Sécurité & confidentialité
Confiance
Depuis sa création, ThousandEyes a toujours mis un point d’honneur à assurer la sécurité et la confidentialité des données de ses clients. Nos clients nous autorisent en toute confiance à collecter et à archiver des données sur le rendement des réseaux et des applications qu’ils utilisent. Selon le scénario de déploiement et les cas d’usage propres à chaque client, il peut s’agir d’informations disponibles sur Internet qui font partie du domaine public et/ou d’informations issues de réseaux privés d’entreprises. Nous considérons toutes les données collectées comme extrêmement sensibles et nous avons mis en place un système de gestion capable d’assurer leur confidentialité, leur intégrité, leur disponibilité et leur caractère privé.
Nous avons commencé par poser des bases solides pour notre système de gestion de la sécurité de l’information en adoptant la norme ISO/IEC 27001, largement reconnue et respectée. Notre système de gestion de la confidentialité des informations est certifié conforme à ISO 27701.
Ces cadres forment conjointement le cadre ThousandEyes USPMF (Unified Security and Privacy Management Framework, notre cadre de gestion unifiée de la sécurité et de la confidentialité) qui repose sur des politiques, des normes, des technologies et des processus stricts. Nous améliorons continuellement notre cadre USPMF par la mise en œuvre de contrôles techniques et organisationnels supplémentaires afin d’assurer en permanence la protection des données des clients conformément aux bonnes pratiques actuelles.
En tant que fournisseur de services infonuagiques, ThousandEyes partage la responsabilité de la sécurité et de la confidentialité avec ses clients. Consultez les informations ci-dessous pour en savoir plus sur votre rôle en matière de mise en œuvre des contrôles de sécurité et des activités opérationnelles.
Programme de primes de bogues
ThousandEyes s’engage à fournir des niveaux d’assurance de sécurité élevés à ses clients, à ses partenaires et à la communauté. Le programme de récompense de vulnérabilité Cisco ThousandEyes fait partie de notre stratégie de sécurité générale. Il encourage les chercheurs externes à collaborer avec notre équipe de sécurité pour protéger la plateforme.
Si vous pensez avoir découvert une vulnérabilité dans l’un des produits, services, sites Web ou autre infrastructure de ThousandEyes, ou pour signaler un problème soupçonné, envoyez vos découvertes à bugcrowd.com/thousandeyes-og. Dès la réception de votre demande, Bugcrowd collaborera avec l’équipe de sécurité ThousandEyes pour la trier et y répondre. Nous vous invitons à coopérer en nous faisant part de tout renseignement concernant ce problème et en collaborant de manière responsable avec nous afin de protéger nos clients, nos partenaires et la communauté.
Sécurité de l’information
Organisation de la sécurité de l’information
La sécurité de l’information chez ThousandEyes relève de la responsabilité du directeur de la sécurité des systèmes d’information. Son équipe supervise tous les aspects liés à la protection des données : sécurité et confidentialité commerciales, physiques et techniques. Elle s’occupe également des audits et de la conformité ainsi que de la gestion globale des risques.
Sécurité liée aux ressources humaines
Nous estimons que la sécurité de l’information commence au niveau des individus et qu’il n’est pas suffisant de protéger uniquement les systèmes physiques. Nous investissons donc dans la formation et la sensibilisation à la sécurité de tous nos employés afin de les armer des connaissances nécessaires pour prendre en charge nos systèmes de gestion de la sécurité et de la confidentialité dès leur embauche.
Gestion des ressources et des risques
Toutes les informations sont structurées selon un schéma de classification des données à trois niveaux en fonction de leur confidentialité. De plus, nous exigeons la mise en œuvre de contrôles de sécurité spécifiques. Les risques liés à chaque ressource d’information essentielle doivent être évalués afin de vérifier si les contrôles existants respectent les critères définis. Toutes les données des clients sont considérées comme confidentielles par défaut ; ainsi, elles requièrent toujours le plus haut niveau de protection.
Contrôle d’accès
L’accès aux informations est accordé en fonction des besoins et contrôlé par un processus géré qui traite les autorisations pour les nouveaux accès, procède aux révocations en temps opportun si nécessaire et examine régulièrement les listes d’accès aux informations essentielles.
Cryptographie
Tous les contrôles cryptographiques effectués par ThousandEyes sont conformes aux réglementations et aux restrictions juridiques internationales et requièrent des procédures fortes de gestion des clés.
