MESURES DE SÉCURITÉ
Mesures prises par RingCentral pour assurer la sécurité
Nous mettons en place différentes mesures pour protéger vos informations et assurer le bon déroulement des opérations.
Nos principes en matière de sécurité
Notre programme de gestion de la sécurité des systèmes d’information comprend des mesures visant à protéger RingCentral, ses clients et leurs données contre le risque de perte ou d’utilisation abusive. Nous garantissons ainsi le bon fonctionnement en continu de nos services, en soutien de l’activité, chez nous comme chez nos clients.
PROGRAMME DE GESTION DE LA SÉCURITÉ DES INFORMATIONS
Sécurité, politique et gestion des risques
Notre programme écrit de sécurité des informations comporte des politiques documentées, en ligne avec les normes établies, revues et mises à jour pour refléter les évolutions du secteur et notre engagement permanent contre les risques en matière de cybersécurité.
SÉCURITÉ DES OPÉRATIONS
Sécurité des opérations UCaaS et CCaaS
Nous gérons nos services pour nos communications unifiées en tant que service (UCaaS) et notre centre de contact en tant que service (CCaaS) selon les mêmes normes que nos environnements et applications internes afin de garantir la confidentialité, l’intégrité et la disponibilité de nos services et de vos données.
Notre rigueur opérationnelle globale
Nous faisons appel à des auditeurs tiers, qualifiés et indépendants pour la réalisation d’audits de sécurité. Ces audits couvrent la conformité à différentes normes et cadres normatifs, notamment ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II avec contrôles FINRA et HIPAA, BSI C5:2020, PCI et HITRUST.
Nos politiques et procédures sont conçues pour nous assurer d’embaucher les bonnes personnes aux bons postes. Nous vérifions les antécédents de nos recrues (dans la mesure où la loi le permet), ainsi que leurs compétences et qualifications. Nous exigeons le suivi d’une formation continue que nous fournissons sur la sécurité, la confidentialité et la conduite des affaires. Tous nos collaborateurs suivent également une formation spécifique à leur rôle. Nous sommes susceptibles de prendre des mesures disciplinaires en cas de non-respect de nos politiques.
Nous veillons à ce que nos sous-traitants suivent les mêmes politiques et procédures que nos employés.
Les appareils, y compris les ordinateurs portables et les terminaux mobiles, doivent répondre aux normes de RingCentral avant d’avoir accès à nos réseaux, via notre architecture Zero Trust, basée sur les éléments suivants : application des mises à jour et correctifs, chiffrement complet du disque, pas d’accès administrateur, dispositifs de détection et de suppression des menaces aux points d’extrémité d’une part et de prévention des pertes de données d’autre part.
L’accès aux installations de RingCentral est restreint et contrôlé. Les visiteurs doivent avoir obtenu un accord préalable et être accompagnés lors de leur présence sur notre campus (ils ne sont pas autorisés à pénétrer dans nos centres de données ou sur les sites de nos fournisseurs de services cloud).
Nos centres de données, et ceux de nos fournisseurs de services cloud, sont maintenus suivant une architecture de livraison continue, avec des alimentations redondantes et des connexions réseau reposant sur plusieurs fournisseurs.
L’accès physique aux systèmes n’a pas à être accordé à tous. C’est pourquoi nous avons mis au point un processus documenté de gestion complète des accès (du début à la fin, transition et fin comprises) pour nos collaborateurs, pour nous assurer que les liens entre utilisateurs et groupes/rôles sont créés et supprimés en temps voulu.
Chaque utilisateur dispose d’un compte unique, à des fins de traçabilité ; les comptes ne sont pas partagés. Les mots de passe sont conformes aux directives du National Institute of Standards and Technology (NIST). Une authentification à deux facteurs est requise pour accéder aux environnements protégés, notamment notre architecture d’entreprise Zero Trust.
