Addendum sur la Sécurité des Systèmes d’Information (France)
Version 508.2
Tous les termes en majuscules qui ne sont pas définis dans le présent Addendum sur la Sécurité des Systèmes d’Information (« ASSI ») ont la signification qui leur est donnée dans d’autres stipulations du Contrat.
1. Programme de Sécurité
Tout en fournissant les Services, Nexthink maintient un programme de sécurité des systèmes d’information établit par écrit et composé de politiques, procédures et contrôles en accord avec la norme ISO/IEC 27001 et SOC 2 Type 2 ou un standard substantiellement équivalent, précisant le traitement, le stockage, la transmission et la sécurité des Données du Client (le « Programme de Sécurité »). Le Programme de Sécurité comprend les pratiques normalisées l’industrie conçues pour protéger les Données du Client d’une destruction, d’une perte, d’une modification, d’une divulgation non autorisée ou d’un accès, de manière accidentelle ou illicite. Nexthink met à jour le Programme de Sécurité de manière à prendre en compte les nouvelles technologies de l’information et les évolutions de celles-ci ainsi que les menaces informatiques en constante évolution, sans qu’une telle mise à jour ne compromette substantiellement les engagements, les protections et le niveau de service global fournis au Client tels que décrits dans le présent ASSI.
1.1 Exigences Envers le Programme de Sécurité
Le Programme de Sécurité comprend les meilleurs pratiques du secteur conçues pour protéger les Données du Client d’une destruction, d’une perte, d’une modification, d’une divulgation non autorisée ou d’un accès, de manière accidentelle ou illicite. Nexthink s’engage à : (a) garantir, assurer le suivi et prendre les mesures de protection d’ordre organisationnel, administratif, technique et physique requises pour assurer la sécurité, l’intégrité, la confidentialité et la disponibilité des Données du Client et des systèmes informatiques de Nexthink traitant des Données du Client (« Systèmes Informatiques de Nexthink ») ; et (b) assurer la protection contre : (i) des menaces et risques anticipés ; et (ii) des Incidents de Sécurité. Le Programme de Sécurité comprend, en ce qui concerne les Données du Client et les Systèmes Informatiques de Nexthink : (a) les principes de sécurité de la ségrégation des droits et du moindre privilège, y compris un processus par lequel des comptes utilisateurs ne sont créés qu’avec l’accord d’un supérieur hiérarchique, supprimés de manière opportune, avec un historique des changements pouvant être audité, et une révision et suppression annuelle des droits d’accès superflus ; (b) des politiques de conservation pour tous les rapports, journaux, audit trails et autre documentation attestant de la confidentialité des données, de la sécurité des données, des systèmes ainsi que des processus et procédures d’audit ; (c) des politiques expliquant les conséquences en cas de violation du Programme de Sécurité ; (d) une gestion des vulnérabilités et des correctifs basée sur l’analyse des risques ainsi qu’un programme de test d’intrusion permettant de déployer dans tous les Systèmes Informatiques de Nexthink des éléments de contrôle de la gestion des vulnérabilités et des correctifs dans la mesure nécessaire pour satisfaire au présent ASSI et aux dispositions légales et réglementaires applicables en matière de sécurité des systèmes d’information conformément au Contrat (« Règlementation Applicable ») ; (e) dès lors que Nexthink n’a plus besoin des Données du Client, y compris au terme du Contrat, la remise d’une confirmation écrite de l’élimination sécurisée, et à la demande du Client, la remise sécurisé de toutes les Données du Client (sauf dispositions contraires de la Règlementation Applicable obligeant Nexthink à conserver les Données du Client, auquel cas Nexthink n’est autorisée à conserver que les Données du Client requises par la Règlementation Applicable, en outre l’ASSI est maintenu malgré le terme du Contrat et reste applicable pour la durée d’une telle conservation) ; (f) un processus périodique d’évaluation des risques (à une fréquence au moins annuelle) qui tient compte des développements technologiques et des menaces en constante évolution, qui comprennent : (i) les risques pour les activités opérationnelles de Nexthink ; (ii) l’efficacité des contrôles visant à protéger les Données du Client et les Systèmes Informatiques de Nexthink ; et (iii) la manière dont les risques identifiés sont réduits ; (g) un processus permettant d’évaluer de nouveaux risques de sécurité et des risques potentiels afin de modifier et/ou optimiser le Programme de Sécurité, y compris une révision des renseignements sur des cybermenaces ; et (h) un plan de réponse adéquat aux incidents de sécurité et des procédures pour identifier, gérer et réduire les incidents de sécurité ainsi que pour l’information des clients et autres parties concernées. Nexthink met à jour le Programme de Sécurité afin de tenir compte des nouvelles technologies de sécurité et des technologies émergentes, des changements dans les pratiques standard de l’industrie, et des menaces en constante évolution pour la sécurité, sans que de telles mises à jour ne réduisent substantiellement les engagements, les protections ou le niveau de service général fournis au Client tel que décrits dans le présent ASSI.
