Compliance

Securité de bout en bout

Les services back-end de WeGroup sont entièrement hébergés sur DigitalOcean, offrant des fonctions de sécurité et de confidentialité de bout en bout intégrées. Notre équipe prend des mesures proactives supplémentaires pour garantir un environnement d'infrastructure sécurisé. Pour plus de détails concernant la sécurité de DigitalOcean, veuillez consulter le site https://www.digitalocean.com/legal/data-security/.

Sécurité des infrastructures

L'infrastructure de WeGroup est hébergée dans un environnement VPN sécurisé et entièrement redondant, dont l'accès est réservé au personnel de soutien opérationnel. Cela nous permet de tirer parti d'une protection complète par pare-feu, d'adresses IP privées et d'autres dispositifs de sécurité.

Politique de sécurité

WeGroup applique des normes et des mesures de sécurité strictes dans toute l'organisation. Chaque membre de l'équipe est formé et tenu à jour sur les derniers protocoles de sécurité. Nous faisons régulièrement des contrôles, des formations et des audits de nos pratiques et politiques.

Sécurité des centres de données

DL'infrastructure de DigitalOcean est sécurisée par une approche de défense en profondeur par couches. L'accès à l'infrastructure du réseau de gestion est assuré par des points d'authentification à facteurs multiples qui limitent l'accès à l'infrastructure au niveau du réseau sur la base de la fonction de travail en utilisant le principe du moindre privilège. Tous les accès aux points d'entrée sont étroitement surveillés et sont soumis à des mécanismes rigoureux de contrôle des modifications.

Les systèmes sont protégés par une authentification basée sur des clés et l'accès est limité par un contrôle d'accès basé sur les rôles (RBAC). Le RBAC veille à ce que seuls les utilisateurs qui ont besoin d'accéder à un système puissent se connecter. Nous considérons que tout système qui héberge les données des clients que nous collectons, ou les systèmes qui hébergent les données que les clients stockent avec nous, sont de la plus haute sensibilité. L'accès à ces systèmes est donc extrêmement limité et étroitement surveillé.

Sécurité des applications

Toutes les communications de l'application web WeGroup sont envoyées via HTTPS. Nous utilisons des algorithmes de haute qualité conformes aux normes industrielles, tels que aes256 et sha256. WeGroup surveille également activement la sécurité, les performances et la disponibilité 24 heures sur 24, 7 jours sur 7 et 365 jours par an. En ce qui concerne la protection de la vie privée, nous sommes membres du cadre Privacy Shield et vous pouvez consulter notre politique complète en la matière ici :

https://wegroup.be/fr/politique-de-confidentialite

Cryptage
Authentification à deux facteurs

1. Objet, Portée et Organisation

Quel est ce document, pourquoi existe-t-il, que couvre-t-il et qui en est responsable ?

La présente politique définit les contrôles comportement aux, de processus, techniques et de gouvernance relatifs à la sécurité chez WeGroup, que tout le personnel est tenu de mettre en œuvre afin de garantir la confidentialité, l’intégrité et la disponibilité du service et des données de WeGroup (la « Politique »). Tout le personnel est tenu d’examiner et de connaître les règles et actions énoncées ci-dessous.

La présente Politique définit les exigences de sécurité pour :

  • tous les employés, sous-traitants, consultants de WeGroup et tout autre tiers fournissant des services à WeGroup (le « personnel »),
  • a gestion des systèmes, aussi bien matériels que logiciels et indépendamment du lieu, utilisés pour créer, maintenir, stocker, accéder à, traiter ou transmettre des informations pour le compte de WeGroup, y compris tous les systèmes détenus par WeGroup, connectés à tout réseau contrôlé par WeGroup, ou mis au service de l’entreprise WeGroup, en ce compris les systèmes détenus par des prestataires de services tiers, et
  • les circonstances dans lesquelles WeGroup a une obligation légale, contractuelle ou fiduciaire de protéger les données ou les ressources sous sa garde.

En cas de conflit, les mesures les plus restrictives s’appliquent.

