Cette politique décrit l'approche de Cenareo en matière de gestion des risques liés à la sécurité des données et à la cybersécurité, de protection de nos actifs et de garantie de la confidentialité, de l'intégrité et de la disponibilité des données des clients tout au long de leur cycle de vie.
Évaluation des risques
Cenareo procède à des évaluations périodiques des risques afin d'identifier les menaces potentielles, les vulnérabilités et leur impact sur la sécurité des données et la cybersécurité.
Ces évaluations prennent en compte divers facteurs, notamment :
- La classification des données
- Les postures de sécurité des systèmes et des applications
- Les vulnérabilités de l'infrastructure du réseauLes menaces internes et externes (par exemple, les cyberattaques, l'erreur humaine)
Les résultats des évaluations des risques informent notre stratégie de sécurité, l'allocation des ressources et la mise en œuvre de contrôles appropriés
Classification des données
Cenareo classe les données en fonction de leur sensibilité et de leur impact potentiel en cas de violation, ce qui permet de hiérarchiser les mesures de sécurité et d'allouer les ressources de manière efficace, ainsi que de garantir la sécurité :
- Amélioration de la sécurité : en identifiant les actifs les plus critiques et en priorisant les contrôles de sécurité pour leur protection.
- Conformité : en s'alignant sur les réglementations relatives à la confidentialité des données qui imposent souvent des mesures de protection spécifiques pour certains types de données (par exemple, GDPR).
- Allocation efficace des ressources : en comprenant la sensibilité des données, les organisations peuvent allouer les ressources de sécurité plus efficacement et éviter de surprotéger les données à faible risque.
- Réponse aux incidents : en simplifiant la réponse aux incidents, en fournissant une compréhension claire de l'impact potentiel d'une violation de données.
La classification des données est un processus continu, Cenareo examine et met à jour régulièrement les schémas de classification pour refléter les changements dans les entreprises, les réglementations et le paysage des menaces.
Les données de Cenareo sont classées selon les définitions suivantes :
Données hautement confidentielles
Cette catégorie comprend les données qui sont essentielles aux opérations de Cenareo, à sa santé financière ou à sa réputation. Une violation pourrait entraîner de graves pertes financières, des répercussions juridiques ou une atteinte à la confiance du public. Exemples :
- Informations financières des clients (numéros de carte de crédit, numéros de sécurité sociale)
- Secrets commerciaux exclusifs ou propriété intellectuelle
- Informations personnelles identifiables (IPI) soumises à des réglementations strictes
- Communications de la direction et plans stratégiques
Données confidentielles
Cette catégorie englobe les données sensibles qui, si elles sont compromises, peuvent causer un préjudice financier modéré, une atteinte à la réputation ou des perturbations opérationnelles. Exemples :
- Noms des clients, informations de contact et historique des achats
- Données internes sur les employés (informations salariales, évaluations des performances)
- Documents commerciaux confidentiels (contrats, propositions)
- Données relatives aux campagnes de marketing
Données internes
Cette catégorie comprend les informations sensibles qui sont importantes pour les opérations internes mais qui n'ont pas nécessairement le même niveau de criticité que les données confidentielles. Exemples :
- Matériel de formation des employés
- Communications internes et mémos
- Dossiers du service clientèle non public
- Informations sur l'infrastructure informatique
Données publiques
Cette catégorie concerne les informations accessibles au public ou destinées à être diffusées au public. Exemples :
- Contenu du site web de l'entreprise
- Communiqués de presse et documents marketing
- Rapports financiers publics
- Manuels et brochures sur les produits
Gestion des actifs
Cenareo tient un inventaire complet de tous les actifs qui stockent, traitent ou transmettent des données sur les clients. Cela comprend
- Matériel (serveurs, postes de travail, appareils mobiles)
- Applications logicielles
- Appareils de réseau
- Systèmes de stockage de données
L'accès à ces actifs est strictement contrôlé sur la base du principe du moindre privilège.
Chaîne d'approvisionnement et sous-traitance
Cenareo reconnaît l'importance de la cybersécurité dans sa chaîne d'approvisionnement et a mis en place une stratégie de gestion des risques approuvée par les parties prenantes concernées :
- Vendeurs de systèmes d'information
- Partenaires tiers fournissant des composants ou des services
- Sous-traitants auxquels sont confiées les données du client
Ces évaluations portent sur les pratiques de sécurité et les risques potentiels associés à ces entités.
Gestion par des tiers
Cenareo procède à des évaluations de routine des fournisseurs critiques et des partenaires tiers :
- Audits de sécurité
- Résultats des tests de pénétration
- Autres formes d'évaluation des risques de sécurité
Cenareo exige des tiers qu'ils remédient aux vulnérabilités et aux risques de sécurité identifiés dans un délai défini.
Garanties contractuelles
Cenareo ne partage des données avec des fournisseurs tiers que lorsque cela est absolument nécessaire à des fins opérationnelles. Ce partage de données est régi par des clauses strictes de sécurité de l'information dans les contrats. Ces clauses portent sur les points suivants :
- Obligations de confidentialité concernant les données du client
- Exigences en matière d'intégrité et de disponibilité des données
- Contrôles de sécurité et procédures de signalement des incidents.
Environnements hors production
Cenareo minimise strictement le stockage des données des clients dans des environnements non productifs. Il est donc préférable d'éviter, dans la mesure du possible, de stocker les données des clients dans des environnements de développement, de test et de test d'acceptation par l'utilisateur (UAT). Si nécessaire, les données des clients doivent être stockées dans des environnements de non-production et les mêmes mesures de sécurité ou des mesures équivalentes utilisées dans les environnements de production doivent être appliquées.