1.2 Programme de Prévention de Pertes de Données
Nexthink développe, maintient et contrôle un programme de prévention des pertes de données conçues pour déceler les transferts de Données du Client si un tel transfert n’est pas conforme au Contrat ou à la Règlementation Applicable.
1.3 Organisation en Matière de Sécurité
Nexthink désigne un responsable à la sécurité des systèmes d’information (présentement le Directeur de la Sécurité des Systèmes d’Information et de la Conformité) qui répond de la coordination, de la gestion et du suivi des fonctions, politiques et procédures de Nexthink en matière de la sécurité des systèmes d’information.
1.4 Fournisseurs Tiers ou Sous-traitants
Nexthink évalue tous les fournisseurs tiers ou sous-traitants afin de s’assurer qu’ils maintiennent des contrôles d’ordre physique, technique, organisationnel et administratif adéquats – en fonction du niveau de risque correspondant à leurs services – afin d’assurer le respect par Nexthink des exigences décrites dans le Contrat et le présent ASSI. Tous les fournisseurs tiers ou sous-traitants sont susceptibles de faire l’objet d’un audit indépendant, ou doivent mettre en place une politique d’audit indépendant, conforme à la norme ISO/IEC 27001 ou à un standard équivalent, laquelle énonce leurs rôles et activités. Nexthink reste responsable des actes et omissions de ses sous-traitants liés aux Services comme si elle avait personnellement réalisé ces actes ou omissions, et un rapport de sous-traitance ne réduit en rien les obligations de Nexthink envers le Client découlant du Contrat.
1.5 Politiques
Les politiques de la sécurité des systèmes d’information de Nexthink sont : (i) documentées ; (ii) révisées et approuvées par la direction, y compris après des changements substantiels aux Services ; et (iii) publiées et communiquées au personnel ainsi qu’aux fournisseurs et tout tiers ayant accès aux Données du Client, y compris en ce qui concerne les conséquences en cas de non-respect desdites politiques.
1.6 Gestion des Risques
Nexthink effectue des évaluations des risques pour la sécurité des systèmes d’information en tant qu’élément d’un programme de gouvernance des risques établis dans le but de tester, évaluer et contrôler régulièrement l’efficacité du Programme de Sécurité. Une telle évaluation est conçue de manière à identifier et évaluer les conséquences des risques et à implémenter des stratégies pour réduire ou éliminer les risques identifiés afin de prendre en compte les nouvelles technologies de sécurité, les changements dans les pratiques standard de l’industrie, et les menaces en constante évolution pour la sécurité. Nexthink soumet chaque année le programme de gouvernance des risques à un audit réalisé par un tiers indépendant en accord avec la clause 2.1 (Certifications et attestations indépendantes) du présent ASSI.
2. Certifications et Attestations Indépendantes
2.1 Certifications et Attestations Indépendantes
Nexthink instaure et assure des contrôles suffisants pour satisfaire aux conditions de certification et d’attestation relatives aux objectifs énoncés dans les normes ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 et SOC 2 (ou des standards équivalents) pour le Programme de Sécurité lié aux Services. Au moins une fois par année civile, Nexthink demande à un auditeur tiers indépendant de vérifier que les exigences découlant de ces normes et méthodes d’audit sont satisfaites et permet au Client d’accéder aux rapports exécutifs.
