Notre sécurité

L’assurance de la sécurité et de la confidentialité des données privées de nos clients est l’une de nos grandes priorités.
 

Environnement de contrôle de la sécurité de l’information chez Dun & Bradstreet

La présente a pour but de vous communiquer les mesures de protection administratives, techniques et physiques (les « mesures de contrôle ») que prend Dun & Bradstreet pour protéger les renseignements sur ses clients. Il est possible que Dun & Bradstreet mette à jour ces dernières de temps à autre afin de refléter les changements apportés à sa posture de sécurité. Néanmoins, ceux-ci ne doivent pas réduire de façon appréciable le niveau de sécurité prévu aux présentes. Les mesures de contrôle font partie intégrante de l’accord intervenu avec Dun & Bradstreet (votre « Entente ») et s’ajoutent à ses exigences. Elles ont été raisonnablement conçues pour protéger la confidentialité, l’intégrité et la disponibilité des renseignements sur les clients contre les menaces ou les dangers prévus ou réels; l’accès, l’utilisation, la divulgation, la modification ou la destruction non autorisés ou illégaux et finalement, la perte, la destruction ou les dommages accidentels conformément aux lois applicables à la prestation des services. Dun & Bradstreet tient à jour des politiques, des normes et des procédures en matière de sécurité conçues pour protéger le traitement des renseignements sur les clients par ses employés et ses contractuels conformément auxdites mesures de contrôle.

Haut de page

Environnement de contrôle

L’environnement de contrôle de D&B reflète l’attitude, le degré de sensibilisation et le comportement de sa gouvernance d’entreprise, de sa direction et de ses employés quant à l’importance des mesures de contrôle et de leur place dans l’entreprise. Cet environnement de contrôle s’exerce d’abord à son plus haut niveau. De fait, la haute direction et les cadres supérieurs jouent un rôle important dans la mise en place des valeurs fondamentales de l’entreprise et donnent le ton qui dicte ses principes directeurs.

D&B accorde une grande importance à ses rapports avec ses clients et ses partenaires, ainsi qu’à la confiance qu’ils lui témoignent. Dans le contexte actuel de haute technologie, nous comprenons qu’un programme de sécurité adaptable et agile est essentiel à l’intégrité de nos activités et que la protection des données confidentielles et de nature exclusive est l’une de nos principales priorités. Nous évaluons nos contrôles de sécurité, de disponibilité et de confidentialité et les faisons évoluer pour nous adapter à la situation actuelle quant aux menaces. L’environnement de contrôle de D&B est le fruit d’efforts collectifs et de l’effet de divers facteurs sur la mise en place, l’amélioration ou l’efficacité de contrôles explicites visant à atténuer les risques.

D&B a chargé un chef de la sécurité de l’information de superviser son programme mondial de sécurité de l’information. L’équipe responsable de la sécurité et des risques à l’échelle mondiale travaille avec tous nos secteurs d’activité et fournit une stratégie de sécurité de l’information à l’échelle de l’entreprise qui va soutenir les objectifs commerciaux et minimiser la probabilité et l’incidence des attaques et des incidents de sécurité sur nos ressources d’information et celles de nos clients et tierces parties.

D&B s’engage à garantir la sécurité, la disponibilité et la confidentialité des renseignements sur ses clients lors de l’utilisation de ses produits et services. Chaque année, D&B s’autocertifie selon les cadres de protection de la vie privée EU-U.S. Privacy Shield et Swiss-U.S. Privacy Shield. D&B obtient également chaque année la certification ISO/IEC 27001:2013 Information Security Management Systems (ISMS) pour ses bureaux de Dublin, en Irlande et de Marlow, au Royaume-Uni. De plus, D&B se soumet chaque année à un audit SOC 2 pour D&B Hoovers, D&B Datavision, Data Integration Batch, D&B Match, Customer File Processing, Safe Transport, DNBi, Market Insight, Small Business Risk insight, D&B Compliance Check, D&B Credit, D&B Direct+ et Registration portal.

D&B classe ses données dans les catégories suivantes : publiques, à usage interne seulement, commerciales en toute confidentialité, confidentielles restreintes et sensibles restreintes. Il s’agit de données que D&B acquiert, traite, analyse et offre dans des produits que les clients peuvent utiliser pour répondre à leurs besoins commerciaux. Il est impératif d’en comprendre leur utilisation autorisée avant de s’en servir. Nous les protégeons en utilisant une combinaison de technologies préventives et de détection, notamment le chiffrement et les systèmes de détection d’intrusion. Parallèlement à ces mesures de sécurité, nous avons mis en place des politiques et des procédures pour valider nos contrôles de sécurité et les faire respecter. L’accès à ces données est limité au personnel autorisé au moyen de contrôles d’accès physiques et logiques.