1.1. Gouvernance et Évolution

La présente Politique a été créée en étroite collaboration avec les dirigeants de WeGroup et est approuvée par eux. Au moins une fois par an, elle est examinée et modifiée si nécessaire pour garantir la clarté, la pertinence de la portée, le souci des intérêts des clients et du personnel et la réactivité générale face à l’évolution du paysage sécuritaire et des bonnes pratiques dans le secteur.

1.2. Équipe Sécurité

L’équipe Sécurité de WeGroup supervise la mise en œuvre de la présente Politique, et notamment :

  • l’acquisition, la fourniture, la maintenance, le retrait et la récupération des ressources informatiques de l’entreprise,
  • tous les aspects du développement et du fonctionnement des services en lien avec la sécurité, la confidentialité, l’accès, la fiabilité et la capacité de survie,
  • l’évaluation continue des risques, la gestion de la vulnérabilité, la réaction aux incidents et
  • les contrôles des ressources humaines eu égard à la sécurité et la formation du personnel.

2. Personnelet Environnement de bureau

Quelles sont les attentes de WeGroup vis-à-vis de son personnel et de l’environnement de travail concernant les systèmes et les données ?

WeGroup s’engage à protéger ses clients, son personnel, ses partenaires et l’entreprise contre toute action illégale ou préjudiciable perpétrée sciemment ou non par des individus dans le cadre de sa culture d’emploi établie, caractérisée par l’ouverture, la confiance, la maturité et l’intégrité.La présente section décrit les comportements attendus du personnel quant à la sécurité et à l’utilisation acceptable des systèmes informatiques chez WeGroup. Ces règles ont été mises en place pour protéger notre personnel et WeGroup elle-même, car une utilisation inappropriée peut exposer les clients et les partenaires à des risques tels que des logiciels malveillants, des virus, la compromission de systèmes et services en réseau et des problèmes juridiques.

2.1. Comportements au travail

Le comportement éclairé du personnel, qui constitue la première ligne de défense en matière de sécurité des données, joue un rôle essentiel dans la sécurité de toutes les données, indépendamment de leur format. Ces comportements comprennent ceux énumérés dansla présente section ainsi que toute exigence supplémentaire spécifiée dans le manuel de l’employé, les processus de sécurité spécifiques et d’autres codes de conduite applicables.

Formation

All employees and contractors must attend the WeGroup security training program, offered at least twice annually, to inform all users of the requirements of this Policy.

Personnes et visiteurs non reconnus

Il incombe à tout le personnel de prendre des mesures positives pour assurer la sécurité physique. Ainsi, il lui appartient de contester la présence de toute personne non reconnue dans un bureau soumis à des restrictions. Toute personne dont la présence est contestée et qui ne fournit pas de réponse appropriée doit être immédiatement signalée au personnel d’encadrement et à l’équipe Sécurité. Tous les visiteurs des bureaux de WeGroup doivent être enregistrés comme tels ou accompagnés par un employé de l’entreprise.

Bureau propre

Le personnel s’assurera que les postes de travail ne contiennent pas de matériel sensible ou confidentiel et veillera à ce qu’ils soient débarrassés du matériel en question à la fin de chaque journée de travail.

Appareils laissés sans surveillance

Les appareils laissés sans surveillance doivent être verrouillés. Tous les appareils disposeront d’une fonction de verrouillage automatique de l’écran, configurée de manière à s’activer automatiquement après une inactivité de 15 minutes maximum.

Utilisation des actifs de l’entreprise

Les systèmes doivent être utilisés à des fins professionnelles pour servir les intérêts de l’entreprise, de nos clients et partenaires dans le cadre d’activités normales. Il incombe au personnel de faire preuve de discernement quant à l’utilisation personnelle raisonnable des systèmes. Seuls le matériel et les logiciels gérés par WeGroup peuvent être connectés à ou installés sur les équipements ou réseaux de l’entreprise et utilisés pour accéder aux données de WeGroup. Le matériel et les logiciels gérés par WeGroup comprennent ceux qui sont la propriété de WeGroup et ceux qui appartiennent au personnel de l’entreprise, mais sont intégrés dans un système de gestion des appareils de WeGroup. Seuls les logiciels approuvés par WeGroup dans le cadre d’une utilisation professionnelle par WeGroup peuvent être installés sur l’équipement de l’entreprise. Tout le personnel est tenu de lire et comprendre la liste des activités interdites décrites dans la présentePolitique. Les modifications ou changements de configuration ne sont pas autorisés sans l’accord écrit explicite de l’équipe Sécurité de WeGroup.