2.2 Audits de Tierces Parties
Nexthink autorise et participe aux audits qui comprennent des inspections en garantissant au Client (par l’intermédiaire d’un ou plusieurs représentants dûment autorisés à effectuer de tels audits) l’accès à toute documentation raisonnablement exigible et reconnue par l’industrie prouvant que les politiques et procédures de Nexthink régissant la sécurité et la confidentialité des Données du Client et son Programme de Sécurité, excepté toute information dont un tiers est titulaire ou la documentation dont la divulgation est expressément prohibée par un tiers ou par la Règlementation Applicable (« Audit ») ; à condition que le ou les représentants en question s’engagent par écrit directement auprès de Nexthink à respecter leurs devoirs de confidentialité et de non-divulgation. La publication de l’Audit comprendra la documentation attestant du Programme de Sécurité, de même que des politiques et procédures de Nexthink liées à la confidentialité des informations personnelles traitées dans le cadre des Services, les copies de certificat et les rapports d’attestations (y compris les audits) mentionnés ci-dessus. Sans préjudice de ce qui précède, l’Audit vise à démontrer que l’entreprise a mis en place et maintient un Programme de Sécurité complet, y compris en remplissant des questionnaires sur la sécurité des systèmes d’information et, si nécessaire, en fournissant : (a) tous les documents concernant la protection des données, leur traitement, sécurité, cryptage et confidentialité, à savoir : (i) les politiques, procédures et standards de l’entreprise (y compris les procédures d’escalade en cas de non-conformité ainsi que les supports de formation) ; (ii) les inspections, audits de tiers, ainsi que toutes autres évaluations équivalentes, et (iii) des preuves que les Analyses de Vulnérabilités et Tests d’Intrusion (termes définis ci-dessous) ont été effectués en accord avec la clause 6 du présent ASSI ; (b) dans la mesure autorisée par la Règlementation Applicable, des demandes de particuliers en ce qui concerne leurs données personnelles traitées dans le cadre des Services ; (c) les plages publiques d’adresses IP associées aux Systèmes Informatiques de Nexthink utilisés en lien avec les Services ; et (d) les informations et la documentation pertinentes pour assurer le respect du présent ASSI.
2.3 Audits Réglementaires
Si l’autorité publique de contrôle du Client exige de lui qu’il effectue un audit sur site du Programme de Sécurité, et que le Client en apporte la preuve, le Client pourra effectuer à ses frais un audit sur site du Programme de Sécurité en mandatant un auditeur tiers indépendant, dûment autorisé et sélectionné par le Client, dans la mesure requise par la Règlementation Applicable (« Audit réglementaire »). Le Client doit présenter toute demande d’audit réglementaire sur site au Directeur de la Sécurité des Systèmes d’Information et de la Conformité. Nexthink se réserve le droit de facturer au Client des frais d’audit au tarif alors en vigueur pratiqué par Nexthink.
2.4 Modalités d’Audit
Les audits réalisés conformément au présent ASSI doivent : (i) être réalisés pendant des horaires raisonnables et être d’une durée raisonnable ; (ii) ne pas déranger de manière excessive les opérations quotidiennes de Nexthink ; et (iii) être réalisés selon des conditions définies d’un commun accord et conformément aux politiques et procédures en matière de sécurité de Nexthink. Nexthink se réserve le droit d’exclure d’un audit les paramètres de configuration, capteurs, moniteurs, appareils et équipement en réseau, fichiers ou d’autres éléments si Nexthink peut raisonnablement considérer qu’un tel audit pourrait compromettre la sécurité du Programme de Sécurité ou les données d’autres clients de Nexthink. Les auditeurs tiers ont l’obligation de respecter un accord de confidentialité contenant des clauses de confidentialité similaires à celles du Contrat, lesquelles protègent les informations confidentielles de Nexthink.
2.5 Conclusions
Après l’achèvement de l’audit, Nexthink et le Client fixent d’un commun accord une date pour discuter des conclusions de l’audit. Nexthink peut – à son entière discrétion et conformément à ses standards et aux pratiques également partagés par l’industrie – fournir des efforts raisonnables pour implémenter les améliorations suggérées par le Client, qui ressortent de l’audit et visent à améliorer le Programme de Sécurité. L’audit et les conclusions qui en sont tirées constituent des informations confidentielles du Client et de Nexthink, selon le cas. Le Client doit fournir immédiatement à Nexthink tout audit, évaluation de sécurité, rapport d’évaluation de conformité et les éléments y afférents – qu’ils soient préparés par lui ou ses fournisseurs tiers – pour permettre à Nexthink de les commenter avant de les finaliser et/ou de partager de telles informations avec un tiers. Si un audit réalisé en application du présent ASSI met au jour ou identifie un quelconque manquement par Nexthink de ses obligations découlant du Contrat ou du présent ASSI, alors : (a) Nexthink fera le nécessaire pour remédier à ces manquements ; et (b) le Client pourra demander à Nexthink de se positionner sur ceux-ci et fournir des informations relatives aux mesures correctives et réparatrices devant être prises à la suite de cet audit dans les soixante (60) jours à compter de la date de réalisation de l’audit.
