Cybersécurité et confidentialité des données

  • Cybersécurité

  • Confidentialité des données

La cybersécurité consiste à protéger les ordinateurs, les services, les appareils mobiles, les systèmes électroniques, les réseaux et les données contre les attaques malveillantes. La cybercriminalité n'est pas un phénomène nouveau. L'augmentation de la connectivité, du travail à distance, de la dépendance à la technologie et de l'automatisation multiplie le risque d'attaque. En outre, les changements dans les méthodes de travail induits par la pandémie ont créé davantage d'opportunités pour les cybercriminels. 

RWS sait que sa préparation à la cybersécurité doit continuer à évoluer pour faire face aux nouveaux risques. 

La position stratégique de sécurité de RWS est définie par le comité directeur de la sécurité de l'information (ISSC) qui est présidé par le directeur technique (CTO), qui est le responsable exécutif de la sécurité. Ce groupe comprend des parties prenantes de toutes les divisions et de certaines entités commerciales afin de collaborer à l'amélioration continue du système de gestion de la sécurité de l'information (ISMS) et contribue également à notre programme d'intégration, à la sensibilisation et au soutien d'une approche cohérente de la sécurité de l'information fondée sur les risques. En outre, l'ISSC assure la surveillance et la gouvernance des risques de sécurité de l'information. 

RWS adopte le cadre de cybersécurité du NIST afin de fournir une structure commune à notre système de gestion de la sécurité de l'information (ISMS) et de concentrer nos efforts. Ces efforts nous ont permis d'obtenir la certification ISO27001:2013, reconnue dans le monde entier, pour nos solutions de produits hébergés, notre division des industries réglementées, notre division des services IP et les services, personnes, processus et technologies qui les soutiennent. RWS est également titulaire de certificats SOC2 pour ses activités de cloud et ses services linguistiques. L'ISMS fournit une base solide qui confère à RWS la souplesse nécessaire pour renforcer les contrôles nécessaires afin de répondre à toute une série d'exigences de conformité en matière de sécurité des informations spécifiques au secteur, si celles-ci sont identifiées comme étant dans l'intérêt de l'entreprise. Notre action continue visant à améliorer et à étendre la portée de notre ISMS certifié garantit la mise en œuvre et la validation externe de contrôles de sécurité de l'information reconnus au niveau international, ce qui profite à la fois à RWS et à nos clients.

Reconnaissant que les risques de sécurité existeront toujours, une partie importante de nos efforts d'intégration en cours consiste à mettre en œuvre une série de politiques de sécurité de l'information qui fourniront des directives de sécurité de niveau supérieur à toutes les fonctions de RWS dans un certain nombre de domaines, y compris, sans s'y limiter : Gestion des risques, sécurité physique, confidentialité et gestion des incidents. Ces critères définissent l'approche de RWS visant à soutenir les buts et objectifs de l'entreprise tout en garantissant une approche cohérente de la gestion des risques. 

L'analyse des risques de sécurité conformément aux politiques et processus approuvés permet d'identifier des menaces, d'examiner la probabilité que la menace se concrétise et d'évaluer tout impact potentiel sur les objectifs d'entreprise. Cette approche structurée informe les décideurs et leur permet de déterminer si des mesures d'atténuation sont appropriées et, le cas échéant, la forme qu'elles doivent prendre. Il peut s'agir, par exemple, de mettre fin à une activité, de déployer des contrôles techniques ou de mettre à jour des processus afin de ramener le risque à un niveau acceptable. Les mesures d'atténuation ou les contrôles appropriés sont sélectionnés sur la base des conseils et des directives de l'équipe de sécurité, mais ils relèvent de la responsabilité du propriétaire de l'actif/du risque. Si le propriétaire d'un actif n'est pas en mesure de traiter le risque de manière satisfaisante, celui-ci peut être transmis au niveau supérieur de la chaîne de gestion. Les risques de sécurité sont identifiés et gérés par le biais de notre processus de gestion des risques, qui relève de la responsabilité de notre directeur financier, et sont communiqués chaque année au conseil d'administration. 

RWS applique le principe de « défense en profondeur » dans sa posture de sécurité et comprend l'importance de tester régulièrement ses contrôles de sécurité. À ce titre, nous procédons régulièrement à des analyses de vulnérabilité de notre infrastructure interne et externe et, à la demande de certains de nos clients, certains éléments de notre infrastructure publique font l'objet de tests de pénétration périodiques. Cette démarche permet d'identifier des faiblesses qui sont analysées afin de déterminer les mesures d'atténuation les plus appropriées à appliquer. 