Stockage amovible, Aucune sauvegarde, Utilisation du stockage sur le Cloud

L’utilisation de supports amovibles tels que les clés USB est interdite. Le personnel ne peut pas configurer les appareils de travail de manière à effectuer des sauvegardes ou des copies de données non conformes aux politiques de l’entreprise. Il est demandé au personnel de privilégier principalement la sauvegarde « dans le Cloud » et de ne recourir que de manière éphémère au stockage local sur des appareils informatiques. Les données de WeGroup seront enregistrées dans un stockage sécurisé sur le Cloud approuvé par l’entreprise (p. ex. : GoogleDocs) pour s’assurer que, même en cas de perte, de vol ou d’endommagement d’un appareil appartenant à l’entreprise, ces artefacts seront immédiatement récupérables sur un appareil de remplacement.

Activités interdites

Les activités suivantes sont interdites. Dans certaines conditions et avec l’accord écrit explicite de l’équipe Sécurité, le personnel peut être exempté de certaines de ces restrictions pendant l’exercice de ses responsabilités professionnelles légitimes (p. ex. : tests de pénétration planifiés, le personnel responsable d’administrer les systèmes peut avoir besoin de désactiver l’accès au réseau d’un hôte si cet hôte perturbe lesservices de production).

La liste ci-dessous n’est pas exhaustive, mais tente de fournir un cadre pour les activités qui relèvent d’une catégorie d’utilisation inacceptable.

