Politique de sécurité

Shared Contacts for Gmail® traite des informations de contact, qui contiennent très souvent des données personnelles, dont la manipulation est sévèrement réglementée.

Nous prenons la sécurité des données très au sérieux et, en tant que partenaire Premium de Google, nous sommes tenus de respecter de nombreuses règles de sécurité. En outre, nous comptons parmi nos clients des institutions financières, des hôpitaux et des entreprises du classement Fortune 500 qui nous demandent de fournir des processus de sécurité haut de gamme.

L’approche générale de la sécurité suit la méthodologie EBIOS (la principale méthode utilisée en France).

L’approche visant à empêcher l’accès non autorisé aux données de nos clients est basée sur les principes suivants :

Sources de risque

Les 3 principales sources de risque sont prises en charge :

  • Personnes internes : Employés et contractants
  • Personnes externes : Prestataires, Concurrents, Tiers autorisés…
  • Sources non humaines : Virus, catastrophes naturelles, matériaux inflammables…

Actifs

Matériel informatique

Les données sont exclusivement hébergées sur des serveurs sécurisés, fournis par Google Cloud(Google Compute Platform Infrastructure) et les données ne transitent jamais sur d’autres types de matériels (USB, CD, téléphones portables, ordinateurs locaux etc.).

Bases de données

Les bases de données hébergeant les données de nos clients sont sécurisées et protégées par un mot de passe à l’intérieur du réseau. Seuls les managers/chefs d’équipe ont accès aux données en direct. Les développeurs travaillent sur des données en transit et n’ont pas la possibilité d’accéder aux données réelles.

Les mots de passe de la base de données et des passerelles sont sécurisés dans un fichier de cryptage dur qui est stocké sur un serveur séparé et qui est utilisé une fois par le serveur en direct à chaque déploiement.


Logiciels

Nous utilisons un nombre minimal d’outils tiers (Mongo DB, Zabbix, etc.) et chaque installation d’un nouveau logiciel doit faire l’objet d’un contrôle de sécurité strict, notamment en ce qui concerne les chevaux de Troie ou les spywares. Comme pour la base de données, seuls les utilisateurs qui ont besoin d’accéder à ces logiciels disposent des informations d’identification et des autorisations nécessaires pour les utiliser.

Réseau

Notre réseau est exclusivement basé sur le web, sur l’architecture de Google. Nous avons un employé affecté à plein temps à la gestion de la sécurité et aux autorisations d’accès.
L’accès à l’infrastructure (par exemple FTP) est protégé par 4 niveaux de restrictions :

  • Compte Google (seuls les identifiants de messagerie Google approuvés peuvent accéder à la plateforme GCP)
  • Authentification en 2 étapes du compte Google : Les utilisateurs qui se connectent à l’infrastructure GCP doivent utiliser la confirmation de leur identité en utilisant l’authentification par SMS.
  • Adresses IP : uniquement un ensemble d’adresses IP figurant sur une liste blanche. Les utilisateurs de Work from Home doivent communiquer leur adresse IP tous les jours.
  • Un système d’authentification interne supplémentaire en deux étapes, utilisant l’algorithme de mot de passe unique basé sur le temps (TOTP ; spécifié dans le RFC 6238) et l’algorithme de mot de passe unique basé sur HMAC (HOTP ; spécifié dans le RFC 4226), pour authentifier les utilisateurs.
  • Des mesures sont également en place pour prévenir les attaques DDos ou les injections SQL.
  • Nos employés sont également formés pour éviter les virus de type phishing ou “cloud based” (qui leur demanderaient de se connecter à leur compte Google pour ouvrir un fichier par exemple).

Personnes

  • Tous les employés et les contractants font l’objet d’un contrôle avant l’embauche. Ils signent un accord de confidentialité et se voient régulièrement rappeler les mesures de sécurité et de protection de la vie privée ainsi que les risques et les sanctions liés à la violation des données.
  • Le nombre d’utilisateurs accédant aux données des clients est strictement limité au personnel de sécurité et de gestion.
  • Les équipes de développement et d’assistance peuvent se faire passer pour des utilisateurs et accéder à leurs contacts à des fins de dépannage et d’assistance uniquement.
  • Toute activité sur les serveurs et les plateformes est enregistrée et contrôlée. Toute activité anormale sera immédiatement détectée (par exemple, un employé se faisant passer pour plusieurs utilisateurs du même domaine dans un court laps de temps et sans raison évidente) et devra justifier cette activité.