La structure des activités et des membres de l’équipe responsable de la sécurité et des risques à l’échelle mondiale s’articule autour des domaines et mesures de contrôle qui suivent :

  • Gestion de l’accès
  • Sécurité du réseau
  • Sécurité des données
  • Détection et intervention
  • Sécurité du système
  • Sécurité des logiciels
  • Validation et essais
  • Sensibilisation et formation

Haut de page

Notre personnel

Chez Dun & Bradstreet, la sécurité est la responsabilité de tous, et nous comprenons que cela commence avec nos employés. Dès l’embauche, nous vérifions leurs antécédents. Ceux-ci suivent dès le départ une formation sur mesure en sécurité, qu’ils refont par la suite chaque année. D’ailleurs, tout au long de l’année, nous continuons à partager et à assurer l’adoption des meilleures pratiques en matière de sécurité pour les garder au fait des dernières tendances.

Haut de page

Politiques et procédures

Chez Dun & Bradstreet, les politiques, les normes, les procédures et les lignes directrices sont des éléments essentiels de la gouvernance. Ils fournissent la structure et les règles autour desquelles fonctionnent l’entreprise et ses filiales. Les politiques sont examinées avec les responsables concernés afin de s’assurer qu’elles sont conformes aux objectifs opérationnels et toujours pertinentes, adéquates et efficaces.

Grâce à une telle approche, nous nous alignons davantage sur les divers règlements et améliorons notre capacité de faire face aux menaces à la sécurité auxquelles nous sommes confrontés. Les politiques établies font référence à des cadres externes en matière de normes de cybersécurité et intègrent au besoin des éléments, notamment l’harmonisation avec la famille de normes ISO/CEI 27000 (Organisation internationale de normalisation et Commission électrotechnique internationale) sur les technologies de l’information.

Une fois approuvées par la direction, les politiques révisées sont publiées sur l’intranet de l’entreprise afin d’en faciliter l’accès aux employés à partir de leur poste de travail. Tout changement important apporté aux politiques est communiqué au besoin par le biais de réunions, de courriels, de présentations, de l’intranet ou de communications internes.

Nous mettons également en application des processus de conformité qui visent le traitement des données protégées, afin de nous conformer aux exigences prévues par la loi, la réglementation, les contrats et la sécurité. Le personnel dispose de politiques documentées d’élimination des données pour le guider dans les procédures à suivre.

Haut de page

Gestion de l’accès

Les droits et privilèges d’accès nécessaires à l’exécution des tâches d’un utilisateur sont accordés en conformité avec ce qui suit :

  • Le besoin de connaître;
  • Le besoin d’utiliser;
  • Le moindre privilège;
  • La séparation des tâches;
  • Les obligations contractuelles quant à la limitation de l’accès aux données ou aux services;
  • Les exigences prévues par la réglementation.

Les utilisateurs autorisés doivent s’identifier et s’authentifier sur le réseau, les applications et les plates-formes en utilisant leur nom d’utilisateur et leur mot de passe. L’authentification des utilisateurs et des appareils aux systèmes d’information est protégée par des mots de passe qui répondent aux exigences de D&B en matière de complexité des mots de passe.

En cas de licenciement, l’accès aux produits et systèmes est révoqué.

L’authentification multifactorielle est requise pour les sessions distantes et l’accès administratif aux environnements qui hébergent les systèmes de production. De plus, les plus hauts niveaux d’accès privilégié aux systèmes, notamment les contrôleurs de domaine D&B, sont sous le contrôle de notre système de gestion des accès privilégiés.

Haut de page

Sécurité du réseau

La protection des connexions réseau est assurée par une combinaison de mesures de contrôle de sécurité pour la protection des données et des systèmes. Celles-ci sont basées sur le type et l’objectif de la connexion et comprennent, sans s’y limiter, la segmentation du réseau, le déploiement de pare-feu et autres dispositifs de sécurité, ainsi que des mécanismes d’authentification appropriés.

Un contrôle de l’accès à l’information offert sur le réseau permet de prévenir et de détecter les accès non autorisés tout en fournissant un accès sécurisé aux utilisateurs et aux systèmes autorisés. La consignation et le stockage centralisé des activités et du trafic réseau s’effectuent selon les normes de l’industrie ou selon des mécanismes de collecte propres aux fournisseurs.