  • Le personnel de WeGroup n’est en aucun cas autorisé à exercer une activité illégale en vertu du droit local, étatique, fédéral ou international lorsqu’il utilise des ressources appartenant à WeGroup.
  • Violations des droits de toute personne ou entreprise protégée par un droit d’auteur, un secret commercial, un brevet ou toute autre propriété intellectuelle, ou des lois ou réglementations similaires, y compris sans toutefois s’y limiter l’installation ou la distribution de produits logiciels « piratés » ou autres dont l’utilisation par WeGroup n’a pas été adéquatement autorisée.
  • La violation ou la tentative deviolation des conditions d’utilisation ou du contrat de licence de tout produitlogiciel utilisé par WeGroup est strictement interdite.
  • Sont strictement interdites la copie non autorisée de matériel protégé par le droit d’auteur, en ce compris sans toutefois s’y limiter la numérisation et la distribution de photographies de magazines, livres ou autres sources protégées par le droit d’auteur, de musique protégée par le droit d’auteur, ainsi que l’installation de tout logiciel protégé par le droit d’auteur pour lequel WeGroup ou l’utilisateur final n’a pas de licence active.
  • L’exportation de logiciels, d’informations techniques, de logiciels ou de technologies de cryptage peut entraîner une violation des lois internationales ou régionales régissant le contrôle des exportations. La direction responsable sera consultée avant l’exportation du matériel en question.
  • Révéler le mot de passe de votre compte à des tiers ou autoriser l’utilisation de votre compte par des tiers. Les tiers incluent les collègues, ainsi que la famille et les autres membres du ménage si le travail est effectué à la maison.
  • Soumettre des offres frauduleuses de produits, d’articles ou de services provenant de tout compte WeGroup.
  • Faire des déclarations concernant lagarantie, de manière expresse ou implicite, sauf si cela s’inscrit dans lecadre des tâches professionnelles normales et dans ce cas uniquement, si lesgaranties sont conformes à celles autorisées par WeGroup.
  • Introduction de programmes malveillants sur le réseau ou le serveur (p. ex. : virus, vers informatiques, chevaux de Troie, bombes électroniques, etc.).
  • La mise en œuvre de failles de sécurité ou de perturbations dans la communication réseau. Les atteintes à la sécurité comprennent, sans toutefois s’y limiter, l’accès aux données dont l’employé n’est pas un destinataire prévu ou la connexion à un serveur ou un compte auquel l’employé n’est pas expressément autorisé à accéder. Aux fins de la présente section, les « perturbations » incluent, sans s’y limiter, le reniflage réseau, les ping floods, l’usurpation de paquets IP, le déni de service et les informations de routage falsifiées à des fins malveillantes ou illégales.
  • Sauf s’ils sont utilisés par ou sous la supervision directe de l’équipe Sécurité, le balayage de ports ou le balayage de sécurité, ou tout autre logiciel conçu pour exploiter ou trouver des vulnérabilités informatiques, logicielles ou de réseau.
  • Exécution de toute forme de surveillance réseau qui interceptera des données qui ne sont pas destinées à l’hôte de l’employé, à moins que cette activité fasse partie du travail/des tâches habituelles de l’employé.
  • Contourner l’authentification de l’utilisateur ou la sécurité de tout hôte, réseau ou compte, ou tenter de pénétrer dans une ressource d’information ou de contourner un dispositif de sécurité. Cela comprend l’exécution de programmes de craquage de mots de passe ou de programmes « renifleurs », et toute tentative de contourner les autorisations d’accès à des fichiers ou autres ressources.
  • Tenter d’interférer avec ou de refuser le service à un autre utilisateur.
  • Fournir des informations sur le personnel de WeGroup ou des listes de personnel à des parties extérieures àWeGroup.
  • Installer des logiciels qui placent ou incluent toute forme de logiciel malveillant, espion ou publicitaire, tel que défini par l’équipe Sécurité.
  • Provoquer le plantage d’un système informatique. Il est strictement interdit de provoquer volontairement le plantage d’un système informatique. Il est possible que les utilisateurs ne se rendent pas compte qu’ils ont causé un plantage du système, mais s’il est démontré que le plantage résulte d’une action de l’utilisateur, la répétition de cette action par ce dernier peut être considérée comme un acte délibéré.
  • Tenter de dérégler les technologies utilisées pour effectuer la configuration système des appareils gérés par l’entreprise (p. ex. : MDM) ou des appareils personnels volontairement utilisés pour les besoins de l’entreprise (p. ex. : Profils de Travail mobiles).

2.2. Configuration, Propriété et Confidentialité des systèmes appartenant au personnel

Configuration Centralisée des Systèmes

Les appareils appartenant au personnel et leur configuration logicielle peuvent être gérés à distance par les membres de l’équipe Sécurité via la technologie d’application de la configuration. Cette technologie peut être utilisée à des fins telles que l’audit/l’installation/la suppression d’applications logicielles ou de services système, la gestion de la configuration réseau, l’application de la politique des mots de passe, le cryptage des disques, la copie des fichiers de données vers/depuis les appareils des employés et toute autre interaction autorisée pour s’assurer que les appareils des employés respectent la présente Politique.

Réserve de Propriété

Tous les programmes logiciels, données et documents générés ou livrés par le personnel lors de la fourniture de services à ou au profit de WeGroup sont la propriété de cette dernière, sauf convention contractuelle contraire.

Vie privée du personnel

Bien que l’administration du réseau de WeGroup souhaite assurer un niveau raisonnable de confidentialité, les utilisateurs doivent savoir que les données qu’ils créent sur les systèmes de l’entreprise restent la propriété de WeGroup. En raison de la nécessité de protéger le réseau deWeGroup, la direction ne prévoit pas de garantir la confidentialité des informations privées du personnel stockées sur tout appareil réseau appartenant à WeGroup. Il incombe au personnel de faire preuve de discernement quant à un usage personnel raisonnable, notamment en ce qui concerne la navigation sur Interneten général ou les e-mails personnels. En cas de doute, le personnel consultera l’équipe Sécurité ou son responsable.

