Mesures techniques et organisationnelles mises en œuvre par DigiCert pour garantir la confidentialité et la sécurité des informations

 

Afin de garantir la sécurité et la confidentialité des données dont elles disposent, DigiCert et ses filiales (ci-après dénommées ensemble, « DigiCert ») ont mis en œuvre une série de mesures (incluant des politiques, des bonnes pratiques, des procédures et des mécanismes) visant à prévenir toute consultation, divulgation, utilisation, modification, exposition ou destruction non autorisée ou involontaire desdites données. L’application de ces mesures nous permet d’identifier et de réduire ces risques de façon appropriée.

Les contrôles techniques et organisationnels déployés par DigiCert répondent aux normes sectorielles et à ses propres exigences métiers pour garantir les niveaux adéquats de confidentialité et de sécurité. Les mesures décrites ci-dessous représentent le niveau minimal de protection appliqué par DigiCert pour garantir la sécurité des données.

  1. Gestion des politiques et des documents – DigiCert teste et contrôle au moins une fois par an sa Politique de sécurité de l'information, ses Plans de continuité d’activité (PCA) et de reprise d’activité (PRA), ainsi que ses processus de réponse aux incidents. DigiCert établit et actualise des accords régissant le partage de données entre les différentes entités du groupe, ainsi que des accords de traitement des données avec ses fournisseurs. Outre les avis de confidentialité publiés par DigiCert relatifs à ses produits et services, DigiCert applique en interne et met à jour chaque année une politique de confidentialité régissant le cadre général des normes et des processus garantissant la confidentialité des données qu’elle détient.
  2. Contrôles de sécurité du réseau – Les administrateurs système de DigiCert veillent à ce que les composants des systèmes d’information accessibles au public (serveurs web publics, par exemple) soient hébergés dans des sous-réseaux distincts disposant de leur propre interface réseau physique. Ils veillent également à ce que les interfaces contrôlées sécurisant le périmètre réseau filtrent certains types de paquets pour protéger les appareils du réseau interne de DigiCert. Les pare-feu et autres systèmes de contrôle du périmètre sont configurés pour n’autoriser l’accès qu’aux services nécessaires aux opérations de DigiCert.
  3. Contrôles de sécurité des bases de données – Tout accès aux bases de données DigiCert, que ce soit via le système ou directement par ses collaborateurs, est suivi et journalisé pour détecter les modifications non autorisées. Les données contenues dans les bases sont chiffrées à l’aide d’un algorithme recommandé pour les instances sectorielles. L’accès direct à ces données est réservé à certaines fonctions, tel que spécifié dans la Politique de sécurité de l'information et la Déclaration des pratiques de certification DigiCert.
  4. Contrôles des accès et authentification – Chaque interaction utilisateur avec les systèmes DigiCert peut être tracée jusqu’à son auteur et les utilisateurs ne peuvent interagir avec les systèmes DigiCert sans s’être au préalable identifiés. Chaque membre du personnel de DigiCert doit s’authentifier sur les systèmes DigiCert avant de pouvoir accéder aux composants dont il a besoin dans le cadre de ses fonctions. Les rôles associés à chaque fonction sont spécifiés dans la Politique de sécurité de l'information et la Déclaration des pratiques de certification DigiCert. Les comptes, et tout autre type d’accès aux systèmes informatiques de DigiCert, doivent être approuvés conformément à la Politique d’accès utilisateur. DigiCert procède régulièrement (au minimum une fois par an) à l’examen des contrôles physiques et logiques définis dans les politiques applicables en la matière et mis en place afin d’authentifier les personnes autorisées.
  5. Contrôles du personnel – Après vérification de leurs antécédents, l’ensemble du personnel DigiCert et tous les autres intervenants amenés à accéder aux données et aux systèmes DigiCert doivent signer un accord de confidentialité et suivre les formations spécifiques à leurs rôles. DigiCert garantit la mise en œuvre de politiques et de procédures régissant la gestion des rôles de confiance, l’identification et l’authentification de chaque rôle, l’application de sanctions en cas d’action non-autorisée, la séparation des tâches, l’authentification des membres du personnel par badge et la suppression immédiate des droits d’accès des salariés/intervenants dont le contrat a été résilié.
  6. Contrôles de sécurité physique – Les accès aux bureaux, salles informatiques et espaces de travail abritant des données sensibles sont physiquement restreints. Les portes d’accès au bâtiment sont toujours verrouillées et celles des bureaux de DigiCert sont toutes équipées d’une serrure. Ces portes ne peuvent être franchies qu’à l’aide d’une carte ou de tout autre dispositif de contrôle d’accès délivrés uniquement après vérification des antécédents de chaque personne. Les data centers, les cages d’escalier et les bureaux de DigiCert sont tous sous vidéosurveillance. L’accès aux étages par les cages d’escalier est protégé par deux gardiens et un système d’autorisation biométrique. Tous les accès sont enregistrés.
  7. Gestion et correction des vulnérabilités – Des analyses mensuelles sont effectuées sur tous les actifs de DigiCert à l'aide d'outils de détection des vulnérabilités. Les systèmes nécessitant une remédiation doivent être corrigés dans les délais définis par Global Security Operations. Les délais sont basés sur le score CVSS (Common Vulnerability Scoring System) attribué. Les vulnérabilités critiques et élevées sont corrigées dans les 72 heures ou font l'objet d'un plan d'action, les vulnérabilités moyennes sont corrigées ou font l'objet d'un plan d'action dans les 30 jours, et les vulnérabilités faibles/informatives sont corrigées à la discrétion de DigiCert.
  8. Évaluation complète des risques – Une évaluation complète des risques est effectuée chaque année par DigiCert pour mettre en lumière les éventuelles menaces internes et externes qui planent sur la sécurité, la confidentialité et l'intégrité des données.
  9. Tests d’intrusion et évaluations externes – Un test d’intrusion est effectué par un prestataire externe au moins une fois chaque année. DigiCert réalise chaque année plusieurs tests d’intrusion sur le code, l'infrastructure et les systèmes, en plus de ses évaluations Red Team.
  10. Formation et sensibilisation – Les membres du personnel DigiCert et autres intervenants concernés assistent chaque année à des formations relatives à la confidentialité, à la sécurité et à la conformité. Les salariés et autres individus amenés à traiter des données sensibles ou à caractère personnel doivent suivre des formations supplémentaires. Toutes les personnes ayant accès aux systèmes ou aux données de DigiCert sont soumis à des politiques et des procédures régissant les opérations de traitement, en particulier aux stipulations de la Politique de sécurité de l’information, du Code de conduite et de la Politique d’utilisation acceptable de DigiCert.
  11. Contrôles des accès par des tiers – Les contrats conclus entre DigiCert et des tiers accédant à ses systèmes et données contiennent des clauses définissant les exigences appropriées en matière de sécurité et de confidentialité. Les tiers en question doivent également se soumettre à une évaluation de leur impact sur la sécurité et la confidentialité. Les risques qu’ils présentent sont minimisés avant tout accès.
  12. Protection des données lors du stockage et de la transmission – Toutes les données stockées dans les systèmes DigiCert sont chiffrées à l’aide d’un algorithme recommandé pour le secteur. De la même manière, l’ensemble des données échangées entre les systèmes DigiCert internationaux sont chiffrées en transit à l’aide d’un algorithme recommandé par les instances sectorielles.
  13. Stockage, conservation et suppression – Les informations stockées sur des supports physiques ou électroniques sont protégées par des contrôles techniques correspondant à leur niveau de classification. Ces informations sont supprimées conformément aux indications contenues dans nos PC/DPC et nos avis de confidentialité applicables.