La mise en œuvre de nouveaux dispositifs de réseautage (c.-à-d. routeurs, commutateurs, pare-feu) ou composants de systèmes de réseautage suit un processus officiel de gestion du changement et est approuvée par l’équipe responsable des opérations technologiques et celle responsable de la sécurité et des risques à l’échelle mondiale. La configuration des appareils déployés dans le réseau de D&B répond aux exigences de sécurité propres à chaque usage (interne, public, démilitarisé). Les services non essentiels sur les périphériques réseau sont désactivés ou supprimés.

L’accès public direct entre les réseaux publics (par exemple Internet) et tout réseau interne de D&B est restreint. De plus, il y a restriction du trafic, entrant et sortant, provenant de réseaux non fiables (y compris les connexions sans fil invitées et externes) et d’hôtes.

Le branchement d’un nouveau réseau à un réseau d’entreprise ou à un réseau de systèmes commerciaux existant à n’importe quel emplacement ou centre de données de la compagnie doit être approuvé par l’équipe responsable de la sécurité ou suivre la norme pour les connexions de tunnel par RPV. Il est possible d’accéder aux connexions à distance au réseau de l’entreprise par le biais de RPV et de connexions MPLS sur des passerelles gérées.

L’accès sans fil et à distance aux personnes extérieures fait l’objet de mesures d’identification, d’inventaire et de gestion.

Haut de page

Sécurité des données

La transmission des renseignements de nature délicate ne se fait par Internet ou par d’autres moyens de communication publics que s’il y a chiffrement en transit. Le chiffrement des fichiers de données s’effectue à l’aide du protocole TLS (Transport Layer Security) pour les sessions de communication Web.

De plus, le chiffrement au repos est utilisé lorsque la loi l’exige et que nos normes de classification des données le prévoient.

Enfin, D&B utilise des processus de gestion des clés de chiffrement pour assurer la production, le stockage, la distribution et la destruction sécurisés de celles-ci.

Haut de page

Détection et intervention

D&B enquête sur les incidents liés à la sécurité, la disponibilité ou la confidentialité des renseignements sur ses clients ou à la protection de la vie privée. Nous intervenons de manière opportune et coordonnée en cas de violation réelle ou présumée de nos systèmes d’information, tout en respectant les lois et règlements applicables. D&B effectue des exercices de sécurité en mode de simulation au moins une fois l’an.

D&B a mis au point des pratiques qu’elle continue d’employer pour établir une classification et un ordre de priorité des incidents de sécurité de l’information en fonction de la gravité de chacun d’eux, ainsi que de la sensibilité des systèmes touchés et des données concernées. Pour appuyer ces initiatives, D&B a mis en œuvre des alertes provenant de divers outils et continue de les surveiller afin de fournir une capacité de détection efficace. Nous menons toujours une enquête en cas d’alerte ou d’événements relatifs à la sécurité, notamment s’ils sont liés à la disponibilité et à la confidentialité. Nous visons ainsi à dépister le plus rapidement possible de nouveaux modèles d’attaque et à ne déclarer les incidents qu’en fonction des résultats de l’enquête.

Des outils de surveillance sont en place pour mesurer l’utilisation actuelle par rapport à des seuils prédéfinis. Ceux-ci génèrent aussi des alertes pour avertir les équipes de soutien des applications et des infrastructures en cas de dépassement des seuils. Ces dernières sont examinées pour déterminer si des mesures correctives s’imposent. Advenant que des ressources additionnelles d’information soient nécessaires pour répondre aux besoins d’utilisation, elles seront déployées conformément aux politiques officielles visant un tel déploiement et à celles de gestion du changement.

La configuration des journaux d’audit permet d’enregistrer les activités et les événements importants liés à la sécurité de l’information dans les systèmes de D&B.

Haut de page

Sécurité des systèmes

La surveillance des serveurs, des postes de travail et des appareils mobiles s’effectue à l’aide d’agents de découverte d’inventaire.

La protection des données sur les ordinateurs portables est assurée au moyen du chiffrement. Des logiciels antimaliciels sont déployés sur toutes les plates-formes (postes de travail et serveurs) vulnérables aux piratages, puis tenus à jour.

L’utilisation de supports électroniques amovibles est restreinte.

Les mots de passe par défaut, livrés avec les systèmes d’exploitation, sont modifiés après la première utilisation.

Une fois élaborées, les normes en matière de configuration sont révisées chaque année. Périodiquement, des évaluations de la sécurité sont effectuées à l’égard des données de référence sur la configuration afin de veiller à la conformité et de s’assurer de la prise en compte des recommandations des fournisseurs et des pratiques exemplaires de l’industrie.

Haut de page

Sécurité des logiciels

L’évaluation du niveau de sécurité des logiciels et des applications de D&B se fait dans le cadre du programme de gestion de la vulnérabilité des applications. Elle est régie par la politique et les normes visant le développement sécurisé.

