Account Executive Nederland
Account Executive Vlaanderen
La sécurité des données de nos clients est une priorité absolue chez WeGroup. Notre objectif est de fournir un environnement sécurisé, tout en tenant compte des performances des applications et de l'expérience générale de l'utilisateur.
Les systèmes sont protégés par une authentification basée sur des clés et l'accès est limité par un contrôle d'accès basé sur les rôles (RBAC). Le RBAC veille à ce que seuls les utilisateurs qui ont besoin d'accéder à un système puissent se connecter. Nous considérons que tout système qui héberge les données des clients que nous collectons, ou les systèmes qui hébergent les données que les clients stockent avec nous, sont de la plus haute sensibilité. L'accès à ces systèmes est donc extrêmement limité et étroitement surveillé.
WeGroup applique des normes et des mesures de sécurité strictes dans toute l'organisation. Chaque membre de l'équipe est formé et tenu à jour sur les derniers protocoles de sécurité. Nous faisons régulièrement des contrôles, des formations et des audits de nos pratiques et politiques.
DL'infrastructure de Linode est sécurisée par une approche de défense en profondeur par couches. L'accès à l'infrastructure du réseau de gestion est assuré par des points d'authentification à facteurs multiples qui limitent l'accès à l'infrastructure au niveau du réseau sur la base de la fonction de travail en utilisant le principe du moindre privilège. Tous les accès aux points d'entrée sont étroitement surveillés et sont soumis à des mécanismes rigoureux de contrôle des modifications.
Toutes les communications de l'application web WeGroup sont envoyées via HTTPS. Nous utilisons des algorithmes de haute qualité conformes aux normes industrielles, tels que aes256 et sha256. WeGroup surveille également activement la sécurité, les performances et la disponibilité 24 heures sur 24, 7 jours sur 7 et 365 jours par an. En ce qui concerne la protection de la vie privée, nous sommes membres du cadre Privacy Shield et vous pouvez consulter notre politique complète en la matière ici :
https://wegroup.be/fr/politique-de-confidentialite
Quel est ce document, pourquoi existe-t-il, que couvre-t-il et qui en est responsable ?
La présente politique définit les contrôles comportement aux, de processus, techniques et de gouvernance relatifs à la sécurité chez WeGroup, que tout le personnel est tenu de mettre en œuvre afin de garantir la confidentialité, l’intégrité et la disponibilité du service et des données de WeGroup (la « Politique »). Tout le personnel est tenu d’examiner et de connaître les règles et actions énoncées ci-dessous.
La présente Politique définit les exigences de sécurité pour :
En cas de conflit, les mesures les plus restrictives s’appliquent.
La présente Politique a été créée en étroite collaboration avec les dirigeants de WeGroup et est approuvée par eux. Au moins une fois par an, elle est examinée et modifiée si nécessaire pour garantir la clarté, la pertinence de la portée, le souci des intérêts des clients et du personnel et la réactivité générale face à l’évolution du paysage sécuritaire et des bonnes pratiques dans le secteur.
L’équipe Sécurité de WeGroup supervise la mise en œuvre de la présente Politique, et notamment :
Quelles sont les attentes de WeGroup vis-à-vis de son personnel et de l’environnement de travail concernant les systèmes et les données ?
WeGroup s’engage à protéger ses clients, son personnel, ses partenaires et l’entreprise contre toute action illégale ou préjudiciable perpétrée sciemment ou non par des individus dans le cadre de sa culture d’emploi établie, caractérisée par l’ouverture, la confiance, la maturité et l’intégrité.La présente section décrit les comportements attendus du personnel quant à la sécurité et à l’utilisation acceptable des systèmes informatiques chez WeGroup. Ces règles ont été mises en place pour protéger notre personnel et WeGroup elle-même, car une utilisation inappropriée peut exposer les clients et les partenaires à des risques tels que des logiciels malveillants, des virus, la compromission de systèmes et services en réseau et des problèmes juridiques.
Le comportement éclairé du personnel, qui constitue la première ligne de défense en matière de sécurité des données, joue un rôle essentiel dans la sécurité de toutes les données, indépendamment de leur format. Ces comportements comprennent ceux énumérés dansla présente section ainsi que toute exigence supplémentaire spécifiée dans le manuel de l’employé, les processus de sécurité spécifiques et d’autres codes de conduite applicables.
All employees and contractors must attend the WeGroup security training program, offered at least twice annually, to inform all users of the requirements of this Policy.
