Mesures techniques et organisationnelles (TOM)

Introduction

Deskhero AB (« nous », « nous », ou « nos ») s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque lié au traitement des données personnelles de nos Clients (« vous » ou « Client »), Utilisateurs et clients du Client, conformément au Règlement général sur la protection des données (RGPD) de l’UE et aux autres législations applicables en matière de protection des données.

Le présent document décrit les mesures techniques et organisationnelles que nous avons mises en place pour protéger les données personnelles traitées via notre plateforme Software-as-a-Service (SaaS) (« Service »), en s’appuyant sur notre infrastructure AWS.

1. Mesures organisationnelles

1.1 Gouvernance de la protection des données

• Délégué à la protection des données (DPO) :
• Nom : Klas Karlsson
• E-mail : dpo@deskhero.com
• Téléphone : +46 70 601 13 22

Responsabilité :

• Supervision de la stratégie et de la conformité en matière de protection des données.
• Surveillance du respect des politiques et procédures de protection des données.
• Fait office de point de contact pour les personnes concernées et les autorités de contrôle.

1.2 Politiques et procédures

• Politiques de protection des données :
• Mise en place de politiques internes de protection des données, régulièrement révisées et mises à jour.
• Les politiques couvrent la gestion des données, la réponse aux violations, le contrôle d’accès et les responsabilités des employés.

• Formation des employés :
• Programmes de formation obligatoires pour tous les employés sur la protection des données, la confidentialité et la sécurité de l’information.
• Mises à jour régulières sur les menaces émergentes et les meilleures pratiques.

• Accords de confidentialité :
• Les employés et sous-traitants doivent signer des accords de confidentialité et de non-divulgation.

1.3 Gestion des accès

• Politique de contrôle d’accès :
• L’accès aux données personnelles est accordé selon le principe du besoin d’en connaître.
• Examen régulier des droits d’accès des utilisateurs.

• Mécanismes d’authentification :
• Utilisation de mots de passe robustes et de l’authentification multifacteur (MFA) pour l’accès aux systèmes.
• Politiques de verrouillage de compte après plusieurs tentatives de connexion infructueuses.

1.4 Réponse aux incidents

• Plan de réponse aux incidents :
• Procédures de détection, de signalement et de réponse aux incidents de sécurité.
• Équipe dédiée à la réponse aux incidents.

• Procédures de notification :
• Obligation d’avertir les Clients et les autorités des violations de données personnelles sans retard injustifié.

1.5 Gestion des fournisseurs

• Diligence raisonnable :
• Évaluation des sous-traitants quant au respect des normes de protection des données.

• Contrats :
• Veiller à ce que les contrats avec les sous-traitants incluent des obligations en matière de protection des données.

2. Mesures techniques

2.1 Chiffrement des données

• En transit :
• Les données personnelles sont chiffrées lors de leur transmission sur des réseaux publics à l’aide de TLS 1.2 ou supérieur.

• Au repos :
• Les données personnelles stockées dans les bases de données et les sauvegardes sont chiffrées à l’aide des services de chiffrement AWS (p. ex., chiffrement AES-256 pour les volumes EBS, chiffrement RDS).

2.2 Sécurité réseau

• Infrastructure AWS :
• Notre Service est hébergé sur Amazon Web Services (AWS) et utilise leur infrastructure et leurs services sécurisés.

• Pare-feu et Security Groups :
• Les Security Groups AWS sont utilisés pour contrôler le trafic entrant et sortant vers les ressources, agissant comme des pare-feu virtuels au niveau des instances.

• Virtual Private Cloud (VPC) :
• AWS VPC est configuré pour isoler et sécuriser le trafic réseau.
• Des sous-réseaux privés sont utilisés pour les ressources internes, garantissant que les bases de données et les caches ne sont pas exposés à Internet.

• AWS CloudFront et Application Load Balancer (ALB) :
• AWS CloudFront sert de réseau de distribution de contenu (CDN) et de point d’entrée, offrant une distribution sécurisée et efficace.
• AWS ALB distribue le trafic entrant vers les conteneurs Amazon ECS (Elastic Container Service) qui hébergent l’application.

• Détection d’intrusion et surveillance des menaces :
• Bien que des systèmes IDS/IPS dédiés ne soient pas utilisés, les services AWS offrent des capacités de surveillance du trafic réseau.

2.3 Sécurité système

• Gestion sécurisée de la configuration :
• L’infrastructure est gérée via Terraform, permettant des configurations cohérentes et sécurisées sur tous les environnements.

• Segmentation des environnements :
• Des environnements distincts pour le développement (« sandbox »), la préproduction et la production sont maintenus afin de tester le code et les changements d’infrastructure avant le déploiement.

• Gestion des correctifs :
• Des mises à jour et correctifs réguliers sont appliqués aux systèmes d’exploitation et aux applications, en tirant parti des services et de l’automatisation AWS lorsque cela est possible.

2.4 Sécurité des applications

• Pratiques de développement sécurisé :
• Adoption des principes du cycle de vie de développement logiciel sécurisé (SSDLC).
• Des revues de code régulières, des analyses statiques et des tests de sécurité sont effectués.

• Tests d’intrusion :
• Des évaluations de sécurité périodiques et des analyses de vulnérabilités sont réalisées, y compris des tests d’intrusion par des tiers lorsque cela est approprié.

2.5 Contrôle d’accès

• AWS Identity and Access Management (IAM) :
• Le contrôle d’accès basé sur les rôles (RBAC) est appliqué à l’aide des rôles et politiques AWS IAM.
• L’accès aux ressources AWS est accordé selon le principe du moindre privilège.

• Authentification multifacteur (MFA) :
• La MFA est obligatoire pour tout accès administratif aux interfaces de gestion AWS.

