start portlet menu bar end portlet menu bar

Les mesures techniques et organisationnelles (TOM) décrites ci-dessous s'appliquent à tous les produits proposés par HCLSoftware. Les preuves des mesures mises en œuvre et maintenues par HCLSoftware Security peuvent être présentées sous la forme d'attestations de conformité à jour, de rapports d'audit ou d'extraits provenant d'organismes indépendants, à la demande du client.

Politiques de sécurité

HCLSoftware dispose d'un système de gestion de la sécurité de l'information (ISMS) robuste. Les politiques de sécurité sont révisées chaque année et modifiées si HCLSoftware le juge nécessaire afin de maintenir la conformité en matière de sécurité.

Une revue de direction formelle est organisée tous les six mois afin d'évaluer l'efficacité des mesures techniques et organisationnelles. Cela comprend le suivi des indicateurs liés à la gouvernance, aux risques et à la conformité de notre système de gestion de la sécurité de l'information.

Les employés de HCLSoftware suivent chaque année une formation sur la sécurité et la confidentialité. HCLSoftware dispose d'une structure organisationnelle dédiée à la sécurité de l'information qui supervise tous les processus et activités liés à la sécurité de l'information pour HCLSoftware.

  • HCL a défini et documenté des politiques et des processus de confidentialité des données régissant l'accès aux données personnelles.
  • Une formation obligatoire sur la sensibilisation à la sécurité de l'information est dispensée.
  • HCL examine en permanence les journaux d'événements à la recherche de comportements malveillants/anormaux.
  • Tous les incidents confirmés signalés sont analysés afin d'en déterminer la cause profonde et l'impact. Les mesures correctives sont mises en œuvre par les responsables du processus. Les incidents clés, ainsi que leurs causes profondes et leur impact, sont signalés à la direction de HCL.
  • Les centres de données et l'organisation d'assistance de HCLSoftware sont certifiés ISO 27001.

Gouvernance et gestion internes des technologies de l'information et de la sécurité informatique

Un programme d'audit interne officiel est mis en place pour évaluer la conformité et la gouvernance de nos contrôles ISMS. Les indicateurs issus de notre programme d'audit interne sont présentés lors de nos revues de direction.

Certification/Assurance des processus et des produits

Des audits externes et indépendants sont organisés et gérés afin de répondre à nos besoins commerciaux en matière de certification/assurance. Cela comprend un examen complet et formel des processus et des produits pris en charge par notre SMSI.

Pour plus d'informations, consultez Demande de certification.

Gestion des risques

HCLSoftware a défini, documenté et mis en œuvre un cadre de gestion des risques basé sur la norme ISO 27005 afin d'identifier les risques liés à la sécurité, à la confidentialité et à d'autres exigences contractuelles. Tous les risques sont évalués afin de déterminer leur impact sur l'activité, puis analysés afin de déterminer les mesures appropriées à prendre.

HCLSoftware évalue et traite les risques et élabore des plans d'action pour atténuer les risques identifiés. Tous les secteurs de HCLSoftware disposent de points focaux chargés d'aider à l'identification et à la gestion des risques. Tous les risques sont examinés selon les besoins, au moins une fois par an.

Gestion des incidents

HCLSoftware applique une politique de réponse aux incidents et suit des plans de réponse aux incidents documentés, notamment en notifiant rapidement les violations, le cas échéant, aux autorités compétentes, aux clients et aux personnes concernées lorsqu'une violation est connue ou raisonnablement soupçonnée d'avoir un impact sur les données des clients.

Le programme de réponse aux incidents de HCLSoftware suit la norme NIST 800-61 r2 (voir schéma ci-dessous).

HCLSoftware gère des flux distincts pour les incidents suivants :

  • Incidents liés à la cybersécurité
  • Incidents liés aux données (y compris l'équipe chargée de la confidentialité lorsque des données à caractère personnel sont concernées)
La communication en dehors de HCL est gérée par les ressources appropriées en contact avec la clientèle.

