Sécurité & confidentialité
Confiance
Depuis sa création, ThousandEyes a toujours mis un point d’honneur à assurer la sécurité et la confidentialité des données de ses clients. Nos clients nous autorisent en toute confiance à collecter et à archiver des données sur le rendement des réseaux et des applications qu’ils utilisent. Selon le scénario de déploiement et les cas d’usage propres à chaque client, il peut s’agir d’informations disponibles sur Internet qui font partie du domaine public et/ou d’informations issues de réseaux privés d’entreprises. Nous considérons toutes les données collectées comme extrêmement sensibles et nous avons mis en place un système de gestion capable d’assurer leur confidentialité, leur intégrité, leur disponibilité et leur caractère privé.
Nous avons commencé par poser des bases solides pour notre système de gestion de la sécurité de l’information en adoptant la norme ISO/IEC 27001, largement reconnue et respectée. Notre système de gestion de la confidentialité des informations est certifié conforme à ISO 27701.
Ces cadres forment conjointement le cadre ThousandEyes USPMF (Unified Security and Privacy Management Framework, notre cadre de gestion unifiée de la sécurité et de la confidentialité) qui repose sur des politiques, des normes, des technologies et des processus stricts. Nous améliorons continuellement notre cadre USPMF par la mise en œuvre de contrôles techniques et organisationnels supplémentaires afin d’assurer en permanence la protection des données des clients conformément aux bonnes pratiques actuelles.
En tant que fournisseur de services infonuagiques, ThousandEyes partage la responsabilité de la sécurité et de la confidentialité avec ses clients. Consultez les informations ci-dessous pour en savoir plus sur votre rôle en matière de mise en œuvre des contrôles de sécurité et des activités opérationnelles.
Programme de primes de bogues
ThousandEyes s’engage à fournir des niveaux d’assurance de sécurité élevés à ses clients, à ses partenaires et à la communauté. Le programme de récompense de vulnérabilité Cisco ThousandEyes fait partie de notre stratégie de sécurité générale. Il encourage les chercheurs externes à collaborer avec notre équipe de sécurité pour protéger la plateforme.
Si vous pensez avoir découvert une vulnérabilité dans l’un des produits, services, sites Web ou autre infrastructure de ThousandEyes, ou pour signaler un problème soupçonné, envoyez vos découvertes à bugcrowd.com/thousandeyes-og. Dès la réception de votre demande, Bugcrowd collaborera avec l’équipe de sécurité ThousandEyes pour la trier et y répondre. Nous vous invitons à coopérer en nous faisant part de tout renseignement concernant ce problème et en collaborant de manière responsable avec nous afin de protéger nos clients, nos partenaires et la communauté.
Sécurité de l’information
Organisation de la sécurité de l’information
La sécurité de l’information chez ThousandEyes relève de la responsabilité du directeur de la sécurité des systèmes d’information. Son équipe supervise tous les aspects liés à la protection des données : sécurité et confidentialité commerciales, physiques et techniques. Elle s’occupe également des audits et de la conformité ainsi que de la gestion globale des risques.
Sécurité liée aux ressources humaines
Nous estimons que la sécurité de l’information commence au niveau des individus et qu’il n’est pas suffisant de protéger uniquement les systèmes physiques. Nous investissons donc dans la formation et la sensibilisation à la sécurité de tous nos employés afin de les armer des connaissances nécessaires pour prendre en charge nos systèmes de gestion de la sécurité et de la confidentialité dès leur embauche.
Gestion des ressources et des risques
Toutes les informations sont structurées selon un schéma de classification des données à trois niveaux en fonction de leur confidentialité. De plus, nous exigeons la mise en œuvre de contrôles de sécurité spécifiques. Les risques liés à chaque ressource d’information essentielle doivent être évalués afin de vérifier si les contrôles existants respectent les critères définis. Toutes les données des clients sont considérées comme confidentielles par défaut ; ainsi, elles requièrent toujours le plus haut niveau de protection.
Contrôle d’accès
L’accès aux informations est accordé en fonction des besoins et contrôlé par un processus géré qui traite les autorisations pour les nouveaux accès, procède aux révocations en temps opportun si nécessaire et examine régulièrement les listes d’accès aux informations essentielles.
Cryptographie
Tous les contrôles cryptographiques effectués par ThousandEyes sont conformes aux réglementations et aux restrictions juridiques internationales et requièrent des procédures fortes de gestion des clés.
Sécurité physique et environnementale
Les centres de données et les bureaux sont équipés de systèmes de contrôle d’accès et de vidéosurveillance qui assurent la sécurité sur site 24 h/24, 7 j/7. ThousandEyes impose des centres de données conformes aux exigences de Tier III.
