Aller au contenu

Conditions de sécurité des informations

LE FOURNISSEUR fournira les Services et exécutera ses obligations en vertu du Contrat conformément :

une. (I) les présentes Conditions de sécurité des informations

b. (ii) Bonnes pratiques de sécurité

1. DÉFINITIONS

une. « Actif » désigne tout élément ou élément matériel et logiciel qui est ou peut être utilisé dans le but de créer, d'accéder, de traiter, de protéger, de surveiller, de stocker, de récupérer, d'afficher ou de transmettre des données du CLIENT.

b. « Données CLIENT » désigne toutes les données que le CLIENT, ou une personne agissant en son nom, fournit au FOURNISSEUR, ou permet au FOURNISSEUR d'accéder et de traiter, dans le cadre du Contrat.

c. « Cryptage » désigne le processus de conversion d'informations ou de données en code, notamment pour empêcher tout accès non autorisé.

d. « Patching » désigne toute mise à jour de logiciel et de système d'exploitation (OS) qui corrige les vulnérabilités de sécurité au sein d'un programme ou d'un produit.

e. « Test d'intrusion » désigne une cyberattaque simulée autorisée sur un système informatique, effectuée pour évaluer la sécurité du système.

f. « Système du FOURNISSEUR » désigne tout système ou actif détenu ou géré (en tout ou en partie) pour être exploité par ou au nom du FOURNISSEUR ou de l'un de ses affiliés.

g. « Incident de sécurité » désigne un incident, un événement et/ou un problème ayant entraîné une compromission réelle de la confidentialité, de l'intégrité et/ou de la disponibilité des données du CLIENT et/ou du Service.

h. « Environnement de production » désigne l'environnement dans lequel les données du CLIENT sont stockées et traitées.

je. « Environnement de test » désigne un environnement mis à disposition pour tester des programmes ou des produits logiciels récemment développés avant leur publication dans un environnement de production.

j. « Vulnérabilité » désigne l'existence d'une faiblesse/défaut constaté au sein du système.

k. « Trafic artificiellement gonflé » désigne tout trafic généré par des moyens automatisés ou frauduleux, y compris, mais sans s'y limiter, les robots, les fermes de clics ou tout autre moyen destiné à gonfler artificiellement les volumes de trafic.

2. ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION

LE FOURNISSEUR doit :

2.1. définir, documenter, mettre en œuvre et maintenir des politiques de sécurité conformes aux normes de l'industrie, tout en : - veiller au maintien de la confidentialité, de l'intégrité et de la disponibilité des données et des systèmes d'information. - se conformer aux exigences légales et réglementaires auxquelles le CLIENT et les Données CLIENT peuvent être soumis.

2.2. revoir ses politiques et procédures sur une base annuelle et/ou en réponse à tout changement important.

2.3. s’assurer que les politiques de sécurité sont documentées et approuvées par la direction du PRESTATAIRE et publiées et communiquées aux parties prenantes concernées.

2.4. s'assurer qu'ils disposent du nombre requis de professionnels de la sécurité qui seront responsables de la coordination et de la surveillance de toutes les fonctions, politiques et procédures de sécurité de l'information.

2.5. maintenir un processus de validation périodique interne et externe de l’efficacité de ses contrôles de sécurité. Le FOURNISSEUR devra rapidement traiter et résoudre toute lacune dans la mesure nécessaire pour se conformer aux obligations du FOURNISSEUR en vertu du Contrat et des présentes Conditions.

3. FORMATION RESSOURCES HUMAINES ET SÉCURITÉ

LE FOURNISSEUR doit :

3.1. définir, documenter, mettre en œuvre et maintenir une politique et une procédure appropriées de vérification des antécédents. Les vérifications peuvent inclure l’éducation et les antécédents professionnels de l’individu, son casier judiciaire, la vérification de ses références et toute exigence supplémentaire de vérification des antécédents conforme aux normes de l’industrie, conformément aux lois et réglementations pertinentes et applicables.

3.2. effectuer des vérifications des antécédents de tous les employés existants et nouveaux, y compris les employés contractuels.