HCL surveille les incidents de sécurité 24 heures sur 24, 7 jours sur 7, et les signale à l'équipe de gestion des incidents appropriée lorsqu'un événement est détecté. Le processus de gestion des incidents comprend l'isolation, l'éradication et la conservation, selon les besoins, et une analyse des causes profondes est effectuée pour les incidents graves ou critiques. Les activités post-incident comprennent également des examens visant à améliorer les processus et les outils, si nécessaire.

Sécurité physique et environnementale

HCLSoftware assure la sécurité physique de ses installations et centres de données, ce qui comprend la prise de précautions contre les menaces environnementales et les coupures de courant.

  • L'accès aux centres de données est contrôlé et limité en fonction du poste occupé et soumis à autorisation.
  • L'accès aux centres de données est accordé uniquement en fonction des besoins et fait l'objet d'un examen périodique.
  • L'accès physique aux bureaux est contrôlé par un mécanisme de contrôle d'accès.
  • L'entrée des visiteurs est contrôlée et enregistrée.
  • Toutes les zones critiques sont surveillées par des caméras de vidéosurveillance et les enregistrements sont conservés pendant au moins 30 jours.

Confidentialité des données

HCLSoftware a mis en place et maintiendra un programme de confidentialité conçu pour se conformer à toutes les réglementations en matière de confidentialité applicables à l'entreprise et aux données personnelles que nous détenons. Nous avons également mis en place des processus visant à garantir que nous traitons les données personnelles de nos clients conformément à nos obligations légales et à nos contrats avec nos clients. Le programme de confidentialité comprend, entre autres, les éléments suivants :

  1. Évaluation de l'impact sur la protection des données
  2. Politiques et procédures
  3. Formation sur la sensibilisation des employés à la protection de la vie privée
  4. Contrats clients
  5. Évaluations de l'impact du transfert de données
  6. Évaluations de la confidentialité des fournisseurs/tiers
  7. Confidentialité intégrée au produit dès sa conception
  8. Réponse aux demandes des personnes concernées
  9. Réponse aux incidents
  10. Documentation de la conformité aux réglementations mondiales en matière de confidentialité

Garantir une conservation limitée des données

  • Le service d'assistance ne collecte que les données personnelles nécessaires à la fourniture d'une assistance et de services connexes à nos clients. Le service d'assistance ne conserve pas les données des clients plus longtemps que nécessaire et prend toutes les mesures nécessaires pour garantir la sécurité et la suppression des données personnelles conformément aux politiques internes et aux lois applicables.
  • Les données diagnostiques stockées dans le référentiel de données clients (CuDaR) sont supprimées du référentiel actif après la clôture du dossier et leur suppression définitive des sauvegardes peut prendre jusqu'à 60 jours. Les données relatives aux dossiers stockées dans notre système de gestion des tickets sont conservées pendant une durée maximale de 5 ans après la clôture du dossier.

Accès aux données des clients et effacement de celles-ci

Le service d'assistance est en mesure de traiter les demandes des personnes concernées conformément aux politiques internes et aux lois applicables. Les clients ont accès à leurs données dans le portail d'assistance à la clientèle et peuvent les exporter si nécessaire. De plus, le service d'assistance HCL peut aider à exporter les données des clients à leur demande.

Pseudonymisation / Anonymisation

Des mesures de pseudonymisation ou d'anonymisation des données à caractère personnel sont mises en œuvre dans la mesure nécessaire dans les environnements de support hors production.

Cryptage des données personnelles

  • Lorsque des données personnelles sont transmises, un cryptage sécurisé de bout en bout de la communication est assuré. Tous les transferts de données personnelles s'effectuent via HTTPS/SFTP et utilisent au minimum le protocole TLS 1.2. La base de données backend est cryptée au repos à l'aide du cryptage AES-256.
  • Données en transit - Le cryptage TLS (Transport Layer Security) est requis pour toutes les connexions Internet lors de la connexion et toutes les données doivent être cryptées pendant leur transmission.
  • Données au repos - Les données clients stockées sont chiffrées. La gestion des clés est conforme aux meilleures pratiques du secteur. Le chiffrement utilise les normes AES 256.