Le personnel structurera toute communication électronique en indiquant que le contenu pourrait être surveillé et que toute communication électronique est susceptible d’être transférée, interceptée, imprimée ou enregistrée par d’autres.

WeGroup se réserve le droit, à sa discrétion, d’examiner les fichiers ou communications électroniques du personnel dans la mesure nécessaire pour s’assurer que tous les supports et services électroniques sont utilisés conformément à toutes les lois et réglementations applicables ainsi qu’aux politiques de l’entreprise.

WeGroup se réserve le droit de contrôler périodiquement les réseaux et les systèmes pour s’assurer du respect de la présente Politique. À des fins de sécurité et de maintenance du réseau, les personnes autorisées au sein de WeGroup peuvent surveiller à tout moment l’équipement, les systèmes et le trafic du réseau.

2.3. Pratiques concernant les Ressources Humaines

Vérifications des Antécédents

Des vérifications d’antécédents peuvent être effectuées concernant tous les employés avant leur prise de fonctions. Si la vérification révèle des antécédents problématiques, les conséquences peuvent aller d’une limitation des privilèges de sécurité à la révocation de l’offre d’emploi et à la résiliation du contrat de travail.

Formation

L’équipe Sécurité met en œuvre un programme de sensibilisation à la sécurité à l’échelle de l’entreprise, offert à tout le personnel au moins une fois par an. Le programme, qui porte sur la sensibilisation à la sécurité, les politiques, les processus et la formation, vise à s’assurer que le personnel est suffisamment informé pour respecter ses obligations. Les principaux responsables du maintien de la sécurité chez WeGroup, en ce compris l’équipe Sécurité elle-même et le personnel clé de l’ingénierie/des opérations, suivent une formation continue plus technique.

Séparation

En cas de licenciement ou de démission du personnel, l’équipe Sécurité mettra en œuvre, en coordination avec les Ressources Humaines, un processus de séparation standardisé visant à garantir que tous les comptes, les identifiants et l’accès des employés sortants ont été dés activés de manière fiable.

2.4. Environnement de Bureau Physique

L’accès aux bureaux de WeGroup passe par un système de contrôle électronique qui prévoit une entrée avec gestion des identités, un contrôle programmable sur le temps d’accès de la journée et des audits d’utilisation. Toutes les portes doivent rester verrouillées en permanence dansdes conditions normales de travail. L’équipe Sécurité peut autoriser le déverrouillage des portes pendant de courtes périodes afin de répondre à des besoins justifiables d’accès physique. Des caméras de sécurité basées sur le Web sont positionnées de sorte à enregistrer des vidéos horodatées d’entrée/sortie, stockées hors site.

2.5. Réseau de Bureaux

Un accès Internet sera fourni aux appareils via des connexions Ethernet filaire et Wi-Fi WPA2. Des commutateurs et routeurs réseau seront placés dans une armoire réseau verrouillée, à laquelle seule l’équipe Sécurité aura accès. Les cadres et l’équipe Sécurité de WeGroup peuvent accorder l’accès à l’armoire réseau à certaines personnes, au cas par cas et si nécessaire. Un pare-feu réseau qui bloque tout le trafic provenant du réseau WAN sera mis en place. Les services réseau accessibles par le WAN ne seront pas hébergés dans l’environnement de bureau.

3.    Gestion des Identités et des Accès du Personnel

Comment WeGroup définit-elle, contrôle-t-elle et gère-t-elle l’identité des utilisateurs et les autorisations octroyées au personnel ?

3.1. Comptes Utilisateur et Authentification

Chaque individu autorisé à accéder à un système contrôlé par WeGroup dispose d’un compte utilisateur G Suite reflétant son identité système. Ces comptes utilisateur doivent avoir un nom d’utilisateur unique, un mot de passe fort d’au moins 8 caractères et un mécanisme d’authentification à deux facteurs (2FA).

