Passer au contenu principal
Toutes les collectionsConfidentialité et sécurité
Comment vos données seront-elles traitées ? Tout ce que vous devez savoir à ce sujet
Comment vos données seront-elles traitées ? Tout ce que vous devez savoir à ce sujet
A
Écrit par Adilah Toorabally
Mis à jour il y a plus d'un an

CyberVadis s’engage à assurer la confidentialité de vos données. Vous pourrez en savoir plus sur notre engagement et nos certifications ici.

La sécurité est notre priorité numéro 1, de la conception aux opérations. Voici donc quelques informations détaillées concernant le traitement de vos données en interne.

Classification des données

Toutes les données de nos clients sont classifiées comme confidentielles et nous observons des règles strictes :

  • Chiffrement robuste des données en transit

  • Chiffrement robuste à l’aide d’une clé unique propre à chaque client

  • Chiffrement des données au repos

  • Principe du moindre privilège avec accès juste-à-temps

  • Auditabilité totale

Transfert des données

Les données sont transférées à l’aide du protocole TLS 1.2 uniquement ; toute autre version du protocole TLS est refusée. Nous étudions actuellement la possible utilisation du protocole TLS 1.3. Le chiffrement est généré à l’aide d’un certificat privé avec clé RSA 2048 bits. Le processus de négociation de chiffrement privilégie le chiffrement le plus robuste. Certains chiffrements plus faibles (mais non vulnérables) sont encore disponibles à l’heure actuelle.

Stockage des données

Les services CyberVadis sont hébergés au sein de l’Union européenne, dans des centres de données Microsoft Azure certifiés ISO/CEI 27001, ISO/CEI 27018, SOC 1 et SOC 2. Les centres de données Microsoft Azure sont certifiés conformes à un ensemble complet de normes reconnues à l’international et aux certifications des fournisseurs de services cloud. Microsoft adopte une approche stratifiée de la sécurité physique.

CyberVadis définit le chiffrement au repos sur tous les stockages Azure par défaut. L’autorisation d’utiliser les clés conservées dans le coffre-fort Azure Key Vault, que ce soit à des fins de gestion ou d’accès pour chiffrement ou déchiffrement au repos, peut être accordée à des comptes Azure Active Directory (voir Accès aux données et restrictions)

Les documents sont en outre chiffrés à l’aide d’une clé de chiffrement de contenu symétrique à usage unique (clé CEK), générée par le SDK client Azure Storage. Cette clé CEK est elle-même chiffrée à l’aide d’une clé de chiffrement de clé (KEK).

  1. CyberVadis génère une clé CEK, qui est une clé de chiffrement de contenu symétrique à usage unique.

  2. Les données client sont chiffrées à l’aide de cette clé CEK.

  3. La clé CEK est ensuite chiffrée à l’aide d’une clé de chiffrement de clé (KEK). La clé KEK est identifiée à l’aide d’un ID de clé. Elle peut être symétrique ou asymétrique, et elle est conservée dans un coffre-fort virtuel. Le client de stockage n’a pas accès à la clé KEK. Il invoque simplement l’algorithme de chiffrement de clé fourni par le coffre-fort.

  4. Les données chiffrées sont ensuite importées dans le service Azure Storage.

Les documents sont conservés pendant toute la durée de l’accord établi avec CyberVadis, plus un délai pouvant aller jusqu’à trois ans, conformément au RGPD, mais peuvent être supprimés après examen sur simple demande.

Dans le cadre de l’évaluation, les documents sont temporairement partagés via Google Workspace afin de permettre aux analystes de CyberVadis de les examiner en toute sécurité. Les documents restent chiffrés en permanence. Les analystes sécurité ont uniquement accès aux documents en ligne, sans possibilité de les télécharger ou de les modifier. Le partage des documents est automatiquement supprimé 24 heures après la validation de l’évaluation.

Dans de rares occasions, un analyste peut avoir besoin de télécharger un document (par exemple, la traduction d’une image). Dans ce cas, la demande doit être approuvée par un analyste senior, et le document est immédiatement supprimé après traitement.

Ce double chiffrement nous permet de vous garantir une protection de premier ordre pour tous vos documents.

Utilisation des données

Les données transférées sur nos systèmes restent la propriété exclusive de nos clients. Nous ne les analysons en aucun cas à des fins marketing ni ne les vendons à des tiers. Nous nous engageons par ailleurs à ne pas traiter ces données en dehors du cadre de nos obligations contractuelles. En outre, nous supprimerons les documents importés dans le cadre du processus d’évaluation sur simple demande écrite de nos clients, sans frais supplémentaires.

Accès aux données et restrictions

Nous respectons une séparation logique des données de chaque client ou utilisateur. Seul un petit nombre de collaborateurs CyberVadis désignés a accès à la fois aux données chiffrées et aux clés nécessaires pour les déchiffrer. L’accès à l’infrastructure de production est accordé à un nombre limité de cadres expérimentés, avec une authentification à 2 facteurs requise pour tous les comptes. CyberVadis utilise le contrôle d’accès basé sur les rôles et suit les principes du besoin de savoir et du moindre privilège pour sa matrice d’accès. Tous les accès aux ressources de l’infrastructure sont enregistrés et font l’objet d’audits périodiques ainsi que d’examens judiciaires.

Transmission de données à des prestataires tiers

Nous réalisons l’ensemble des activités de traitement des données en interne. Nous n’envoyons pas de données client à des prestataires tiers, à l’exception de notre fournisseur d’infrastructure (Microsoft Azure). Cependant, CyberVadis peut être amené à faire appel à des prestataires tiers pour des opérations techniques. Les prestataires tiers sont tenus de présenter des clauses contractuelles appropriées en termes de sécurité, de confidentialité et de protection de la vie privée, mais également de former leurs employés à la sécurité avant toute intervention sur nos systèmes.

Conclusion

La protection des documents fournis par nos clients est au cœur de toutes nos décisions techniques, opérationnelles et procédurales. Nous appliquons les meilleures pratiques de cybersécurité afin de préserver la confiance de nos clients, et nous nous efforcerons toujours de maintenir ce niveau d’engagement.

Pour plus d’informations sur nos certificats, n’hésitez pas à consulter notre Centre de gestion de la confidentialité.

Avez-vous trouvé la réponse à votre question ?