3. Mesures de Sécurités d’Ordre Physique, Techniques et Organisationnel
3.1 Mesures de Sécurités d’Ordre Physique
3.1.1. Généralités
Nexthink prend des mesures de sécurité d’ordre physique appropriées ayant pour but de protéger les éléments physiques, tels que les systèmes informatiques physiques, réseaux, serveurs et appareils traitant des Données du Client. Nexthink a recours à des logiciels et matériels de sécurité de qualité commerciale pour protéger les Services.
3.1.2. Accès aux Installations
Nexthink veille à ce que : (a) l’accès physique aux installations de Nexthink soit strictement contrôlé ; (b) toutes les personnes qui pénètrent ses installations signent un registre d’identification (ou soient signalées au service de la gestion des bureaux par les personnes qui les ont invitées dans le but de garder trace de leur venue) et acceptent de respecter les devoirs de confidentialité concernant leur accès, leur rôle et la raison de leur visite et d’être accompagnées par un membre du personnel de Nexthink en tout temps tant qu’elles se trouvent dans les locaux ; et (c) les équipes de sécurité de Nexthink soient alertées en temps réel en cas d’incident de sécurité quelconque sur place. Nexthink révoque l’accès physique aux installations de Nexthink accordé aux membres du personnel de Nexthink au terme de leurs rapports de travail.
3.1.3. Accès aux Centres de Données
Nexthink s’assure que les fournisseurs de services de centres de données de qualité commerciale – auxquels il est fait appel pour la fourniture des Services – garantissent sur place un service de sécurité opérationnel et responsable pour toutes les fonctions liées à la sécurité physique du centre de données et appliquent des procédures formelles d’accès physique répondant aux standards ISO/IEC 27001, SOC2 ou équivalents. Les centres de données de Nexthink sont compris dans la certification ISO/IEC 27001, SOC2 ou équivalente de Nexthink.
3.1.4. Systèmes, Machines et Appareils Propriétaires
Les systèmes, machines et appareils propriétaires sont en outre gérés au moyen de (a) dispositifs physiques de protection ; et (b) contrôles d’entrée visant à limiter l’accès physique.
3.1.5. Médias
Nexthink met en œuvre une destruction des Données du Client conforme aux standards de l’industrie (ou substantiellement équivalente) avant que de tels médias ne quittent les centres de données de Nexthink pour élimination. Sur demande, Nexthink fournit des informations détaillées sur les mesures de destruction applicables à n’importe quel média utilisé en lien avec les Données du Client.
3.2 Mesure de Sécurité d’Ordre Technique
3.2.1. Gestion des Accès
L’accès aux services par les employés et sous-traitants de Nexthink est protégé par un processus d’authentification et d’autorisation. Une authentification d’utilisateur est nécessaire pour accéder aux instances de production primaire et secondaire. Un compte d’utilisateur unique est assigné à chaque personne. Les comptes d’utilisateurs individuels ne doivent pas être partagés. Les privilèges d’accès reposent sur des exigences professionnelles selon le principe du moindre privilège et sont révoqués au terme du contrat de travail ou de la mission des consultants. Les droits d’accès sont régulièrement révisés, au moins annuellement au cours du processus d’examen du Programme de Sécurité. L’accès aux infrastructures comprend un compte utilisateur adéquat et des contrôles d’authentification adéquats, qui incluent l’usage requis de connexions VPN, des comptes avec mots de passe complexes pouvant être verrouillés et une procédure de connexion par authentification à plusieurs facteurs.
3.2.2. Contrôle de l’Accès aux Services
Les Services fournissent des contrôles d’accès basés sur les utilisateurs et des rôles. Le Client répond de la configuration de tels contrôles d’accès dans son instance.