Connexion aux Systèmes de WeGroup

Les connexions par le personnel ne peuvent provenir que d’appareils gérés par WeGroup. L’authentification intervient via le système de gestion des comptes de Google, dont les détails sont disponibles sur https://gsuite.google.com/security. WeGroup recourt aux services de G Suite pour détecter les tentatives d’authentification malveillantes. Des tentatives répétées et infructueuses d’authentification peuvent entraîner le blocage ou la révocation du compte utilisateur incriminé.

Connexion à des Systèmes tiers

Lorsqu’ils sont disponibles, les systèmes tiers doivent être configurés de sorte à déléguer l’authentification au système d’authentification des comptes G Suite de WeGroup (décrit ci-dessus), regroupant ainsi les contrôles d’authentification en un système unique de comptes utilisateur géré de manière centralisée par l’équipe Sécurité.

Si l’authentification par G Suite n’est pas possible, des mots de passe forts et uniques seront créés et stockés dans le système de gestion des mots de passe approuvé par WeGroup. Les mots de passe doivent être associés à une authentification à deux facteurs/MFA.

Révocation et Audit des Comptes Utilisateur

Les comptes utilisateur sont révoqués (c’est-à-dire désactivés mais non supprimés) immédiatement après le départ du personnel. Par mesure de précaution, tous les comptes utilisateur sont audités au moins une fois par trimestre et tous les comptes utilisateur inactifs sont révoqués.

3.2. Gestion des Accès

WeGroup respecte le principe de moindre privilège, et toute action entreprise par un compte utilisateur fait l’objet de contrôles d’accès.

Contrôle d’Accès basé sur les Rôles

WeGroup utilise un modèle de contrôle d’accès basé sur les rôles (RBAC) recourant à des fonctionnalités fournies par Google telles que les unités organisationnelles, les comptes utilisateur, les groupes d’utilisateurs et les contrôles partagés.

Navigateurs Web et Extensions

WeGroup peut exiger le recours à un ou plusieurs navigateurs Web qui seront utilisés à des fins professionnelles usuelles, y compris pour accéder aux données de l’entreprise telles que les e-mails. Pour des rôles spécifiques tels que le développement logiciel et la conception Web, des activités professionnelles autres que celles mentionnées ci-dessus nécessitent le recours à une variété de navigateurs, et ces rôles peuvent utiliser ces navigateurs s’ils sont nécessaires aux dites activités.

Tout navigateur autorisé à accéder aux données de l’entreprise telles que les e-mails est soumis à une restriction basée sur une liste blanche énumérant les extensions de navigateur qui peuvent être installées.

Accès administratif

L’accès aux opérations administratives est strictement limité aux membres de l’équipe Sécurité, et restreint en plus en fonction du mandat et du principe de moindre privilège.

Examen régulier

Les politiques de contrôle d’accès sont revues régulièrement dans le but de réduire ou d’affiner l’accès à chaque fois que possible. Les changements de fonction du personnel impliquent également une révision des accès.

3.3. Résiliation

En cas de départ volontaire ou involontaire du personnel, l’équipe Sécurité suivra la procédure de sortie du personnel de WeGroup, qui comprend la révocation du compte utilisateur associé et la récupération, avant le dernier jour de travail, des appareils appartenant à l’entreprise, des clés du bureau ou des cartes d’accès, ainsi que de tout autre équipement et bien de l’entreprise.

4. Provenance de la Technologie

Comment WeGroup parvient-elle à construire, adopter, configurer et maintenir la technologie pour répondre à ses objectifs sécuritaires ?

4.1. Software Development

WeGroup stocke le code source dans son propre service Git hébergé. Les équipes Sécurité et Développement procèdent à des examens decode et exécutent des outils d’analyse statique de code sur chaque commit. Les réviseurs s’assureront du respect des conventions et du style de WeGroup, vérifieront les bugs potentiels et les éventuels problèmes de performance, et veilleront à ce que le commit soit limité à son seul objectif.

Des analyses de sécurité seront menées sur chaque commit de code pour les modules critiques en termes de sécurité. Ces modules incluent ceux qui concernent directement l’authentification, l’autorisation, le contrôle d’accès, l’audit et le cryptage.