Mesures de cryptage

  • Gestion des clés de chiffrement - Les procédures de gestion des clés cryptographiques sont documentées et automatisées. Des produits ou des solutions sont déployés pour maintenir le chiffrement des clés de chiffrement des données (par exemple, solution logicielle, module de sécurité matériel (HSM)). Il s'agit d'un chiffrement logiciel, la procédure de gestion des clés sera automatisée. Le chiffrement des données est configuré au repos et en transit.
  • Utilisations du chiffrement - La transmission d'informations confidentielles sur l'Internet public utilise toujours un canal chiffré. Les détails du chiffrement sont documentés si la transmission est automatisée. Si un chiffrement manuel est nécessaire, du personnel agréé et dédié est chargé de chiffrer/déchiffrer les données. Les informations confidentielles sont chiffrées pendant leur transit sur tout réseau utilisant des protocoles sécurisés tels que HTTPS, SSL, SFTP, etc. Les transmissions VPN sont effectuées sur un canal chiffré.

Configuration du système

La configuration par défaut sera renforcée conformément à notre configuration système définie par HCLSoftware, y compris les mots de passe avant de connecter l'appareil au réseau.

Confidentialité, intégrité, disponibilité et résilience des systèmes et services de traitement

  • Le support garantit la mise en place de contrôles appropriés pour protéger la confidentialité, l'intégrité et l'accessibilité des systèmes de support et des données des clients.
  • Le service d'assistance a mis en place un processus d'intégration et de désinscription des utilisateurs afin d'empêcher tout accès non autorisé aux données. Le service d'assistance suit les politiques documentées de réponse aux incidents ISMS et dispose d'un processus permettant de signaler les problèmes liés à la confidentialité et à la sécurité des données.
  • Les rôles et responsabilités sont segmentés au sein de l'organisation d'assistance afin de réduire les risques de modification non autorisée ou involontaire ou d'utilisation abusive des données. Le service d'assistance veille à ce que tout le personnel d'assistance suive chaque année les formations requises en matière de sécurité et de confidentialité.
  • Les centres de données et l'infrastructure cloud de gestion des tickets d'assistance sont conçus pour offrir une haute disponibilité grâce à des composants redondants et plusieurs chemins réseau afin d'éviter les points de défaillance uniques. L'architecture AHA (Advanced High Availability) est le principal moyen de rétablir le service en cas de perturbation susceptible d'affecter la disponibilité. Des sauvegardes complètes sont effectuées tous les sept jours directement sur disque dans le système de gestion des tickets d'assistance et sont conservées pendant 28 jours, avec des sauvegardes différentielles toutes les 24 heures.

Capacité à rétablir la disponibilité et l'accès aux données personnelles

  • Le service d'assistance dispose d'un plan de continuité des activités qui garantit la disponibilité de l'assistance en cas d'incident physique ou technique. Le PCA du service d'assistance guide la reprise des opérations à un niveau prédéfini, dans un délai prédéterminé, à la suite d'une interruption des activités. Le PCA est testé chaque année.
  • Les sauvegardes de la base de données sont effectuées dans le but d'éviter la perte de données personnelles en cas de dysfonctionnement technique ou d'erreur humaine. Des sauvegardes incrémentielles sont effectuées toutes les 12 heures sur le CuDaR (Customer Data Repository), avec des sauvegardes différentielles hebdomadaires et des sauvegardes mensuelles par écrasement. Les restaurations des sauvegardes de données sont testées régulièrement, au moins une fois par an.

Planification de la continuité des activités et de la reprise après sinistre

  • Des procédures de sauvegarde sont appliquées à tous les systèmes de développement critiques.
  • La sauvegarde est effectuée au niveau du stockage et respecte les normes industrielles. Chaque centre de données dispose de sa propre infrastructure de sauvegarde. Les procédures de stockage des données sont conformes à la norme ISO 27001.
  • Les interruptions et les pannes sont communiquées aux clients concernés. La communication comprend les informations suivantes :
    • Nature de l'impact
    • Sites / départements / processus concernés
    • Ampleur de l'impact
    • Adresse et coordonnées du service d'assistance informatique

Tester, évaluer et analyser l'efficacité des mesures techniques et organisationnelles

Nos mesures techniques et organisationnelles sont évaluées dans le cadre d'un audit formel et d'un programme de tests internes. Une revue de direction formelle est organisée tous les six mois afin d'évaluer l'efficacité de nos systèmes de gestion de la sécurité de l'information et, par conséquent, de nos mesures techniques et organisationnelles. Cela inclut des indicateurs et des mesures relatifs à la gouvernance, aux risques et à la conformité de notre système de gestion de la sécurité de l'information.

