Quest
Quest prend très au sérieux la sécurité des systèmes d’information dans le traitement et le transfert des données personnelles. Cette présentation de la sécurité des systèmes d’information s’applique aux contrôles d’entreprise de Quest en matière de protection des données personnelles qui sont traitées par Quest ou ses filiales et/ou transférées entre des sociétés du groupe Quest.
Pratiques de sécurité
Quest a mis en place des pratiques et des normes de sécurité des systèmes d’information d’entreprise dans le but de protéger l’environnement d’entreprise de Quest et de répondre aux objectifs métiers en matière de sécurité des systèmes d’information, de gestion des systèmes et des actifs, de développement et de gouvernance.
Ces pratiques et normes sont approuvées par la direction de Quest et sont régulièrement révisées et mises à jour si nécessaire.
Quest doit maintenir un programme approprié de confidentialité des données et de sécurité des systèmes d’information, comprenant des stratégies et procédures relatives aux restrictions d’accès physiques et logiques, à la classification des données, aux droits d’accès, aux programmes d’attribution des informations d’identification, à la conservation des dossiers, à la confidentialité des données, à la sécurité des systèmes d’information et au traitement des données personnelles et des données personnelles sensibles tout au long de leur cycle de vie. Les stratégies clés seront révisées au moins une fois par an.
Sécurité organisationnelle
Il incombe à tous les collaborateurs Quest qui participent au traitement des données personnelles des clients de se conformer à ces pratiques et normes. La fonction Sécurité des systèmes d’information (« SSI ») de Quest est responsable des activités suivantes :
- Stratégie de sécurité : la fonction SSI s’efforce de garantir la conformité à ses propres stratégies et normes de sécurité et à toutes les réglementations pertinentes, et de sensibiliser et d’éduquer les utilisateurs. La fonction SSI évalue également les risques et les activités de gestion des risques, et gère les exigences de sécurité des contrats.
- Ingénierie de sécurité : la fonction SSI gère les tests, la conception et la mise en œuvre de solutions de sécurité pour permettre l’adoption de contrôles de sécurité dans l’ensemble de l’environnement en ligne et informatique de Quest.
- Opérations de sécurité : la fonction SSI gère la prise en charge des solutions de sécurité mises en œuvre, surveille et analyse l’environnement et les actifs informatiques et en ligne de Quest, et gère la réponse aux incidents.
- Enquêtes scientifiques : la fonction SSI collabore avec les services juridiques et de conformité et les ressources humaines pour mener des enquêtes, notamment des enquêtes préalables et des enquêtes scientifiques.
- Conseils et tests de sécurité : la fonction SSI travaille avec les développeurs de logiciels à l’élaboration de bonnes pratiques en matière de sécurité, donne des conseils sur le développement et l’architecture des applications pour les projets logiciels et effectue des tests d’assurance.
Classification et contrôle des actifs
La pratique mise en place par Quest consiste à suivre et gérer les informations clés ainsi que les actifs physiques, logiciels et logiques. Voici des exemples d’actifs que Quest pourrait suivre :
- actifs informationnels, tels que bases de données identifiées, plans de reprise d’activité, plans de continuité de l’activité, classification des données, informations archivées ;
- actifs logiciels, tels que logiciels systèmes et applications identifiées ;
- actifs physiques, tels que serveurs identifiés, ordinateurs de bureau/portables, bandes de sauvegarde/archive, imprimantes et équipements de communication.
Les actifs sont classés en fonction de leur criticité pour déterminer les exigences de confidentialité. Les orientations de l’industrie en matière de traitement des données personnelles fournissent le cadre des mesures de protection techniques, organisationnelles et physiques. Ces mesures de protection peuvent inclure des contrôles tels que la gestion des accès, le chiffrement, la création de logs et la surveillance, ainsi que la destruction des données.
Sélection, formation et sécurité des collaborateurs
- Vérification des antécédents : lorsque cela est raisonnablement possible et approprié, dans le cadre du processus d’embauche/de recrutement, Quest procède à la sélection des collaborateurs et à la vérification des antécédents des collaborateurs ou futurs collaborateurs (qui varieront d’un pays à l’autre en fonction des lois et réglementations locales), si ceux-ci doivent avoir accès aux réseaux, systèmes ou installations de Quest.