Sécurité des opérations
L’ensemble des réseaux, des systèmes et des applications est configuré, mis en oeuvre et sauvegardé afin d’en assurer le fonctionnement prévu. Un logiciel contre les programmes malveillants est déployé sur tous les systèmes essentiels accessibles aux clients.
Sécurité des communications
Toutes les ressources de communication ThousandEyes sont utilisées en toute cohérence avec nos principes commerciaux et éthiques. Nous avons également mis en place des contrôles pertinents comme l’utilisation de la cryptographie pour la transmission des données sensibles.
Acquisition, développement et maintenance des systèmes
Nous avons par exemple mis en place les contrôles suivants : test d’intrusion et vérification du code dans le cadre du processus d’approbation. De plus, nos méthodologies sécurisées de déploiement et de conception du cycle de vie de développement des logiciels sont constamment améliorées pour suivre l’évolution des bonnes pratiques actuelles et garder une longueur d’avance sur les dernières menaces.
Services tiers
Lorsque des tiers contractuels agissent en notre nom, nous leur demandons de respecter les normes rigoureuses de sécurité et de confidentialité que nous respectons nous-mêmes en interne. Ces procédures nécessaires font partie de notre processus de gestion des risques des prestataires et englobent un contrôle de sécurité complet de l’entreprise tierce ainsi que des produits et des services qu’elle propose.
Supervision de la sécurité et gestion des incidents
Nous supervisons constamment notre réseau, nos systèmes et nos applications à la recherche de divers types d’événements. Sans surprise, notre propre solution de supervision nuage se supervise elle-même et d’autres composants de nos infrastructures technologiques. En cas de détection d’un événement critique, un plan de réponse aux incidents est immédiatement déclenché.
Confidentialité
La Déclaration de confidentialité en ligne de Cisco et ce résumé s’appliquent aux sites Web de Cisco et aux sites Web de ses sociétés affiliées qui comportent un lien vers cette déclaration.
Cisco respecte les renseignements personnels et s’engage à les protéger. Notre Déclaration de confidentialité évoque les normes et les principes internationaux actuels régissant le traitement des renseignements personnels : transparence, équité et responsabilisation. Vous trouverez ci-dessous quelques points importants de la Déclaration de confidentialité en ligne de Cisco. Veuillez noter que des informations plus détaillées sur la manière dont Cisco traite les renseignements personnels peuvent être consultées dans les divulgations d’offre, les descriptions d’offre ou tout autre avis fourni avant ou au moment de la collecte des données.
Renseignements personnels
Nous recueillons des renseignements personnels pour de nombreuses raisons, telles que le traitement de votre commande, le provisionnement de sites Web et de solutions et l’activation de leurs fonctionnalités, la fourniture de votre abonnement au bulletin d’information, l’envoi de communications commerciales et de marketing, la personnalisation de votre expérience ou la gestion des candidatures à une offre d’emploi.
Nous vous informerons de la finalité de la collecte de vos renseignements personnels au moment où nous les recueillerons, et nous les conserverons uniquement pour atteindre les objectifs pour lesquels ils ont été collectés, ou selon les exigences des lois applicables ou pour des finalités légitimes.
Nous pouvons combiner les renseignements que nous recueillons sur vous avec d’autres renseignements obtenus à partir d’autres sources pour nous aider à améliorer leur précision et leur exhaustivité, ainsi que pour nous aider à améliorer et à mieux adapter nos interactions et performances avec vous.
Nous pouvons également recueillir des renseignements relatifs à votre utilisation de nos sites Web et de nos solutions basées sur le Web grâce à l’utilisation de diverses technologies, notamment les témoins.
Avis et vos choix relatifs à l’utilisation des données
Nous utiliserons vos renseignements personnels aux fins pour lesquelles ils ont été recueillis et nous ne les utiliserons pas à d’autres fins sans demander au préalable votre autorisation ou sans avoir de bases juridiques pour leur utilisation.
Nous demanderons votre autorisation avant d’envoyer vos renseignements personnels à des tierces parties pour toute fin différente de la raison pour laquelle vous nous les avez fournis ou conformément à toute autre disposition énoncée dans notre Déclaration de confidentialité en ligne.
Pour en savoir plus sur la façon dont Cisco peut traiter vos renseignements personnels ou sur l’utilisation de témoins ou d’autres technologies Web, consultez la version complète de notre Déclaration de confidentialité en ligne.
Accès aux données et intégrité de celles-ci
Pour mettre à jour vos renseignements personnels et vos préférences de communication, cliquez ici ou consultez le site Web du produit ou du service concerné.
Sécurité des données
Nous nous engageons à protéger vos renseignements personnels contre toute utilisation et toute divulgation non autorisées.