Il incombe à tout le personnel de prendre des mesures positives pour assurer la sécurité physique. Ainsi, il lui appartient de contester la présence de toute personne non reconnue dans un bureau soumis à des restrictions. Toute personne dont la présence est contestée et qui ne fournit pas de réponse appropriée doit être immédiatement signalée au personnel d’encadrement et à l’équipe Sécurité. Tous les visiteurs des bureaux de WeGroup doivent être enregistrés comme tels ou accompagnés par un employé de l’entreprise.
Le personnel s’assurera que les postes de travail ne contiennent pas de matériel sensible ou confidentiel et veillera à ce qu’ils soient débarrassés du matériel en question à la fin de chaque journée de travail.
Les appareils laissés sans surveillance doivent être verrouillés. Tous les appareils disposeront d’une fonction de verrouillage automatique de l’écran, configurée de manière à s’activer automatiquement après une inactivité de 15 minutes maximum.
Les systèmes doivent être utilisés à des fins professionnelles pour servir les intérêts de l’entreprise, de nos clients et partenaires dans le cadre d’activités normales. Il incombe au personnel de faire preuve de discernement quant à l’utilisation personnelle raisonnable des systèmes. Seuls le matériel et les logiciels gérés par WeGroup peuvent être connectés à ou installés sur les équipements ou réseaux de l’entreprise et utilisés pour accéder aux données de WeGroup. Le matériel et les logiciels gérés par WeGroup comprennent ceux qui sont la propriété de WeGroup et ceux qui appartiennent au personnel de l’entreprise, mais sont intégrés dans un système de gestion des appareils de WeGroup. Seuls les logiciels approuvés par WeGroup dans le cadre d’une utilisation professionnelle par WeGroup peuvent être installés sur l’équipement de l’entreprise. Tout le personnel est tenu de lire et comprendre la liste des activités interdites décrites dans la présentePolitique. Les modifications ou changements de configuration ne sont pas autorisés sans l’accord écrit explicite de l’équipe Sécurité de WeGroup.
L’utilisation de supports amovibles tels que les clés USB est interdite. Le personnel ne peut pas configurer les appareils de travail de manière à effectuer des sauvegardes ou des copies de données non conformes aux politiques de l’entreprise. Il est demandé au personnel de privilégier principalement la sauvegarde « dans le Cloud » et de ne recourir que de manière éphémère au stockage local sur des appareils informatiques. Les données de WeGroup seront enregistrées dans un stockage sécurisé sur le Cloud approuvé par l’entreprise (p. ex. : GoogleDocs) pour s’assurer que, même en cas de perte, de vol ou d’endommagement d’un appareil appartenant à l’entreprise, ces artefacts seront immédiatement récupérables sur un appareil de remplacement.
Les activités suivantes sont interdites. Dans certaines conditions et avec l’accord écrit explicite de l’équipe Sécurité, le personnel peut être exempté de certaines de ces restrictions pendant l’exercice de ses responsabilités professionnelles légitimes (p. ex. : tests de pénétration planifiés, le personnel responsable d’administrer les systèmes peut avoir besoin de désactiver l’accès au réseau d’un hôte si cet hôte perturbe lesservices de production).
La liste ci-dessous n’est pas exhaustive, mais tente de fournir un cadre pour les activités qui relèvent d’une catégorie d’utilisation inacceptable.
Les appareils appartenant au personnel et leur configuration logicielle peuvent être gérés à distance par les membres de l’équipe Sécurité via la technologie d’application de la configuration. Cette technologie peut être utilisée à des fins telles que l’audit/l’installation/la suppression d’applications logicielles ou de services système, la gestion de la configuration réseau, l’application de la politique des mots de passe, le cryptage des disques, la copie des fichiers de données vers/depuis les appareils des employés et toute autre interaction autorisée pour s’assurer que les appareils des employés respectent la présente Politique.
Tous les programmes logiciels, données et documents générés ou livrés par le personnel lors de la fourniture de services à ou au profit de WeGroup sont la propriété de cette dernière, sauf convention contractuelle contraire.
Bien que l’administration du réseau de WeGroup souhaite assurer un niveau raisonnable de confidentialité, les utilisateurs doivent savoir que les données qu’ils créent sur les systèmes de l’entreprise restent la propriété de WeGroup. En raison de la nécessité de protéger le réseau deWeGroup, la direction ne prévoit pas de garantir la confidentialité des informations privées du personnel stockées sur tout appareil réseau appartenant à WeGroup. Il incombe au personnel de faire preuve de discernement quant à un usage personnel raisonnable, notamment en ce qui concerne la navigation sur Interneten général ou les e-mails personnels. En cas de doute, le personnel consultera l’équipe Sécurité ou son responsable.