- Identification : Quest demande à tous ses collaborateurs de fournir un justificatif d’identité et tout document supplémentaire qui pourrait être exigé en fonction du pays d’embauche ou si d’autres entités ou clients de Quest ou pour lesquels le collaborateur fournit des services l’exigent.
- Formation : le programme annuel de formation à la conformité de Quest impose notamment aux collaborateurs de suivre une formation en ligne sur la protection des données et la sécurité des systèmes d’information.
- Confidentialité : Quest s’assure que ses collaborateurs sont légalement tenus de protéger et de maintenir la confidentialité de toutes les données qu’ils traitent conformément aux accords standard.
Contrôles des accès physiques et sécurité environnementale
- Programme de sécurité physique : Quest utilise un certain nombre d’approches technologiques et opérationnelles dans son programme de sécurité physique pour atténuer les risques de sécurité dans la mesure du possible. L’équipe de sécurité de Quest travaille en étroite collaboration avec chaque site pour déterminer les mesures appropriées à prendre afin d’empêcher les personnes non autorisées d’accéder aux systèmes dans lesquels les données personnelles sont traitées et de surveiller en permanence toute modification de l’infrastructure physique, l’activité et les menaces connues. Elle surveille également les mesures de bonnes pratiques utilisées par d’autres acteurs du secteur et sélectionne soigneusement les approches qui répondent à la fois à l’unicité de la pratique commerciale et aux attentes de Quest. Quest équilibre son approche de la sécurité en tenant compte des éléments de contrôle, notamment l’architecture, les opérations et les systèmes.
- Contrôles des accès physiques : les contrôles des accès physiques/mesures de sécurité dans les installations/locaux de Quest sont conçus pour répondre aux exigences suivantes :
- l’accès aux bâtiments, installations et autres locaux physiques de Quest est contrôlé et basé sur la nécessité métier, la sensibilité des actifs et le rôle de la personne et sa relation avec Quest. Seul le personnel associé à Quest peut accéder aux installations et aux ressources physiques de Quest. L’accès n’est accordé que d’une manière compatible avec le rôle et les responsabilités du personnel dans l’organisation ;
- les installations pertinentes de Quest sont sécurisées par un système de contrôle des accès. L’accès à ces installations n’est accordé qu’avec une carte activée ;
- les personnes devant accéder à des installations et/ou à des ressources dont l’accès est contrôlé par une carte reçoivent de la fonction SSI des informations d’identification d’accès physique appropriées et uniques (par exemple, un badge ou une carte-clé attribués à une personne). Les personnes auxquelles ont été délivrées des informations d’accès physique uniques ont pour instruction de ne pas autoriser ou permettre à d’autres personnes d’accéder aux installations ou ressources de Quest au moyen de leurs informations d’identification uniques (par exemple, pas de « talonnage »). Des informations d’identification temporaires (jusqu’à 14 jours) peuvent être délivrées à des personnes n’ayant pas d’identité active lorsque cela est nécessaire (i) pour accéder à une installation spécifique et (ii) pour des besoins professionnels valables. Les informations d’identification uniques ne sont pas transférables et si une personne ne peut pas présenter ses informations d’identification sur demande, elle peut se voir refuser l’accès aux installations de Quest ou être escortée hors des locaux. Aux entrées surveillées, les personnes doivent présenter une pièce d’identité valide avec photo ou des informations d’identification valides au représentant de la sécurité au moment d’entrer. Les personnes qui ont perdu ou égaré leurs informations d’identification ou toute autre pièce d’identité doivent passer par une entrée surveillée et se faire délivrer un badge temporaire par un agent de sécurité ;
- les visiteurs devant accéder aux installations de Quest doivent entrer par une entrée surveillée et/ou par l’entrée principale. Les visiteurs doivent enregistrer la date et l’heure de leur arrivée, l’heure de leur départ du bâtiment et le nom de la personne à laquelle ils rendent visite. Les visiteurs doivent présenter une pièce d’identité en cours de validité, délivrée par le gouvernement, pour valider leur identité. Afin d’empêcher l’accès aux informations exclusives de l’entreprise ou leur divulgation, les visiteurs ne sont pas autorisés à accéder sans escorte aux zones à accès restreint ou contrôlées ;
- certains établissements Quest ont recours à la vidéosurveillance, à des agents de sécurité et à d’autres mesures physiques lorsque cela est approprié et autorisé par la loi ;
- des bacs de déchiquetage verrouillés sont fournis sur la plupart des sites pour permettre la destruction sécurisée des informations confidentielles/données personnelles ;
- pour les projets de développement de logiciels et de déploiement d’infrastructures, la fonction SSI utilise un processus d’évaluation des risques et un programme de classification des données pour gérer les risques découlant de ces activités.
