ÃÛÌÒTV

Mesures techniques et organisationnelles mises en Å“uvre par ÃÛÌÒTV pour garantir la confidentialité et la sécurité des informations

Afin de garantir la sécurité et la confidentialité des données dont elles disposent, ÃÛÌÒTV et ses filiales (ci-après dénommées ensemble, «ÌýÃÛÌÒTVÌý») ont mis en Å“uvre une série de mesures (incluant des politiques, des bonnes pratiques, des procédures et des mécanismes) visant à prévenir toute consultation, divulgation, utilisation, modification, exposition ou destruction non autorisée ou involontaire desdites données. L’application de ces mesures nous permet d’identifier et de réduire ces risques de façon appropriée.

Les contrôles techniques et organisationnels déployés par ÃÛÌÒTV répondent aux normes sectorielles et à ses propres exigences métiers pour garantir les niveaux adéquats de confidentialité et de sécurité. Les mesures décrites ci-dessous représentent le niveau minimal de protection appliqué par ÃÛÌÒTV pour garantir la sécurité des données.

1. Gestion des politiques et des documents – ÃÛÌÒTV teste et contrôle au moins une fois par an sa Politique de sécurité de l'information, ses Plans de continuité d’activité (PCA) et de reprise d’activité (PRA), ainsi que ses processus de réponse aux incidents. ÃÛÌÒTV établit et actualise des accords régissant le partage de données entre les différentes entités du groupe, ainsi que des accords de traitement des données avec ses fournisseurs. Outre les avis de confidentialité publiés par ÃÛÌÒTV relatifs à ses produits et services, ÃÛÌÒTV applique en interne et met à jour chaque année une politique de confidentialité régissant le cadre général des normes et des processus garantissant la confidentialité des données qu’elle détient.
2. Contrôles de sécurité du réseau – Les administrateurs système de ÃÛÌÒTV veillent à ce que les composants des systèmes d’information accessibles au public (serveurs web publics, par exemple) soient hébergés dans des sous-réseaux distincts disposant de leur propre interface réseau physique. Ils veillent également à ce que les interfaces contrôlées sécurisant le périmètre réseau filtrent certains types de paquets pour protéger les appareils du réseau interne de ÃÛÌÒTV. Les pare-feu et autres systèmes de contrôle du périmètre sont configurés pour n’autoriser l’accès qu’aux services nécessaires aux opérations de ÃÛÌÒTV.
3. Contrôles de sécurité des bases de données – Tout accès aux bases de données ÃÛÌÒTV, que ce soit via le système ou directement par ses collaborateurs, est suivi et journalisé pour détecter les modifications non autorisées. Les données contenues dans les bases sont chiffrées à l’aide d’un algorithme recommandé pour les instances sectorielles. L’accès direct à ces données est réservé à certaines fonctions, tel que spécifié dans la Politique de sécurité de l'information et la Déclaration des pratiques de certification ÃÛÌÒTV.
4. Contrôles des accès et authentification – Chaque interaction utilisateur avec les systèmes ÃÛÌÒTV peut être tracée jusqu’à son auteur et les utilisateurs ne peuvent interagir avec les systèmes ÃÛÌÒTV sans s’être au préalable identifiés. Chaque membre du personnel de ÃÛÌÒTV doit s’authentifier sur les systèmes ÃÛÌÒTV avant de pouvoir accéder aux composants dont il a besoin dans le cadre de ses fonctions. Les rôles associés à chaque fonction sont spécifiés dans la Politique de sécurité de l'information et la Déclaration des pratiques de certification ÃÛÌÒTV. Les comptes, et tout autre type d’accès aux systèmes informatiques de ÃÛÌÒTV, doivent être approuvés conformément à la Politique d’accès utilisateur. ÃÛÌÒTV procède régulièrement (au minimum une fois par an) à l’examen des contrôles physiques et logiques définis dans les politiques applicables en la matière et mis en place afin d’authentifier les personnes autorisées.
