Sécurité

Résumé des mesures

CM.com a pour objectif de fournir une plateforme mondiale avec tous les canaux et fonctionnalités pour atteindre au mieux votre audience dans le monde entier. Notre Communications Platform as a Service (CPaaS) regroupe tous les canaux de messagerie, des solutions de paiement de nouvelle génération et des outils d’identification intelligents. Grâce à notre Customer Data Platform (CDP), nous facilitons l’utilisation de ces fonctionnalités.

Nous nous efforçons d’être flexibles, évolutifs et rapides dans la fourniture de nos services tout en maintenant les standards les plus élevés en matière de sécurité et de conformité. Tous les logiciels de la plateforme CM.com sont conçus et développés par nos propres équipes. La plateforme fonctionne sur des serveurs et logiciels internes et autogérés, hébergés dans nos propres centres de données ainsi que dans des centres certifiés de fournisseurs tiers. Le cloud privé CM.com est exploité aux Pays-Bas.

Contrôle d’accès logique

• L’accès aux systèmes d’information au sein de CM.com est encadré par les utilisateurs et les administrateurs :

• L’accès aux applications est protégé par trois facteurs : identifiant utilisateur, mot de passe et clé d’authentification. Cette clé est fournie sur le téléphone mobile ou l’adresse e-mail personnelle de l’utilisateur. Cela s’applique à l’ensemble du personnel et à tous les utilisateurs de la plateforme CM.com.

• CM.com procède régulièrement à la désactivation des comptes inactifs.

• Les accès du personnel sont gérés par les administrateurs système pour les systèmes généraux (intranet, environnement de bureau, lecteurs réseau), et les accès aux applications sont gérés par des administrateurs applicatifs dédiés selon l’équipe ou la fonction.

CM.com dispose de plusieurs politiques et mesures pour garantir une gestion sécurisée des accès.

Contrôle d’accès physique

Pour garantir la sécurité et les accès dans tous les sites utilisés par CM.com, tous les services respectent les exigences suivantes :

Accès physique

• Les centres de données tiers utilisés doivent être certifiés ISO 27001 et possèdent leurs propres politiques de sécurité. CM.com évalue soigneusement la sécurité et la redondance de ces centres pour s’assurer qu’ils respectent nos standards et ceux de nos clients, et vérifie chaque année leur recertification.

• L’accès aux services, machines et données est strictement réservé au personnel autorisé de CM.com, avec identification et enregistrement obligatoires à l’entrée.

• L’ajout et la suppression de personnes autorisées sont initiés par les ressources humaines, exécutés par l’ICT et suivis par le manager de l’équipe concernée.

• Les fournisseurs tiers n’ont accès aux services et machines que lorsqu’ils sont accompagnés par un employé autorisé de CM.com, après enregistrement et validation par un responsable qualifié.

• Des contrôles supplémentaires empêchent l’accès physique non autorisé : personnel de sécurité, vidéosurveillance, alarmes, contrôle d’accès automatisé, portes verrouillées, journal des visiteurs.

Sécurité physique

• Les points d’accès utilisés pour l’approvisionnement sont surveillés par caméras et isolés des zones de traitement des informations.

• Chaque site est visité au moins toutes les deux semaines pour vérifier l’état des installations.

• CM.com délivre ses services 24/7/365. Le personnel NOC est présent en continu dans notre centre de données de Breda et surveille tous les accès critiques via des caméras. Les images sont conservées 120 jours et l’accès est limité à quatre personnes désignées.

Mots de passe

• Les mots de passe des employés doivent comporter au moins 16 caractères.

• Après cinq tentatives infructueuses, le compte est bloqué pendant 30 minutes et débloqué après une connexion réussie.

Sécurité des systèmes

• Pare-feu sur tous les éléments exposés à Internet pour protéger les données et contrôler le trafic.

• IDS, IPS et WAF activés sur nos pare-feu en production.

• Antivirus, anti-spyware et anti-malware en temps réel sur tous les équipements et serveurs. Les résultats et journaux sont centralisés et supervisés par le NOC/SOC.

• Surveillance réseau en temps réel avec détection des comportements malveillants via IA.

Compartimentation des menaces

• Tout le trafic réseau et les accès humains ou API sont compartimentés et zonés.

• Chaque service fonctionne dans une zone isolée et ne communique qu’avec les systèmes autorisés.

