Présentation de la sécurité

L’entreprise et les produits

Sourcing Force est une plateforme e-Achat. Depuis 2012, Sourcing Force s’attache à optimiser l’efficacité des équipes Achats en entreprise.

Les produits Sourcing Force sont proposés sous la forme de solutions SaaS (software as a service, ou logiciel en tant que service).
Ces dernières sont mises à la disposition des clients par le biais d’applications web spécialement conçues à cet effet, d’interfaces de programmation d’application (API) et de plug-ins e- mail.

Gouvernance de la sécurité et des risques sourcing force

La protection des données des clients et des utilisateurs est le principal objectif de Sourcing Force en matière de sécurité.
C’est pour cette raison que Sourcing Force a décidé d’investir dans des ressources et des outils de contrôle adaptés pour offrir des services et un niveau de protection adéquats à ses clients.

Ces investissements comprennent la mise en place d’équipes exclusivement chargées de la sécurité des produits et des entreprises. Ces équipes sont responsables du programme exhaustif de gestion de la sécurité et du processus de gouvernance. Elles se concentrent sur l’élaboration de nouveaux outils de contrôle, la mise à jour de ceux déjà en place, ainsi que la mise en œuvre et la gestion du champ d’action de Sourcing Force en matière de sécurité et de risques.

Leur mission inclut également le développement d’une structure de support visant à faciliter une gestion efficace des risques. Directement placé sous la responsabilité du PDG, le chef de la sécurité supervise la mise en œuvre des mesures de sécurité au sein de Sourcing Force et de ses produits.

Les objectifs de sourcing force en matière de gestion de la sécurité et des risques

Sourcing Force a développé un champ d’action sécuritaire en se basant sur les meilleures pratiques du secteur des SaaS. Les principaux objectifs de l’entreprise comprennent :

• La confiance et la protection des clients : constamment proposer des services et produits de qualité supérieure aux clients, tout en préservant la confidentialité de leurs informations. 
• La disponibilité et la continuité du service : garantir la disponibilité constante des services et des données à toute personne autorisée, et minimiser proactivement les risques de sécurité susceptibles d’en affecter la continuité.
• L’intégrité des informations et du service : s’assurer que les données des clients ne sont jamais corrompues ni modifiées d’aucune façon.
• La conformité aux normes en vigueur : mettre en place les processus et les outils de contrôle adéquats pour respecter les réglementations internationales et les meilleures pratiques actuelles du secteur.

Contrôles de sécurité sourcing force

Sourcing Force a mis en place un ensemble de contrôles de sécurité afin d’assurer la protection des données qui sont confiées à l’entreprise.

Ces contrôles ont été conçus pour permettre d’accroître notablement la productivité des salariés sans les encombrer d’obstacles superflus, tout en minimisant les risques. Les sections suivantes décrivent les sous-ensembles de contrôles.

Infrastructure produit de sourcing force

Sécurité des centres de données

Sourcing Force sous-traite l’hébergement de son infrastructure produit à des fournisseurs d’infrastructure cloud, notamment Amazon Web Services (AWS) et Google Cloud Platform (GCP).
Ces solutions offrent un niveau élevé de sécurité physique et de réseau, tout en assurant la diversité des fournisseurs d’hébergement. À l’heure actuelle, les instances de serveur cloud AWS de Sourcing Force se trouvent en Europe de l’Ouest pour les clients Européen (Paris), tandis que celles de GCP se situent en Allemagne. Ces deux fournisseurs appliquent un programme de sécurité soumis à des audits, qui inclut la conformité aux normes SOC 2 et ISO 27001. Sourcing Force n’héberge aucun système produit dans ses bureaux.
Ces fournisseurs de renommée internationale disposent d’infrastructures d’alimentation électrique, de mise en réseau et de sécurité à la pointe de la technologie. La disponibilité est garantie 99,95 à 100 % du temps et les installations appliquent une redondance minimale de N+1 à l’ensemble des services d’alimentation électrique, de réseau et de ventilation. L’accès physique et électronique à ces sites de fournisseurs est strictement réglementé sur les réseaux public (internet) et privé (intranet) afin de prévenir toute interruption non sollicitée du service proposé aux clients de Sourcing Force.
Les mesures de protection physiques, environnementales et infrastructurelles, tout comme les plans de continuité et de récupération, ont été validés de manière indépendante dans le cadre des certifications SOC 2 Type II et ISO 27001. Des certificats sont disponibles sur le site dédié à la conformité AWS et le site relatif à la sécurité Google Cloud Platform.