3.3. veiller à ce que tous les employés soient liés par un accord de confidentialité approprié.

3.4. définir, documenter, mettre en œuvre et maintenir une formation formelle de sensibilisation à la sécurité et à la confidentialité pour tous les employés. Le FOURNISSEUR veillera à ce que ces formations soient dispensées avant d'accorder l'autorisation d'accéder ou d'utiliser des informations sensibles et de manière continue par la suite.

4. GESTION D'ACTIFS

LE FOURNISSEUR doit :

4.1. définir, documenter, mettre en œuvre et maintenir un inventaire précis et à jour qui enregistre tout le matériel et les logiciels, avec les informations sur le propriétaire et l'emplacement de chacun.

4.2. s’assurer que seules les applications logicielles et/ou les systèmes d’exploitation actuellement pris en charge et/ou recevant les mises à jour du fournisseur sont ajoutés à l’inventaire des logiciels autorisés du FOURNISSEUR.

4.3. s'assurer que tous les logiciels et matériels prenant en charge EOL (fin de vie) sont retirés de l'utilisation et que l'inventaire est mis à jour en temps opportun.

4.4. définir des règles pour l'utilisation acceptable de l'information et des actifs associés à l'information et au traitement de l'information.

4.5. s'assurer que toutes les informations sont classées en termes d'exigences légales, de valeur, de criticité et de sensibilité, et traitées conformément à leur étiquette de classification.

4.6. assurer un traitement et une élimination appropriés des données CLIENT provenant des systèmes du FOURNISSEUR : - l'élimination des enregistrements de données CLIENT doit être effectuée de manière sécurisée pour garantir que les données soient rendues irrécupérables. - un certificat de suppression doit être disponible pour toute demande ponctuelle de suppression de données du CLIENT.

5. CONTRÔLE D'ACCÈS

5.1. Dispositions générales

LE FOURNISSEUR doit :

5.1.1. définir, documenter, mettre en œuvre et maintenir une politique et des procédures de contrôle d'accès sur la base des besoins de l'entreprise et du principe du «moindre privilège» et garantir que seuls les employés autorisés ont accès aux systèmes du FOURNISSEUR.

5.1.2. veiller à ce que seuls des identifiants uniques soient utilisés et documenter toute exception et utilisation de comptes partagés.

5.1.3. garantir que tout accès aux systèmes du FOURNISSEUR qui stockent ou traitent les données du CLIENT est soumis à l'authentification multifacteur (MFA).

5.1.4. périodiquement, au moins une fois par an, examiner la pertinence des privilèges d'utilisateur attribués.

5.1.5. s'assurer que les activités de gestion des utilisateurs (ajout, modification ou suppression de privilèges d'utilisateur) sont effectuées sur la base d'une demande formelle valide et en temps opportun.

5.2. SÉCURITÉ D'ACCÈS À DISTANCE

LE FOURNISSEUR doit :

5.2.1. s'assurer qu'un ensemble approprié de contrôles de sécurité est mis en place pour empêcher tout accès à distance non autorisé aux systèmes du FOURNISSEUR. Ces contrôles comprennent au moins : - Tout accès à distance aux systèmes et/ou au réseau du FOURNISSEUR se fera uniquement via VPN et authentification multifacteur (MFA). - Toutes les données transitant par un mécanisme d'accès à distance doivent être cryptées depuis le point final (par exemple, un ordinateur portable) jusqu'au réseau. - Toutes les tentatives de connexion aux systèmes FOURNISSEUR à l'aide d'un mécanisme d'accès à distance non autorisé doivent être rejetées et enregistrées. - Les activités suspectes doivent être traitées conformément aux protocoles de sécurité pertinents.

5.3. GESTION DES MOTS DE PASSE

LE FOURNISSEUR doit :

5.3.1. définir, documenter, mettre en œuvre et maintenir une politique de mot de passe conformément aux meilleures pratiques de l'industrie et aux besoins internes de l'entreprise.

5.3.2. assurez-vous que les mots de passe sont suffisamment longs et complexes, ne contiennent pas de mots faciles à deviner et sont modifiés à intervalles réguliers.