• Les contrôles concernent :

  • Trafic sortant

  • Trafic entrant

  • Trafic entre zones

  • Accès aux données et portails par utilisateur

  • Accès aux données utilisateur

Surveillance centralisée, détection et mitigation

• Journalisation centralisée du trafic (NetFlow, syslog, protocoles propriétaires).

• Analyse externe des menaces et signatures injectées dans les dispositifs et la journalisation centralisée.

• Protection anti-DDoS automatique pour attaques volumétriques ou lentes.

• Appliances et services de sécurité agissent automatiquement et remontent les incidents au système central.

• Sécurité appliquée via : pare-feu, IDS/IPS, antivirus, filtre malware/spam, WAF, détection d’anomalies.

Surveillance continue

• La plateforme est surveillée 24/7/365 pour détecter menaces et erreurs.

• Quatre types de surveillance : serveurs, scripts applicatifs, tendances, sécurité.

• Détection des :

  • Déviations de trafic réseau

  • Attaques malveillantes

  • Déviations dans la journalisation

  • Trafic provenant d’IP non fiables

  • Attaques DDoS

Audits de sécurité

• Tests d’intrusion semestriels ou trimestriels via un prestataire certifié.

• Participation à un programme bug bounty et scans de vulnérabilités internes et externes.

Sauvegardes et disponibilité

• Sauvegardes complètes quotidiennes des serveurs et bases de données.

• Sauvegardes fréquentes des journaux de transactions.

• Stockage sécurisé hors site et redondance dans plusieurs centres de données.

• Retention :

  • Sauvegardes complètes quotidiennes : 6 jours

  • Sauvegardes différentielles : 4 semaines

  • Sauvegardes hebdomadaires : 3 mois

  • Configurations serveur : 7 jours

  • Journaux d’accès : 90 jours

• Les sauvegardes sont stockées aux Pays-Bas et dans un autre centre de CM.com, garantissant leur disponibilité permanente.

• Processus automatisé et accès réservé au personnel qualifié.

• Architecture conçue pour haute disponibilité en continu.

Continuité et redondance

• CM.com s’engage à assurer la disponibilité de ses services selon le SLA.

• Plan de continuité des activités (BCP) pour minimiser l’impact des incidents majeurs sur le personnel, les bureaux, les centres de données et les équipements.

• Procédures de reprise, tests et formations réguliers.

• Protocole de communication de crise disponible et page de statut de la plateforme : https://status.cm.com/ hébergée dans un environnement sécurisé.

Gestion des changements

• Politique formelle de gestion des changements opérationnels, révisée annuellement.

• Change Advisory Board (CAB) réunit IT et sécurité pour discuter des changements.

• Réunions tous les trois semaines entre CISO et CEO pour évaluer les impacts sur les actifs et les opérations.

Réponse aux incidents

CM.com classe un incident comme suit : Sévérité 4 : Incident, Sévérité 3 : Perturbation, Sévérité 2 : Indisponibilité, Sévérité 1 : Indisponibilité critique. Dans toutes ces classifications, l’équipe sécurité met en œuvre ses outils de réponse aux incidents et de forensique digitale pour assurer le suivi de l’incident. En cas d’incident de sécurité de l’information, CM.com dispose d’un plan de réponse aux incidents.

En cas de violation, piratage ou fuite de données, CM.com a mis en place les protocoles suivants pour réagir de manière appropriée :

L’équipe sécurité est disponible et, avec l’équipe support, fournit le support et la réponse de première, deuxième et troisième ligne en cas d’incident.

Un plan de continuité des activités est mis en place pour éliminer la menace, contenir les dommages, rétablir la disponibilité du service sécurisé et mettre en œuvre des mesures structurelles afin d’éviter toute récurrence.

En cas d’incident de sécurité, nous informons nos clients via les canaux de communication appropriés, tels que status.cm.com, e-mail ou appel téléphonique personnel, selon la gravité et les niveaux de SLA.

En tant que fournisseur de communications électroniques, CM.com a le devoir indépendant d’informer les autorités compétentes en cas d’incident de sécurité.

Violation de données

Détection ou suspicion de tout incident de sécurité possible ou avéré : pour une violation de données personnelles, CM.com notifie chaque client concerné par une violation de données personnelles impliquant CM.com ou un sous-traitant sans délai excessif (et au plus tard 48 heures après avoir pris connaissance de la violation). La notification est envoyée par e-mail aux personnes de contact concernées.

Chiffrement

Chiffrement des données : CM.com applique des algorithmes de chiffrement robustes pour chiffrer les données au repos. Cela garantit que les données sensibles stockées sur des serveurs ou supports physiques restent sécurisées et illisibles sans les clés de déchiffrement appropriées.