3.2.3. Journalisation et Systèmes de Supervisions
Les activités journalisées de l’infrastructure de production sont centralisées, sécurisées afin d’éviter leur falsification et surveillées par une équipe dûment formée en sécurité pour déceler d’éventuelles anomalies. Nexthink met à disposition une fonction de journalisation sur la plateforme qui enregistre les connexions et actions effectuées par les utilisateurs dans l’application de Nexthink. Le Client a intégralement accès aux journaux d’audit des applications au sein de ses instances, y compris les tentatives fructueuses et infructueuses d’accès aux instances du Client. Le Client répond de l’exportation des journaux d’audit des applications vers les serveurs syslog du Client par le biais des fonctions disponibles intégrées à la plateforme.
3.2.4. Système de Pare-Feu
Un pare-feu conforme aux standards de l’industrie est installé et géré dans le but de protéger les systèmes de Nexthink en étant placé sur le réseau qu’il inspecte afin de détecter toutes les connexions entrantes parvenant à l’écosystème de Nexthink. Les règles de pare-feu gérées par Nexthink sont révisées trimestriellement. Le Client répond de la supervision de toute règle de pare-feu concernant son ou ses instances.
3.2.5. Gestion des Vulnérabilités
Nexthink veille à identifier les actifs informationnels critiques, évaluer les menaces à l’encontre de tels actifs, déterminer les vulnérabilités potentielles et fournir un traitement. Lorsque des failles logicielles sont décelées, Nexthink détermine les solutions les plus efficaces et les plus rapides à déployer pour y remédier à court et long terme, ainsi que les procédures à suivre si des correctifs de fournisseurs ou d’autres solutions disponibles dans le commerce ne peuvent pas être obtenus immédiatement. En fonction de la situation, Nexthink obtiendra le correctif de la part du fournisseur concerné et l’appliquera en accord avec la procédure opérationnelle standard de gestion des vulnérabilités alors applicable au sein de Nexthink, et ce uniquement après que ce correctif aura été testé et considéré comme sûr pour un déploiement dans tous les systèmes productifs.
3.2.6. Antivirus
Nexthink met à jour les logiciels antivirus, anti-malwares et anti-espionnages à intervalle régulier et journalise de manière centralisée les incidents pour assurer la performance de tels logiciels.
3.2.7. Contrôle des Changements
Nexthink évalue les modifications à apporter à la plateforme, aux applications et à l’infrastructure de production pour réduire le plus possible les risques, de telles modifications étant implémentées conformément au processus opérationnel standard de Nexthink.
3.2.8. Séparation des Données
Les Données du Client sont gérées sur une infrastructure infonuagique (cloud) qui est logiquement et physiquement séparée de l’infrastructure d’entreprise de Nexthink.
3.2.9. Gestion de la Configuration
Nexthink implémente et gère des configurations de durcissement standard pour tous les composants systèmes liés aux Services. Nexthink suit les recommandations des guides de durcissement standard de l’industrie, tels que les guides du Center for Internet Security, pour la mise au point de configurations de durcissement standard.
3.2.10. Chiffrement des Données en Transit
Nexthink fait appel à des algorithmes de chiffrement standard de l’industrie et conformes à la Règlementation Applicable pour crypter les Données du Client transitant par des réseaux publics vers les Services.
3.2.11. Chiffrement des Données au Repos
Nexthink fournit un chiffrement conforme au standard de l’industrie et, en accord avec la Règlementation Applicable, une capacité au repos pour les Données du Client au niveau du stockage.
3.2.12. Développement Logiciel Sécurisé
Nexthink implémente et tient à jour des politiques et procédures de développement d’applications sécurisées conformes aux pratiques standard de l’industrie tels que « OWASP Top 10 » (ou un standard substantiellement équivalent). Toute personne en charge de la conception et du développement d’applications sécurisés suit une formation adéquate concernant les pratiques sécurisées de Nexthink pour le développement d’application.
3.2.13. Révision du Code de Sécurité
Nexthink effectue une combinaison de tests statiques et logiciels du code avant de le fournir à ses clients. Les failles sont traitées conformément au programme de gestion de la vulnérabilité logicielle alors applicable. Des correctifs de sécurité sont régulièrement fournis aux clients pour remédier aux failles connues.
