Notre site internet fait peau neuve ! Découvrez très prochainement notre nouvelle interface arborant notre nouvelle identité visuelle.

RGPD et sécurité des données

Avec la mondialisation, l’avènement des nouvelles technologies et l’évolution des réglementations, la sécurité des données est plus que jamais au cœur de la stratégie des entreprises.

Découvrez ici comment Ximi, à travers sa maison-mère Xelya, peut accompagner votre mise en conformité, à la fois en tant que sous-traitant, co-responsable de la protection de vos données, mais aussi en vous fournissant des outils pour améliorer la sécurité au sein de votre organisation.

Authentifier les utilisateurs

Première étape de la sécurisation du système d’information : personnaliser les accès, et sécuriser la connexion.

Connexion par login et mot de passe sécurisé

Comment définir un mot de passe sécurisé ? Voici ci-contre un exemple des instructions pour les utilisateurs de Ximi.

Contrôle des accès via un annuaire d’authentification

Cet annuaire recense toutes les données qui permettent d’authentifier un utilisateur : données d’identification, date de création de l’utilisateur dans Ximi et politique de mots de passe.
Véritable carte d’identité de l’utilisateur, il n’est accessible que par les personnes habilitées au sein de Xelya.

Gérer les habilitations

Il s’agit ici de permettre à chaque utilisateur d’accéder uniquement aux données qui lui sont nécessaires. En général, on pense facilement à limiter l’accès aux données liées à la paie. Cela peut bien évidemment aller plus loin, et également évoluer dans le temps.

Profils de permission

Au sein du logiciel, une personne habilitée pourra gérer les permissions pour chaque utilisateur.

Cloisonnement par secteur ou par entité

Cette fonctionnalité peut permettre, par exemple pour un profil de responsable de secteur, de limiter l’accès aux données concernant ce secteur uniquement.

Restriction d’accès aux dossiers

De même que dans le logiciel, la gestion des permissions peut également se faire au niveau du serveur de fichiers. Si besoin, il est même possible de distinguer des droits de lecture, d’écriture ou de suppression en fonction des fichiers et des profils. Au sein de la structure, seules les personnes habilitées pourront donner les instructions de gestion des droits à Xelya.

Tracer les accès

En tant que Responsable de traitement, vous devez être en mesure d’identifier d’éventuels accès frauduleux ou utilisations abusives des données personnelles. En utilisant les outils Xelya, vous pourrez bénéficier d’une historisation des accès et modifications pour pouvoir parvenir à cette fin.

Historique des modifications

Au sein du logiciel, l’historique des modifications est conservé. Cela permet d’identifier l’utilisateur ainsi que la date de modification.

Historique de connexion

Chaque utilisateur peut à tout moment accéder à son historique de connexion au portail, ainsi que les appareils depuis lesquels la connexion a eu lieu. Cela permet à chacun de contrôler les accès à son compte.

De plus, Xelya conserve une copie de tous les historiques de connexion de ses utilisateurs (accessible uniquement par les personnes habilitées). Ceci permet par exemple de détecter et d’alerter un utilisateur à chaque connexion à son compte depuis un appareil inconnu. L’utilisateur peut ensuite agir plus rapidement s’il n’est pas à l’origine de cette connexion.

Contrôle des accès réseau

Xelya historise toutes les connexions à ses réseaux (en interne et sur les réseaux de ses clients) ainsi que les appareils depuis lesquels ces connexions sont effectuées. De la même manière que pour les connexions au portail, cela permet de détecter les anomalies et d’agir rapidement pour maîtriser une éventuelle intrusion.

Sécuriser les postes de travail

L’infogérance des postes de travail de l’ensemble de vos collaborateurs doit être au cœur de la réflexion de mise en conformité RGPD. En effet, les risques d’intrusion dans les systèmes informatiques sont importants et le principal point d’entrée est le poste de travail.

Anti-virus

Xelya utilise Bitdefender avec un système d’alertes en temps réel via un outil de supervision. En interne comme chez nos clients, ce système est installé sur les ordinateurs et les serveurs. Son champ d’action est complet avec notamment les fonctionnalités suivantes : anti-virus, anti-malware, navigation sécurisée, pare-feu, contrôle d’application, contrôle des périphériques.