Incidents de sécurité et plan de réaction
- Plan de réaction aux incidents de sécurité : Quest maintient une stratégie de réaction aux incidents de sécurité ainsi qu’un plan et des procédures connexes qui traitent des mesures que Quest prendra en cas de perte de contrôle, de vol, de divulgation non autorisée, d’accès non autorisé ou d’acquisition non autorisée de données personnelles. Ces mesures peuvent comprendre l’analyse de l’incident, son confinement, la réaction, la correction, la création de rapports et le retour à la normale des opérations.
- Contrôles de la réaction : des contrôles sont en place pour se protéger contre l’utilisation malveillante des actifs et des logiciels malveillants, pour en faciliter la détection et pour signaler les incidents potentiels à la fonction SSI de Quest ou au Service Desk afin que des mesures appropriées soient prises. Les contrôles peuvent inclure, mais sans s’y limiter, des stratégies et des normes de sécurité des systèmes d’information ; un accès restreint ; des environnements de développement et de test désignés ; la détection de virus sur les serveurs, les ordinateurs de bureau et les ordinateurs portables ; la recherche de virus dans les pièces jointes ; des analyses de conformité du système ; la surveillance et la réaction à la prévention des intrusions ; des règles de pare-feu ; la création de logs et d’alertes sur des événements clés ; des procédures de traitement de l’information basées sur le type de données ; la sécurité des applications et des réseaux de e-commerce ; et l’analyse de la vulnérabilité des systèmes et applications. Des contrôles supplémentaires peuvent être mis en place en fonction du risque.
Contrôle et chiffrement de la transmission des données
Dans la mesure où Quest a le contrôle de toute transmission ou de tout transfert électronique de données à caractère personnel, Quest prend toutes les mesures raisonnables pour s’assurer que cette transmission ou ce transfert ne peut être lu(e), copié(e), modifié(e) ou supprimé(e) sans autorisation appropriée. Plus spécifiquement, Quest :
- met en œuvre des pratiques de chiffrement conformes aux normes de l’industrie dans sa transmission de données personnelles. Les méthodes de chiffrement standard utilisées par Quest comprennent le protocole SSL (Secure Sockets Layer), le protocole TLS (Transport Layer Security), un programme Secure Shell tel que SSH et/ou l’IPSec (Internet Protocol Security) ;
- pour les applications orientées Internet qui peuvent traiter des données personnelles sensibles et/ou fournir une intégration en temps réel avec des systèmes sur un réseau contenant de telles informations (notamment le réseau central de Quest), un pare-feu d’applications Web (WAF, Web Application Firewall) peut être utilisé pour fournir une couche supplémentaire de vérification des entrées et d’atténuation des attaques. Le pare-feu WAF sera configuré pour atténuer les vulnérabilités potentielles telles que les attaques par injection, les attaques par dépassement de tampon (Buffer Overflow), la manipulation des cookies et d’autres méthodes d’attaque courantes.
Contrôles des accès aux systèmes
Seuls les utilisateurs autorisés ont accès aux systèmes Quest. Des procédures et contrôles formels régissent la manière dont l’accès est accordé aux personnes autorisées et le niveau d’accès requis et approprié pour que ces personnes puissent accomplir leur mission.