Gestion des clés : nous avons mis en place des pratiques solides de gestion des clés pour générer, stocker et gérer les clés utilisées pour chiffrer et déchiffrer les données au repos. Cela inclut des mécanismes de stockage sécurisés et des contrôles d’accès et d’audit appropriés.

Infrastructure de stockage sécurisée : notre organisation utilise une infrastructure de stockage sécurisée, comprenant des systèmes de fichiers ou des bases de données chiffrées, pour protéger les données au repos. Cette infrastructure garantit que même si les supports physiques sont compromis, les données restent chiffrées et inaccessibles aux personnes non autorisées.

Conformité : nous respectons les meilleures pratiques du secteur et les exigences de conformité pour le chiffrement au repos, en suivant les standards et directives des organismes de réglementation et des cadres spécifiques de sécurité et de confidentialité des données.

Audits et surveillance réguliers : nous réalisons des audits et une surveillance régulière de nos capacités de chiffrement au repos afin d’assurer la conformité et d’identifier d’éventuelles vulnérabilités ou risques. Cette approche proactive permet de traiter rapidement toute anomalie et d’améliorer en continu la sécurité des données stockées.

Documentation et politiques : notre organisation maintient une documentation et des politiques claires décrivant les pratiques de chiffrement au repos, y compris les algorithmes utilisés, la gestion des clés et les contrôles d’accès aux données. Ces politiques assurent la cohérence et établissent un cadre sécurisé pour la protection des données au repos.

Exemple d’implémentation : par exemple, nous utilisons le chiffrement par défaut fourni par Google Cloud Platform (GCP), qui chiffre automatiquement toutes les données avant leur écriture sur disque et les déchiffre lorsqu’un utilisateur autorisé les lit. Ce chiffrement automatique protège vos données sans configuration ou gestion supplémentaire de votre part.

Sécurité des données en transit

Chez CM.com, la sécurité de vos données est notre priorité. Pour les données en transit (informations circulant entre vos systèmes et les nôtres), nous utilisons des protocoles de chiffrement de pointe pour protéger vos informations contre toute interférence.

Chiffrement avancé avec TLS 1.2 et supérieur : nous utilisons Transport Layer Security (TLS) version 1.2 et supérieure, un protocole qui sécurise les communications sur un réseau informatique. TLS 1.2+ est reconnu mondialement comme une méthode robuste pour garantir la confidentialité et l’intégrité des données en transit. En suivant ces standards stricts, nous protégeons vos données contre l’espionnage, les altérations et la falsification.

Respect des meilleures pratiques mondiales : notre engagement pour la sécurité repose sur le respect des meilleures pratiques mondiales, incluant des mises à jour régulières et des tests rigoureux de nos mesures de chiffrement. Pour plus de détails, vous pouvez consulter les ressources reconnues du secteur, telles que les recommandations Google sur le chiffrement et les directives du NIST (National Institute of Standards and Technology).

Validation par des tiers : la transparence est essentielle pour gagner et maintenir votre confiance. À cette fin, nous évaluons régulièrement nos implémentations de chiffrement via des plateformes tierces reconnues. Nos systèmes sont constamment bien notés par SSL Labs, un outil réputé pour l’évaluation de la qualité et de la sécurité des implémentations TLS. Vous pouvez consulter notre dernière notation et l’analyse détaillée sur SSL Labs.

Votre sécurité est notre responsabilité et nous la prenons très au sérieux. Grâce à des technologies de chiffrement de premier ordre et à des processus de validation rigoureux, vous pouvez être assuré que vos données sont protégées avec CM.com.

CM.com classifies an incident as follow: Severity 4: Incident, Severity 3: Disturbance, Severity 2: Outage, Severity 1: Critical Outage. In all of these classifications the Security team will perform it’s incident response & digital forensics utilities to follow up on the incident. In case of an information security incident, CM.com has an incident response plan.

In the event of a breach, hack or data leak, CM.com has implemented the following protocols to respond adequately:

• The security team is available and together with the support team, the security team provides the 1st, 2nd and 3rd line support and response in the event of incident.

• A business continuity plan to eliminate the threat, contain the damage, restore the availability of the secure service and implement structural remedies to prevent its recurrence.

• In the event of a security incident, we inform customers via appropriate communication channels such as status.cm.com, e-mail or a personal phone call, depending on the severity and SLA-levels.

As an electronic communications provider, CM.com has an independent duty to inform the respective authorities in the event of a security incident.