3.2.14. Code Illicite
Les Services ne contiennent pas de virus, logiciels malveillants, vers, bombes logiques, dispositifs d’arrêt pouvant causer, soit : (a) tout dysfonctionnement des Services ; soit (b) toute interruption, interférence avec le bon déroulement des Services (conjointement, le « Code Illicite »). S’il s’avère que les Services contiennent un Code Illicite qui affecte négativement la performance des Services ou représente un risque substantiel pour la sécurité des Données du Client, Nexthink fournira, à titre de seul recours du Client, des efforts raisonnables sur le plan commercial pour retirer le Code Illicite ou informer et aider le Client à retirer le Code Illicite.
3.3 Mesures de Sécurité d’Ordre Organisationnel
3.3.1. Revue des Centres de Données
Nexthink effectue des examens de routine des mesures prises dans les centres de données afin de s’assurer que lesdits centres continuent d’effectuer les contrôles de sécurité nécessaires pour satisfaire au Programme de Sécurité.
3.3.2. Sécurité du Personnel
Nexthink effectue ou demande une vérification des antécédents des membres du personnel de Nexthink ayant accès aux Données du Client conformément aux procédures opérationnelles standard de Nexthink alors applicables et dans la mesure autorisée par la Règlementation Applicable.
3.3.3. Sensibilisation et Formation à la Sécurité
Nexthink assure un programme de sensibilisation à la sécurité et à la confidentialité qui comprend une formation et un entraînement adéquats du personnel de Nexthink autorisé à accéder aux Données du Client. Une telle formation est donnée au moment du recrutement et elle est répétée au moins une fois par an tant que les rapports de travail avec Nexthink subsistent.
3.3.4. Gestion des Risques Liés aux Fournisseurs
Nexthink assure un programme de gestion des risques liés aux fournisseurs qui évalue tous les fournisseurs pouvant accéder, stocker, traiter ou transmettre des Données du Client sur leurs contrôles adéquats de sécurité et de protection des données ainsi que leur discipline commerciale.
3.3.5. Inventaires des Logiciels et Actifs
Nexthink tient à jour un inventaire de tous les composants logiciels (notamment les logiciels open source) utilisés dans les Services, et répertorie tous les médias et dispositifs sur lesquels des Données du Client sont conservées. Nexthink assure la révision des conditions et exigences légales pour tous les composants logiciels et mises à jour, selon le cas, et inclut à son inventaire des références au matériel d’origine ou à toute autre élément pertinent.
3.3.6. Sécurité du Poste de Travail
Nexthink implémente et tient à jour des dispositifs de sécurité sur les postes de travail personnels, y compris des pares-feux, programmes antivirus et chiffrement complet de disques durs. Nexthink empêche le personnel de pouvoir désactiver les mécanismes de sécurité.
4. Continuité des Services
4.1 Gestion des Données, Sauvegarde des Données
Les Services ne sont hébergés que dans des centres de données au bénéfice d’une attestation SOC 2 de type 2 ou d’une certification ISO/IEC 27001 (ou d’attestations ou de certifications équivalentes ou qui leur succèdent). Chaque centre de données comprend une redondance complète (N+1) et une infrastructure tolérant les défaillances pour les systèmes électriques, de refroidissement et de réseaux. Les serveurs déployés sont des serveurs d’entreprise avec alimentation redondante pour garantir une disponibilité et une capacité de service maximales. Les systèmes de bases de données de production sont répliqués en temps quasiment réel dans un centre de données miroir situé dans une autre région géographique. Chaque instance du Client bénéficie d’une configuration réseau avec de multiples connexions à Internet. Nexthink assure la sauvegarde de toutes les Données du Client conformément à la procédure opérationnelle standard de Nexthink.
4.2 Récupération en cas de catastrophe
Nexthink se charge de (i) garantir un Plan de Reprise d’activité (« PRA ») conforme aux standards de l’industrie pour les Services ; (ii) tester le plan PRA au moins une fois par an ; (iii) sur demande, fournir un résumé des résultats des tests ; et (iv) documenter tout plan d’action compris dans le résumé des résultats des tests pour traiter et résoudre rapidement toute lacune ou tout problème ayant empêché ou pouvant empêcher une reprise des Services conformément au PRA.
