Sécurité & confidentialité
Trust
Depuis sa création, ThousandEyes a toujours mis un point d'honneur à assurer la sécurité et la confidentialité des données de ses clients. Nos clients nous autorisent en toute confiance à collecter et stocker des données sur la performance des réseaux et des applications qu'ils utilisent. Selon le scénario de déploiement et les cas d'usage propres à chaque client, il peut s'agir d'informations disponibles sur Internet qui font partie du domaine public et/ou d'informations issues de réseaux privés d'entreprises. Nous considérons toutes les données collectées comme extrêmement sensibles et nous avons mis en place un système de gestion capable d'assurer leur confidentialité, leur intégrité, leur disponibilité et leur caractère privé.
Nous avons commencé par poser des bases solides pour notre système de gestion de la sécurité de l'information en adoptant la norme ISO/IEC 27001, largement reconnue et respectée. Notre système de gestion de la confidentialité des informations est certifié conforme à ISO 27701.
Ces cadres forment conjointement le cadre ThousandEyes USPMF (Unified Security and Privacy Management Framework, notre cadre de gestion unifiée de la sécurité et de la confidentialité) qui repose sur des politiques, des standards, des technologies et des processus stricts. Nous améliorons continuellement notre cadre USPMF par la mise en œuvre de contrôles techniques et organisationnels supplémentaires afin d'assurer en permanence la protection des données des clients conformément aux bonnes pratiques actuelles.
En tant que fournisseur de service cloud, ThousandEyes partage la responsabilité de la sécurité et de la confidentialité avec ses clients. Consultez les informations ci-dessous pour en savoir plus sur votre rôle en matière de mise en œuvre des contrôles de sécurité et des activités opérationnelles.
Programme ThousandEyes Bug Bounty
ThousandEyes s'engage à fournir des niveaux de sécurité élevés à ses clients, à ses partenaires et à sa communauté. Le programme de récompense dans la recherche de vulnérabilités Cisco ThousandEyes fait partie de notre stratégie de sécurité globale. Il encourage les chercheurs externes à collaborer avec notre équipe de sécurité pour protéger notre plateforme.
Si vous pensez avoir découvert une vulnérabilité dans l'un des produits, services, sites web ou autre infrastructure ThousandEyes, ou si vous souhaitez signaler un problème potentiel, envoyez le fruit de vos recherches à bugcrowd.com/thousandeyes-og. Dès réception de votre demande, Bugcrowd collaborera avec l'équipe de sécurité ThousandEyes pour la faire parvenir aux personnes adéquates et y répondre. Nous comptons sur votre coopération pour nous divulguer toute information concernant le problème signalé et collaborer de manière responsable afin de protéger nos clients, nos partenaires et notre communauté.
Sécurité de l'information
Organisation de la sécurité de l'information
La sécurité de l'information chez ThousandEyes relève de la responsabilité du directeur de la sécurité des systèmes d'information. Son équipe supervise tous les aspects liés à la protection des données : sécurité et confidentialité commerciales, physiques et techniques. Elle s'occupe également des audits et de la conformité ainsi que de la gestion globale des risques.
Sécurité liée aux ressources humaines
Nous estimons que la sécurité de l'information commence au niveau des individus et qu'il n'est pas suffisant de protéger uniquement les systèmes physiques. Nous investissons donc dans la formation et la sensibilisation à la sécurité de tous nos employés afin de les armer des connaissances nécessaires pour prendre en charge nos systèmes de gestion de la sécurité et de la confidentialité dès leur embauche.
Gestion des ressources et des risques
Toutes les informations sont organisées selon un schéma de classification des données à trois niveaux en fonction de leur confidentialité. De plus, nous exigeons la mise en œuvre de contrôles de sécurité spécifiques. Les risques liés à chaque ressource d'information essentielle doivent être évalués afin de vérifier si les contrôles existants respectent les critères définis. Toutes les données des clients sont considérées comme confidentielles par défaut ; ainsi, elles requièrent toujours le plus haut niveau de protection.
Contrôle d'accès
L'accès aux informations est accordé en fonction des besoins et contrôlé par un processus géré qui traite les autorisations pour les nouveaux accès, procède aux révocations en temps opportun si nécessaire et examine régulièrement les listes d'accès aux informations essentielles.
Cryptographie
Tous les contrôles cryptographiques effectués par ThousandEyes sont conformes aux réglementations et aux restrictions juridiques internationales et requièrent des procédures fortes de gestion des clés.