Tous les principaux outils et bibliothèques de logiciels open source incorporés seront examinés en termes de robustesse, stabilité, performance, sécurité et maintenabilité.

Les équipes Sécurité et Développement établiront et respecteront un processus formel de mise à jour logicielle.

4.2. Gestion de la Configuration et du Changement

Les équipes Sécurité et Développement de WeGroup documenteront la configuration de tous les systèmes et services adoptés, qu’ils soient hébergés par l’entreprise ou par un tiers. Les bonnes pratiques du secteur et les directives spécifiques au fournisseur seront identifiées et intégrées dans les configurations du système. Toutes les configurations seront examinées au moins une fois par an. Toute modification des configurations sera impérativement approuvée par les personnes désignées et documentée en temps voulu.

Les configurations du système prévoiront les contrôles suivants selon une approche basée sur les risques et conformément à la présente Politique :

  • chiffrement de protection des données au repos
  • protection de la confidentialité, de l’authenticité et de l’intégrité des données en transit entrantes et sortantes
  • intégrité des données et des fichiers
  • détection et suppression des logiciels malveillants
  • saisie des journaux d’événements
  • authentification des utilisateurs administratifs
  • contrôle d’accès
  • suppression ou désactivation de logiciels et configurations inutiles
  • allocation de ressources matérielles suffisantes pour supporter des charges à 12 mois au moins

4.3. Services tiers

Pour chaque service tiers adopté par WeGroup, l’équipe Sécurité examinera le service et le fournisseur sur une base annuelle afin d’obtenir l’assurance que leur position en matière de sécurité est conforme à celle de WeGroup quant au type et à la sensibilité des données que le service stockera.

5. Classification et Traitement des Données

Comment WeGroup gère-t-elle les classifications et le traitement des données ?

5.1 Classification des Données

WeGroup gère les classes et règles de traitement suivantes pour les données client. Pour chaque classe de données, les équipesSécurité et Développement de WeGroup fourniront des systèmes informatiques spécifiques et dédiés dans DigitalOcean pour stocker et traiter les données de cette classe, et uniquement celles-là, sauf indication explicite contraire dansla Section 5. Pour toutes les catégories de données client, les systèmes correspondants peuvent stocker et traiter les éléments de données nécessaires à la bonne segmentation des données de chaque client, comme les identifiants client WeGroup.

Données du Compte Utilisateur Client

Il s’agit des données relatives aux comptes de connexion pour l’interface Web client www.wegroup.be utilisée pour les agents du service à la clientèle de WeGroup. Ces données seront cryptées au repos afin d’être protégées en cas de tentatives d’accès non autorisé. Les identifiants des comptes utilisateur seront hachés de manière à ce que les mots de passe en clair ne puissent pas être récupérés.

Coordonées client

Il s’agit des coordonnées des clients et agents du service à la clientèle de WeGroup.

Données de Préférences Client

Il s’agit des données relatives aux préférences spécifiques du client et aux configurations du service WeGroup effectuées parles agents du service à la clientèle.

Il s’agit des données que le service WeGroup collecte pendant l’enregistrement de la session. Les équipes Sécurité et Développement de WeGroup fourniront des systèmes spécifiques dans DigitalOcean pour stocker et traiter cette classe de données. Ces données seront cryptées au repos afin d’être protégées en cas de tentatives d’accès non autorisé.

Métadonnées relatives aux Transactions d’événements Client

Il s’agit des métadonnées sur les transactions réalisées sur toutes les autres classes de données client. Elles comprennent l’organisation du client et les identifiants utilisateur, les données syslog standard relatives aux utilisateurs du client, ainsi que les instances des coordonnées client et des données de préférences client. Cette classe ne comprend pas les données client enregistrées.

Les coordonnées client, les données de préférences client et les métadonnées relatives aux transactions d’événements client peuvent être stockées et traitées dans des systèmes hébergés dans des environnements autres que DigitalOcean, tels qu’approuvés par l’équipe Sécurité.