Le personnel structurera toute communication électronique en indiquant que le contenu pourrait être surveillé et que toute communication électronique est susceptible d’être transférée, interceptée, imprimée ou enregistrée par d’autres.
WeGroup se réserve le droit, à sa discrétion, d’examiner les fichiers ou communications électroniques du personnel dans la mesure nécessaire pour s’assurer que tous les supports et services électroniques sont utilisés conformément à toutes les lois et réglementations applicables ainsi qu’aux politiques de l’entreprise.
WeGroup se réserve le droit de contrôler périodiquement les réseaux et les systèmes pour s’assurer du respect de la présente Politique. À des fins de sécurité et de maintenance du réseau, les personnes autorisées au sein de WeGroup peuvent surveiller à tout moment l’équipement, les systèmes et le trafic du réseau.
Des vérifications d’antécédents peuvent être effectuées concernant tous les employés avant leur prise de fonctions. Si la vérification révèle des antécédents problématiques, les conséquences peuvent aller d’une limitation des privilèges de sécurité à la révocation de l’offre d’emploi et à la résiliation du contrat de travail.
L’équipe Sécurité met en œuvre un programme de sensibilisation à la sécurité à l’échelle de l’entreprise, offert à tout le personnel au moins une fois par an. Le programme, qui porte sur la sensibilisation à la sécurité, les politiques, les processus et la formation, vise à s’assurer que le personnel est suffisamment informé pour respecter ses obligations. Les principaux responsables du maintien de la sécurité chez WeGroup, en ce compris l’équipe Sécurité elle-même et le personnel clé de l’ingénierie/des opérations, suivent une formation continue plus technique.
En cas de licenciement ou de démission du personnel, l’équipe Sécurité mettra en œuvre, en coordination avec les Ressources Humaines, un processus de séparation standardisé visant à garantir que tous les comptes, les identifiants et l’accès des employés sortants ont été dés activés de manière fiable.
L’accès aux bureaux de WeGroup passe par un système de contrôle électronique qui prévoit une entrée avec gestion des identités, un contrôle programmable sur le temps d’accès de la journée et des audits d’utilisation. Toutes les portes doivent rester verrouillées en permanence dansdes conditions normales de travail. L’équipe Sécurité peut autoriser le déverrouillage des portes pendant de courtes périodes afin de répondre à des besoins justifiables d’accès physique. Des caméras de sécurité basées sur le Web sont positionnées de sorte à enregistrer des vidéos horodatées d’entrée/sortie, stockées hors site.
Un accès Internet sera fourni aux appareils via des connexions Ethernet filaire et Wi-Fi WPA2. Des commutateurs et routeurs réseau seront placés dans une armoire réseau verrouillée, à laquelle seule l’équipe Sécurité aura accès. Les cadres et l’équipe Sécurité de WeGroup peuvent accorder l’accès à l’armoire réseau à certaines personnes, au cas par cas et si nécessaire. Un pare-feu réseau qui bloque tout le trafic provenant du réseau WAN sera mis en place. Les services réseau accessibles par le WAN ne seront pas hébergés dans l’environnement de bureau.
Comment WeGroup définit-elle, contrôle-t-elle et gère-t-elle l’identité des utilisateurs et les autorisations octroyées au personnel ?
Chaque individu autorisé à accéder à un système contrôlé par WeGroup dispose d’un compte utilisateur G Suite reflétant son identité système. Ces comptes utilisateur doivent avoir un nom d’utilisateur unique, un mot de passe fort d’au moins 8 caractères et un mécanisme d’authentification à deux facteurs (2FA).
Les connexions par le personnel ne peuvent provenir que d’appareils gérés par WeGroup. L’authentification intervient via le système de gestion des comptes de Google, dont les détails sont disponibles sur https://gsuite.google.com/security. WeGroup recourt aux services de G Suite pour détecter les tentatives d’authentification malveillantes. Des tentatives répétées et infructueuses d’authentification peuvent entraîner le blocage ou la révocation du compte utilisateur incriminé.
Lorsqu’ils sont disponibles, les systèmes tiers doivent être configurés de sorte à déléguer l’authentification au système d’authentification des comptes G Suite de WeGroup (décrit ci-dessus), regroupant ainsi les contrôles d’authentification en un système unique de comptes utilisateur géré de manière centralisée par l’équipe Sécurité.