Sécurité physique et environnementale
Les centres de données et les bureaux sont équipés de systèmes de contrôle d’accès et de vidéosurveillance qui assurent la sécurité sur site 24 h/24, 7 j/7. ThousandEyes impose des centres de données conformes aux exigences de Tier III.
Sécurité des opérations
L’ensemble des réseaux, des systèmes et des applications est configuré, mis en oeuvre et sauvegardé afin d’en assurer le fonctionnement prévu. Un logiciel contre les programmes malveillants est déployé sur tous les systèmes essentiels accessibles aux clients.
Sécurité des communications
Toutes les ressources de communication ThousandEyes sont utilisées en toute cohérence avec nos principes commerciaux et éthiques. Nous avons également mis en place des contrôles pertinents comme l’utilisation de la cryptographie pour la transmission des données sensibles.
Acquisition, développement et maintenance des systèmes
Nous avons par exemple mis en place les contrôles suivants : test d’intrusion et vérification du code dans le cadre du processus d’approbation. De plus, nos méthodologies sécurisées de déploiement et de conception du cycle de vie de développement des logiciels sont constamment améliorées pour suivre l’évolution des bonnes pratiques actuelles et garder une longueur d’avance sur les dernières menaces.
Services tiers
Lorsque des tiers contractuels agissent en notre nom, nous leur demandons de respecter les normes rigoureuses de sécurité et de confidentialité que nous respectons nous-mêmes en interne. Ces procédures nécessaires font partie de notre processus de gestion des risques des prestataires et englobent un contrôle de sécurité complet de l’entreprise tierce ainsi que des produits et des services qu’elle propose.
Supervision de la sécurité et gestion des incidents
Nous supervisons constamment notre réseau, nos systèmes et nos applications à la recherche de divers types d’événements. Sans surprise, notre propre solution de supervision nuage se supervise elle-même et d’autres composants de nos infrastructures technologiques. En cas de détection d’un événement critique, un plan de réponse aux incidents est immédiatement déclenché.
Confidentialité
La déclaration de confidentialité en ligne Cisco et la présente synthèse s’appliquent aux sites Web de Cisco et de ses filiales renvoyant à la déclaration.
Cisco s’engage à protéger la confidentialité de toutes vos informations personnelles. Notre déclaration de confidentialité reflète les principes et normes mondiaux actuels en matière de traitement de renseignements personnels : transparence, équité et responsabilité. Voici quelques-uns des principaux points de la déclaration de confidentialité en ligne Cisco. Notez que des informations plus spécifiques sur la manière dont Cisco traite les renseignements personnels sont décrites dans les fiches techniques de confidentialité, les descriptions des offres ou d’autres avis fournis avant ou au moment de la collecte des données.
Informations personnelles
Nous recueillons les informations personnelles pour diverses raisons, notamment pour traiter vos commandes, mettre à votre disposition des sites Web et des solutions et activer leurs fonctionnalités, vous proposer un abonnement à notre bulletin, vous envoyer des communications marketing, personnaliser votre expérience ou gérer votre candidature à un emploi.
Nous vous dirons dans quel but nous recueillons vos renseignements personnels lorsque nous vous les demanderons, et les conserverons dans ce seul but de satisfaire aux fins pour lesquelles ils ont été recueillis, ou tel que la loi l’exige ou à des fins légitimes.
Nous pouvons combiner les renseignements ainsi recueillis avec des informations obtenues auprès d’autres sources afin de les compléter et de les rendre plus précis, et pour nous aider à personnaliser nos interactions et notre prestation avec vous.
Nous pouvons également recueillir des informations concernant votre utilisation de nos sites Web et de nos solutions Web par le biais de diverses technologies, notamment les témoins.
Avis et choix d’utilisation des données
Nous utiliserons vos renseignements personnels aux fins pour lesquelles ils ont été recueillis, et ne les utiliserons pas à d’autres fins sans vous en avoir préalablement demandé l’autorisation ou être légalement autorisés à le faire.
Nous vous demanderons l’autorisation avant de partager vos informations personnelles avec des tiers à d’autres fins que celles pour lesquelles vous nous les avez communiquées ou tel qu’autrement énoncé dans notre déclaration de confidentialité en ligne.
Pour en savoir plus sur vos choix concernant la façon dont Cisco peut traiter vos renseignements personnels ou sur notre utilisation des témoins ou autres technologies Web, consultez notre Déclaration de confidentialité en ligne complète.
