Politiques d’associé DDI
DDI utilise des processus et des contrôles rigoureux sur l’accès et les autorisations pour tous les composants de l’infrastructure, les réseaux, les pare-feu, les serveurs, les bases de données, etc. Ceci est strictement contrôlé au sein du Global Technology Group qui a l’autorité finale sur tous les accès administratifs des utilisateurs, la surveillance et les notifications du système, ainsi que les mises à jour du système d’exploitation, de la sécurité et des applications. Des simulations d’escroquerie sont également menées régulièrement pour aider les associés de DDI à être plus conscients et à répondre de manière appropriée à ces attaques.
Verrouillage de l’écran
Tous les ordinateurs sont configurés pour disposer d’un économiseur d’écran activé par mot de passe. La politique de DDI en matière de verrouillage de l’écran est de 15 minutes. Après 15 minutes d’inactivité, l’économiseur d’écran sera appelé. L’utilisateur doit ensuite saisir à nouveau son mot de passe pour accéder à l’ordinateur.
Passe
Les mots de passe sont un aspect important de la sécurité informatique. Un mot de passe mal choisi peut entraîner un accès non autorisé et/ou une exploitation des ressources de DDI. Pour consulter l’intégralité de la politique de DDI en matière de mots de passe, veuillez consulter l’annexe I.
Révocation de l’accès
Dès que l’accès administratif aux systèmes et aux plates-formes d’application DDI n’est plus nécessaire pour les responsabilités professionnelles, il est révoqué. Cela comprend la cessation d’emploi ainsi que les changements de rôles ou de responsabilités au sein de l’entreprise.
Ce processus est effectué dans les 24 heures suivant un changement de rôle, ou immédiatement en cas de cessation d’emploi involontaire. De plus, nous vérifions régulièrement quels associés disposent de ces autorisations et apportons les modifications nécessaires.
Formation de sensibilisation à la confidentialité et à la sécurité des données
Tous les collaborateurs de DDI reçoivent régulièrement des formations et des conseils sur les meilleures pratiques en matière de confidentialité, de sécurité et de confidentialité des données. L’achèvement de la formation fait l’objet d’un suivi afin de promouvoir le plus haut niveau de conformité. Des simulations d’escroquerie sont également menées régulièrement pour aider les associés de DDI à être plus conscients et à répondre de manière appropriée à ces attaques.
Filtrage Web
DDI gère l’accès aux sites Web externes afin de réduire l’exposition aux contenus malveillants, notamment en restreignant l’accès aux sites malveillants connus ou soupçonnés d’être nuisibles et en interdisant l’utilisation de ressources Web non autorisées. Les associés suivent une formation obligatoire pour les aider à identifier et à éviter de tels sites. Les exceptions à ces restrictions sont examinées au cas par cas et doivent être approuvées par l’équipe de sécurité de DDI. Les associés peuvent poser des questions ou des préoccupations en matière de sécurité au Bureau de la confidentialité, de la sécurité et de la conformité (PSCO) de DDI ou signaler des incidents de sécurité potentiels par le biais de notre processus formel de signalement et de réponse aux incidents, si le besoin s’en fait sentir.
Cookies
Les cookies sont des fichiers de données qui sont envoyés à l’ordinateur d’un utilisateur lors de la visite d’un site Web et sont stockés dans un fichier dans le navigateur Web de l’utilisateur. DDI utilise des cookies et des technologies similaires (collectivement, les « cookies ») pour faciliter la navigation et la capacité des utilisateurs à fournir des commentaires, analyser l’intérêt des utilisateurs pour nos produits et solutions, aider à la personnalisation du contenu et à nos efforts de promotion et de marketing, et fournir du contenu provenant de tiers.
Les cookies d’autorisation sont des cookies de session qui expirent après la fermeture du navigateur ou la fin de la session de l’utilisateur. Certains cookies analytiques et de fonctionnalité système peuvent durer jusqu’à 24 heures à compter de leur création. La plupart de nos cookies sont cryptés, à quelques exceptions près comme la « langue ». Nous ne stockons aucune donnée personnelle dans les cookies. Les utilisateurs ne peuvent pas refuser les cookies strictement nécessaires au fonctionnement du système.
Voir l’annexe II pour plus de détails sur la politique de DDI en matière de cookies
Processus de développement de produits et gestion du code
Cycle de mise en production du développement
DDI utilise un modèle de développement agile. Agile est une approche itérative du développement logiciel et offre une capacité très agile qui permet à DDI de répondre rapidement aux besoins de nos clients. Nous avons planifié un nouveau cycle de publication de code, généralement un cycle hebdomadaire.