Sécurité des réseaux et protection du périmètre

L’infrastructure produit de Sourcing Force est conçue en tenant compte de protections sécuritaires à l’échelle d’internet.
Ces dernières visent notamment à prévenir tout accès non autorisé au réseau vers et au sein de l’infrastructure produit interne. Les contrôles de sécurité incluent un routage de qualité professionnelle et des listes de contrôle d’accès au réseau (pare-feu).

Les listes d’accès au niveau du réseau sont mises en place dans des groupes de sécurité AWS Virtual Private Cloud (VPC), qui appliquent des protections au niveau des ports et des adresses pour chaque instance de serveur présente dans l’infrastructure. Ces technologies de pare-feu bloquent le trafic non sollicité, et tout le trafic réseau est consigné et renseigne les systèmes de surveillance de Sourcing Force (pour plus d’informations à ce sujet, merci de consulter la section alertes et monitoring). Un contrôle précis du trafic réseau issu d’un réseau public, ainsi qu’entre les instances de serveur à l’intérieur de l’infrastructure, est donc effectué. Au sein de l’infrastructure même, des restrictions de réseau interne permettent d’adopter une approche à plusieurs échelons afin de s’assurer que seuls les types appropriés d’appareils peuvent communiquer.

Les changements apportés dans le modèle de sécurité du réseau sont activement surveillés et soumis à des processus de contrôle des modifications. Toutes les modifications et règles existantes font l’objet d’une évaluation des risques et sont prises en compte de manière appropriée.

Gestion de la configuration

L’automatisation permet à Sourcing Force de s’adapter aux besoins des clients. L’infrastructure produit est un environnement fortement automatisé qui permet d’étendre les capacités avec souplesse dès que cela est nécessaire. Les instances de serveur sont entièrement gérées à l’aide de Puppet. Ainsi, chaque configuration de serveur est étroitement contrôlée, de sa création à sa suppression.

Les configurations de tous les types de serveurs sont intégrées dans des images et des fichiers de configuration Puppet.
La gestion de la configuration au niveau des serveurs se fait par l’intermédiaire de ces images et scripts de configuration lorsque le serveur est construit. Les modifications apportées à la configuration et aux images standards sont effectuées via un processus contrôlé de gestion des changements. Chaque type d’instance comprend sa propre configuration renforcée, en fonction de son déploiement.

La gestion des patchs et le contrôle de la configuration sont généralement effectués en supprimant les instances de serveurs qui ne sont plus conformes à la ligne de base attendue et en créant une instance de remplacement. Une gestion rigoureuse et automatisée de la configuration est intégrée à la gestion quotidienne de l’infrastructure Sourcing Force.

Alertes et monitoring

Sourcing Force automatise l’intégralité de ses procédures de construction et investit aussi fortement dans des technologies automatisées de monitoring, d’alerte et de réponse pour gérer les problèmes potentiels en continu.
L’infrastructure produit Sourcing Force est conçue pour alerter les ingénieurs et les administrateurs lorsque des anomalies se produisent. Les taux d’erreurs, les abus, les attaques d’applications et autres anomalies déclenchent notamment des réponses et des alertes automatiques qui sont adressées aux équipes concernées afin qu’elles puissent les analyser et les corriger. Si des activités inattendues ou malveillantes se produisent, les systèmes font appel aux bons intervenants pour une résolution rapide du problème.

De nombreux déclencheurs automatisés sont également intégrés au système pour répondre immédiatement aux situations prévisibles. Le blocage du trafic, la mise en quarantaine, la fin des processus et d’autres fonctionnalités similaires sont déclenchés si des seuils prédéfinis sont atteints. La plateforme Sourcing Force peut ainsi parer à une grande variété de situations indésirables.
Le programme de monitoring et les enregistrements approfondis des connexions fonctionnent 24 h/24, 7 j/7 et 365 jours par an pour permettre à Sourcing Force de détecter les anomalies et d’y répondre.