5.3.3. assurez-vous que les comptes d'utilisateurs sont verrouillés après un certain nombre de tentatives infructueuses de saisie d'un mot de passe erroné et que le compte est verrouillé pendant un certain temps.

5.3.4. assurez-vous que les mots de passe sont stockés de manière sécurisée, de manière à les rendre inintelligibles pendant qu'ils restent valides.

6. CRYPTOGRAPHIE

LE FOURNISSEUR doit :

6.1. définir, documenter, mettre en œuvre et maintenir des politiques et procédures pertinentes qui réglementent l'utilisation de contrôles cryptographiques appropriés et les processus de gestion des clés définissant les règles d'utilisation, de protection et de durée de vie des clés cryptographiques et du matériel de chiffrement.

6.2. Assurez-vous que les données CLIENT sont protégées pendant leur transit ou au repos à l'aide de protocoles sécurisés (par exemple, TLS 1.2, AES-256 ou d'autres normes recommandées par l'industrie).

6.3. gérer toutes les clés de chiffrement dans un système de gestion de clés détenu et exploité par le FOURNISSEUR.

6.4. assurer une séparation appropriée des tâches au sein du processus de gestion des clés de chiffrement.

7. SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE

LE FOURNISSEUR doit :

7.1. définir, documenter, mettre en œuvre et maintenir des politiques et des procédures de sécurité physique pour empêcher tout accès physique non autorisé, tout dommage et toute interférence avec les informations et les installations de traitement de l'information de l'organisation qui stockent les données du CLIENT.

7.2. mettre en œuvre des processus et des contrôles de sécurité physique et environnementale conformément aux politiques et procédures définies. Le FOURNISSEUR peut sous-traiter tout ou partie des contrôles de sécurité physique à un tiers et il veillera à ce que des contrôles de même niveau soient en place et évaluera régulièrement la conformité du tiers.

7.3. s'assurer que les zones sécurisées sont protégées par des contrôles d'entrée appropriés et que seul le personnel autorisé est autorisé à y accéder.

7.4. assurez-vous que tous les visiteurs sont autorisés, disposent d’une pièce d’identité appropriée et n’ont accès qu’aux zones nécessaires.

7.5. veiller à ce que des armoires verrouillables soient utilisées pour sécuriser les informations confidentielles.

7.6. s'assurer que l'équipement contenant des supports de stockage est écrasé en toute sécurité avant sa mise au rebut ou sa réutilisation.

7.7. veiller à ce qu'une politique de bureau claire et une politique d'écran claire soient appliquées aux installations de traitement de l'information.

8. SÉCURITÉ DES OPÉRATIONS

LE FOURNISSEUR doit :

8.1. définir, documenter, mettre en œuvre et maintenir des procédures d'exploitation de sécurité pour la sauvegarde, la protection des points finaux, la gestion des vulnérabilités, les antivirus et antimalware, les correctifs, le renforcement du système et la journalisation.

8.2. effectuer régulièrement des évaluations de vulnérabilité et des tests d'intrusion conformément aux meilleures pratiques du secteur et aux besoins internes de l'entreprise. Le FOURNISSEUR doit également effectuer une évaluation des risques, suivie d'une résolution des problèmes identifiés.

8.3. s'assurer que les vulnérabilités sont traitées conformément à la priorité définie et dans les délais de résolution requis.

8.4. appliquer les correctifs et les mises à niveau à tous les niveaux de l'infrastructure conformément à la priorité définie.

8.5. garantir que les points finaux, les serveurs, les périphériques de stockage, les passerelles de messagerie/Web et le trafic de messagerie sont protégés par des outils anti-malware actifs lorsque cela est techniquement possible pour détecter et, dans la mesure du possible, prévenir les infections par des logiciels malveillants.

8.6. créer des copies de sauvegarde des informations, des logiciels et des images système et les tester régulièrement conformément aux meilleures pratiques du secteur et aux besoins internes de l'entreprise.

