Lancement de 3 nouveaux modules propulsés par IA !

EN SAVOIR PLUS

La sécurité de Workai – ISO 27001, RGPD et la confidentialité

Chez Workai, nous donnons la priorité à la sécurité et à la confidentialité pour notre clientèle diversifiée. Notre plateforme et notre vision s’articulent autour de ces aspects cruciaux, garantissant une protection de haut niveau.

Notre infrastructure protège les données des clients à chaque étape, et nous fournissons des paramètres et des outils personnalisables permettant aux clients de définir leurs propres paramètres de sécurité.

Grâce à l’assistance de Workai, tous les clients peuvent faire confiance à une plateforme sécurisée et fiable qui répond à leurs besoins et à leurs préoccupations.

Une copie du certificat est disponible ici.

Déclaration de la direction générale

1.1     L’un des objectifs de l’organisation est d’améliorer systématiquement la qualité des services fournis et la sécurité des solutions informatiques conçues. Assurer la sécurité des informations concernant les données confiées par les clients et le savoir-faire est, entre autres, une condition préalable à la mise en œuvre réussie de cette stratégie. Pour ce faire, les moyens suivants sont mis en œuvre :

1.1.1    identifier et analyser les risques liés à la sécurité de l’information, procéder à des examens et prendre des mesures pour les réduire ;
1.1.2    sensibiliser les employés aux questions de sécurité de l’information ;
1.1.3    assurer la sécurité physique des biens de l’entreprise et des données stockées ;
1.1.4    la sécurité des liens Internet et des systèmes TIC ;
1.1.5    des règles appropriées en matière de sécurité de l’information dans les contrats conclus avec toutes les parties prenantes ;
1.1.6    l’attribution de la responsabilité d’assurer la sécurité de l’information ;
1.1.7    une approche systémique de la gestion de la sécurité de l’information.

1.2    Le conseil d’administration de l’entreprise déclare qu’il s’engage pleinement à créer les conditions nécessaires au bon fonctionnement du SMSI et à son amélioration. Le conseil d’administration de l’entreprise s’engage à respecter les exigences applicables en matière de sécurité de l’information. Il engage donc tous les employés et associés de l’organisation à appliquer et à respecter les principes du SMSI.

Certification ISO 27001

ISO 27001 est une norme largement reconnue à l’échelle mondiale pour la gestion de la sécurité de l’information. En 2022, Workai a mis en place un Système de Gestion de la Sécurité de l’Information (SGSI), et en 2023, il a obtenu la certification ISO 27001.
Dans le cadre de notre certification ISO 27001, Workai procède à des évaluations régulières des risques et élabore des plans de traitement des risques correspondants afin d’atténuer tout risque identifié. Cette approche proactive nous permet d’améliorer continuellement nos contrôles de sécurité. L’équipe de sécurité de Workai travaille constamment à l’amélioration de la pertinence, de l’adéquation et de l’efficacité de notre SMSI.

Structure et contrôle au sein de l’organisation

Sécurité et Confidentialité chez Workai
Workai emploie un Délégué à la Sécurité de l’Information (DSI) ainsi qu’un Délégué à la Protection des Données Personnelles (DPO). Leur tâche principale est d’évaluer et de mettre en place des mesures de contrôle de sécurité dans l’ensemble de l’organisation.

Sensibilisation à la sécurité
Nous proposons à nos employés une formation annuelle sur la sensibilisation à la sécurité, ainsi que des mises à jour régulières sur les derniers risques de sécurité et les meilleures pratiques pour les contrer. Chaque développeur de Workai reçoit une formation régulière sur la sécurité afin de rester informé des menaces qui pèsent sur le développement et de garantir la confidentialité des données de nos clients. Chaque employé et sous-traitant de Workai est tenu d’adhérer aux politiques de sécurité établies, qui englobent la confidentialité, la protection des données et le signalement des incidents.

Assurance de confidentialité
Les clauses de confidentialité font partie intégrante de tous les accords conclus par Workai avec ses clients. De plus, tous les employés et sous-traitants de Workai doivent signer des accords de confidentialité afin de protéger les données des clients. Nous avons mis en place des clauses de confidentialité similaires avec tous les fournisseurs qui traitent des informations personnelles ou confidentielles sur les clients, ce qui fait partie de notre processus d’évaluation des fournisseurs.

Signalement et gestion des incidents
Tous les employés de Workai, les sous-traitants et les principaux fournisseurs sont tenus de signaler tout incident de sécurité. Workai dispose d’un plan systématique pour traiter rapidement et efficacement tout incident de sécurité ou de disponibilité. Ce plan de réponse aux incidents comprend trois étapes visant à prévenir, identifier, rectifier et résoudre les incidents de sécurité.


Notre plan de réaction aux incidents inclut également un processus de gestion des problèmes visant à identifier les causes et à résoudre les incidents liés à la sécurité qui n’ont pas été précédemment identifiés. Toute l’équipe de sécurité est formée pour agir efficacement conformément au plan de réponse aux incidents établi. Ce plan est régulièrement évalué et mis à jour pour répondre aux exigences de la certification ISO 27001.

Planification d’urgence et redondance des systèmes
Workai a mis au point un système visant à réduire les interruptions de service dues à des catastrophes naturelles, à des dysfonctionnements matériels ou à d’autres incidents ou crises inattendus. Notre approche de la reprise après sinistre comprend l’utilisation de fournisseurs de services de pointe pour nous aider à fournir nos services. Des milliers d’entreprises font confiance à ces fournisseurs pour leurs besoins en matière de données et de services. Notre programme de reprise après sinistre met l’accent sur les catastrophes techniques dans le fonctionnement de la plateforme Workai. Il intègre des plans pour différents scénarios, ce qui permet de récupérer les données dans les situations d’urgence.

