La sécurité chez RWS

Chez RWS, nous savons que la sécurité de l'information est importante pour nos clients. En tant qu'organisation mondiale, nous avons adopté le cadre de cybersécurité du National Institute of Standards and Technology (NIST) pour structurer notre système de management de la sécurité de l'information (SMSI). 

L'utilisation de ce cadre, largement accepté et reconnu par le secteur, fournit à RWS une référence solide qui répond aux exigences spécifiques des clients, telle que la conformité HITRUST. Cette approche nous a permis d'atteindre la certification ISO27001:2013 pour un grand nombre de nos produits et services afin de mieux prendre en charge les personnes, les processus et les technologies. Découvrez plus d'informations sur notre certification ISO27001 en vigueur. 

Nous avons ajouté sur cette page certaines de nos politiques de sécurité de l'information de haut niveau en plus de documentations liées à la sécurité propre au produit. Si vous avez d'autres questions liées à la sécurité de l'information, veuillez nous contacter.

FAQ

Veuillez décrire votre processus initial de sélection et d'évaluation des risques des fournisseurs.

Dans le cadre du processus d'approvisionnement de RWS, les nouveaux fournisseurs doivent faire l'objet d'une évaluation des risques de sécurité avant leur intégration. Une catégorie de risque est attribuée aux fournisseurs en fonction d'un certain nombre de critères, notamment : le caractère essentiel des biens/services à fournir et la sensibilité des informations ou des installations auxquelles ils accèdent.

Est-ce que RWS dispose d'un programme de gestion de la sécurité des fournisseurs ?

Oui, la politique mondiale de gestion de la sécurité des fournisseurs de RWS définie les exigences en matière de sécurité relatives aux fournisseurs tiers.

Décrivez la manière dont vous identifiez et gérez les vulnérabilités de sécurité de l'information dans vos systèmes informatiques, notamment en ce qui concerne les processus de gestion des modifications.

RWS analyse chaque mois les vulnérabilités de son infrastructure publique. Ces vulnérabilités font l'objet d'une évaluation des risques et de mesures d'atténuation appropriées sont appliquées conformément à la politique mondiale de test de sécurité. Un membre de l'équipe de sécurité de l'information siège au Comité d'approbation des changements mondial axé sur l'informatique afin d'évaluer l'impact des modifications proposées concernant la sécurité.

Décrivez la façon dont vous sécurisez les applications dans le cycle de développement du système, y compris la façon dont vous développez et testez les modifications apportées aux applications.

« La politique mondiale de RWS relative au cycle de développement de logiciels sécurisés précise la manière dont les produits doivent être développés en toute sécurité. La sécurité fait partie intégrante de chaque étape du développement, de la collecte des exigences, à la conception, en passant par la mise en œuvre, la vérification et la publication. Les modifications sont testées avant d'être publiées. »

Utilisez-vous un outil pour suivre les incidents, les modifications et les problèmes ?

Oui, RWS utilise à la fois Service Centre et ServiceNow pour suivre les processus, depuis la création des tickets, jusqu'à leur résolution en passant par leur attribution. Les contrats de niveau de service sont établis en fonction de l'importance de l'incident/de la modification ou du problème.

Est-ce que RWS possède une politique d'utilisation acceptable ?

Oui. RWS dispose d'une politique d'utilisation acceptable et de sécurité informatique.

Quelle est la politique de conservation de l'entreprise concernant les données des clients ?

RWS conserve les données des clients tant qu'elles sont nécessaires à l'exécution des services et quelles que soient les circonstances comme convenu dans le Contrat.

Existe-t-il un processus de gestion des ressources ?

Oui, RWS dispose d'une équipe dédiée à la gestion des logiciels et des ressources et utilise des outils pour gérer les ressources sur le réseau RWS appelés Lansweper et Flexera. Lansweper détecte et enregistre automatiquement les éléments sur le réseau professionnel RWS, y compris des détails tels que le propriétaire et le type des ressources ainsi que le logiciel installé, la garantie et la configuration. Toutes les ressources ont un propriétaire assigné.

Existe-t-il un processus de gestion des correctifs ?

Oui, les correctifs sont automatiquement appliqués aux terminaux grâce à une application de correctifs centralisée. Les correctifs apportés aux serveurs sont mis à jour au moins une fois par an. En général, ces correctifs sont appliqués au cours de la période de maintenance mensuelle. Des correctifs d'autres types (p. ex. SQL, antivirus) sont exécutés de manière ponctuelle en fonction des besoins, mais doivent être testés sur un système de développement ou de préparation avant le système de production, lorsque ces systèmes existent.

Existe-t-il un processus de gestion des changements ?

Oui, les responsabilités et rôles en matière de gestion des changements sont régis par le processus CAB qui comprend les responsables, les parties prenantes concernées, ainsi que le service informatique et les testeurs de système RWS. Tous les changements du système sont testés avant d'être mis en œuvre et/ou déployés. Les changements d'urgence sont traités de la même manière que ceux du processus de gestion des changements standard et doivent toujours être consignés, enregistrés, testés, validés puis mis en œuvre. La mise en œuvre d'un changement relève de la responsabilité de la gestion des versions, tandis que le processus dans son ensemble relève quant à lui de Comité d'approbation des changements.