8.7. garantir qu'une journalisation appropriée est effectuée, avec suffisamment de détails et maintenue conformément aux périodes de conservation définies, tout en étant protégée contre la falsification et l'accès non autorisé.

8.8. définir, documenter, mettre en œuvre et maintenir les règles régissant l'installation des logiciels par les utilisateurs.

8.9. définir, documenter, mettre en œuvre et maintenir des normes pour la configuration sécurisée des points de terminaison, y compris, mais sans s'y limiter, les ordinateurs portables, les serveurs, les machines virtuelles, les bases de données et les périphériques réseaux afin de se protéger contre la perte de confidentialité, d'intégrité et de disponibilité des données CLIENT au repos et en transit.

9. SÉCURITÉ DES RÉSEAUX ET DES COMMUNICATIONS

LE FOURNISSEUR doit :

9.1. définir, documenter, mettre en œuvre et maintenir les mécanismes de sécurité et les exigences de gestion de tous les services réseau.

9.2. définir, documenter, mettre en œuvre et maintenir des normes strictes de configuration de cryptage et de sécurité pour sécuriser les communications sur les réseaux publics et non publics.

9.3. veiller à ce que les horloges de tous les systèmes de traitement de l’information concernés soient synchronisées sur une seule source de temps de référence.

9.4. surveillez le trafic Web et le périmètre du réseau pour détecter les cyberattaques et bloquer les services, les pages Web et le trafic malveillants.

9.5. s'assurer que les modifications apportées aux règles de pare-feu sont contrôlées par le biais d'un processus formel de demande/approbation et sont régulièrement examinées.

9.6. restreindre et contrôler l’accès aux organisations conformément aux meilleures pratiques du secteur et aux besoins internes de l’entreprise.

9.7. assurez-vous que le modèle de zonage est appliqué et que le réseau est segmenté de manière appropriée tandis que seuls l'accès et le trafic approuvés sont autorisés dans chaque segment.

10. CYCLE DE VIE DE DÉVELOPPEMENT DE LOGICIEL (SDLC)

LE FOURNISSEUR doit :

10.1. établir un cycle de vie de développement sécurisé pour garantir que les services sont développés et maintenus de manière sécurisée.

10.2. contrôler les modifications apportées aux systèmes au cours du cycle de vie de développement par des procédures formelles de contrôle des modifications.

10.3. veiller à ce que les environnements de développement, de test et de production soient séparés afin de réduire les risques d'accès non autorisé ou de modifications de l'environnement de production.

10.4. s'assurer que les exigences liées à la sécurité des informations sont incluses dans les exigences des nouveaux services ou des améliorations des services existants.

10.5. garantir que les données de test sont créées avec soin et de manière contrôlée, et que les données de production ne sont pas utilisées à des fins de test.

11. RELATIONS FOURNISSEURS

LE FOURNISSEUR doit :

11.1. définir, documenter, mettre en œuvre et maintenir des politiques et procédures de gestion des relations avec les fournisseurs qui définissent les principes et règles de base pour la gestion des relations avec les fournisseurs qui sont conformes aux exigences commerciales et de sécurité, ainsi qu'aux réglementations applicables, aux meilleures pratiques et aux normes internationales.

11.2. pour chaque fournisseur pouvant accéder, traiter ou stocker les données du CLIENT, le FOURNISSEUR doit évaluer et documenter la conformité de la solution du fournisseur. Pour les fournisseurs critiques, y compris les sous-traitants, une réévaluation doit être effectuée sur une base annuelle.

11.3. veiller à ce que toutes les exigences pertinentes en matière de sécurité des informations soient établies et convenues avec chaque fournisseur susceptible d'accéder, de traiter ou de stocker les données du CLIENT.

11.4. s'assurer qu'un accord valide définissant l'étendue du travail, la confidentialité, la sécurité et les exigences techniques (le cas échéant) de la relation commerciale est en place avec chaque fournisseur pouvant accéder, traiter ou stocker les données du CLIENT.

12. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION

LE FOURNISSEUR doit :

12.1. définir, documenter, mettre en œuvre et maintenir un processus formel pour signaler, répondre et gérer les incidents de sécurité de l'information. Cela comprendra au minimum : - Une procédure pour signaler de tels incidents/violations à la direction appropriée au sein de l'organisation du FOURNISSEUR. - Un processus d'identification, d'évaluation et de traitement des incidents de sécurité de l'information. - Une équipe clairement désignée pour gérer et coordonner la réponse à un incident. - Un processus documenté et testé pour gérer la réponse à un incident, y compris l'exigence de conserver des journaux d'actions et de problèmes appropriés pour inclure l'heure à laquelle l'incident s'est produit, la personne qui a signalé l'incident, à qui il a été signalé et ses effets. - L'obligation d'informer le CLIENT en temps opportun, et au plus tard 72 heures après l'incident de sécurité de l'information et l'impact négatif sur les services fournis au CLIENT sont confirmés. Un délai de notification plus court s’appliquera si cette exigence est basée sur la législation et/ou la réglementation applicable. - L'équipe de gestion des incidents du FOURNISSEUR devra, le cas échéant, travailler en collaboration avec les représentants de la sécurité du CLIENT jusqu'à ce que l'incident de sécurité des informations soit résolu de manière satisfaisante. - Le FOURNISSEUR doit s'aligner sur toutes les réglementations et législations nationales concernant la notification des incidents de sécurité de l'information auprès des autorités chargées de l'application de la loi, de la réglementation ou de toute autre autorité nationale.

13. GESTION DE LA CONTINUITÉ DES ACTIVITÉS

LE FOURNISSEUR doit :

13.1. définir, documenter, mettre en œuvre et maintenir un programme de continuité des activités.

13.2. identifier et prioriser les produits et services critiques du SMSBAT à l’aide d’un processus d’analyse d’impact commercial (BIA).

13.3. utiliser les informations et les méthodes d’évaluation des risques pour évaluer la menace de perturbation.

13.4. sur la base des résultats de l'analyse d'impact sur l'entreprise et de l'évaluation des risques, développer des stratégies de réponse et de récupération pour atténuer l'impact sur les services critiques lors d'un incident perturbateur.

13.5. élaborer des plans de continuité et de reprise des activités adaptés à leur objectif, régulièrement révisés, disponibles et simples à suivre et à comprendre.

13.6. élaborer des plans de gestion de crise et de communication pour une gestion efficace des crises, une priorisation de la communication et des moyens d'alerter sur les incidents.

13.7. offrir des formations et des exercices, développés en fonction des compétences requises, et dispensés aux employés ayant une responsabilité directe en matière de continuité des activités.

13.8. améliorer continuellement le programme de continuité des activités du SMSBAT grâce à une évaluation régulière et en tenant compte de tout changement dans les exigences légales et réglementaires.

14. CONFORMITÉ

LE FOURNISSEUR doit :

14.1. Se soumettre à des audits réguliers par rapport aux normes de l’industrie sur une base annuelle. Sur demande écrite du CLIENT, le PRESTATAIRE fournira au CLIENT une copie complète ou sommaire, selon le cas, de ses rapports alors en vigueur. LE PRESTATAIRE fournira également, au plus tard dix (10) jours ouvrables, des réponses écrites à toutes les demandes raisonnables (questionnaires, formulaires, etc.) formulées par le CLIENT afin de vérifier que le PRESTATAIRE se conforme aux exigences des présentes Conditions.

14.2. Dans la mesure requise par la réglementation applicable, une fois par an sur notification préalable d'au moins 30 jours calendaires, le FOURNISSEUR autorisera le CLIENT, ses auditeurs respectifs ou d'autres agents (chacun étant une « Partie d'audit ») à accéder aux locaux, aux dossiers et aux documents du Fournisseur comme raisonnablement requis par la Partie d'audit pour vérifier que le FOURNISSEUR se conforme aux exigences des présentes Conditions. Tout examen conformément au présent paragraphe ne nécessitera pas l'examen de données tierces et la partie auditante peut être tenue de conclure un accord de confidentialité avec le FOURNISSEUR dans la mesure où cela peut être raisonnablement nécessaire pour respecter la confidentialité des informations dont la partie auditante peut avoir connaissance au cours de l'examen. Chaque partie supportera ses propres frais liés à cet audit. Dans le cas où l’audit révèle un non-respect des obligations du FOURNISSEUR en vertu des présentes Conditions, le FOURNISSEUR devra rectifier ce non-respect dans un délai mutuellement convenu et supporter les coûts de ces actions.