Mises à jour régulières

Xelya dispose d’un système de gestion de déploiement des mises à jour permettant de tester et de contrôler leur déploiement sur le parc informatique.

Verrouillage automatique de session

Dans l’idéal, chaque utilisateur devrait verrouiller sa session dès qu’il quitte son poste de travail -même pour quelques instants. De cette manière, la connexion à l’ordinateur est impossible sans le mot de passe de l’utilisateur. Pour parer les oublis, Xelya force automatiquement le verrouillage de la session au bout d’un certain temps d’inactivité.

Pare-feu

Xelya met en place des pare-feu au niveau du réseau, mais aussi au niveau logiciel afin de protéger les appareils le plus efficacement possible.

Gestion des droits administratifs

Dans le souci d’éviter l’installation de logiciels malveillants par inadvertance, Xelya limite par défaut les droits des utilisateurs : l’installation de nouveaux logiciels est supervisée par Xelya.

Protéger le réseau informatique interne

Pour mieux maîtriser la sécurité des données qui y sont conservées, les accès au réseau doivent être limités et les réseaux eux-mêmes doivent être distingués.

Réseau Wifi

Afin d’assurer une meilleure protection, Xelya met en place un réseau Wifi sécurisé et propose des réseaux distincts pour la production et pour les invités.

Accès à distance

Pour que les collaborateurs puissent se connecter en télétravail ou lors d’un déplacement tout en restant dans un espace protégé, Xelya propose un accès aux données via un VPN (Virtual Private Network) sécurisé.

Sécuriser l’infrastructure

Les données stockées par Xelya (dans le logiciel Ximi comme dans les mails, serveurs de fichiers, etc.), sont hébergées dans le cloud. Elles sont donc à la fois consultables depuis là où vous le souhaitez, mais cela a aussi un avantage pour leur sécurité. Elles sont stockées dans des datacenters ultra-sécurisés et sauvegardées à de multiples endroits pour limiter les risques.

Sécurisation physique

Les données stockées par Xelya sont hébergées dans des datacenters avec un haut niveau de sécurité : contrôle des accès physiques, alimentation électrique redondée (un réseau de secours peut prendre le relais en cas de panne), climatisation redondée, vidéo-surveillance… Xelya a choisi les datacenters Telehouse 2 et Azure France, tous situés en France et tous certifiés par la norme ISO 27001 sur la sécurisation des systèmes d’information.

Sécuriser les échanges

Ximi utilise le protocole HTTPS sur ses sites de services avec une couche de chiffrement TLS (Transport Layer Security, protocole de sécurisation des échanges sur internet).

Sauvegarder et prévoir la continuité d’activité

Malgré toutes les précautions, une disparition non-désirée des données pourrait survenir. Dans ce cas, l’activité doit pouvoir continuer sans en être affectée.

Plan de continuité et de reprise d’activité

Xelya, en tant que sous-traitant stockant des données, a mis en place un plan de continuité. Ce plan consiste à mettre en place des procédures et des outils, afin de limiter l’impact d’une perte de données sur l’activité de la structure. Par exemple, les données sont stockées dans plusieurs datacenters (comme nous l’avons vu plus haut). Chez nos clients, nous installons également 2 accès internet. Ainsi en cas de panne de l’un, l’autre prend le relais.

Sauvegardes et tests de restauration

Les données sont toujours répliquées à plusieurs endroits, les serveurs sont redondés. Les sauvegardes se font automatiquement à intervalles réguliers, et des tests de restauration sont effectués également de manière régulière.

Archiver de manière sécurisée

Certaines données ne sont plus utiles à l’activité, mais doivent être conservées pour diverses raisons (souvent simplement pour des raisons légales, ou statistiques).