5. Contrôles du personnel – Après vérification de leurs antécédents, l’ensemble du personnel ÃÛÌÒTV et tous les autres intervenants amenés à accéder aux données et aux systèmes ÃÛÌÒTV doivent signer un accord de confidentialité et suivre les formations spécifiques à leurs rôles. ÃÛÌÒTV garantit la mise en Å“uvre de politiques et de procédures régissant la gestion des rôles de confiance, l’identification et l’authentification de chaque rôle, l’application de sanctions en cas d’action non-autorisée, la séparation des tâches, l’authentification des membres du personnel par badge et la suppression immédiate des droits d’accès des salariés/intervenants dont le contrat a été résilié.
6. Contrôles de sécurité physique – Les accès aux bureaux, salles informatiques et espaces de travail abritant des données sensibles sont physiquement restreints. Les portes d’accès au bâtiment sont toujours verrouillées et celles des bureaux de ÃÛÌÒTV sont toutes équipées d’une serrure. Ces portes ne peuvent être franchies qu’à l’aide d’une carte ou de tout autre dispositif de contrôle d’accès délivrés uniquement après vérification des antécédents de chaque personne. Les data centers, les cages d’escalier et les bureaux de ÃÛÌÒTV sont tous sous vidéosurveillance. L’accès aux étages par les cages d’escalier est protégé par deux gardiens et un système d’autorisation biométrique. Tous les accès sont enregistrés.
7. Gestion et correction des vulnérabilités – Des analyses mensuelles sont effectuées sur tous les actifs de ÃÛÌÒTV à l'aide d'outils de détection des vulnérabilités. Les systèmes nécessitant une remédiation doivent être corrigés dans les délais définis par Global Security Operations. Les délais sont basés sur le score CVSS (Common Vulnerability Scoring System) attribué. Les vulnérabilités critiques et élevées sont corrigées dans les 72 heures ou font l'objet d'un plan d'action, les vulnérabilités moyennes sont corrigées ou font l'objet d'un plan d'action dans les 30 jours, et les vulnérabilités faibles/informatives sont corrigées à la discrétion de ÃÛÌÒTV.
8. Évaluation complète des risques – Une évaluation complète des risques est effectuée chaque année par ÃÛÌÒTV pour mettre en lumière les éventuelles menaces internes et externes qui planent sur la sécurité, la confidentialité et l'intégrité des données.
9. Tests d’intrusion et évaluations externes – Un test d’intrusion est effectué par un prestataire externe au moins une fois chaque année. ÃÛÌÒTV réalise chaque année plusieurs tests d’intrusion sur le code, l'infrastructure et les systèmes, en plus de ses évaluations Red Team.
10. Formation et sensibilisation – Les membres du personnel ÃÛÌÒTV et autres intervenants concernés assistent chaque année à des formations relatives à la confidentialité, à la sécurité et à la conformité. Les salariés et autres individus amenés à traiter des données sensibles ou à caractère personnel doivent suivre des formations supplémentaires. Toutes les personnes ayant accès aux systèmes ou aux données de ÃÛÌÒTV sont soumis à des politiques et des procédures régissant les opérations de traitement, en particulier aux stipulations de la Politique de sécurité de l’information, du Code de conduite et de la Politique d’utilisation acceptable de ÃÛÌÒTV.
11. Contrôles des accès par des tiers – Les contrats conclus entre ÃÛÌÒTV et des tiers accédant à ses systèmes et données contiennent des clauses définissant les exigences appropriées en matière de sécurité et de confidentialité. Les tiers en question doivent également se soumettre à une évaluation de leur impact sur la sécurité et la confidentialité. Les risques qu’ils présentent sont minimisés avant tout accès.
12. Protection des données lors du stockage et de la transmission – Toutes les données stockées dans les systèmes ÃÛÌÒTV sont chiffrées à l’aide d’un algorithme recommandé pour le secteur. De la même manière, l’ensemble des données échangées entre les systèmes ÃÛÌÒTV internationaux sont chiffrées en transit à l’aide d’un algorithme recommandé par les instances sectorielles.
13. Stockage, conservation et suppression – Les informations stockées sur des supports physiques ou électroniques sont protégées par des contrôles techniques correspondant à leur niveau de classification. Ces informations sont supprimées conformément aux indications contenues dans nos PC/DPC et nos avis de confidentialité applicables.