La sécurité chez RWS

Dans le cadre du processus d'approvisionnement de RWS, les nouveaux fournisseurs doivent faire l'objet d'une évaluation des risques de sécurité avant leur intégration. Une catégorie de risque est attribuée aux fournisseurs en fonction d'un certain nombre de critères, notamment : le caractère essentiel des biens/services à fournir et la sensibilité des informations ou des installations auxquelles ils accèdent.

Oui, la politique de gestion de la sécurité des fournisseurs du groupe RWS définit les exigences de sécurité relatives aux fournisseurs tiers.

RWS analyse chaque mois les vulnérabilités de son infrastructure publique. Ces vulnérabilités font l'objet d'une évaluation des risques et de mesures d'atténuation appropriées sont appliquées conformément à la politique mondiale de test de sécurité. Un membre de l'équipe de sécurité de l'information siège au Comité d'approbation des changements mondial axé sur l'informatique afin d'évaluer l'impact des modifications proposées concernant la sécurité.

« La politique du groupe RWS relative au cycle de développement de logiciels sécurisés précise la manière dont les produits doivent être développés en toute sécurité. La sécurité fait partie intégrante de chaque étape du développement, de la collecte des exigences, à la conception, en passant par la mise en œuvre, la vérification et la publication. Les modifications sont testées avant d'être publiées.

Oui, RWS utilise à la fois Service Centre et ServiceNow pour suivre les processus, depuis la création des tickets, jusqu'à leur résolution en passant par leur attribution. Les contrats de niveau de service sont établis en fonction de l'importance de l'incident/de la modification ou du problème.

Oui. RWS dispose d'une politique d'utilisation acceptable et de sécurité informatique.

RWS conserve les données des clients tant qu'elles sont nécessaires à l'exécution des services et quelles que soient les circonstances comme convenu dans le Contrat.

Oui, RWS dispose d'une équipe dédiée à la gestion des logiciels et des ressources et utilise des outils pour gérer les ressources sur le réseau RWS appelés Lansweper et Flexera. Lansweper détecte et enregistre automatiquement les éléments sur le réseau professionnel RWS, y compris des détails tels que le propriétaire et le type des ressources ainsi que le logiciel installé, la garantie et la configuration. Toutes les ressources ont un propriétaire assigné.

Oui, les correctifs sont automatiquement appliqués aux terminaux grâce à une application de correctifs centralisée. Les correctifs apportés aux serveurs sont mis à jour au moins une fois par an. En général, ces correctifs sont appliqués au cours de la période de maintenance mensuelle. Des correctifs d'autres types (p. ex. SQL, antivirus) sont exécutés de manière ponctuelle en fonction des besoins, mais doivent être testés sur un système de développement ou de préparation avant le système de production, lorsque ces systèmes existent.

Oui, les responsabilités et rôles en matière de gestion des changements sont régis par le processus CAB qui comprend les responsables, les parties prenantes concernées, ainsi que le service informatique et les testeurs de système RWS. Tous les changements du système sont testés avant d'être mis en œuvre et/ou déployés. Les changements d'urgence sont traités de la même manière que ceux du processus de gestion des changements standard et doivent toujours être consignés, enregistrés, testés, validés puis mis en œuvre. La mise en œuvre d'un changement relève de la responsabilité de la gestion des versions, tandis que le processus dans son ensemble relève quant à lui de Comité d'approbation des changements.

Oui, RWS dispose d'une stratégie d'accès logique qui définit les processus à utiliser pour contrôler l'accès logique.

Oui, le programme d'évaluation des risques de RWS appartient à l'équipe dirigeante de RWS et est communiqué aux employés concernés.

Le programme de gestion des risques de sécurité de RWS est défini dans la politique de gestion des risques de sécurité du groupe. Il contient la méthodologie à utiliser pour identifier et gérer les risques de sécurité, notamment en ce qui concerne : l'identification des ressources ; l'analyse des impacts ; l'évaluation des risques ; l'identification et l'application des contrôles ; ainsi que la surveillance de l'efficacité des contrôles. Les risques sont évalués régulièrement ou lorsqu'un changement important susceptible d'avoir un impact sur la confidentialité, l'intégrité ou la disponibilité des informations ou des ressources RWS se produit. La supervision et la gouvernance des processus de gestion des risques sont effectuées par la gouvernance de sécurité, le responsable des risques et de la conformité, ainsi que le comité directeur de la sécurité de l'information, le cas échéant.

Oui, RWS prend la confidentialité des données très au sérieux. Pour plus d'informations, notre politique de confidentialité est disponible ici : www.rws.com/about/privacy

Oui, notre certification ISO 27001 est disponible pour nos clients à l'adresse www.rws.com/fr/security

Oui, le logiciel RWS hébergé par RWS Cloud Operations entre dans le champ d'application de notre rapport SOC 2 Type II. Vous pouvez obtenir un résumé analytique du rapport sur demande.

Oui. Sous la houlette du directeur des systèmes d'information, le programme de sécurité de l'information de RWS est géré tout au long de l'année par le comité directeur de la sécurité de l'information au niveau exécutif afin de veiller à ce qu'il continue à répondre aux besoins des objectifs commerciaux.

Oui. Le directeur des systèmes d'information de RWS est le responsable exécutif de la sécurité de l'information. La responsabilité quotidienne du système de gestion de la sécurité de l'information de RWS et la conformité continue aux exigences de sécurité sont confiées à une petite équipe dirigée par la gouvernance de sécurité et le responsable des risques et de la conformité.