Gestion des accès utilisateurs

HCL met en place des contrôles appropriés pour demander, approuver, accorder, révoquer et revalider l'accès des utilisateurs aux systèmes. Seuls les employés qui en ont besoin dans le cadre de leur travail peuvent accéder aux données. Les demandes d'accès sont approuvées en fonction du rôle de chaque personne et l'accès des utilisateurs est régulièrement revu.

Les procédures d'accès logique définissent les processus de demande, d'approbation, d'octroi et de retrait des droits d'accès. Les procédures d'accès logique restreignent l'accès des utilisateurs (locaux ou distants) en fonction de leur rôle professionnel pour les applications et les bases de données (accès approprié basé sur le rôle/profil) afin de garantir la séparation des tâches. Les procédures sont revues, administrées et documentées en fonction de l'intégration, de la réaffectation des ressources ou du départ. Des examens des accès des utilisateurs sont effectués afin de garantir que les accès sont appropriés tout au long de l'année.

  • Tous les administrateurs système HCLSoftware sont authentifiés à l'aide d'une authentification multifactorielle, Tacca's, VPN, AD pour l'accès au système via la gestion des accès privilégiés.
  • De plus, l'utilisation de la gestion des accès privilégiés est enregistrée à des fins d'audit et d'analyse judiciaire.

Identification et autorisation des utilisateurs

Chaque utilisateur dispose d'un identifiant unique (identifiant utilisateur et mot de passe) pour accéder à son compte.

Protection des données pendant le stockage

Chaque utilisateur aura accès à ses données spécifiques et non à l'ensemble du stockage.

Gestion et contrôle des actifs - Ordinateurs portables, ordinateurs de bureau, serveurs, équipements réseau et actifs logiciels

  • Tous les actifs sont formellement déclarés, vérifiés et gérés dans un registre des actifs.
  • Les correctifs de système d'exploitation recommandés par le fournisseur sont testés et appliqués régulièrement aux ordinateurs de bureau, aux ordinateurs portables, aux serveurs et aux équipements réseau.
  • Les identifiants par défaut sont modifiés et désactivés. Les mots de passe sont modifiés après l'installation initiale. Les mots de passe par défaut des fabricants ne sont pas utilisés.
  • Si le partage de fichiers/répertoires d'un serveur vers d'autres ordinateurs est requis, il doit être activé de manière à ce que seuls les utilisateurs ayant besoin d'en connaître l'accès y aient accès, conformément au principe du moindre privilège.
  • Les horloges système de tous les serveurs et équipements réseau sont synchronisées et réglées sur l'heure du fuseau horaire du serveur/équipement. Seul le personnel autorisé a le droit de modifier ou de réinitialiser l'horloge système.
  • Les comptes administrateurs sont dotés de mots de passe forts et les privilèges sont accordés uniquement aux personnes identifiées. L'accès administrateur est régulièrement vérifié.
  • Le logiciel Endpoint Detection and Response (NexGen Antivirus & Malware) est installé le cas échéant.
  • Des sauvegardes et des vérifications de restauration sont effectuées pour les systèmes identifiés, sur demande et sur accord.
  • Seuls les ordinateurs portables appartenant à l'entreprise et gérés par celle-ci sont autorisés à l'intérieur des locaux.
  • Chaque employé d'HCL doit disposer d'un identifiant utilisateur et d'un mot de passe uniques pour accéder aux systèmes informatiques de l'entreprise.
  • Chaque identifiant utilisateur est associé à un mot de passe et les utilisateurs sont tenus de définir et de modifier leur mot de passe conformément à la politique de mots de passe d'HCL.
  • Les identifiants utilisateurs sont créés selon un processus défini et avec les autorisations appropriées.
  • Les comptes de service partagé sont gérés via la plateforme de gestion des accès privilégiés.