Anonymisation des données

Ximi dispose d’une fonctionnalité permettant d’anonymiser les données personnelles qui permettent d’identifier un individu: ces données (nom, prénom, e-mail, etc.) sont remplacées dans le logiciel par un identifiant chiffré. Cela permet toutefois à la structure de continuer à accéder aux rapports d’activités sans perdre d’informations (répartition du CA par activité, nombre d’heures planifiées sur une année donnée par exemple).

Sauvegarde

Les données sont sauvegardées avec une possibilité de restauration sur 30 jours.

Gérer les sous-traitants

Xelya, en tant que sous-traitant, est co-responsable des données que vous stockez dans ses services.

Conformité au RGPD

Xelya s’engage via des conditions particulières d’utilisation liées aux données personnelles, comme exigé par le RGPD. La société dispose d’un DPO (Data Protection Officer) et d’un RSSI (Responsable Sécurité des Systèmes d’Information) et a fait le nécéssaire pour se mettre en conformité avec le RGPD.

De plus, Xelya a obtenu une quadruple certification HDS (Hébergement des Données de Santé), ISO 20000, ISO 27001 et ISO 27018, ces deux dernières se focalisant sur le contrôle de sécurité et sur la protection des données dans le Cloud. Il est important de noter que la norme ISO 27018 permet notamment de se conformer aux exigences du RGPD.

Diane Bouchet, DPO chez Xelya

Maxime Legas, RSSI chez Xelya

Procédures spécifiques

Xelya a mis en place un comité de sécurité mensuel. Lors de ce comité, sont revus systématiquement la gestion des incidents, la gestion de la capacité et la gestion des risques. Le traitement des risques est issu de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), définie par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). 

Sécuriser les échanges

Nous avons vu que de nombreuses dispositions sont prises pour protéger les données sur site (sur les sites Xelya comme sur ceux de ses clients). Il faut également s’assurer que les données échangées avec des personnes extérieures soient également sécurisées.

Anti-spam

Près de 90% des mails échangés sur internet sont du spam. Au niveau de la messagerie (e-mails), Xelya dispose d’un anti-spam, constamment maintenu et mis à jour. Il s’agit d’un filtre de sécurité paramétré par Xelya et développé par LibraEsva afin de bloquer la réception des spams ou des mails vérolés. L’utilisateur reçoit ensuite un mail l’informant de la mise en quarantaine des mails suspicieux. Il peut choisir de les supprimer, ou de les libérer.

Le système dispose également d’un dispositif d’anti-phishing et d’anti-spoofing.

Data-room

Xelya propose un service de data room électronique sécurisée avec traçabilité des accès. Lors du partage de fichier avec une personne extérieure, l’utilisateur peut choisir le niveau et la durée d’accès au document.

Encadrer les développements informatiques

Au-delà des dispositions sur la sécurisation des postes de travail de ses développeurs, Xelya se conforme aux normes de la profession: l’environnement de test est distinct de la production, des tests qualité réguliers sont réalisés, ainsi que des procédures pour la gestion des évolutions.

Pour avoir plus d’informations

Vous avez un projet d’équipement en système d’information ? Contactez l’équipe Ximi pour discuter de votre projet :

Par téléphone au 01 74 71 48 15
Ou inscrivez-vous directement via le formulaire ci-dessous :

    Nom (obligatoire)

    Prénom

    Société

    Email (obligatoire)

    Téléphone

    Sujet

    Message

    En cochant cette case, je reconnais avoir lu et accepté les mentions ci-dessous.

    L’ensemble des données personnelles recueillies sur la base de votre consentement ne sont utilisées par Xelya, en tant que responsable de traitement, qu’avec pour finalité d’apporter une réponse adaptée à la demande que vous formulez sur les prestations et services que propose la société.
    Ces données ne sont utilisées que par les services internes de la société amenés à traiter cette demande, sans qu’aucune donnée personnelle ne soit transférée dans des pays tiers. Ces données seront conservées pendant une durée maximale de trois ans à compter de la date du dernier contact que vous aurez entretenu avec la société.
    Vous pouvez retirer votre consentement à tout moment, sans que cela porte atteinte à la licéité du traitement effectué avant le retrait de celui-ci.
    Pour en savoir plus et connaître vos droits, cliquez ici.