5.2. Accès des Employés de WeGroup aux Données Client

Les employés de WeGroup ne peuvent accéder aux données client que dans les conditions suivantes :

  • Depuis les appareils gérés
  • À des fins d’intervention en cas d’incident, d’assistance à la clientèle ou de test de fonctionnalité.
  • Aussi longtemps que nécessaire pour répondre à la finalité de l’accès
  • De manière contrôlable.

5.3. Accès client

WeGroup fournit des interfaces utilisateur Web (UI), des interfaces de programmation d’applications (API) et des installations d’exportation de données pour permettre aux clients d’accéder à leurs données.

5.4. Cas Exceptionnels

L’équipe Sécurité, en collaboration avec la direction générale, peut approuver des exceptions d’urgence à l’une des règles ci-dessus, en réponse à des incidents de sécurité, à des interruptions de service ou à des changements importants dans l’environnement opérationnel de WeGroup, lorsqu’il est considéré que ces exceptions bénéficieront et protègeront la sécurité et la mission de WeGroup, des clients de WeGroup et des visiteurs des sites Web des clients de WeGroup.

6. Vulnérabilité et Gestion des Incidents

Comment WeGroup détecte-t-elle et répond-elle aux vulnérabilités et aux incidents de sécurité ?

6.1. Détection de Vulnérabilité et Réponse

Les équipes Sécurité et Développement de WeGroup appliqueront l’ensemble des mesures suivantes pour détecter les vulnérabilités pouvant survenir dans les systèmes informatiques de WeGroup :

  • Vérification croisée de la vulnérabilité des bases de données avec tous les systèmes et progiciels qui prennent en charge les services critiques de WeGroup
  • Balayage automatique de code source sur chaque commit de code
  • Examens du code pour chaque commit de code critique en termes de sécurité
  • Analyse de vulnérabilité sur lesservices WeGroup
  • Test de pénétration annuel avec un prestataire indépendant

L’équipe Sécurité de WeGroup évaluera la gravité de chaque vulnérabilité détectée quant à la probabilité et à l’impact potentiel d’un exploit, et développera des stratégies d’atténuation et les calendriers associés. Les mesures d’atténuation appropriées comprennent la correction complète ou la mise en œuvre de contrôles compensatoires.

6.2. Détection aux Incidents et Résponse

L’équipe Sécurité de WeGroup appliquera l’ensemble des mesures suivantes pour détecter les incidents de sécurité :

  • Surveillance continue du trafic sur DigitalOcean et des charges de travail pour vérifier la présence d’activités malveillantes ou non autorisées
  • Surveillance continue des journaux pour vérifier la présence d’activités potentiellement malveillantes ou non autorisées
  • Examens relatifs aux causes de toute interruption de service
  • Réponse aux notifications d’incidents potentiels émanant d’employés, de sous-traitants ou de parties externes

L’équipe Sécurité de WeGroup déterminera si chaque indicateur est représentatif d’un incident de sécurité réel. La gravité, la portée et la cause profonde de chaque incident seront évaluées, et chaque incident sera résolu d’une manière et dans un délai proportionnels à la gravité et à la portée.

Si une violation de données affectant un client a été détectée, WeGroup assurera la communication avec le client quant à la gravité, la portée, la cause profonde et la résolution de la violation.

7. Poursuite des Activités et Reprise après Sinistre

Comment WeGroup préviendra-t-elle et se remettra-t-elle d’événements qui pourraient interférer avec les opérations prévues ?

Les services WeGroup hébergés dans DigitalOcean seront configurés de manière à résister à des interruptions de longue durée dans une zone et une région de disponibilité. L’infrastructure et les données de WeGroup sont répliquées dans plusieurs régions géographiques pour garantir ce niveau de disponibilité. WeGroup cible un RPO (objectif de point de reprise des données)proche de zéro pendant au moins 7 jours et jusqu’à 24 heures au-delà de 7 jours.

Des questions sur la sécurité ou la conformité ?

La sécurité des données de nos clients est une priorité absolue chez WeGroup. Notre objectif est de fournir un environnement sécurisé, tout en tenant compte des performances des applications et de l'expérience générale des utilisateurs.