Cela signifie qu’environ chaque semaine, DDI publie de nouvelles fonctionnalités et mises à niveau. Cela nous donne également des fenêtres fréquentes pour publier des correctifs pour les fonctionnalités qui ne fonctionnent pas comme souhaité. En dehors de ce cycle, nous pouvons procéder à des libérations « d’urgence » en fonction de l’urgence.
Environnements de développement
DDI utilise des instances d’application distinctes pour tester le code mis à jour et dispose d’instances distinctes pour le code candidat précoce et le logiciel candidat à la version. Cela permet d’éviter que les données ne soient contrôlées ou consultées par du code en cours de développement. Tout le code de développement s’exécute sur des « bases de données factices ».
Revue de code
Les programmeurs travaillent individuellement ou en équipe pour développer de nouveaux codes. À l’approche de la fin de chaque cycle, le code est examiné par des pairs et testé dans un environnement d’assurance qualité distinct de l’environnement de production. Cette période de test nous permet d’éliminer la plupart des bogues avant même qu’ils ne soient introduits en production. Le code fait également l’objet d’une inspection programmatique à la recherche de vulnérabilités connues.
Gestion du code
Git est utilisé pour gérer le processus de développement logiciel et sert de référentiel de code source. L’outil et les processus associés garantissent qu’aucune modification n’est écrasée en raison de plusieurs développeurs apportant des modifications au même module. Les processus de contrôle des modifications existent à de nombreux niveaux différents dans le développement d’applications, l’assurance qualité et la mise en œuvre, notamment :
- Documentation et propriété de la demande de modification qui comprend l’examen, l’approbation et la documentation de toutes les modifications par le propriétaire de l’application
- Un processus d’approbation contrôlé pour la promotion du code, des environnements de développement aux environnements de production
- Les tests logiciels et l’assurance qualité sont un processus en plusieurs phases (test unitaire suivi d’un test système, suivi d’un test d’acceptation par l’utilisateur). Le développement et les tests unitaires sont effectués sur des systèmes de développement distincts par les développeurs de logiciels, avant d’être publiés pour des tests d’acceptation du système et de l’utilisateur sur les systèmes d’assurance qualité distincts
Services mondiaux en ressources humaines (politiques en matière de ressources humaines)
Informations confidentielles
Lors de l’embauche, tous les associés de DDI sont tenus de signer un accord de confidentialité qui traite spécifiquement des préoccupations et des risques liés au traitement d’informations confidentielles. Tout associé qui a enfreint cette politique est passible d’un licenciement immédiat ou de toute action en justice applicable. De plus, chaque année, les employés signent un code de conduite et d’éthique.
Politique et procédure de vérification des antécédents
DDI estime que l’embauche de personnes qualifiées pour pourvoir des postes contribue au succès stratégique global de l’entreprise. La vérification des antécédents constitue une partie importante du processus de sélection chez DDI. Ce type d’information est recueilli dans le but de promouvoir les jumelages de candidats retenus pour le poste, ainsi que d’offrir un environnement de travail sûr et sécuritaire aux employés actuels et futurs. Les vérifications des antécédents aident DDI à obtenir des informations supplémentaires sur les candidats qui aident à déterminer l’employabilité globale du candidat, assurant ainsi la protection des personnes, des biens et des informations actuels de l’organisation.
La politique complète de vérification des antécédents de DDI peut être consultée sur demande. Pour demander la police, veuillez consulter https://trust.ddiworld.com/.
Vérification des informations d’identification
Les vérifications préalables à l’embauche de DDI sont conçues pour s’assurer que tous les associés ont la confirmation qu’ils possèdent les diplômes et les certifications qu’ils prétendent et/ou sont tenus d’avoir. Tous les associés potentiels ont leurs antécédents professionnels déclarés et leurs références d’intégrité vérifiées.
Vérification du numéro de sécurité sociale
Tous les associés basés aux États-Unis sont des travailleurs américains légaux vérifiés, et les numéros de sécurité sociale ou les autorisations de travail sont vérifiés.
Réponse aux incidents de sécurité
DDI applique un plan complet de détection et de réponse aux incidents de sécurité, y compris la détection des intrusions, les analyses et d’autres méthodes jugées efficaces et appropriées. Bien que les incidents informatiques soient les plus courants, les incidents non informatiques peuvent également être signalés par le biais de la ligne d’assistance téléphonique en cas d’incident ou en contactant le DPD ou le conseiller juridique de DDI.