Si l’authentification par G Suite n’est pas possible, des mots de passe forts et uniques seront créés et stockés dans le système de gestion des mots de passe approuvé par WeGroup. Les mots de passe doivent être associés à une authentification à deux facteurs/MFA.
Les comptes utilisateur sont révoqués (c’est-à-dire désactivés mais non supprimés) immédiatement après le départ du personnel. Par mesure de précaution, tous les comptes utilisateur sont audités au moins une fois par trimestre et tous les comptes utilisateur inactifs sont révoqués.
WeGroup respecte le principe de moindre privilège, et toute action entreprise par un compte utilisateur fait l’objet de contrôles d’accès.
WeGroup utilise un modèle de contrôle d’accès basé sur les rôles (RBAC) recourant à des fonctionnalités fournies par Google telles que les unités organisationnelles, les comptes utilisateur, les groupes d’utilisateurs et les contrôles partagés.
WeGroup peut exiger le recours à un ou plusieurs navigateurs Web qui seront utilisés à des fins professionnelles usuelles, y compris pour accéder aux données de l’entreprise telles que les e-mails. Pour des rôles spécifiques tels que le développement logiciel et la conception Web, des activités professionnelles autres que celles mentionnées ci-dessus nécessitent le recours à une variété de navigateurs, et ces rôles peuvent utiliser ces navigateurs s’ils sont nécessaires aux dites activités.
Tout navigateur autorisé à accéder aux données de l’entreprise telles que les e-mails est soumis à une restriction basée sur une liste blanche énumérant les extensions de navigateur qui peuvent être installées.
L’accès aux opérations administratives est strictement limité aux membres de l’équipe Sécurité, et restreint en plus en fonction du mandat et du principe de moindre privilège.
Les politiques de contrôle d’accès sont revues régulièrement dans le but de réduire ou d’affiner l’accès à chaque fois que possible. Les changements de fonction du personnel impliquent également une révision des accès.
En cas de départ volontaire ou involontaire du personnel, l’équipe Sécurité suivra la procédure de sortie du personnel de WeGroup, qui comprend la révocation du compte utilisateur associé et la récupération, avant le dernier jour de travail, des appareils appartenant à l’entreprise, des clés du bureau ou des cartes d’accès, ainsi que de tout autre équipement et bien de l’entreprise.
Comment WeGroup parvient-elle à construire, adopter, configurer et maintenir la technologie pour répondre à ses objectifs sécuritaires ?
WeGroup stocke le code source dans son propre service Git hébergé. Les équipes Sécurité et Développement procèdent à des examens decode et exécutent des outils d’analyse statique de code sur chaque commit. Les réviseurs s’assureront du respect des conventions et du style de WeGroup, vérifieront les bugs potentiels et les éventuels problèmes de performance, et veilleront à ce que le commit soit limité à son seul objectif.
Des analyses de sécurité seront menées sur chaque commit de code pour les modules critiques en termes de sécurité. Ces modules incluent ceux qui concernent directement l’authentification, l’autorisation, le contrôle d’accès, l’audit et le cryptage.
Tous les principaux outils et bibliothèques de logiciels open source incorporés seront examinés en termes de robustesse, stabilité, performance, sécurité et maintenabilité.
Les équipes Sécurité et Développement établiront et respecteront un processus formel de mise à jour logicielle.
Les équipes Sécurité et Développement de WeGroup documenteront la configuration de tous les systèmes et services adoptés, qu’ils soient hébergés par l’entreprise ou par un tiers. Les bonnes pratiques du secteur et les directives spécifiques au fournisseur seront identifiées et intégrées dans les configurations du système. Toutes les configurations seront examinées au moins une fois par an. Toute modification des configurations sera impérativement approuvée par les personnes désignées et documentée en temps voulu.
Les configurations du système prévoiront les contrôles suivants selon une approche basée sur les risques et conformément à la présente Politique :
Pour chaque service tiers adopté par WeGroup, l’équipe Sécurité examinera le service et le fournisseur sur une base annuelle afin d’obtenir l’assurance que leur position en matière de sécurité est conforme à celle de WeGroup quant au type et à la sensibilité des données que le service stockera.
Comment WeGroup gère-t-elle les classifications et le traitement des données ?