Oui, la politique de sécurité de l'information de RWS est approuvée et signée par le responsable exécutif de la sécurité de l'information. Elle définit les exigences de sécurité de haut niveau qui permettent à RWS de maintenir et de développer continuellement son système de gestion de la sécurité de l'information.

Nos politiques sont révisées au moins une fois par an. Les documents internes peuvent être consultés sur site ou à distance par le client lors d'un audit soumis à un accord de non-divulgation ou à un accord mutuel de non-divulgation. 

Politique de sécurité de l'information au sein du système de gestion de la sécurité de l'information du groupe RWS
Politique de sécurité de l'information du groupe RWS
Politique de gestion des risques de sécurité du groupe RWS (interne)
Politique de test de sécurité du groupe RWS (interne)
Politique d'accès logique du groupe RWS (interne)
Politique de continuité des activités du groupe RWS (interne)
Politique globale de classification et de gestion du groupe RWS (interne)
Politique de gestion des incidents de sécurité de l'information du groupe RWS (interne)
Politique de sécurité physique du groupe RWS (interne)
Politique de confidentialité du groupe RWS (interne)
Politique des systèmes informatiques du groupe RWS (interne)
Politique de contrôles cryptographiques du groupe RWS (interne)
Politique de gestion de la sécurité des fournisseurs du groupe RWS (interne)
Politique du développement de logiciels sécurisés du groupe RWS (interne)
Politique d'utilisation acceptable du système de gestion de la sécurité de l'information du groupe RWS (interne)
Politique d'exception relative à la sécurité du système de gestion de la sécurité de l'information du groupe RWS (interne) 

Nos politiques sont publiées sur l'intranet professionnel et mises à la disposition de tous les employés de RWS. Elles sont régulièrement communiquées aux collaborateurs de RWS par le biais de formations et de campagnes de sensibilisation obligatoires axées sur la sécurité et la confidentialité.

Oui

Oui. RWS dispose d'une politique et d'un processus d'exception relatifs à la sécurité.

Oui, tout non-respect de nos politiques de sécurité de l'information sera examiné par l'équipe mondiale en charge de la sécurité de l'information, puis transmis à la direction et à l'équipe RH concernée pour effectuer une enquête et mettre en place des mesures supplémentaires, le cas échéant. Les mesures disciplinaires dépendent de la gravité de l'incident et peuvent aller jusqu'au licenciement.

Le service juridique de RWS contrôle les exigences légales et réglementaires pertinentes qui s'appliquent à RWS. Les exigences réglementaires relatives à la sécurité de l'information seront abordées entre le responsable du service juridique et le responsable mondial de la sécurité de l'information, et des modifications seront apportées au programme de sécurité au besoin.

Toute demande légale de ce type est traitée par notre équipe juridique et tient compte de toutes les obligations contractuelles et exigences légales qui s'appliquent.

Oui, la politique de gestion des incidents de sécurité de l'information du groupe RWS est publiée et accessible à tous les employés sur l'intranet RWS et aborde, sans s'y limiter les éléments suivants : la surveillance, la préparation, l'identification, la limitation, l'atténuation, la récupération et le suivi.

Oui, la politique de gestion des incidents de sécurité de l'information du groupe RWS est publiée et accessible à tous les employés sur l'intranet RWS et aborde, sans s'y limiter les éléments suivants : la surveillance, la préparation, l'identification, la limitation, l'atténuation, la récupération et le suivi.

Oui, le fournisseur de réseau de RWS surveille le trafic et nous alerte en cas d'activité suspecte. RWS utilise également les services IDS/IPS dans les zones stratégiques du réseau pour détecter et prévenir les intrusions. De plus, les terminaux disposent d'un logiciel de prévention/détection approprié.

Oui. La formation de sensibilisation à la sécurité de l'information constitue un élément essentiel du processus d'intégration du personnel RWS, des sous-traitants et des traducteurs indépendants. Cette formation sur ordinateur est dispensée chaque année à tous les employés dans un module de formation dédié. En outre, la formation de sensibilisation à la sécurité de l'information est dispensée dans le cadre de la formation annuelle sur le Code de conduite et par le biais de nos campagnes régulières « Pensez à la sécurité ».

Oui. Tous les nouveaux membres sont soumis à des contrôles d'identité et de « droit au travail ». Lorsque leur fonction dans l'organisation ou leurs obligations nationales l'exige, d'autres vérifications des antécédents peuvent être effectuées conformément aux lois applicables.

Les antécédents des traducteurs indépendants de RWS ne sont pas contrôlés. Nous concluons toutefois un accord de fournisseur avec nos traducteurs indépendants, qui inclut des mesures de sécurité minimales et pour lequel la confidentialité et le contrôle de leurs antécédents peuvent être demandés par les clients, comme convenu dans le contrat, sous réserve des lois locales.

Oui, tous les nouveaux employés doivent suivre la formation obligatoire de sensibilisation à la sécurité de l'information et la formation au Code de conduite, qui comprend également des éléments de sécurité. Au moment de leur départ, les responsabilités des employés en matière de sécurité postérieures à l'emploi leur sont rappelées. Toutes les ressources sont récupérées et les comptes sont suspendus avant d'être examinés et supprimés.

Oui, la politique de classification et de gestion du groupe RWS s'applique à la destruction des données et au nettoyage des supports. Les processus spécifiques de mise en œuvre de la politique sont détenus et gérés par les propriétaires de technologies respectifs.