Commandes sans fil

  • Comment nous appliquons les contrôles sans fil :
    • Le point d'accès sans fil n'est accessible qu'à partir du serveur de saut de l'équipe réseau disposant d'un accès autorisé pour la gestion sans fil.
  • Comment nous appliquons les commandes sans fil :
    • Authentification SSID PNP-CORP – L'authentification sans fil est autorisée via le serveur Radius/AD, de sorte que seuls les utilisateurs HCLSW valides seront autorisés à se connecter au SSID.
    • Authentification des invités HCL-Software – L'authentification sans fil est autorisée via l'authentification du portail captif interne. Nous allons créer un nom d'utilisateur et un mot de passe en fonction de la demande actuelle du serveur (le ticket d'invité sans fil créera deux tâches, l'une pour créer les informations d'identification et l'autre pour les désactiver. La deuxième tâche sera attribuée après la date de fin de la demande WiFi).
    • Authentification HCL-TECH-SSID – L'authentification sans fil utilise une clé pré-partagée qui sera communiquée aux utilisateurs HCL Tech. Le mot de passe sera changé toutes les trois semaines.
  • Comment remplacer les paramètres par défaut du fournisseur :
    • Les modèles standard HCLSW sont utilisés.

Sécurité des e-mails

  • Tous les e-mails sont analysés à la recherche de virus ou de codes malveillants au niveau de la passerelle.
  • Les systèmes de messagerie électronique sont configurés pour limiter l'usurpation d'identité, le spam et le relais afin de se protéger contre ces pratiques.

Sécurité dans le cloud

Les ressources et les services cloud sont renforcés grâce aux normes CIS (Center for Internet Security).

  • Les normes et configurations relatives à la gestion de la sécurité dans le cloud sont surveillées en temps réel par notre équipe de détection, d'analyse et d'intervention, disponible 24 heures sur 24, 7 jours sur 7 et 365 jours par an.
  • Les logiciels de protection des charges de travail dans le cloud et de détection et réponse aux incidents au niveau des terminaux (antivirus et anti-malware de nouvelle génération) sont installés lorsque cela est applicable.
  • HCLSoftware utilise les pare-feu d'applications Web (WAF) des fournisseurs de services cloud pour se protéger contre les attaques DDoS et autres vecteurs d'attaques externes.

Opérations de sécurité

HCLSoftware dispose d'une équipe DART (Detection, Analytics and Response) disponible 24 heures sur 24, 7 jours sur 7 et 365 jours par an, qui fournit des services de surveillance et d'intervention en cas de dérogation aux normes définies, d'activité malveillante et/ou anormale et de modélisation des menaces.

  • Équipe d'intervention CSIRT définie.
  • Services d'investigation en cybersécurité.

Autres contrôles de sécurité

  • Les pare-feu sont configurés de manière à n'autoriser que le trafic d'applications de couche 7 autorisé.
  • Toutes les communications sécurisées chez HCL respectent la norme de cryptage en vigueur.
  • Les logiciels EDR et DLP sont installés sur tous les ordinateurs des utilisateurs finaux.

Recours à des sous-traitants ultérieurs

  • HCL fait appel à certains tiers pour la fourniture de ses services. Il s'agit notamment de tiers utilisés pour l'hébergement cloud et pour la fourniture de services d'assistance et de services connexes. La liste des sous-traitants susceptibles d'accéder aux données personnelles des clients est disponible sur notre Centre de gestion de la confidentialité à l'adresse suivante : https://www.hcltechsw.com/fr/resources/data-processing-and-transfers . Les clients peuvent s'abonner pour recevoir les mises à jour de la liste des sous-traitants.
  • HCLSoftware a conclu des accords de traitement des données, le cas échéant, avec tous les sous-traitants susceptibles d'accéder aux données personnelles des clients afin de garantir que des garanties appropriées sont en place pour la protection des données et les transferts de données sécurisés.