WeGroup gère les classes et règles de traitement suivantes pour les données client. Pour chaque classe de données, les équipesSécurité et Développement de WeGroup fourniront des systèmes informatiques spécifiques et dédiés dans Linode pour stocker et traiter les données de cette classe, et uniquement celles-là, sauf indication explicite contraire dansla Section 5. Pour toutes les catégories de données client, les systèmes correspondants peuvent stocker et traiter les éléments de données nécessaires à la bonne segmentation des données de chaque client, comme les identifiants client WeGroup.
Il s’agit des données relatives aux comptes de connexion pour l’interface Web client www.wegroup.be utilisée pour les agents du service à la clientèle de WeGroup. Ces données seront cryptées au repos afin d’être protégées en cas de tentatives d’accès non autorisé. Les identifiants des comptes utilisateur seront hachés de manière à ce que les mots de passe en clair ne puissent pas être récupérés.
Il s’agit des coordonnées des clients et agents du service à la clientèle de WeGroup.
Il s’agit des données relatives aux préférences spécifiques du client et aux configurations du service WeGroup effectuées parles agents du service à la clientèle.
Il s’agit des données que le service WeGroup collecte pendant l’enregistrement de la session. Les équipes Sécurité et Développement de WeGroup fourniront des systèmes spécifiques dans Linode pour stocker et traiter cette classe de données. Ces données seront cryptées au repos afin d’être protégées en cas de tentatives d’accès non autorisé.
Il s’agit des métadonnées sur les transactions réalisées sur toutes les autres classes de données client. Elles comprennent l’organisation du client et les identifiants utilisateur, les données syslog standard relatives aux utilisateurs du client, ainsi que les instances des coordonnées client et des données de préférences client. Cette classe ne comprend pas les données client enregistrées.
Les coordonnées client, les données de préférences client et les métadonnées relatives aux transactions d’événements client peuvent être stockées et traitées dans des systèmes hébergés dans des environnements autres que Linode, tels qu’approuvés par l’équipe Sécurité.
Les employés de WeGroup ne peuvent accéder aux données client que dans les conditions suivantes :
WeGroup fournit des interfaces utilisateur Web (UI), des interfaces de programmation d’applications (API) et des installations d’exportation de données pour permettre aux clients d’accéder à leurs données.
L’équipe Sécurité, en collaboration avec la direction générale, peut approuver des exceptions d’urgence à l’une des règles ci-dessus, en réponse à des incidents de sécurité, à des interruptions de service ou à des changements importants dans l’environnement opérationnel de WeGroup, lorsqu’il est considéré que ces exceptions bénéficieront et protègeront la sécurité et la mission de WeGroup, des clients de WeGroup et des visiteurs des sites Web des clients de WeGroup.
Comment WeGroup détecte-t-elle et répond-elle aux vulnérabilités et aux incidents de sécurité ?
Les équipes Sécurité et Développement de WeGroup appliqueront l’ensemble des mesures suivantes pour détecter les vulnérabilités pouvant survenir dans les systèmes informatiques de WeGroup :
L’équipe Sécurité de WeGroup évaluera la gravité de chaque vulnérabilité détectée quant à la probabilité et à l’impact potentiel d’un exploit, et développera des stratégies d’atténuation et les calendriers associés. Les mesures d’atténuation appropriées comprennent la correction complète ou la mise en œuvre de contrôles compensatoires.
L’équipe Sécurité de WeGroup appliquera l’ensemble des mesures suivantes pour détecter les incidents de sécurité :
L’équipe Sécurité de WeGroup déterminera si chaque indicateur est représentatif d’un incident de sécurité réel. La gravité, la portée et la cause profonde de chaque incident seront évaluées, et chaque incident sera résolu d’une manière et dans un délai proportionnels à la gravité et à la portée.
Si une violation de données affectant un client a été détectée, WeGroup assurera la communication avec le client quant à la gravité, la portée, la cause profonde et la résolution de la violation.
Comment WeGroup préviendra-t-elle et se remettra-t-elle d’événements qui pourraient interférer avec les opérations prévues ?
Les services WeGroup hébergés dans Linode seront configurés de manière à résister à des interruptions de longue durée dans une zone et une région de disponibilité. L’infrastructure et les données de WeGroup sont répliquées dans plusieurs régions géographiques pour garantir ce niveau de disponibilité. WeGroup cible un RPO (objectif de point de reprise des données)proche de zéro pendant au moins 7 jours et jusqu’à 24 heures au-delà de 7 jours.
.svg)
