Centre de confiance

Nous établissons des politiques de sécurité des informations strictes et adaptées au secteur dans toutes les procédures et stratégies d’entreprise.

Les politiques de sécurité de l’information font partie de notre système mondial de gestion de la sécurité des informations (ISMS) qui est maintenu conformément à de nombreux cadres de sécurité internationalement reconnus, notamment la norme ISO 27001.

Comment nous utilisons des pratiques de sécurité détaillées et fiables pour gérer et sécuriser vos informations.

Chez IFS, nous suivons les meilleures pratiques du secteur, en adoptant une approche basée sur les risques et en mettant l’accent sur un éventail de pratiques fiables.

Centre des opérations de sécurité (SOC)
Nous investissons en permanence dans la sécurité de nos plateformes et de nos réseaux, coordonné par notre centre des opérations de sécurité (SOC). Grâce à une combinaison d’outils classiques et d’intelligence artificielle et à des tests de d’intrusions réguliers, nous nous assurons que nos opérations commerciales sont surveillées et protégées 24 heures sur 24.

Contrôle d’accès
Notre approche du contrôle d’accès garantit que nos utilisateurs, partenaires et fournisseurs ne disposent que du niveau d’accès nécessaire pour remplir leur rôle de manière efficace et efficiente.

L’authentification unique (SSO) et l’authentification multifacteur (MFA) sont également actives dans l’ensemble de notre domaine. La cryptographie est utilisée en transit et au repos afin de garantir les niveaux les plus élevés de sécurité des données lorsque les informations sont partagées.

Continuité des activités
Grâce à une planification approfondie de la continuité des activités, nous avons mis en place une solide politique de sauvegarde et de récupération qui est au cœur de notre plan de reprise après incident. Nous avons mis en œuvre des systèmes et des processus résilients capables de nous aider en cas d’événement compromettant la continuité des activités sur un ou plusieurs de nos sites d’exploitation.

Nos employés
Nous effectuons des vérifications approfondies avant l’embauche et une formation d’initiation rigoureuse, suivie d’un programme annuel de formation continue en matière de sécurité, afin de maintenir un environnement de travail physique et numérique sûr. Nous suivons des processus formels d’entrée et de sortie des employés afin de garantir que l’accès à nos domaines informatiques est strictement contrôlé à tout moment et que la confidentialité des informations est maintenue jusqu’à la sortie de l’entreprise.

Nous garantissons que tous les fournisseurs externes qui prennent en charge la prestation de nos services appliquent les mêmes normes élevées que nous nous sommes fixés.

Il peut parfois être nécessaire que des tierces parties accèdent à des informations sensibles et confidentielles. Que ce soit des informations appartenant à IFS ou à des clients IFS, toutes les tierces parties y ayant accès doivent suivre nos politiques, normes et pratiques en matière de sécurité de l’information. Nos processus de gestion des fournisseurs et des partenaires garantissent que les services et les produits livrables fournis par notre écosystème externe respectent les mêmes normes élevées que nous nous imposons.

L’expérience du cycle de vie IFS (LE) est notre ensemble de processus couvrant l'ensemble du cycle de vie de mise en œuvre et de production. De la découverte et l'exploration initiales des solutions à l'optimisation continue des solutions des années après leur lancement, la sécurité fait partie intégrante de nos processus et inclut la séparation de l'environnement, la gestion formelle des changements, la distribution et la publication rigoureusement contrôlées des logiciels, ainsi qu'un contrôle d'accès et une protection des données stricts.

L’expérience du cycle de vie IFS fournit les contrôles de sécurité ci-dessus, que le client ait choisi d'héberger la solution lui-même ou qu'il ait tiré parti de notre service IFS Cloud.

Grâce à des pratiques de codage sécurisées et à des directives reconnues mondialement, telles que OWASP Top 10, nous nous assurons que le risque de vulnérabilité des produits est minimisé.

Pour valider davantage la sécurité des produits tout au long du cycle de développement, nous employons des testeurs de pénétration spécialisés externes. Toute vulnérabilité potentielle est corrigée avant la sortie du produit.

La sécurité n'est pas une activité ponctuelle, et nous continuons de tester nos produits après leur mise sur le marché afin de les protéger contre les menaces de sécurité en constante évolution et les vulnérabilités associées. Cela inclut la vérification des vulnérabilités potentielles non seulement dans les produits développés par IFS, mais aussi dans les produits tiers sur lesquels le produit IFS est basé.

Nous fournissons des correctifs de sécurité pour toutes les vulnérabilités identifiées découvertes dans nos produits et fournissons des conseils sur les correctifs nécessaires des produits tiers non fournis par IFS. Les clients du service IFS Cloud bénéficient des correctifs qu’IFS applique dans le cadre du service.

En choisissant nos services IFS Cloud, les clients ont l'assurance de bénéficier des meilleures pratiques de sécurité Cloud, notamment :

• Une architecture sécurisée et entièrement séparée pour un seul client afin d'assurer la séparation entre les environnements client
• Un chiffrement des données au repos et en transit
• Une protection contre les virus et les programmes malveillants
• Des services de surveillance, de détection et correction 24 h/24, 7 j/7 et 365 j/an utilisant des outils d'entreprise avancés gérés par des professionnels expérimentés
• Une détection et une protection DDoS au niveau de la plateforme
• Des sauvegardes multiniveaux avec stockage de sauvegarde séparé géographiquement et fonction de restauration multiniveau
• Capacité de reprise après sinistre sur un site géographiquement distinct.

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

Les clients ayant des exigences en matière de résidence des données peuvent choisir parmi un certain nombre de régions géographiques disponibles. Cela détermine l’emplacement physique à partir duquel le service sera hébergé et, donc l'emplacement physique dans lequel leurs données seront stockées et traitées.

Afin de maintenir un ensemble solide de politiques, de pratiques et de procédures, nous complétons l'expertise de notre équipe interne en matière de confidentialité des données avec le point de vue externe de spécialistes de la protection des données. Cela permet également de séparer efficacement la première et la deuxième ligne de défense, conformément aux meilleures pratiques.

Nous intégrons la sécurité à chaque produit, quel que soit son mode d'hébergement. Tout commence par nos processus de développement de produits sécurisés, qui garantissent que nos produits sont conçus dans un souci de sécurité et configurés pour fournir une sécurité par défaut.

Chez IFS, nous surveillons rigoureusement les performances des fournisseurs, garantissant que toutes les exigences contractuelles, de qualité et de sécurité des informations sont respectées. Cela inclut les accords que nous avons mis en place pour vérifier les processus et les pratiques de sécurité des fournisseurs. Grâce à notre programme de confidentialité mondiale, nous garantissons les transferts de données de l’EEE vers les sous-traitants (y compris les filiales IFS) d’autres pays. Nous avons mis en œuvre une série de clauses contractuelles types et d’autres mécanismes de transfert licite avec chaque sous-processeur et garantissons que les mesures techniques et organisationnelles adéquates ont été mises en place pour sécuriser les données de nos clients.

Nous fournissons un addendum présigné de traitement des données qui couvre le traitement d’IFS des données contrôlées par le client conformément aux réglementations sur la confidentialité des données. Cela inclut une description de tous les traitements effectués par IFS lors de l'exécution des services définis dans nos accords clients. Les réglementations relatives à la confidentialité des données couvertes comprennent le règlement général sur la protection des données (RGPD) et la loi californienne sur la protection des données personnelles (CCPA).