Sécurité physique et environnementale
Les data centers et les bureaux sont équipés de systèmes de contrôle d'accès et de vidéosurveillance qui assurent la sécurité sur site 24 h/24, 7 j/7. ThousandEyes impose des data centers conformes aux exigences de Tier III.
Sécurité des opérations
L'ensemble des réseaux, des systèmes et des applications sont configurés, implémentés et sauvegardés de sorte à assurer le fonctionnement prévu. Un logiciel contre les programmes malveillants est déployé sur tous les systèmes critiques accessibles aux clients.
Sécurité des communications
Toutes les ressources de communication ThousandEyes sont utilisées en toute cohérence avec nos principes commerciaux et éthiques. Nous avons également implémenté des contrôles pertinents comme l'utilisation de la cryptographie pour la transmission des données sensibles.
Acquisition, développement et maintenance des systèmes
Nous avons par exemple mis en place les contrôles suivants : test d'intrusion et vérification du code dans le cadre du processus d'approbation. De plus, nos méthodologies sécurisées de déploiement et de conception du cycle de vie de développement des logiciels sont constamment améliorées pour suivre l'évolution des bonnes pratiques actuelles et garder une longueur d'avance sur les dernières menaces.
Services tiers
Lorsque des tiers contractuels agissent en notre nom, nous leur demandons de respecter les standards rigoureux de sécurité et de confidentialité que nous respectons nous-mêmes en interne. Ces procédures nécessaires font partie de notre processus de gestion des risques des prestataires et englobent un contrôle de sécurité complet de l'entreprise tierce ainsi que des produits et des services qu'elle propose.
Supervision de la sécurité et gestion des incidents
Nous supervisons constamment notre réseau, nos systèmes et nos applications à la recherche de divers types d'événements. Sans surprise, notre propre solution de supervision cloud se supervise elle-même et d'autres composants de notre infrastructure technologique. En cas de détection d'un événement critique, un plan de réponse aux incidents est immédiatement déclenché.
Confidentialité
La déclaration de confidentialité en ligne Cisco et la présente synthèse s'appliquent aux sites web de Cisco et de ses filiales renvoyant à la déclaration.
Cisco s'engage à protéger la confidentialité de toutes vos informations personnelles. Notre déclaration de confidentialité reflète les principes et standards mondiaux actuels en matière de traitement des informations personnelles : transparence, équité et responsabilité. Voici quelques-uns des principaux points de la déclaration de confidentialité en ligne Cisco. Notez que des informations plus spécifiques sur la manière dont Cisco traite les informations personnelles sont disponibles dans les fiches techniques de confidentialité, les descriptions des offres ou d'autres avis fournis avant ou au moment de la collecte des données.
Informations personnelles
Nous recueillons les informations personnelles pour diverses raisons, notamment pour traiter vos commandes, mettre à votre disposition des sites web et des solutions et activer leurs fonctionnalités, vous proposer un abonnement à notre newsletter, vous envoyer des communications marketing, personnaliser votre expérience ou gérer votre candidature à un emploi.
Nous vous dirons dans quel but nous recueillons vos informations personnelles lorsque nous vous les demanderons, et les conserverons dans ce seul but de satisfaire aux fins pour lesquelles elles ont été recueillies, ou tel que la loi l'exige ou à des fins légitimes.
Nous pouvons combiner les informations ainsi recueillies avec des informations obtenues auprès d'autres sources afin de les compléter et de les rendre plus précises, et pour nous aider à personnaliser nos interactions et performances avec vous.
Nous pouvons également recueillir des informations concernant votre utilisation de nos sites web et de nos solutions web par le biais de diverses technologies, notamment les cookies.
Avis et choix d'utilisation des données
Nous utiliserons vos informations personnelles aux fins pour lesquelles elles ont été recueillies, et ne les utiliserons pas à d'autres fins sans vous en avoir préalablement demandé l'autorisation ou être légalement autorisés à le faire.
Nous vous demanderons l'autorisation avant de partager vos informations personnelles avec des tiers à d'autres fins que celles pour lesquelles vous nous les avez communiquées ou tel qu'autrement énoncé dans notre déclaration de confidentialité en ligne.
Pour en savoir plus sur vos choix concernant la façon dont Cisco peut traiter vos informations personnelles ou sur notre utilisation des cookies ou autres technologies web, consultez notre Déclaration de confidentialité en ligne complète.
Accès aux données et intégrité
Pour mettre à jour vos informations personnelles et vos préférences de communication, cliquez ici ou rendez-vous sur le site web du produit ou du service en question.