4.3 Continuité Opérationnelle
Nexthink tient un Plan de Continuité d’Activité (« PCA ») servant à réduire les répercussions d’un incident sur la fourniture de ses services et l’assistance correspondante. Le PCA : (i) comprend des processus visant à protéger le personnel et les actifs ainsi rétablir le bon fonctionnement en accord avec le calendrier qui y est précisé ; et (ii) est soumis à des tests annuels et mis à jour en fonction des défaillances décelées lors de ces tests.
4.4 Personnel
En cas d’une urgence empêchant le bon fonctionnement du système téléphonique d’assistance à la clientèle, tous les appels seront redirigés vers un service chargé de les transmettre à un représentant de l’assistance téléphonique de Nexthink, selon la répartition géographique, afin de garantir la continuité opérationnelle des services d’assistance.
5. Suivi et Gestion des Incidents
5.1 Suivi, Gestion et Notification
5.1.1. Suivi et Gestion des Incidents
Nexthink assure le suivi, l’analyse et la réponse aux incidents de sécurité (individuellement, un « Incident de Sécurité »), et dans la mesure du possible, dans les 48 heures après la date déterminée par Nexthink à laquelle un Incident de Sécurité est survenu (sauf dispositions contraires de la Règlementation Applicable). L’équipe Nexthink chargée de la sécurité informera et mobilisera les équipes d’intervention dans la mesure nécessaire pour mettre un terme à l’Incident de Sécurité.
5.1.2. Notification en Cas d’Incident
Nexthink communiquera immédiatement au Client toute destruction, perte, altération, publication non autorisée ou accès aux Données du Client, de manière accidentelle ou illicite, conformément à la Règlementation Applicable (une « Brèche de Sécurité »), et si possible dans les 48 heures à compter de la découverte par Nexthink d’une Brèche de Sécurité (sauf dispositions contraires de la Règlementation applicable). L’équipe Nexthink chargée de la sécurité informera et mobilisera les équipes d’intervention dans la mesure nécessaire pour mettre un terme à la Brèche de Sécurité.
5.1.3. Rapports
Le rapport initial sera fourni aux contacts du Client désignés en matière de sécurité (ou – à défaut de contacts précisés dans le profil du Client – à l’interlocuteur technique principal désigné par le Client). Au fur et à mesure de la collecte d’informations ou lorsque celles-ci deviennent disponibles d’une autre manière, sauf disposition contraire de la Règlementation Applicable, Nexthink fournira immédiatement toute information concernant la nature et les conséquences de la Brèche de Sécurité au Client pour lui permettre d’informer les parties concernées, y compris les particuliers impactés, services gouvernementaux et autorités chargées de la protection des données conformément à la Règlementation Applicable. Le rapport comprendra le nom et les coordonnées du contact au sein de Nexthink auprès duquel de plus amples informations pourront être obtenues. Nexthink informera le Client des mesures que prendra Nexthink pour traiter les causes de la Brèche de Sécurité et pour éviter de futures Brèches de Sécurité. Malgré ce qui précède, les procédures prévues par la Règlementation Applicable font foi et priment celle découlant de la présente clause.
5.1.4. Devoirs du Client
Sans préjudice des obligations découlant du Contrat ou de l’ATD, le Client coopérera avec Nexthink et fournira à Nexthink toute information raisonnablement nécessaire pour résoudre tout Incident de Sécurité, y compris toute Brèche de Sécurité, identifier la ou les causes fondamentales et éviter qu’elles ne se reproduisent. Dans la mesure autorisée par la Règlementation Applicable et l’ATD, le Client est seul responsable de déterminer s’il convient d’en informer les autorités de surveillance ou réglementaires compétentes ainsi que les Personnes Concernées impactées.
6. Analyses de Vulnérabilités et Tests d’Intrusion
6.1 Par Nexthink
Nexthink se charge : (a) d’assurer le suivi et d’effectuer régulièrement des tests pour garantir l’efficacité continue de son Programme de Sécurité ; et (b) de remédier immédiatement à toute faille ou élément décelé grâce à cette surveillance et ces tests. Sous réserve des activités de maintenance prévues, Nexthink procède à des analyses de vulnérabilités en recourant à un outils tiers fiable, au moins mensuellement, sur un échantillon représentatif de son infrastructure et ses applications reliées à Internet ainsi que sur un échantillon représentatif de son infrastructure et ses applications internes (conjointement, les « Analyses de Vulnérabilités »).