Les systèmes capturent et sauvegardent des fichiers journaux qui incluent toutes les technologies composant les produits Sourcing Force. Au niveau des applications, l’ensemble des connexions, vues de pages, modifications et autres accès aux portails Sourcing Force sont enregistrés. Dans le back-end de l’infrastructure, sont également conservées les tentatives d’authentification, les modifications d’autorisations horizontales et verticales, l’état de santé de l’infrastructure et les requêtes effectuées, ainsi que de nombreuses autres commandes et transactions. Les événements et journaux sont suivis en temps réel, et les événements sont transmis immédiatement aux développeurs, aux professionnels de la sécurité et aux ingénieurs, quelle que soit l’heure, afin qu’ils puissent entreprendre les actions appropriées.

Accès à l’infrastructure

Des catégories entières d’événements relatifs à la sécurité sont écartées grâce à un modèle de contrôle des accès rigoureux, cohérent et bien conçu. Dans cette optique, l’accès aux systèmes de Sourcing Force est strictement contrôlé. Les salariés de Sourcing Force sont autorisés à accéder aux services destinés aux entreprises, aux portails e-Achat et à l’infrastructure produit via le contrôle d’accès basé sur les rôles (RBAC). La section 4.3 contient de plus amples informations sur le modèle RBAC appliqué par Sourcing Force.

En ce qui concerne les outils d’infrastructure, serveurs et services similaires, l’accès est strictement limité aux personnes qui en ont besoin dans le cadre de leur fonction. Pour les accès d’urgence et l’accès aux fonctions administratives, le système de Sourcing Force applique une méthode appelée JITA (Just in Time Access) selon laquelle il est possible de demander l’accès à des fonctions spécifiques pour une durée limitée.

Les utilisateurs sont autorisés à effectuer des requêtes JITA par les unités et équipes commerciales. Lorsqu’un accès d’urgence exceptionnel est requis, tel qu’un accès sudo sur un serveur Linux, l’utilisateur soumet une requête JITA. La requête JITA est alors enregistrée, et les fichiers journaux font l’objet d’un suivi continu pour détecter les requêtes anormales. Le privilège est accordé et la personne peut ensuite poursuivre son travail.

Par ailleurs, les connexions réseau directes par SSH, ou protocoles similaires, aux appareils de l’infrastructure produit sont interdites. Les ingénieurs doivent s’identifier par le biais d’un bastion ou d’un serveur de rebond avant de pouvoir accéder aux environnements de contrôle qualité ou de production. L’authentification au niveau des serveurs s’effectue par l’intermédiaire de clés SSH uniques à chaque utilisateur et d’un processus d’authentification à deux facteurs qui requiert l’utilisation de jetons.

Protection des applications

Défenses des applications web
Dans le cadre de son engagement pour la protection des données et sites web de ses clients, Sourcing Force a mis en place un pare-feu d’applications web (WAF). Le pare-feu identifie automatiquement les attaques et protège les produits Sourcing Force ainsi que les sites des clients hébergés sur la plateforme.

Par ailleurs, tous les contenus de clients hébergés sur la plateforme sont eux aussi systématiquement protégés. Les règles appliquées pour détecter et bloquer le trafic malveillant s’alignent sur les directives des meilleures pratiques documentées dans le top 10 de l’Open Web Application Security Project (OWASP) et par des recommandations similaires. Des dispositifs de protection contre les attaques de déni de service (DDoS) sont également incorporés pour s’assurer que les sites des clients et les autres éléments des produits Sourcing Force sont disponibles en permanence.

La configuration du WAF repose sur une combinaison de normes sectorielles et de règles personnalisées offrant la possibilité d’activer ou de désactiver automatiquement certains outils de contrôle, afin de garantir un niveau de protection optimal aux clients. Ces outils assurent un suivi actif et en temps réel du trafic au niveau des applications. Ils permettent en outre de recevoir des alertes ou de bloquer un comportement malveillant lorsqu’il est détecté, selon le type et la fréquence de ce dernier.

Gestion du développement et des sorties

L’un des avantages majeurs de Sourcing Force tient à un ensemble de fonctionnalités au développement rapide.
Les produits sont constamment améliorés grâce à une approche de distribution continue et moderne du développement de logiciel. Du nouveau code est proposé, approuvé, intégré et déployé chaque mois. Les vérifications et les contrôles qualité du code sont effectués au cours du développement de la plateforme Sourcing Force par des équipes spécialisées d’ingénieurs qui en possèdent une connaissance approfondie. L’approbation est contrôlée par des propriétaires de référentiel désignés. Une fois approuvé, le code est automatiquement soumis à l’environnement d’intégration continue de Sourcing Force, où s’effectuent les processus de compilation, de packaging et de test. Si tous ces processus sont validés, le nouveau code est déployé automatiquement au niveau des applications.

