Sécurité

Chez People2.0, la sécurité et la confidentialité sont fondamentales pour notre activité.
Notre système de gestion de la sécurité de l’information couvre cinq certifications ISO 27001 à l’échelle mondiale. Il s’appuie sur une architecture de défense en profondeur, des tests rigoureux et une surveillance continue afin d’assurer une protection et une réponse proactives.

Équipe dédiée à la sécurité de l’information et à la confidentialité

• Nous maintenons une organisation centralisée de sécurité de l’information et de confidentialité dirigée par notre directeur mondial de la sécurité de l’information et de la protection de la vie privée, qui supervise la stratégie, la gouvernance, les politiques et l’alignement interrégional.
  • Cette équipe travaille à travers les régions, unités d’affaires et piles technologiques, et collabore avec le service juridique, la conformité, les risques et les opérations afin d’assurer que la sécurité et la confidentialité sont intégrées à tous les aspects.
  • L’équipe est responsable de l’élaboration des politiques, de la gestion des risques, de la coordination des audits, de la planification de la réponse aux brèches, de l’évaluation de la sécurité des fournisseurs, des programmes de sensibilisation et des initiatives d’amélioration continue.

1. Assurance mondiale grâce à la norme ISO 27001

• People2.0 détient la certification ISO 27001 en Amérique du Nord, au Royaume-Uni, dans l’Union européenne, en Inde et en Australie, ce qui garantit que nos pratiques en matière de sécurité sont conformes à une norme mondialement reconnue.
  • Notre SMSI est conçu pour répondre à l’ensemble des contrôles ISO 27001 (domaines de l’annexe A), avec des audits internes et externes réguliers pour valider et ajuster la conformité.
  • Dans toutes les régions géographiques, nous appliquons un modèle unifié d’évaluation des risques, de mise en œuvre des contrôles, de surveillance et d’amélioration continue.

2. Défense en profondeur grâce à des outils de niveau 1 et à notre expertise

Nous associons les meilleures technologies à la supervision, aux tests et à la préparation humains :

• Protection des terminaux/hôtes : SentinelOne EDR + Windows Defender utilisent l’IA, l’analyse comportementale, la prévention des menaces et le confinement automatisé.

• Filtrage DNS/Web : Cisco Umbrella assure la défense à la périphérie du domaine et contre les menaces routables.

• Protection des e-mails et contre le phishing : Cloudflare Area1 filtre les e-mails entrants pour détecter le phishing, le BEC et les attaques ciblées.

• Gestion des identités et des accès : OKTA permet un contrôle centralisé des identités, l’authentification multifactorielle (MFA), l’authentification unique et l’application du principe du moindre privilège.

• Sécurité des applications et du code : Snyk est intégré à nos pipelines SDLC afin d’identifier les vulnérabilités dans les dépendances, les conteneurs et le code.

• Tests de pénétration : nous faisons appel à des pentesteurs internes et externes pour sonder les applications, les API et l’infrastructure, en simulant des adversaires afin de découvrir les faiblesses.

• SIEM / Analytique : Rapid7 traite les journaux d’événements, corrélère les anomalies et déclenche des alertes sur différentes plateformes

• Anti-ransomware / Défense IA : Halcyon AI ajoute une détection et une protection basées sur le comportement contre les ransomwares et les menaces sophistiquées.

• Surveillance et contrôle 24 h/24, 7 j/7 : deux centres opérationnels de sécurité mondiaux surveillent attentivement les incidents et les signalent selon des protocoles définis.

• Réponse aux incidents et analyse forensic : nous faisons appel à S-RM DFIR pour nous aider à contenir les incidents, à en déterminer les causes profondes et à y remédier si nécessaire.

En combinant l’IA, l’automatisation, le renseignement, les analystes humains et les tests, nous réduisons notre dépendance à l’égard d’un seul contrôle.

3. Gouvernance, processus et supervision 🧭

• Notre SMSI est supervisé par la direction générale et des comités internes de gouvernance de la sécurité afin de garantir sa conformité avec les risques de l’entreprise et les exigences réglementaires.
  • Nous maintenons un programme de gestion des risques robuste, évaluant, hiérarchisant, traitant et surveillant en permanence les risques de sécurité dans toutes les unités commerciales, régions et domaines technologiques.
  • Tous les employés, sous-traitants et fournisseurs tiers doivent suivre une formation de sensibilisation à la sécurité basée sur les rôles, des simulations de phishing et des cours de remise à niveau sur les pratiques de codage sécurisé.
  • Les politiques, procédures et normes sont versionnées et révisées régulièrement, avec des mises à jour dictées par l’évolution des menaces ou les changements réglementaires.
  • Nous imposons des évaluations de sécurité par des tiers et une diligence raisonnable aux fournisseurs ; les systèmes externes et les partenaires doivent répondre à nos critères de sécurité avant toute intégration.

4. Transparence, responsabilité et confiance 🔍

• Nous conservons des journaux prêts pour l’audit, des mesures de sécurité résumées et des preuves de certification, qui peuvent être partagés avec les clients dans le respect des conditions de confidentialité ou contractuelles appropriées.
  • En cas d’incident de sécurité, nous suivons un plan d’intervention documenté, faisons appel à l’assistance DFIR, informons les parties prenantes et menons des analyses des causes profondes et des enseignements tirés.
  • Des audits indépendants, des certifications externes et des partenariats externes en matière de tests d’intrusion et d’expertise judiciaire renforcent la surveillance objective et la responsabilité.

5. Ce que cela signifie pour les clients 🤝

• Protection cohérente : où que se trouvent vos données, elles sont soumises aux mêmes contrôles et à la même surveillance de base.
  • Défense multicouche et testée : des contrôles multiples et redondants contribuent à réduire les points de défaillance uniques.
  • Tests proactifs et renforcement : les tests d’intrusion permettent de détecter les faiblesses avant que les adversaires ne le fassent.
  • Résilience et réactivité : l’IA + l’automatisation + les SOC humains + le soutien médico-légal nous donnent la capacité de détecter, de contenir et de récupérer.
  • Confiance assurée : les certifications ISO, les rapports d’audit et les tests externes fournissent des preuves tangibles à vos équipes chargées de la sécurité et de la conformité.
  • Gestion des risques, pas de garanties parfaites : nous ne promettons pas un risque zéro, mais nous nous engageons à déployer des outils de pointe, des contrôles rigoureux, des tests continus et une transparence totale.