• Journalisation et surveillance :
• AWS CloudTrail est utilisé pour journaliser les appels d’API et les actions au sein de l’environnement AWS.
• AWS CloudWatch surveille les journaux et les métriques afin de détecter les anomalies.

2.6 Sauvegarde et récupération des données

• Sauvegardes régulières :
• Des sauvegardes automatisées des bases de données sont effectuées à l’aide des fonctionnalités de sauvegarde automatique AWS RDS.

• Sauvegardes chiffrées :
• Les données de sauvegarde sont chiffrées au repos à l’aide d’AWS Key Management Service (KMS).

• Plan de reprise après sinistre :
• Des procédures documentées de restauration des données et de continuité de service sont en place.

• Tests des processus de reprise :
• Des tests réguliers des procédures de restauration et de reprise après sinistre sont effectués.

2.7 Sécurité physique

• Centres de données AWS :
• Les contrôles de sécurité physique sont gérés par AWS, notamment :
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• Conformité AWS :
• Les centres de données AWS sont conformes à des normes industrielles telles que ISO 27001, SOC 1/2/3, ce qui soutient nos efforts de conformité.

2.8 Sécurité des terminaux

• Politiques de sécurité des appareils :
• Les appareils de l’entreprise sont sécurisés par :
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Accès à distance :
• Des connexions VPN sécurisées sont requises pour l’accès distant aux systèmes internes lorsque cela est applicable.

• Capacités d’effacement à distance :
• Possibilité d’effacer à distance les appareils de l’entreprise en cas de perte ou de vol.

2.9 Journalisation et surveillance

• Journalisation complète :
• Des journaux détaillés des activités système, des accès et des erreurs sont conservés.

• Surveillance de la sécurité :
• Surveillance en temps réel des événements de sécurité à l’aide de services AWS tels que CloudWatch et GuardDuty.

• Alertes :
• Des alertes automatisées sont configurées pour les activités suspectes ou les incidents de sécurité.

2.10 Minimisation et pseudonymisation des données

• Minimisation des données :
• Collecte et traitement uniquement des données personnelles nécessaires aux finalités spécifiées.

• Pseudonymisation et anonymisation :
• Le cas échéant, les données personnelles sont pseudonymisées ou anonymisées afin de réduire le risque pour les personnes concernées.

3. Tests et évaluations réguliers

• Analyse des vulnérabilités :
• Analyse automatisée régulière des systèmes pour détecter les vulnérabilités, à l’aide d’outils compatibles avec les environnements AWS.

• Audits de sécurité :
• Des audits et évaluations de sécurité périodiques sont menés pour évaluer l’efficacité des mesures de sécurité.

• Revues AWS Well-Architected :
• Examens réguliers à l’aide du cadre AWS Well-Architected afin de garantir le respect des meilleures pratiques.

4. Conformité aux normes

• Conformité réglementaire :
• Conformité au RGPD et aux autres lois applicables en matière de protection des données.

• Alignement sur les meilleures pratiques :
• Alignement des pratiques de sécurité sur les meilleures pratiques et lignes directrices du secteur, notamment :

• Bonnes pratiques de sécurité AWS.
• Cadre de cybersécurité du NIST.

5. Protection des données dès la conception et par défaut

• Analyses d’impact sur la vie privée (PIA) :
• Réalisées pour les nouvelles activités de traitement ou les changements significatifs aux processus existants.

• Paramètres sécurisés par défaut :
• Les systèmes et applications sont configurés pour garantir que, par défaut, seules les données personnelles nécessaires sont traitées.

6. Sensibilisation et formation

• Sensibilisation des employés :
• Sessions de formation régulières sur les politiques, procédures et meilleures pratiques de protection des données, y compris une formation spécifique à la sécurité AWS.

• Programmes de sensibilisation à la sécurité :
• Initiatives continues pour promouvoir une culture de la sécurité et de la confidentialité au sein de l’organisation.

7. Sécurité des sous-traitants

• Modèle de responsabilité partagée AWS :
• Compréhension et respect du modèle de responsabilité partagée AWS, selon lequel AWS est responsable de la sécurité « du » cloud et nous sommes responsables de la sécurité « dans » le cloud.

• Gestion des fournisseurs :
• Évaluation régulière des sous-traitants afin de s’assurer qu’ils répondent à nos exigences de sécurité et de conformité.

8. Gestion des incidents

• Détection et signalement :
• Systèmes en place pour détecter rapidement les incidents de sécurité à l’aide des services de surveillance AWS.

• Procédures de réponse :
• Étapes définies pour le confinement, l’éradication, la reprise et la communication.

• Obligations de notification :
• Procédures pour informer les Clients et les autorités des violations de données personnelles sans retard injustifié.

9. Conservation et suppression des données

• Politiques de conservation des données :
• Les données personnelles sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées ou comme l’exige la loi.

• Suppression sécurisée :
• À l’expiration de la période de conservation, les données personnelles sont supprimées ou anonymisées de manière sécurisée.

• Demandes de suppression des données :
• Processus en place pour traiter les demandes de suppression des personnes concernées, conformément au RGPD.

10. Coordonnées

Pour toute question ou préoccupation concernant nos mesures techniques et organisationnelles, veuillez contacter notre Délégué à la protection des données (DPO) :

• Nom : Klas Karlsson
• E-mail : dpo@deskhero.com
• Téléphone : +46 70 601 13 22

Remarque : Ce document peut être mis à jour de temps à autre afin de refléter les changements dans nos pratiques de sécurité. Nous informerons les Clients des changements significatifs comme décrit dans notre Politique de confidentialité et Accord de traitement des données.