Chaque déploiement archive les codes de production existants pour parer à toute détection d’échec par les hooks post-déploiement. L’équipe en charge du déploiement gère les notifications liées à l’état de santé des applications. En cas d’échec, une procédure de restauration est immédiatement lancée.
Le modèle de déploiement continu de Sourcing Force fait appel à des processus complets de régulation de l’accès au logiciel et de gestion du trafic pour contrôler les fonctionnalités basées sur les préférences des clients (bêta privée, bêta publique, lancement complet).

Lors de la dernière phase de test, le nouveau code est déployé dans un environnement d’assurance qualité Sourcing Force dédié et distinct, avant d’être exécuté dans l’environnement de production. La segmentation au niveau du réseau empêche tout accès non autorisé ou non sollicité entre ces deux environnements. Les données des clients ne sont jamais utilisées par Sourcing Force au sein de l’environnement d’assurance qualité, ni pour toute autre forme de test.

Analyses de vulnérabilité, tests d’intrusion et programme de recherche de bugs

L’équipe de sécurité de Sourcing Force applique une approche à plusieurs niveaux pour les analyses de vulnérabilité et utilise un ensemble d’outils reconnus dans le secteur pour garantir une analyse complète de l’environnement technologique. Sourcing Force réalise en permanence des centaines d’analyses de vulnérabilité et de tests d’intrusion sur ses propres activités. En effet, les réseaux internes, applications et infrastructure entreprise sont constamment soumises à des analyses de vulnérabilité.

Des recherches de failles sur le réseau et au niveau des applications sont effectuées au moins une fois par jour pour déceler et gérer les nouvelles vulnérabilités. Une analyse du code statique examine automatiquement le code le plus récent pour déceler les failles potentielles de sécurité le plus tôt possible dans le cycle de vie du développement.

Des analyses permanentes, des listes d’inclusion d’analyses flexibles et des signatures de vulnérabilité en mise à jour constante aident Sourcing Force à parer à de nombreuses menaces de sécurité. L’objectif de ces programmes consiste à déceler de manière itérative toute faille présentant un risque de sécurité et à traiter les éventuels problèmes dans les meilleurs délais.

Au cours de ces tests d’intrusion effectués au niveau des applications et du réseau de la plateforme Sourcing Force, les testeurs disposent d’un accès interne au produit Sourcing Force et/ou aux réseaux d’entreprise afin d’inclure dans l’analyse autant de types de vecteurs potentiels que possible.

Protection des données des clients

Informations confidentielles dans les produits sourcing force

Les produits Sourcing Force offrent une expérience e-Achat totalement intégrée. Les données collectées par leur intermédiaire correspondent aux informations recueillies dans le cadre d’interactions avec des fournisseurs ou transactions, celles disponibles dans les annuaires publics et grâce à des sources tierces fiables.

Les produits Sourcing Force ne sont pas utilisés pour collecter ou capturer des données sensibles, telles que des numéros de cartes de crédit ou de débit, des informations financières personnelles, des numéros de sécurité sociale, de passeport ou de permis de conduire, ou tout autre numéro d’identification de même nature, ni toute information liée à l’état de santé ou à la situation professionnelle ou financière.

Chiffrement en transit et au repos

Chaque interaction sensible avec les produits Sourcing Force (appels d’API, connexions, sessions authentifiées vers les portails des clients, etc.) est chiffrée en transit à l’aide des protocoles TLS 1.0, 1.1, 1.2 ou 1.3 et de clés de 2 048 bits ou supérieures.

Sourcing Force s’appuie sur plusieurs technologies pour garantir le chiffrement des données stockées au repos. Les disques durs physiques et virtuels utilisés par les instances de serveur des produits Sourcing Force, ainsi que les solutions de stockage à long terme telles que AWS S3, ont recours au chiffrement AES-256.