14.3. Le PRESTATAIRE se réserve le droit d'imposer des limitations et des restrictions quant à l'affichage des informations confidentielles internes et à la prise de copies de toute preuve demandée aux points 14.1 et 14.2.

15. EXIGENCES DE SÉCURITÉ DU CLIENT

15.1. Mesures générales de sécurité

LE FOURNISSEUR doit :

15.1.1. LE FOURNISSEUR a défini, documenté, mis en œuvre et maintient des recommandations de sécurité pour les CLIENTS utilisant ses services de communication cloud. Le CLIENT devra examiner lesdites recommandations et les mettre en œuvre conformément à ses besoins commerciaux, ses capacités techniques et son appétit pour le risque.

15.1.2. Le CLIENT sera entièrement responsable de la bonne mise en place des mesures de sécurité de sa part et n'imposera aucune responsabilité au PRESTATAIRE en cas d'incident de sécurité résultant d'une mauvaise configuration des mesures de sécurité et techniques ou d'une négligence dans la mise en œuvre des mesures recommandées par le PRESTATAIRE.

15.2. Mesures d'atténuation de la sécurité de l'ACI

LE FOURNISSEUR doit :

15.2.1. LE FOURNISSEUR a défini, documenté et maintient des directives de sécurité pour la prévention des cas de fraude.

15.2.2. Un risque potentiel peut survenir sur le site Web ou l'application mobile du CLIENT intégré aux systèmes du FOURNISSEUR si une inscription ou un autre formulaire exécutant SMS MT avec OTP n'est pas protégé par un mécanisme anti-bot tel que CAPTCHA. Les vulnérabilités de ces applications peuvent conduire à des attaques de trafic artificiellement gonflé (AIT). Un mécanisme anti-bot tel que CAPTCHA est essentiel pour protéger le flux d'inscription des utilisateurs contre les fausses inscriptions automatisées qui exécutent des SMS MT avec des OTP.

15.2.3. Lorsque des attaques AIT se produisent, le trafic est envoyé vers l’infrastructure du FOURNISSEUR avec l’adresse IP source utilisée par le CLIENT au moment de la soumission. Le contenu SMS MT du trafic ne peut pas être distingué du trafic réel du CLIENT. En l’absence de retour d’information de la part du CLIENT, le PRESTATAIRE n’est pas en mesure de faire la différence entre l’AIT sur l’application du CLIENT et le trafic réel de la même application. En conséquence, le PRESTATAIRE ne peut être tenu responsable de la sécurité de la ou des applications web ou mobiles du CLIENT. Le CLIENT reconnaît en outre que tout le trafic reçu de l'infrastructure du CLIENT sera acheminé vers les opérateurs de réseau et facturé au CLIENT conformément aux termes de l'accord.

15.2.4. Le blocage des réseaux concernés n’empêcherait pas qu’un problème similaire se reproduise sur les réseaux activés, car la cause première du problème réside dans l’infrastructure du CLIENT. Par conséquent, il est impératif que le CLIENT adresse tous les formulaires de son site Internet ou de son application mobile qui exécutent des codes SMS MT OTP.

15.3. Demande d'augmentation de la limite de crédit

LE FOURNISSEUR doit :

15.3.1. La limite peut être rapidement épuisée si les vulnérabilités du site Web CLIENT ne sont pas corrigées. Par conséquent, le PRESTATAIRE demande au CLIENT de confirmer qu’il est conscient des risques et comprend les conséquences potentielles d’une augmentation de la limite de crédit.

15.3.2. En demandant une augmentation de limite de crédit, le CLIENT reconnaît sa responsabilité pour toute perte potentielle due aux attaques AIT et s'engage à payer toutes les dépenses qui pourraient en découler.