En fonction de la classification des risques liés à l’application, le logiciel est soumis à des examens et à des essais appropriés, notamment à des examens de la conception, des essais statiques de sécurité des applications (SAST) et des essais dynamiques de sécurité des applications (DAST). Les résultats des essais sont saisis puis transmis au moyen d’un rapport et d’un système de gestion des enjeux. Les problèmes, les cotes de gravité et le délai d’assainissement requis (en fonction de la gravité de ces problèmes) sont documentés dans le rapport.

Haut de page

Validation et essais

Les modifications apportées aux ressources et aux systèmes d’information sont soumises à notre processus formel d’examen et d’approbation de la gestion du changement avant toute mise en œuvre dans un environnement de production.

Le programme de gestion de la vulnérabilité (GV) de D&B permet de surveiller en permanence les vulnérabilités reconnues par les fournisseurs, signalées par les chercheurs ou découvertes en interne grâce à des analyses de vulnérabilité ou par la méthode de l’« équipe rouge ».

Nous documentons les vulnérabilités puis les classons en fonction des niveaux de gravité déterminés par les cotes de probabilité et d’impact attribuées par le programme GV. D&B affecte l’équipe ou les équipes appropriées à l’assainissement et au suivi des progrès jusqu’à la résolution des problèmes, au besoin. Les vulnérabilités critiques doivent être corrigées dans un délai de 7 jours; celles de gravité élevée dans un délai de 30 jours et celles de gravité moyenne dans un délai de 120 jours.

Haut de page

Sensibilisation et formation

Dans le cadre du processus d’embauche, les nouveaux employés doivent suivre une formation sur la sécurité, le code de déontologie et la protection des renseignements personnels et recevoir, par la suite, une formation annuelle et ciblée (au besoin et selon leur rôle) pour les aider à se conformer aux politiques de sécurité de Dun & Bradstreet ainsi qu’aux autres politiques de l’entreprise, notamment le code de déontologie, et également à nos politiques et procédures sur la protection des renseignements personnels. Chaque année, les employés de D&B sont tenus de suivre une formation sur le code de déontologie, la sécurité et la protection des renseignements personnels et d’en assurer le suivi jusqu’à la fin. D&B mène périodiquement des campagnes de sensibilisation à la sécurité et des évaluations en matière d’hameçonnage afin de sensibiliser le personnel à ses responsabilités et de les guider dans la création et le maintien d’un environnement sécuritaire.

Haut de page

 

Mesures opérationnelles

Gestion par des tierces parties

Le processus de conformité des tierces parties de D&B suit un cadre défini visant le cycle de vie des approvisionnements et de la gestion des risques à l’échelle mondiale tout au long de la sélection, de l’intégration, du suivi et de la résiliation des relations. De plus, nous avons établi des règles pour régir les exigences en matière de sécurité et de diligence raisonnable (qui englobent la conformité, la confidentialité et la technologie) pour les tierces parties (notamment nos fournisseurs et nos partenaires commerciaux du réseau mondial) qui transigent avec Dun & Bradstreet. Les tierces parties doivent se conformer à nos politiques, normes et procédures de sécurité de l’information applicables au service fourni.

Haut de page

Poursuite des activités et reprise après sinistre

Nous identifions les menaces potentielles et leurs impacts sur les activités au moyen d’évaluations continues, puis nous élaborons des plans d’atténuation. Nous avons élaboré des stratégies et des plans de continuité des activités et de reprise après sinistre pour faire face aux catastrophes naturelles (tremblements de terre, ouragans, pandémies, etc.) et à celles d’origine humaine (troubles politiques, terrorisme, etc.). Les plans suivent les pratiques exemplaires de l’industrie, notamment les lignes directrices du Disaster Recovery Institute International et du Business Continuity Institute, et sont conformes au système de gestion de la continuité des activités selon ISO/IEC 22301:2012.

Haut de page

Sécurité physique et environnementale

Nous avons conçu nos normes de sécurité physique pour restreindre tout accès physique non autorisé aux ressources du centre de données. Les systèmes corporatifs et les composantes de l’infrastructure réseau sont physiquement situés dans des zones à accès contrôlé. Parmi les mesures de contrôle, mentionnons les points d’accès limités, les lecteurs d’accès, l’accès surveillé par des caméras de surveillance et l’accès réservé au personnel autorisé.

Chez nos fournisseurs de centres de données hébergés, l’identification, la détection et la protection des menaces physiques et environnementales (infrastructure, données et logiciels) sont gérées par le biais d’exigences de conformité tierces et par des ententes sur le niveau de service.

Haut de page