Par ailleurs, certaines bases de données ou informations au niveau des champs sont également chiffrées au repos, en fonction de la sensibilité de celles-ci. Par exemple, les mots de passe des utilisateurs sont hachés et certaines fonctionnalités d’e-mail offrent une couche de chiffrement supplémentaire, aussi bien au repos qu’en transit.

Les clés de chiffrement en transit et au repos sont gérées de manière sécurisée par la plateforme Sourcing Force. Les clés privées TLS pour le chiffrement en transit sont contrôlées par le biais du partenaire de diffusion de contenu de Sourcing Force. Les clés de chiffrement de volume et de champ pour les données au repos sont stockées dans un système de gestion des clés renforcé. Les clés font l’objet d’une rotation, la fréquence variant selon le type de clé, la sensibilité de cette dernière et des informations qu’elle protège. En règle générale, les certificats TLS expirent tous les deux ans.

Dispositifs de protection pour les identifiants de connexion

Les produits Sourcing Force proposent aux utilisateurs de se connecter à leurs comptes par le système de connexion Sourcing Force intégré.

En cours : Une politique relative aux mots de passe est appliquée de façon uniforme au système de connexion intégré.
Elle stipule que les mots de passe doivent être composés d’au moins 8 caractères et contenir des lettres majuscules et minuscules, des caractères spéciaux, des espaces et des chiffres. Les utilisateurs du système de connexion intégré de Sourcing Force ne peuvent pas modifier cette politique. Les clients qui ont recours à un service d’authentification unique (SSO) ont la possibilité de configurer une connexion SSO pour leurs utilisateurs.

Autorisation des api et des utilisateurs

Les clients ont la possibilité d’accorder des autorisations sur mesure dans leurs portails et de limiter l’accès aux fonctionnalités.

Accès des salariés de sourcing force

Sourcing Force contrôle l’accès individuel aux données dans son environnement de production et de préproduction. En fonction du poste qu’ils occupent, certains des salariés de Sourcing Force bénéficient d’un accès aux données de production par le biais du système RBAC (contrôle d’accès basé sur les rôles), ou de façon ponctuelle et en fonction des besoins selon une méthode appelée JITA (Just in Time Access).

Les ingénieurs et membres des équipes opérationnelles peuvent obtenir l’accès à divers systèmes de production, au titre des responsabilités imputables à leur poste. Les besoins d’accès classiques comprennent les réponses d’alerte et le dépannage, l’analyse des informations relatives aux décisions d’investissement produit, ainsi que le support produit. L’accès à l’infrastructure produit est restreint par les contrôles d’accès au réseau et d’authentification et d’autorisation des utilisateurs. L’accès aux fonctions réseau est strictement limité aux personnes qui en ont besoin dans le cadre de leur fonction et fait l’objet d’une réévaluation régulière.
Les membres du support client, des services et d’autres équipes en relation avec les clients peuvent demander un accès ponctuel aux portails clients pour une période de temps limitée.

Les demandes d’accès sont restreintes aux responsabilités de leur poste et associées aux activités de support et d’assistance apportées aux clients. Ces demandes sont limitées à un accès ponctuel au portail d’un client précis pour une période de 24 heures maximum. Toutes les demandes d’accès, connexions, requêtes, consultations de page et autres informations du même ordre sont enregistrées.

Tous les accès des salariés à des ressources entreprise et produit sont sujets à une réévaluation quotidienne automatisée et à au moins une réévaluation semestrielle manuelle afin de s’assurer que les autorisations accordées sont pertinentes au regard de leur rôle et des besoins de leur poste.

Confidentialité

La confidentialité des données des clients est l’une des préoccupations principales de Sourcing Force. L’entreprise ne vend jamais les données personnelles à des tiers.

Les mesures de protection décrites dans le présent document et les autres dispositifs mis en place visent à garantir que les données demeurent confidentielles et inaltérées. Les produits Sourcing Force ont été conçus avec pour préoccupation principale les besoins des clients et les questions de confidentialité.

Le programme de Sourcing Force pour le respect de la confidentialité intègre les meilleures pratiques, les besoins des clients et de leurs contacts ainsi que les exigences réglementaires.

Politique de conservation des données

Les données des clients sont conservées tant que ceux-ci restent actifs.