Accès aux données et intégrité
Pour mettre à jour vos renseignements personnels et vos préférences de communication, cliquez ici ou rendez-vous sur le site Web du produit ou du service en question.
Sécurité des données
Nous nous engageons à protéger vos renseignements personnels contre tout accès, utilisation ou divulgation non autorisés.
Transfert ultérieur
En tant qu’entreprise internationale, nous pouvons être amenés à transférer vos renseignements personnels vers Cisco aux États-Unis, vers une filiale de Cisco dans le monde ou vers un tiers agissant en notre nom situé en dehors du pays dans lequel les données ont été recueillies et où les normes de protection des données peuvent être différentes.
Nous ne transférons pas vos renseignements personnels à des tiers si nous n’avons pas reçu d’eux l’engagement qu’ils y apporteront un niveau de protection au moins équivalent à celui que nous déployons.
Informations importantes
Nos politiques et pratiques en matière de protection des données personnelles et de la confidentialité sont conçues pour se conformer aux lois en vigueur dans le monde, et gagner et conserver votre confiance.
Cisco est certifiée dans le cadre du système de règles transfrontalières de protection de la vie privée et de la reconnaissance de la vie privée des sous-traitants de la Coopération économique pour l’Asie-Pacifique (APEC) concernant le traitement des renseignements personnels et les transferts vers/depuis les économies membres de l’APEC. Pour plus d’informations sur l’étendue de notre participation ou pour envoyer une demande de confidentialité par le biais de BBB National Programs, notre agent de responsabilité, cliquez sur le sceau officiel ci-dessous :
Nos règles de contrôle internes de l’entreprise garantissent la protection des renseignements personnels issus de l’Union européenne lors de leur transfert dans le monde entier par Cisco agissant en tant que contrôleur des données.
Cisco est également certifiée et adhère au cadre du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis, tel qu’élaboré par le ministère du Commerce des États-Unis et relatif à la collecte, à l’utilisation et au traitement de renseignements personnels en provenance des pays de l’UE/EEE, du Royaume-Uni et de la Suisse.
Si vous avez des questions, des commentaires ou des préoccupations concernant la présente déclaration de confidentialité ou le traitement de vos renseignements personnels, cliquez ici.
Si vous avez une question concernant la confidentialité ou l’utilisation des données à laquelle nous n’avons pas répondu de manière satisfaisante, contactez notre fournisseur tiers de résolution de litiges aux États-Unis (service gratuit).
Références
Pour en savoir plus sur nos pratiques de confidentialité, reportez-vous à la version complète de la déclaration de confidentialité en ligne Cisco.
Dernière mise à jour : 1er décembre 2021
Conformité
ThousandEyes et ses employés respectent un grand nombre de lois et réglementations :
Nous avons mis en place une méthodologie en deux étapes en matière de conformité. Tout d’abord, nous vérifions que toutes les exigences externes et internes sont intégrées dans nos politiques et prises en charge par les normes, les technologies et les processus sous-jacents. Ensuite, par le biais d’évaluations des risques et d’audits internes, nous vérifions régulièrement que tous les contrôles de sécurité sont bien mis en œuvre et fonctionnent efficacement.
Nous faisons appel à un tiers indépendant pour établir une attestation AT Section 101 qui génère un rapport SOC2 type II pour le principe de sécurité valable pendant 12 mois. Par ailleurs, le système de gestion de la sécurité de l’information prenant en charge notre logiciel de gestion du rendement du réseau en tant qu’application de service a été certifié conforme aux normes ISO/IEC 27001:2013 et ISO/IEC 27018:2019 par un organisme de certification indépendant. Notre système de gestion de la confidentialité des données prenant en charge notre logiciel de gestion du rendement du réseau en tant qu’application de service a également été certifié conforme à la norme ISO/IEC 27701:2019 par un organisme de certification indépendant. Enfin, un tiers indépendant effectue une évaluation des risques de l’entreprise chaque année pour contrôler nos ressources d’informations essentielles.
ThousandEyes est membre de la Cloud Security Alliance. Dans ce cadre, nous partageons des informations et nous collaborons avec d’autres entreprises en tête du secteur pour préserver de bonnes pratiques de sécurité optimales. ThousandEyes est également membre du centre CIS (Center for Internet Security), une entité avant-gardiste à but non lucratif qui tire parti des formidables capacités de la communauté TI mondiale pour protéger les entreprises privées et publiques contre les cybermenaces.