6.2 Par une Tierce Partie
Nexthink mandate des organismes externes, reconnus par l’industrie, afin de réaliser des tests d’intrusion de son infrastructure Internet et interne et ses applications sur les Systèmes Informatiques Nexthink (« Tests d’Intrusion ») pour identifier les risques et possibilités d’amélioration de sa sécurité. Nexthink met à disposition du Client les rapports exécutifs des Tests d’Intrusion dans le cadre de ses communications de service ou à la demande du Client.
7. Partage de Responsabilité en Matière de Sécurité
7.1 Capacités du Produit
Les Services permettent au Client : (a) d’authentifier les utilisateurs avant d’accéder aux instances du Client ; (b) de s’intégrer avec des solutions SAML ; (c) de chiffrer des mots de passe ; (d) de permettre aux utilisateurs de gérer des mots de passe ; et (e) d’éviter tout accès par des utilisateurs ayant un compte inactif. Le Client gère chaque accès des utilisateurs et l’utilisation des Services en assignant à chaque utilisateur une accréditation et un type d’utilisateur contrôlant le niveau d’accès aux Services. Le Client est seul responsable de sa revue du Programme de Sécurité et détermine de manière indépendante de Nexthink si le Programme de Sécurité répond à ses exigences, en tenant compte du type et du degré de sensibilité des Données du Client que le Client traite au moyen des Services. Le Client est responsable de l’implémentation des fonctions de contrôle d’accès, de chiffrement et d’anonymisation, dans la mesure précisée par les Services visant à protéger toutes les Données du Client. Le Client répond de la protection de la confidentialité de l’identifiant de connexion et du mot de passe de chaque utilisateur et a la responsabilité de gérer l’accès de chaque utilisateur des Services. Le Client répond de l’implémentation des meilleures pratiques documentées par Nexthink.
7.2 Contact en Matière de Sécurité
Le Client accepte de nommer et de tenir à jour le ou les contacts adéquats en matière de sécurité pour tout incident lié à la sécurité des systèmes d’information et toute communication y afférente. Le Client doit signaler à Nexthink toute défaillance dans les Services empêchant substantiellement son bon fonctionnement tel que décrit dans la documentation (actuellement, par le biais du portail d’assistance de Nexthink sur Internet ou par courriel à l’adresse électronique suivante : support@nexthink.com). Si le Client se trouve dans l’impossibilité d’effectuer ce signalement par le portail d’assistance ou par courriel (ou par tout autre moyens indiqué dans la documentation), le Client le fera par téléphone. Nexthink fournira au client un numéro de téléphone à contacter pour obtenir l’assistance convenue.
7.3 Restrictions
Nonobstant toute stipulation contraire du présent ASSI ou de tout autre élément du Contrat, les obligations de Nexthink découlant du présent ASSI sont uniquement applicables aux Services. Le présent ASSI ne s’applique pas : (a) aux informations communiquées à Nexthink qui ne sont pas des Données du Client ; (b) aux données logées dans le VPN du Client ou le réseau d’un tiers ; et (c) aux données traitées par le Client ou ses utilisateurs en violation du Contrat ou du présent ASSI.
7.4 Dispositions Réglementaires
Nexthink se conformera aux standards, convenus par écrit et à l’avance, pertinents pour la fourniture des Services ; et uniquement dans la mesure où les Services sont expressément modifiés pour inclure le stockage et le traitement de catégories spécifiques des Données du Client : (a) Nexthink ne conserve ni ne traite des informations liées aux cartes de crédit dans le cadre des services, et le Client ne fournit aucune information correspondante ; et (b) Nexthink ne conserve ni ne traite des informations liées à la santé, à la finance ou faisant l’objet d’autres règlementations sectorielles dans le cadre des services, et le Client ne fournit aucune information correspondante. Dans le cas où Nexthink accepte par écrit d’expressément déroger à la documentation des Services pour traiter également de catégories spécifiques de données personnelles ou d’informations transactionnelles, alors Nexthink accepte de se soumettre aux exigences et standards sectoriels correspondants (y compris aux standards de sécurité des industries concernées et leurs exigences en matière d’établissement de rapports). Pour éviter toute confusion, ces standards sectoriels peuvent inclure à titre d’exemple les standards PCI DSS ainsi que les exigences faites aux établissements financiers ou aux acteurs du secteur de la santé.