La plateforme Sourcing Force met à la disposition des clients actifs des outils qui leur permettent de supprimer leurs données à leur convenance. Les données des anciens clients sont supprimées des bases de données actives sur demande écrite de ces derniers ou après un laps de temps prédéfini suivant la résiliation de l’ensemble des contrats. Les données des utilisateurs des produits gratuits sont effacées lorsque le portail n’est plus activement utilisé, et les données liées aux anciens clients des versions payantes sont supprimées après un délai de 90 jours suivant la fin de toute relation.

Les informations stockées dans les réplicas, les instantanés et les sauvegardes ne sont pas supprimées de façon active, mais purgées naturellement au fil du cycle de vie des données. Sourcing Force conserve certaines données telles que les fichiers journaux et méta-données connexes afin de répondre à des exigences de sécurité, de conformité ou statutaires.

Continuité des activités et récupération en cas d’incident

Sourcing Force gère des plans de continuité des activités et de récupération après sinistre, qui se concentrent sur la prévention des pannes par le biais de la redondance des télécommunications, des systèmes et des opérations d’entreprise, ainsi que sur des stratégies de récupération rapide en cas de problème de disponibilité ou de performances.

Dès lors qu’une situation ayant un impact sur le client se produit, l’objectif de Sourcing Force est d’isoler et de traiter le problème rapidement et en toute transparence.

Fiabilité et récupération du système

Le test de la continuité des activités fait partie des processus routiniers de Sourcing Force. Les processus de récupération de Sourcing Force sont validés en continu via des processus routiniers de maintenance et de support.

Dans le cadre des programmes de maintenance et de croissance, Sourcing Force suit des principes de déploiement rapide afin de créer ou de détruire quotidiennement de nombreuses instances de serveur. Sourcing Force utilise également ces procédures pour reprendre ses opérations en cas d’instances déficientes ou d’autres échecs, ce qui permet de tester le processus de récupération quotidiennement.

Sourcing Force s’appuie avant tout sur la redondance des infrastructures, la réplication en temps réel et les sauvegardes. Tous les services des produits Sourcing Force sont conçus avec une redondance complète.
L’infrastructure des serveurs est répartie de manière stratégique sur de multiples zones de disponibilité distinctes et sur des réseaux cloud virtuels et privés auprès des fournisseurs d’infrastructure de Sourcing Force. De plus, tous les composants web, d’applications et de bases de données sont déployés avec un minimum d’instances ou de conteneurs de serveurs de support N+1.

Stratégie de sauvegarde

Sourcing Force garantit que les données sont répliquées et sauvegardées sur plusieurs dispositifs de stockage durables. Leur durée de conservation dépend de leur nature. Les données sont également répliquées dans différents emplacements d’infrastructure et zones de disponibilité, afin de prévenir tout dysfonctionnement éventuel et de garantir une flexibilité et une récupération réactive le cas échéant.

Les données des clients (en phase de production) sont sauvegardées à l’aide de nombreux réplicas disponibles en ligne pour une protection instantanée. Toutes les bases de données de production disposent d’au moins une copie principale (maître) et d’un double (esclave) des données actives à tout moment. Sept jours d’enregistrement sont conservés pour toutes les bases de données de manière à faciliter les restaurations éventuelles. Des instantanés sont réalisés et stockés sur un service secondaire au minimum une fois par jour et, lorsque cela est possible, une réplication en temps réel est appliquée. Tous les ensembles de données de production sont stockés dans un système de stockage de fichier distribué, comme le S3 d’Amazon.

Dans la mesure où Sourcing Force fait appel à des services de cloud privés pour l’hébergement, la sauvegarde et la récupération, l’entreprise n’intègre pas d’infrastructure ou de moyen de stockage physique dans ses produits. Sourcing Force ne produit et n’utilise généralement pas non plus de supports imprimés (papier ou ruban, par exemple) dans le cadre de l’offre de ses produits à ses clients.

Par défaut, toutes les sauvegardes sont protégées par le biais de restrictions de contrôle d’accès aux réseaux des infrastructures produit de Sourcing Force, de listes de contrôle d’accès aux systèmes stockant les fichiers de sauvegarde et/ou de dispositifs de protection des bases de données.

La plateforme Sourcing Force propose de nombreuses options aux clients qui souhaiteraient également effectuer une copie de leurs données. Le portail Sourcing Force contient de nombreuses fonctionnalités d’export, et la bibliothèque d’API publiques permet de synchroniser les données avec des systèmes tiers.