RWS a-t-il mis en œuvre un processus de contrôle formalisé concernant les demandes d'accès logique basées sur les principes de moindre privilège ?

Oui, RWS dispose d'une stratégie d'accès logique qui définit les processus à utiliser pour contrôler l'accès logique.

Un programme d'évaluation des risques a-t-il été approuvé par la direction, communiqué aux employés concernés et un propriétaire a-t-il été désigné pour garantir le bon fonctionnement du programme ?

Oui, le programme d'évaluation des risques de RWS appartient à l'équipe dirigeante de RWS et est communiqué aux employés concernés.

Décrivez les éléments clés du programme de gestion des risques de sécurité de RWS

Le programme de gestion des risques de sécurité de RWS est défini dans la politique mondiale de gestion des risques de sécurité. Il contient la méthodologie à utiliser pour identifier et gérer les risques de sécurité, notamment en ce qui concerne : l'identification des ressources ; l'analyse des impacts ; l'évaluation des risques ; l'identification et l'application des contrôles ; ainsi que la surveillance de l'efficacité des contrôles. Les risques sont évalués régulièrement ou lorsqu'un changement important susceptible d'avoir un impact sur la confidentialité, l'intégrité ou la disponibilité des informations ou des ressources RWS se produit. La supervision et la gouvernance des processus de gestion des risques sont effectuées par le responsable mondial de la sécurité de l'information et le Comité directeur de la sécurité de l'information, le cas échéant.

RWS prend-elle en compte la confidentialité des données ?

Oui, RWS prend la confidentialité des données très au sérieux. Pour plus d'informations, notre politique de confidentialité est disponible ici : www.rws.com/about/privacy

Est-ce que RWS a une certification ISO 27001 ?

Oui, notre certification ISO 27001 est disponible pour nos clients à l'adresse www.rws.com/fr/security

Est-ce que RWS a obtenu une attestation SOC 2 Type II.

Oui, le logiciel RWS hébergé par RWS Cloud Operations entre dans le champ d'application de notre rapport SOC 2 Type II. Vous pouvez obtenir un résumé analytique du rapport sur demande.

Un programme de sécurité établi, publié et approuvé chaque année est-il en place ?

Oui. Le programme de sécurité de l'information de RWS appartenant au directeur de la transformation et est géré tout au long de l'année par le comité directeur de la sécurité de l'information au niveau exécutif afin de veiller à ce qu'il continue à répondre aux besoins des objectifs commerciaux.

Est-ce que RWS a désigné un propriétaire et/ou une équipe responsable de la sécurité de l'information ?

Oui. Le directeur de la transformation de RWS est le responsable exécutif de la sécurité de l'information. La responsabilité quotidienne du système de gestion de la sécurité de l'information de RWS et la conformité continue aux exigences de sécurité sont confiées à une petite équipe dirigée par le responsable mondial de la sécurité de l'information de RWS.

Une politique de sécurité de l'information a-t-elle été approuvée par la direction et communiquée à tout le personnel ?

Oui, la politique de sécurité de l'information de RWS est approuvée et signée par le responsable exécutif de la sécurité de l'information. Elle définit les exigences de sécurité de haut niveau qui permettent à RWS de maintenir et de développer continuellement son système de gestion de la sécurité de l'information.

Pouvez-vous énumérer vos politiques de sécurité de l'information. Ces politiques sont-elles révisées et mises à jour régulièrement ? Sont-elles accessibles à tout le personnel RWS ?

« Nos politiques sont révisées au moins une fois par an. Les documents internes peuvent être consultés sur site ou à distance par le client lors d'un audit soumis à un accord de non-divulgation ou à un accord mutuel de non-divulgation. 

ISP100 Politique mondiale de sécurité de l'information
ISP101 Politique mondiale de gestion des risques (interne)
ISP102 Politique mondiale de test de sécurité (interne)
ISP103 Politique mondiale d'accès logique (interne)
ISP104 Politique sur la continuité des activités (interne)
ISP105 Politique mondiale de classification et de gestion (interne)
ISP106 Politique mondiale de gestion des incidents de sécurité de l'information (interne)
ISP107 Politique mondiale de sécurité physique (interne)
ISP108 Politique de confidentialité (interne)
ISP109 Politique mondiale des systèmes informatiques : révisée et approuvées en dernier (interne)
ISP110 Politique mondiale de contrôles cryptographiques (interne)
ISP111 Politique mondiale de gestion de la sécurité des fournisseurs (interne)
ISP112 Politique mondiale relative au cycle de développement de logiciels sécurisés (interne) 

Nos politiques sont publiées sur l'intranet professionnel et mises à la disposition de tous les employés de RWS. Elles sont régulièrement communiquées aux collaborateurs de RWS par le biais de formations et de campagnes de sensibilisation obligatoires axées sur la sécurité et la confidentialité. »

Votre entreprise dispose-t-elle d'une assurance en matière de cybersécurité ?