L’objectif de la politique de réponse et de notification des incidents de sécurité est de fournir des conseils généraux au personnel technique et de gestion de DDI afin de permettre une récupération rapide et efficace après des incidents de sécurité physiques ou logiques, y compris le signalement, la réponse et la gestion de l’accès non autorisé et/ou de la perte d’informations confidentielles. DDI signalera tout incident de sécurité aux clients concernés ou potentiellement touchés dans les 48 heures suivant la découverte d’une violation de la sécurité.
En cas d’atteinte à la sécurité ou de suspicion d’atteinte à la sécurité, les mesures suivantes doivent être prises.
- Notification immédiate du personnel DDI suivant :
- Délégué à la protection des données
- Directeur juridique de DDI
- Bureau de la protection et de la sécurité des données
- Identification et documentation appropriées de l’incident (doivent inclure) :
- Description de l’incident concerné
- Date et heure de l’événement et de la détection
- La personne qui l’a signalé et à qui il a été signalé
- Description des données personnelles susceptibles d’avoir été compromises
- Activités de confinement des incidents.
- Activités ou processus d’éradication des incidents.
- Récupération et examen des incidents.
Annexe I - Politique de DDI en matière de mots de passe
Aperçu
Les mots de passe sont un aspect important de la sécurité informatique. Un mot de passe mal choisi peut entraîner un accès non autorisé et/ou une exploitation des ressources de DDI. Tous les utilisateurs, y compris les sous-traitants et les fournisseurs ayant accès aux systèmes DDI, sont responsables de prendre les mesures appropriées, comme indiqué ci-dessous, pour sélectionner et sécuriser leurs mots de passe.
But
L’objectif de cette politique est d’établir une norme pour la création de mots de passe forts, la protection de ces mots de passe, la fréquence des changements de mot de passe et une politique de verrouillage pour les tentatives non valides.
Portée
Le champ d’application de cette politique inclut tous les membres du personnel qui ont ou sont responsables d’un compte (ou de toute forme d’accès qui prend en charge ou nécessite un mot de passe) sur tout système qui réside dans une installation DDI, qui a accès au réseau DDI ou qui stocke des informations DDI non publiques.
Politique
- Tous les mots de passe au niveau du système/serveur (par exemple, root, administrateur Windows, comptes d’administration d’applications, etc.) et les mots de passe au niveau de l’utilisateur (par exemple, e-mail, Web, ordinateur de bureau, etc.) sont gérés conformément aux directives actuelles du NIST (SP 800-63B) pour le cycle de vie des mots de passe.
- Tous les mots de passe au niveau du système/du serveur et de l’utilisateur doivent être conformes aux instructions décrites ci-dessous.
- L’authentification multifacteur de Microsoft est requise pour tous les appareils mobiles.
Lignes directrices / Normes
Les mots de passe au niveau du système/serveur et de l’utilisateur ont les exigences suivantes :
- Contenir au moins huit (8) caractères alphanumériques.
- Contenir au moins trois des quatre classes de caractères suivantes :
- Caractères minuscules
- Caractères majuscules
- Nombres
- Caractères/symboles spéciaux
- Les mots de passe ne peuvent pas contenir le nom d’utilisateur ou des parties du nom complet de l’utilisateur, comme le prénom
Les types de mots de passe suivants doivent être évités :
- Noms de la famille, des animaux domestiques, des amis, etc.
- Anniversaires et autres informations personnelles telles que les adresses et les numéros de téléphone.
- Modèles de mots ou de nombres comme aaabbb, qwerty, 12345678, 123321, etc.
- N’importe lequel des éléments ci-dessus précédé ou suivi d’un chiffre (par exemple, secret1, 1secret)
Normes de protection par mot de passe
- Utilisez toujours des mots de passe différents pour les comptes DDI des autres accès non DDI (par exemple, compte personnel du FAI, adresse e-mail non professionnelle, avantages, etc.).
- Dans la mesure du possible, utilisez toujours des mots de passe différents pour les différents besoins d’accès DDI. Par exemple, sélectionnez un mot de passe pour les systèmes qui utilisent des services d’annuaire (Active Directory) pour l’authentification et un autre pour l’accès authentifié localement.
- Ne partagez pas les mots de passe DDI avec qui que ce soit, y compris les assistants administratifs ou les secrétaires. Tous les mots de passe doivent être traités comme des informations sensibles et confidentielles de DDI.
- Les mots de passe ne doivent jamais être écrits ou stockés en ligne sans cryptage.
- Ne révélez pas de mot de passe dans un e-mail, un chat ou toute autre communication électronique.
- Si quelqu’un vous demande un mot de passe, référez-le à ce document et dirigez-le vers le service de la sécurité de l’information.
- Refusez toujours l’utilisation de la fonction « Mémoriser le mot de passe » des applications.