Contrôles des accès aux données
Quest applique les contrôles décrits ci-dessous concernant l’accès aux données personnelles et leur utilisation :
- le personnel a pour instruction de n’utiliser que le minimum de données personnelles nécessaires pour atteindre les objectifs métiers pertinents de Quest ;
- le personnel a pour instruction de ne pas lire, copier, modifier ou supprimer des données personnelles, sauf si cela est nécessaire à l’exécution de sa mission ;
- l’utilisation des données personnelles par un tiers est régie par des conditions générales contractuelles entre le tiers et Quest, qui imposent des limites à l’utilisation des données personnelles par le tiers et limitent cette utilisation à ce qui est nécessaire pour que le tiers fournisse ses services.
Contrôle de la disponibilité
Quest protège les données personnelles contre la destruction ou la perte accidentelle en suivant ces contrôles :
- les données personnelles sont conservées conformément au contrat du client ou, en son absence, à la stratégie et aux pratiques de gestion des dossiers de Quest, ainsi qu’aux exigences légales en matière de conservation ;
- les données personnelles sur papier sont détruites dans une poubelle sécurisée ou dans un broyeur à coupe transversale de manière à ce que les informations ne soient plus déchiffrables ;
- les données personnelles électroniques sont remises à l’équipe de Gestion des actifs informatiques de Quest en vue d’être éliminées de manière appropriée ;
- des mesures techniques appropriées sont en place, notamment (sans s’y limiter) : l’installation d’un logiciel antivirus sur tous les systèmes ; la protection du réseau par un pare-feu ; la segmentation du réseau ; l’utilisation de proxies/filtres de contenu ; une alimentation électrique sans interruption ; la génération régulière de copies de sauvegarde ; la mise en miroir des disques durs, le cas échéant ; un système de sécurité incendie ; des systèmes de protection de l’eau, le cas échéant ; des plans d’urgence ; et des salles de serveurs climatisées.
Contrôle de la saisie des données
Quest dispose, le cas échéant, de mesures destinées à vérifier si et par qui des données personnelles ont été introduites dans les systèmes de traitement des données, ou si ces données ont été modifiées ou supprimées. L’accès aux applications pertinentes est enregistré.
Développement et maintenance du système
Les vulnérabilités publiées par des tiers sont examinées pour déterminer si elles peuvent être appliquées à l’environnement Quest. Des délais sont prédéterminés pour la correction en fonction du risque pour l’activité et les clients de Quest. En outre, des analyses et des évaluations de la vulnérabilité sont réalisées sur les nouvelles applications et les applications clés ainsi que sur l’infrastructure en fonction des risques. Une revue et des analyseurs de code sont utilisés dans l’environnement de développement avant la production pour détecter de manière proactive les vulnérabilités de codage en fonction du risque. Ces processus permettent une identification proactive des vulnérabilités ainsi que la mise en conformité.
Conformité
Les départements en charge de la sécurité des systèmes d’information, des affaires juridiques, de la confidentialité et de la conformité travaillent à l’identification des lois et réglementations régionales susceptibles de s’appliquer à Quest. Ces exigences couvrent des domaines tels que la propriété intellectuelle de Quest et ses clients, les licences logicielles, la protection des informations personnelles des collaborateurs et des clients, la protection des données et les procédures de traitement des données, la transmission transfrontalière des données, les procédures financières et opérationnelles, les contrôles réglementaires des exportations de technologies et les exigences scientifiques.
Des mécanismes tels que le programme de sécurité des systèmes d’information, le conseil exécutif de protection de la vie privée, les audits/évaluations internes et externes, la consultation de conseillers juridiques internes et externes, l’évaluation des contrôles internes, les tests d’intrusion internes et les évaluations de la vulnérabilité, la gestion des contrats, la sensibilisation à la sécurité, les conseils en sécurité, l’examen des exceptions aux stratégies et la gestion des risques s’associent pour assurer la conformité à ces exigences.
Sous-traitants
Des informations sur les sous-traitants actuels sont disponibles à l’adresse suivante : https://support.quest.com/subprocessor. Le client peut s’abonner aux notifications de nouveaux sous-traitants.
Des informations sur d’autres mesures techniques et organisationnelles propres aux produits sont disponibles dans les Guides de sécurité relatifs aux produits.