Hébergement au sein de l’Union européenne
L’hébergement au sein de l’Union européenne garantit que les données de Workai sont stockées dans une juridiction qui adhère aux exigences strictes de l’UE en matière de confidentialité et au Règlement général sur la protection des données (RGPD). En s’associant à Microsoft Azure, un fournisseur de services en nuage réputé, Workai peut tirer parti de ses serveurs basés dans l’UE, qui offrent des mesures de protection des données renforcées. Les installations de Microsoft Azure sont conformes aux normes ISO 27001, ce qui garantit que les données de Workai restent sécurisées et conformes aux réglementations strictes de l’UE en matière de protection de la confidentialité.

Hébergement en dehors de l’Union européenne
Bien que les serveurs de Workai puissent être hébergés en dehors de l’Union européenne, il est crucial de considérer les implications potentielles pour la confidentialité des données et la conformité au RGPD. Si Workai choisit un fournisseur d’hébergement situé dans un pays non membre de l’UE, il devra procéder à une évaluation approfondie et établir un cadre juridique pour garantir la protection adéquate des données personnelles. Cela pourrait impliquer la mise en œuvre de garanties appropriées telles que des clauses contractuelles standard ou l’obtention du consentement explicite de l’utilisateur pour les transferts de données transfrontaliers. Cependant, il est important de noter que l’hébergement en dehors de l’UE peut poser des défis pour répondre aux exigences spécifiques du GDPR et pourrait potentiellement avoir un impact sur le niveau de protection des données offert aux utilisateurs de Workai.

Sécurité des produits

Notre cycle de développement sécurisé (SDLC) décrit les procédures et les outils que nous utilisons dans le développement de logiciels et les opérations pour renforcer la sécurité. Ces techniques et ressources sont conformes aux normes industrielles reconnues et aux cadres correspondants.

Assurance de la qualité
Pour atteindre le niveau le plus élevé d’assurance qualité, nous exécutons de nombreux tests automatisés sur notre code fondamental. En outre, chaque modification du code proposée par nos développeurs est soumise à une évaluation par les pairs.

Environnements isolés
Les systèmes de test et de mise en scène de Workai sont logiquement distincts des systèmes de production. À des fins de test, Workai génère des données de test exclusives.

Tests de sécurité
Workai collabore avec des équipes externes de tests de pénétration pour effectuer régulièrement des tests indépendants au moins une fois par an. Dans le cadre de l’évaluation, Workai utilise une notation établie par le Common Vulnerability Scoring System (CVSS) pour déterminer la gravité de toutes les vulnérabilités détectées.

Confidentialité et protection des données

Originaire de l’Union européenne, Workai a fait de la protection de la confidentialité et des données des aspects fondamentaux du développement de ses produits, de son offre de services et de sa gouvernance interne. L’UE ayant des lois sur la confidentialité des données parmi les plus strictes au monde, nous intégrons notre expérience européenne dans notre méthodologie de création et de développement d’outils de communication avec les employés.

Accords sur le traitement des données (DPA) conformes au RGPD
Workai fournit à ses clients des Accords de Traitement de Données Personnelles (DPA) conformes au Règlement Général sur la Protection des Données (RGPD). De plus, dans le cadre du processus d’évaluation des fournisseurs, Workai signe des DPA avec tous les sous-traitants qui traitent des données personnelles.

Conformité au règlement général sur la protection des données de l’UE (RGPD)
Workai est conforme aux exigences du Règlement Général sur la Protection des Données de l’Union Européenne (RGPD), en offrant une plateforme de communication sécurisée qui protège également les données des employés et des clients de manière égale. La priorité absolue de Workai est le droit à la vie privée de ses clients et de ses employés, ainsi que la sécurité de leurs données personnelles.

Localisation des données

Nos serveurs, qui sont tous basés au sein de Microsoft Azure en Europe, possèdent les certifications suivantes : ISO 27001:2013, ISO 27017:2015, ISO 27018:2014, ISO 20000-1:2011, ISO 22301:2012, ISO 9001:2015 et CSA STAR.

Le stockage physique est crypté et, en outre, les disques marqués pour le remplacement sont réutilisés en toute sécurité à l’aide de méthodes conformes à la norme NIST 800-88.

Les services Azure intègrent des mécanismes multicouches qui garantissent un accès restreint aux ressources du client, protégeant ainsi l’entité supervisée contre l’accès non autorisé d’autres utilisateurs, y compris d’éventuels clients « malveillants » du service. Les fonctions de sécurité supplémentaires comprennent des mécanismes de notification pour toute tentative d’accès à l’environnement entre clients. Les ressources destinées aux clients sont protégées et des mesures sont en place pour empêcher une allocation excessive des ressources. Une description détaillée des mécanismes utilisés est disponible ici.

L’isolement est mis en œuvre à différents niveaux :

  • Isolation des clients au niveau de l’abonnement et des services d’autorisation.
  • Isolation des ressources au niveau de la couche informatique (machines virtuelles, services).
  • Isolation au niveau du réseau et des comptes de stockage de données.
  • Isolement au niveau du réseau par rapport au monde extérieur (implicitement l’internet).
Vous souhaitez en savoir plus sur notre protocole de sécurité ? Discutons-en.