Sécurité des données
Nous nous engageons à protéger vos informations personnelles contre tout accès, utilisation ou divulgation non autorisés.
Transfert ultérieur
En tant qu'entreprise internationale, nous pouvons être amenés à transférer vos informations personnelles vers Cisco aux États-Unis, vers une filiale de Cisco dans le monde ou vers un tiers agissant en notre nom situé en dehors du pays dans lequel les données ont été recueillies et où les normes de protection des données peuvent être différentes.
Nous ne transférons pas vos informations personnelles à des tiers si nous n'avons pas reçu d'eux l'engagement qu'ils apporteront à vos informations un niveau de protection au moins équivalent à celui que nous déployons.
Informations importantes
Nos politiques et pratiques en matière de protection des données personnelles et de la confidentialité sont conçues pour se conformer aux lois en vigueur dans le monde, et gagner et conserver votre confiance.
Cisco est certifié dans le cadre du système de règles transfrontalières de protection de la vie privée et de la reconnaissance de la vie privée des sous-traitants de la Coopération économique pour l'Asie-Pacifique (APEC) concernant le traitement des données personnelles et les transferts vers/depuis les économies membres de l'APEC. Pour plus d'informations sur l'étendue de notre participation ou pour envoyer une demande de confidentialité par le biais de BBB National Programs, notre agent de responsabilité, cliquez sur le sceau officiel ci-dessous :
Nos Règles de contrôle internes de l'entreprise garantissent la protection des informations personnelles issues de l'Union européenne lors de leur transfert dans le monde entier par Cisco agissant en tant que contrôleur des données.
Cisco est également certifié et adhère au cadre du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis, tel qu'élaboré par le ministère du Commerce des États-Unis et relatif à la collecte, à l'utilisation et au traitement de données personnelles en provenance des pays de l'UE/EEE, du Royaume-Uni et de la Suisse.
Si vous avez des questions, des commentaires ou des préoccupations concernant la présente déclaration de confidentialité ou le traitement de vos informations personnelles, cliquez ici.
Si vous avez une question concernant la confidentialité ou l'utilisation des données à laquelle nous n'avons pas répondu de manière satisfaisante, contactez notre fournisseur tiers de résolution de litiges aux États-Unis (service gratuit).
Références
Pour en savoir plus sur nos pratiques de confidentialité, reportez-vous à la version complète de la déclaration de confidentialité en ligne Cisco.
Dernière mise à jour : 1er décembre 2021
Conformité
ThousandEyes et ses employés respectent un grand nombre de lois et réglementations :
Nous avons implémenté une approche en deux étapes en matière de conformité. Tout d'abord, nous vérifions que toutes les exigences externes et internes sont intégrées dans nos politiques et prises en charge par les standards, les technologies et les processus sous-jacents. Ensuite, par le biais d'évaluations des risques et d'audits internes, nous vérifions régulièrement que tous les contrôles de sécurité sont bien mis en œuvre et fonctionnent efficacement.
Nous faisons appel à un tiers indépendant pour établir une attestation AT Section 101 qui génère un rapport SOC2 type II pour le principe de sécurité valable pendant 12 mois. Par ailleurs, le système de gestion de la sécurité de l'information prenant en charge notre logiciel de gestion des performances du réseau en tant qu'application de service a été certifié conforme aux standards ISO/IEC 27001:2013 et ISO/IEC 27018:2019 par un organisme de certification indépendant. Notre système de gestion de la confidentialité des données prenant en charge notre logiciel de gestion des performances du réseau en tant qu'application de service a également été certifié conforme au standard ISO/IEC 27701:2019 par un organisme de certification indépendant. Enfin, un tiers indépendant effectue une évaluation des risques de l'entreprise chaque année pour contrôler nos ressources d'informations essentielles.
ThousandEyes est membre de la Cloud Security Alliance. Dans ce cadre, nous partageons des informations et nous collaborons avec d'autres entreprises leaders du secteur pour préserver des bonnes pratiques de sécurité optimales. ThousandEyes est également membre du centre CIS (Center for Internet Security), une entité avant-gardiste à but non lucratif qui tire parti de la puissance de la communauté IT mondiale pour protéger les entreprises privées et publiques contre les cybermenaces.
Articles de blog à la une

LA CONFIDENTIALITÉ THOUSANDEYES EN PRATIQUE : CERTIFICATIONS ISO 27018 ET ISO 27701