Transfert ultérieur
En tant qu’entreprise internationale, nous pouvons transférer vos renseignements personnels à des entités Cisco situées aux États-Unis, à toute filiale de Cisco de par le monde, ou à des tiers autorisés agissant en notre nom et situés à l’extérieur du pays où les données sont collectées. Ces transferts peuvent avoir lieu vers des territoires où les normes de protection des données diffèrent de celles en vigueur dans votre pays. Nous ne transférons vos renseignements personnels à des tiers que si ceux-ci s’engagent à assurer un niveau de protection au moins équivalent à celui que nous appliquons à vos données.
Pour obtenir des informations plus précises sur les pratiques de traitement des données et les contrôles de sécurité de Cisco ThousandEyes, veuillez consulter notre |Divulgation d’offre. Veuillez noter que, dans le cadre de l’instance ThousandEyes for Government, tous les renseignements personnels sont hébergés sur le territoire continental des États‑Unis, sauf indication contraire du client.
Renseignements importants
Nos politiques et pratiques relatives à la protection des données personnelles et à la vie privée sont conçues pour se conformer aux lois applicables dans le monde entier et pour gagner et maintenir votre confiance en Cisco.
Cisco est certifiée dans le cadre du système APEC Cross Border Privacy Rules (CBPR) et du programme Privacy Recognition for Processors en ce qui concerne le traitement des renseignements personnels et les transferts vers/depuis les économies membres de l’APEC. Pour obtenir plus d’informations sur l’étendue de notre participation ou pour envoyer une demande relative à la confidentialité via BBB National Programs, notre agent de responsabilité, veuillez cliquer sur le sceau officiel ci‑dessous :
Nos règles de contrôle internes de l’entreprise garantissent la protection des renseignements personnels issus de l’Union européenne lors de leur transfert dans le monde entier par Cisco agissant en tant que contrôleur des données.
Cisco est également certifiée et adhère au cadre du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis, tel qu’élaboré par le ministère du Commerce des États-Unis et relatif à la collecte, à l’utilisation et au traitement de renseignements personnels en provenance des pays de l’UE/EEE, du Royaume-Uni et de la Suisse.
Si vous avez des questions, des commentaires ou des préoccupations concernant la présente déclaration de confidentialité ou le traitement de vos renseignements personnels, cliquez ici.
Si vous avez une question concernant la confidentialité ou l’utilisation des données à laquelle nous n’avons pas répondu de manière satisfaisante, contactez notre fournisseur tiers de résolution de litiges aux États-Unis (service gratuit).
Références
Pour en savoir plus sur nos pratiques de confidentialité, reportez-vous à la version complète de la déclaration de confidentialité en ligne Cisco.
Dernière mise à jour : 1er décembre 2021
Conformité
ThousandEyes et ses employés respectent un grand nombre de lois et réglementations :
Nous avons mis en place une méthodologie en deux étapes en matière de conformité. Tout d’abord, nous vérifions que toutes les exigences externes et internes sont intégrées dans nos politiques et prises en charge par les normes, les technologies et les processus sous-jacents. Ensuite, par le biais d’évaluations des risques et d’audits internes, nous vérifions régulièrement que tous les contrôles de sécurité sont bien mis en œuvre et fonctionnent efficacement.
Nous faisons appel à un tiers indépendant pour établir une attestation AT Section 101 qui génère un rapport SOC2 type II pour le principe de sécurité valable pendant 12 mois. Par ailleurs, le système de gestion de la sécurité de l’information prenant en charge notre logiciel de gestion du rendement du réseau en tant qu’application de service a été certifié conforme aux normes ISO/IEC 27001:2013 et ISO/IEC 27018:2019 par un organisme de certification indépendant. Notre système de gestion de la confidentialité des données prenant en charge notre logiciel de gestion du rendement du réseau en tant qu’application de service a également été certifié conforme à la norme ISO/IEC 27701:2019 par un organisme de certification indépendant. Enfin, un tiers indépendant effectue une évaluation des risques de l’entreprise chaque année pour contrôler nos ressources d’informations essentielles.
ThousandEyes est membre de la Cloud Security Alliance. Dans ce cadre, nous partageons des informations et nous collaborons avec d’autres entreprises en tête du secteur pour préserver de bonnes pratiques de sécurité optimales. ThousandEyes est également membre du centre CIS (Center for Internet Security), une entité avant-gardiste à but non lucratif qui tire parti des formidables capacités de la communauté TI mondiale pour protéger les entreprises privées et publiques contre les cybermenaces.
Blogues en vedette
Certificats en matière de confidentialité et de sécurité de ThousandEyes expliqués