Si vous soupçonnez une compromission de compte ou de mot de passe, signalez l’incident à DataProtectionOfficer@ddiworld.com
Historique des mots de passe, âge et normes de verrouillage
- Historique des mots de passe
- Le mot de passe ne doit pas être égal aux 15 derniers mots de passe utilisés
- Le seuil de verrouillage de compte est égal à 6 tentatives non valides pour les comptes au niveau du système/serveur et au niveau de l’utilisateur
- Le compteur de verrouillage se réinitialise après 30 minutes
Annexe II - Politique de DDI en matière de cookies
DDI utilise les types de cookies suivants sur son site web :
- Cookies de chat du service client en ligne : DDI utilise un service de chat client tiers qui peut collecter et stocker des informations sur les utilisateurs pour le compte de DDI. Le fournisseur utilise des cookies pour relier les informations de profil (soumises par les individus à DDI) aux opérateurs de session de chat.
- Cookies des moteurs de recherche : DDI utilise un fournisseur de services aux entreprises tiers qui établit un lien entre les visites sur le site de DDI et les clics de ses publicités sponsorisées au paiement par clic placées sur des sites de moteurs de recherche externes. Lorsqu’un utilisateur clique sur l’une des publicités pay-per-click de DDI, un cookie est placé sur l’ordinateur de l’utilisateur. Ensuite, si l’utilisateur accède à l’une des pages de conversion désignées par DDI, le cookie est connecté à la page Web de DDI.
- Stockage local - Cookies HTML 5/Flash : DDI s’associe à des tiers pour fournir certaines fonctionnalités sur son site Web ou pour afficher des publicités en fonction de l’activité de navigation des utilisateurs sur le Web. Les tiers utilisent HTML 5 pour collecter et stocker des informations.
- Publicité : DDI utilise un réseau publicitaire tiers pour afficher des publicités sur son site Web et pour gérer sa publicité sur d’autres sites. Le partenaire tiers de DDI peut utiliser des cookies pour recueillir des informations sur les activités des utilisateurs sur le site de DDI et d’autres sites afin de fournir des publicités personnalisées en fonction des activités de navigation et des intérêts des utilisateurs. DDI utilise les tiers suivants pour les cookies :
- Marketo : utilisé pour le suivi de la publicité des campagnes.
- Terminus : utilisé pour le suivi du marketing basé sur les comptes et le ciblage de l’audience.
- Google Ads : utilisé pour le suivi publicitaire du reciblage.
- LinkedIn : Utilisé pour le suivi de la publicité personnelle.
- DemandBase : utilisé pour le suivi du marketing basé sur les comptes et le ciblage de l’audience.
- CrazyEgg : Utilisé pour le suivi et l’optimisation des performances des sites Web.
- Facebook : utilisé pour la publicité sur les réseaux sociaux.
- Twitter : utilisé pour la publicité sur les réseaux sociaux.
Pour refuser que ces informations soient utilisées pour vous proposer des publicités basées sur vos centres d’intérêt, cliquez ici (ou si vous êtes situé dans l’Union européenne, cliquez ici).
Politique de DDI en matière de cookies - Produits
La politique de DDI en matière de cookies s’applique à tous les produits DDI (les « produits »). Les cookies sont des fichiers de données qui sont envoyés à l’ordinateur d’un utilisateur lors de la visite du site Web du produit et sont stockés dans un fichier dans le navigateur Web de l’utilisateur. DDI utilise des cookies et des technologies similaires (collectivement, les « cookies ») pour faciliter la navigation et la capacité des utilisateurs à fournir des commentaires, analyser l’intérêt des utilisateurs pour nos produits et solutions, aider à la personnalisation du contenu et à nos efforts de promotion et de marketing, et fournir du contenu provenant de tiers.
Les cookies d’autorisation sont des cookies de session qui expirent après la fermeture du navigateur ou la fin de la session de l’utilisateur. Certains cookies analytiques et de fonctionnalité système peuvent durer jusqu’à 24 heures à compter de leur création. La plupart de nos cookies sont cryptés, à quelques exceptions près comme la « langue ». Nous ne stockons aucune donnée personnelle dans les cookies.
Les produits ne collectent que les cookies essentiels. Les utilisateurs ne peuvent pas refuser les cookies lors de l’utilisation des produits.
Autres ressources :
En savoir plus sur la conformité de DDI à la réglementation sur les données
Lire notre politique de confidentialité
Règlement RGPD
Envoyer une demande de données
Rendez-vous sur cette page pour sélectionner le type d’e-mails marketing que vous souhaitez recevoir de notre part ou pour vous désabonner.