Oui

Est-ce que RWS dispose d'un processus et d'une politique d'exception relatifs à la sécurité ?

RWS développe actuellement une politique mondiale d'exception relative à la sécurité. Une partie de ce projet de politique consiste à mettre en place un processus d'exception de politique impliquant une demande d'exception formelle et une évaluation des risques avant approbation.

Existe-t-il une procédure disciplinaire officielle pour le personnel qui enfreint les politiques et procédures de sécurité de l'information ?

Oui, tout non-respect de nos politiques de sécurité de l'information sera examiné par l'équipe mondiale en charge de la sécurité de l'information, puis transmis à la direction et à l'équipe RH concernée pour effectuer une enquête et mettre en place des mesures supplémentaires, le cas échéant. Les mesures disciplinaires dépendent de la gravité de l'incident et peuvent aller jusqu'au licenciement.

Est-ce que RWS possède un processus permettant de surveiller les changements apportés aux exigences réglementaires des juridictions concernées et d'ajuster votre programme de sécurité pour garantir la conformité ?

Le service juridique de RWS contrôle les exigences légales et réglementaires pertinentes qui s'appliquent à RWS. Les exigences réglementaires relatives à la sécurité de l'information seront abordées entre le responsable du service juridique et le responsable mondial de la sécurité de l'information, et des modifications seront apportées au programme de sécurité au besoin.

Est-ce que RWS a établi une procédure documentée pour répondre aux demandes de données de locataires de la part de gouvernements ou de tiers ?

Toute demande légale de ce type est traitée par notre équipe juridique et tient compte de toutes les obligations contractuelles et exigences légales qui s'appliquent.

Est-ce que RWS a mis en place une politique et une procédure de réponse aux incidents relatifs à la sécurité de l'information publiées et communiquées ?

Oui, la politique mondiale de gestion des incidents de sécurité de l'information de RWS est publiée et accessible à tous les employés sur l'intranet RWS et aborde, sans s'y limiter les éléments suivants : la surveillance, la préparation, l'identification, la limitation, l'atténuation, la récupération et le suivi.

Est-ce que RWS a adopté un processus de réponse aux incidents/aux violations des données ?

Oui, la politique mondiale de gestion des incidents de sécurité de l'information de RWS définie les mesures à prendre en cas d'incident de sécurité. La politique de confidentialité contient également des informations spécifiques relatives aux incidents impliquant des informations personnelles.

Est-ce que RWS a défini un processus pour identifier les incidents et leurs vecteurs d'attaque communs, ainsi que des mécanismes de détection afin de détecter les incidents au moment où ils se produisent ?

Oui, le fournisseur de réseau de RWS surveille le trafic et nous alerte en cas d'activité suspecte. RWS utilise également les services IDS/IPS dans les zones stratégiques du réseau pour détecter et prévenir les intrusions. De plus, les terminaux disposent d'un logiciel de prévention/détection approprié.

Une formation de sensibilisation à la sécurité de l'information est-elle régulièrement proposée à tous les employés et consultants

Oui. La formation de sensibilisation à la sécurité de l'information constitue un élément essentiel du processus d'intégration du personnel RWS, des sous-traitants et des traducteurs indépendants. Cette formation sur ordinateur est dispensée chaque année à tous les employés dans un module de formation dédié. Elle est également proposée dans le cadre de la formation annuelle au Code de conduite et tous les deux mois ou plus souvent si les circonstances l'exigent, par le biais de notre campagne « Pensez à la sécurité ».

Est-ce que RWS vérifie les antécédents des employés ?

Oui. Tous les nouveaux membres sont soumis à des contrôles d'identité et de « droit au travail ». Lorsque leur fonction dans l'organisation ou leurs obligations nationales l'exige, d'autres vérifications des antécédents peuvent être effectuées conformément aux lois applicables.

Est-ce que RWS vérifie les antécédents des traducteurs indépendants ?

Les antécédents des traducteurs indépendants de RWS ne sont pas contrôlés. Nous concluons toutefois un accord de fournisseur avec nos traducteurs indépendants, qui inclut des mesures de sécurité minimales et pour lequel la confidentialité et le contrôle de leurs antécédents peuvent être demandés par les clients, comme convenu dans le contrat, sous réserve des lois locales.

Est-ce que RWS prend en compte la sécurité de l'information dans le processus d'intégration et de fin de contrat des employés ?

Oui, tous les nouveaux employés doivent suivre la formation obligatoire de sensibilisation à la sécurité de l'information et la formation au Code de conduite, qui comprend également des éléments de sécurité. Au moment de leur départ, les responsabilités des employés en matière de sécurité postérieures à l'emploi leur sont rappelées. Toutes les ressources sont récupérées et les comptes sont suspendus avant d'être examinés et supprimés.

Est-ce que RWS applique un processus de destruction des données et de nettoyage des supports ?

Oui, la politique mondiale de classification et de gestion de RWS s'applique à la destruction des données et au nettoyage des supports. Les processus spécifiques de mise en œuvre de la politique sont détenus et gérés par les propriétaires de technologies respectifs.