Selon l'enquête britannique sur les failles de cybersécurité, 83 % des entreprises ont signalé des attaques par hameçonnage au cours des douze derniers mois, ce qui en fait le type d'attaque le plus répandu. RWS est également régulièrement victime d'attaques de ce type et, même si nos contrôles techniques bloquent la plupart des spams et des messages malveillants, certains e-mails de phishing parviennent inévitablement à passer outre. Comme nous sommes conscients qu'il s'agit probablement du maillon le plus faible, nous appliquons et améliorons en continu notre programme de sensibilisation à la sécurité afin de donner aux employés les informations dont ils ont besoin pour identifier ces menaces et ainsi réduire les risques. En plus des messages réguliers et de la sensibilisation à la sécurité fournis par le biais de notre plateforme de gestion de l'apprentissage, MyLX, RWS fait appel à des prestataires externes pour assurer des formations à la sécurité, des évaluations des connaissances et des tests, dont les résultats nous permettent d'identifier des domaines dans lesquels une formation supplémentaire pourrait s'avérer nécessaire, de suivre sa mise en œuvre et son taux de participation et de tester son efficacité.

Nous reconnaissons que la mise en œuvre de cyberdéfenses peut être coûteuse, mais nous sommes convaincus que nous devons continuer à améliorer notre résilience pour soutenir notre entreprise. Concernant l'amélioration continue de notre feuille de route en matière de sécurité, nous adoptons une approche coût-efficacité équilibrée dans le but de fournir une protection appropriée permettant à nos défenses d'être suffisantes pour faire face aux menaces connues, sans pour autant être excessives. À titre d'exemple, RWS est sur le point d'achever la mise en œuvre de l'authentification multifactorielle (MFA) pour l'accès à son réseau privé virtuel. En outre, nous sommes conscients que nous ne pouvons pas éviter toutes les cyberattaques. C'est pourquoi nous avons fait appel à un partenaire externe pour assurer une capacité de détection et de réponse 24 heures sur 24, 7 jours sur 7 afin de pouvoir traiter les incidents le plus rapidement possible et de minimiser leur impact sur l'entreprise.

RWS veille à se conformer aux lois locales pertinentes en matière de protection des données. Le siège social de RWS étant situé au Royaume-Uni, l'entreprise a adopté le RGPD de l'UE et la loi britannique sur la protection des données de 2018 à titre de norme de référence en matière de protection des données. Nous disposons d'un ensemble complet de politiques qui s'appuient sur les législations applicables en matière de protection des données et identifient des processus, procédures et pratiques axés sur la protection des informations commerciales confidentielles (CBI) et des informations personnellement identifiables (PII). 

Compte tenu de l'exigence de confidentialité dès la conception, RWS intègre des fonctionnalités dans son logiciel pour permettre à ses clients de se conformer aux obligations qui leur incombent en vertu de la législation sur la protection des données. RWS traite des données personnelles pour le compte de clients dans le cadre de la fourniture de services de localisation ou de l'octroi de licences de notre logiciel via SaaS. Nos clients collectent les données et les transfèrent à RWS à des fins de traitement. Les données des clients sont traduites, transmises et stockées au sein de l'environnement RWS et, une fois leur traitement terminé, elles sont supprimées conformément aux politiques de suppression internes ou selon les instructions du client. 

De même, lorsque RWS concède une licence pour un logiciel de gestion des contenus Web, il appartient au client de déterminer les paramètres de collecte et de conservation des données. RWS traite les données de clients conformément aux instructions convenues avec les clients dans les accords de non-divulgation, les contrats et les accords de traitement des données. 

RWS ne procède pas au profilage détaillé des clients consommateurs pour le compte de ses clients. Les données fournies par les clients ne sont jamais vendues ou louées. Dans la mesure du nécessaire pour la fourniture des services, RWS divulguera des données entre des sociétés affiliées et des sous-traitants tiers approuvés. Des accords de traitement des données appropriés sont en place pour réglementer de tels transferts. Au cours de l'exercice 2020/2021, il n'y a eu aucune divulgation ni aucun mouvement non autorisé d'informations sensibles, notamment de PII et de CBI. Par conséquent, aucun client n'a été affecté par de quelconques incidents de ce type.