Sécurité entreprise de sourcing force

Authentification et autorisation des salariés
La politique interne de Sourcing Force relative aux mots de passe est conforme aux normes du secteur. En cours : Cette politique oblige les utilisateurs à changer de mot de passe tous les 90 jours au moins. Elle impose en outre une longueur minimale de 8 caractères pour les mots de passe et des critères de complexité, tels que l’utilisation de caractères spéciaux, de lettres majuscules, de minuscules et de chiffres. Sourcing Force interdit le partage de compte et de mot de passe entre plusieurs salariés.

Gestion des accès

Sourcing Force réglemente et automatise les procédures d’authentification et d’autorisation pour l’accès de salariés à ses propres systèmes, y compris aux plateformes commerciale et marketing. Tous les accès sont enregistrés. Le plus souvent, les accès sont autorisés selon un modèle de contrôle basé sur les rôles. Les accès ponctuels sont intégrés à des procédures automatisées autour d’un ensemble de mécanismes d’autorisation rigoureux.
Sourcing Force a conçu des systèmes de support complets pour rationaliser et automatiser ses activités de gestion et de conformité de la sécurité. Parmi ses nombreuses fonctions, le système analyse plusieurs fois par jour l’infrastructure produit et entreprise afin de s’assurer que les autorisations sont adéquates, de gérer les événements liés aux salariés, de révoquer des comptes et des accès si nécessaire, de compiler les fichiers journaux des demandes d’accès et de capturer des preuves de conformité pour chacun des contrôles de sécurité technologique de l’entreprise. Par périodes de 24 heures, ces systèmes internes examinent l’infrastructure et vérifient que celle-ci correspond aux configurations approuvées.

Gestion des prestataires

Sourcing Force fait appel à plusieurs fournisseurs de services tiers afin d’accroître la capacité des produits Sourcing Force à répondre aux besoins des clients en matière de marketing, de vente et de services. Sourcing Force poursuit un programme de gestion des prestataires afin de garantir la mise en place de contrôles de sécurité et de respect de la confidentialité adéquats.

Ce programme inclut l’inventaire, le suivi et l’examen des programmes de sécurité des prestataires qui travaillent pour Sourcing Force. Des dispositifs de sécurité appropriés sont évalués au regard du service fourni et du type de données échangées. Le respect continu des protections attendues est géré dans le cadre de la relation contractuelle de Sourcing Force avec ces derniers.

Gestion des incidents

Sourcing Force fournit une couverture de 8h à 18h les jours ouvrés pour répondre rapidement à tous les événements liés à la sécurité et la confidentialité. Le programme de réponse rapide aux incidents de Sourcing Force est réactif et reproductible. Des types d’incidents, basés sur l’historique des tendances, sont prédéfinis et créés afin de faciliter le suivi opportun des incidents, l’affectation cohérente des tâches, la transmission et la communication. De nombreux processus automatisés alimentent le système de réponse aux incidents, y compris les activités malveillantes ou les alertes liées à des anomalies ou aux prestataires, les requêtes des clients, les événements liés à la confidentialité, etc.
Pour répondre à un incident, Sourcing Force détermine tout d’abord, dans la mesure du possible, l’exposition de l’information ainsi que la source du problème de sécurité. Sourcing Force communique ensuite les informations au client (et à tout autre client affecté) par e-mail, ou par téléphone si un e-mail ne suffit pas. Le cas échéant, l’entreprise fournit des comptes rendus réguliers pour garantir une résolution appropriée de l’incident.
Le responsable de la sécurité examine tous les incidents liés à la sécurité, qu’ils soient suspectés ou avérés, puis Sourcing Force contacte les clients concernés pour leur proposer la solution la plus adaptée à la nature de l’incident.

Portée et utilisation du présent document

La transparence vis-à-vis des méthodes employées pour offrir les services Sourcing Force à ses clients est une valeur chère à l’entreprise. Ce document a été conçu en tenant compte de cette transparence. Sourcing Force améliore en permanence les mesures de protection mises en œuvre.

À ce titre, les informations et les données contenues dans le présent document, et toute communication connexe, ne sont pas destinées à créer une obligation contractuelle ou contraignante entre Sourcing Force et toute autre partie, ni à modifier, altérer ou réexaminer les accords établis entre les parties.

Validation de la gérance : Olivier AUDINO