Notre programme de sécurité du réseau couvre la sécurité externe (pare-feu, pare-feu des applications web, systèmes de détection des intrusions, protection contre les attaques par déni de service distribué) et la protection interne par segmentation et isolation. Des analyses du réseau sont régulièrement menées à la recherche d’éventuelles vulnérabilités, afin de maintenir une configuration respectant les bonnes pratiques pour les systèmes en contact avec des réseaux publics.
Nous tenons à jour une liste précise des systèmes et des composants dans tous les segments de notre réseau, afin de savoir ce qui se trouve où. Nous configurons nos systèmes et applications en suivant les normes de référence, par exemple celles du Centre for Information Security (CIS), et les recommandations des fournisseurs. Nous sommes particulièrement stricts sur le test de tous les correctifs avant leur déploiement. Des analyses du réseau sont régulièrement menées à la recherche d’éventuelles vulnérabilités, afin de maintenir une configuration des systèmes respectant les bonnes pratiques.
Nous tenons à jour une liste précise des systèmes et des composants dans tous les segments de notre réseau, afin de savoir ce qui se trouve où. L’accès VPN à notre environnement de production pour nos équipes d’exploitation est protégé par une authentification à deux facteurs, et tous les accès sont enregistrés et suivis. Les accès des équipes d’exploitation sont gérés dans un répertoire distinct de notre répertoire d’entreprise, offrant ainsi une couche de séparation supplémentaire entre les différents employés de RingCentral.
Notre stratégie de sécurisation du développement couvre la conception, le développement, les tests et la mise en production (ou la disponibilité générale). La sécurité des produits est validée au moyen d’outils, de revues et de tests. Des tests d’intrusion externe sont menés au moins une fois par an.
Nos pipelines de build et de CI/CD sont sécurisés, et des contrôles sont en place afin d’en limiter l’accès aux seules personnes autorisées.
Les données RingCentral sont publiques ou confidentielles ; toutes les données que nous traitons au nom de nos clients sont considérées comme confidentielles. Toutes les données des clients bénéficient donc d’un niveau de protection renforcé, notamment d’un chiffrement en transit et au repos, ainsi que de contrôles d’accès aux systèmes et applications hébergeant les données.
Les données sont supprimées conformément aux exigences réglementaires et lorsqu’elles ne sont plus nécessaires, et les supports électroniques sont éliminés en fin de vie.
Les réponses de RingCentral en cas d’incident de cybersécurité ou autre sont conçues pour identifier les événements susceptibles d’avoir un impact sur la disponibilité, la confidentialité et l’intégrité des systèmes et des données, et y remédier rapidement.
L’équipe chargée de la gestion des abus de service et des fraudes de RingCentral travaille 24 heures sur 24 et 7 jours sur 7 à la détection d’activités suspectes indiquant un abus de service ou une fraude (prise de contrôle du compte, fraude sur les contrôles téléphoniques, etc.). Les personnes ou les comptes qui enfreignent nos politiques d’utilisation acceptable et nos conditions de service (abus de service et fraudes compris) sont identifiés, et des mesures correctrices sont mises en œuvre.
Notre approche rigoureuse de la continuité des activités est en ligne avec notre objectif d’assurer une disponibilité globale de 99,999 %. Notre plan de continuité des activités est conçu pour garantir une fourniture de services sans interruption, y compris en cas d’impact grave (comme une pandémie mondiale nous obligeant à basculer l’ensemble de notre personnel en télétravail).
Notre plan de reprise après sinistre englobe notre infrastructure, nos technologies, nos systèmes et nos services et fait l’objet de tests réguliers (les notifications de tests de rupture, que vous devriez trouver dans votre messagerie, sont un élément clé de notre approche).
Tout comme nos clients nous soumettent à des revues rigoureuses, notamment en matière de gestion des risques, nous portons une attention particulière à nos prestataires et fournisseurs. Nos fournisseurs informatiques stratégiques nous fournissent des rapports d’audit externe (p. ex. SOC 2 Type II) ou sont soumis à des examens de confidentialité et de sécurité.
Ensemble, trouvons la solution idéale pour votre entreprise.
Vous serez opérationnel en moins de temps qu’il n’en faut pour le dire.