Pratiques de sécurité

Chez Smartsheet, nous comprenons que vous devez savoir comment vos données sont protégées et sécurisées lorsque vous utilisez nos Services en ligne. Les Pratiques de sécurité de Smartsheet décrivent les pratiques et mesures de protection appliquées, qui incluent des mesures physiques, organisationnelles et techniques conçues pour préserver la sécurité, l’intégrité et la confidentialité des Services en ligne et du Contenu client à des fins de protection contre les menaces envers la sécurité des informations.

 

1.       Généralités.

1.1     Programme de sécurité des informations.  Smartsheet doit mettre en place un programme écrit complet de sécurité des informations, comprenant des politiques, des normes, des procédures et des documents connexes qui établissent des critères, des moyens, des méthodes et des mesures régissant le Traitement et la sécurité du Contenu client et les systèmes ou réseaux Smartsheet utilisés pour Traiter ou sécuriser le Contenu client (« Systèmes d’information de Smartsheet ») dans le cadre de la fourniture des Services en vertu de l’Accord et de son Supplément. 

1.2     Confidentialité et formation.  Smartsheet veillera à ce que le personnel de Smartsheet : (a) soit lié par des obligations de confidentialité concernant le Contenu client, qui offrent un niveau de protection similaire à celles énoncées dans le Contrat ; et (b) suive une formation appropriée relative au Traitement du Contenu client.

1.3     Définitions

1.3.1    « Accord » désigne l’accord qui régit l’accès d’un Client aux Services en ligne et son utilisation de ces derniers.

1.3.2    « Client » désigne la personne ou l’entité qui exécute ou accepte une Commande ou qui souscrit un essai gratuit pour accéder à un Service et l’utiliser, et qui a conclu un Accord à cet égard.

1.3.3    « Contenu client » désigne l’ensemble des données, pièces jointes, textes, images, rapports, informations personnelles, ou tout autre contenu, transférés ou envoyés vers un Service en ligne par le Client ou les Utilisateurs et qui sont Traités par Smartsheet au nom du Client. 

1.3.4    « Traiter » désigne toute activité ou tout groupe d’activités réalisés avec du Contenu client, que ce soit par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, l’altération, l’extraction, la consultation, l’utilisation, l’alignement, la combinaison, la restriction, l’effacement, la destruction ou la divulgation par transmission, dissémination ou toute autre forme de mise à disposition.

1.3.5 « Atteinte à la sécurité » désigne une atteinte à la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal au Contenu client.

1.3.6    « Services » désigne les Services d’abonnement ainsi que tout autre service ou toute autre application en ligne fournis ou contrôlés par Smartsheet pour une utilisation avec les Services d’abonnement.

1.3.7    « Personnel de Smartsheet » désigne toute personne autorisée par Smartsheet à Traiter le Contenu client.

1.3.8    « Service d’abonnement » désigne les services et applications en ligne utilisables par abonnement fournis ou contrôlés par Smartsheet. 

1.3.9     « Supplément » désigne les critères, moyens, méthodes et mesures, ainsi que les conditions générales applicables à certains produits et services de Smartsheet ou types de clients disponibles sur www.smartsheet.com/legal/agreement-supplement.

1.3.10    « Utilisateur » désigne toute personne autorisée ou invitée par le Client ou un autre Utilisateur à accéder aux Services en ligne et à les utiliser dans le cadre des conditions du présent Accord.

 

2.      Contrôles de sécurité.  Conformément à son programme de sécurité des informations, Smartsheet doit mettre en œuvre des contrôles physiques, organisationnels et techniques appropriés conçus pour : (a) assurer la sécurité, l’intégrité et la confidentialité du Contenu client Traité par Smartsheet ; et (b) protéger le Contenu client des menaces ou dangers connus ou raisonnablement attendus, y compris sa sécurité, son intégrité, sa perte accidentelle, son altération, sa divulgation et d’autres formes illégales de Traitement. Sans limiter ce qui précède, Smartsheet utilisera les contrôles suivants, le cas échéant :

2.1    Pare-feu.  Smartsheet installera et maintiendra un ou plusieurs pare-feu afin de protéger les données accessibles via Internet. 

2.2    Mises à jour.  Smartsheet mettra en place des programmes et des routines pour maintenir ses Systèmes d’information à jour avec les dernières mises à niveau, mises à jour, corrections de bugs, nouvelles versions et autres modifications.

2.3    Logiciel contre les programmes malveillants.  Smartsheet déploiera et utilisera un logiciel contre les programmes malveillants et veillera à le maintenir à jour. Smartsheet utilisera ledit logiciel pour atténuer les menaces liées à l’ensemble des virus, logiciels espions et autres codes malveillants qui sont ou devraient raisonnablement être détectés. 

2.4    Tests.  Smartsheet testera régulièrement ses systèmes, processus et contrôles de sécurité afin de s’assurer qu’ils répondent aux exigences des présentes Pratiques de sécurité.

2.5    Contrôles d’accès.  Smartsheet protègera le Contenu client Traité par ses Systèmes d’information en respectant les conditions suivantes :

  • 2.5.1    Smartsheet attribuera un identifiant unique au Personnel ayant accès à ses Systèmes d’information. 
  • 2.5.2    Smartsheet limitera l’accès à ses Systèmes d’information au seul Personnel nécessaire pour exécuter une obligation spécifique, comme prévu dans l’Accord. 
  • 2.5.3    Smartsheet vérifiera régulièrement (au moins une fois tous les quatre-vingt-dix [90] jours) la liste de son Personnel et de ses Services ayant accès à ses Systèmes d’information et supprimera les comptes qui n’ont plus besoin d’y accéder.
  • 2.5.4    Smartsheet n’utilisera pas les mots de passe par défaut fournis par le fabricant pour accéder aux systèmes d’exploitation, aux logiciels ou à ses Systèmes d’information. Elle exigera l’utilisation de « mots de passe forts » qui respectent ou dépassent les bonnes pratiques applicables (tels que décrites ci-dessous), et que l’ensemble des mots de passe et identifiants soient gardés confidentiels et ne soient pas partagés par les membres du Personnel de Smartsheet. 
  • 2.5.5    Les mots de passe de production Smartsheet doivent au minimum : (i) contenir au moins huit (8) caractères ; (ii) ne pas correspondre aux précédents mots de passe, au nom d’utilisateur ou à un nom courant ; (iii) être modifiés dès lors qu’un compte est soupçonné d’être compromis ; et (iv) être régulièrement remplacés.
  • 2.5.6    Smartsheet procèdera au verrouillage forcé des comptes qui Traitent le Contenu client lorsque lesdits comptes dépassent un nombre défini de saisies de mot de passe incorrectes au cours d’une certaine période.
  • 2.5.7    Smartsheet conservera les données du journal liées à l’utilisation de comptes ou d’informations d’identification par son Personnel pour accéder à ses Systèmes d’information. En outre, elle consultera régulièrement les journaux d’accès afin de détecter tout signe de comportement malveillant ou d’accès non autorisé. 

2.6    Politiques.  Smartsheet mettra en place et imposera à son Personnel des politiques appropriées en matière de sécurité des informations, de confidentialité et d’utilisation acceptable qui répondent aux normes énoncées dans les présentes Pratiques de sécurité, y compris des méthodes de détection et de consignation des violations des politiques. 

2.7    Développement.  Les environnements de développement et de test seront distincts des Systèmes d’information de Smartsheet. 

2.8    Suppression.  Smartsheet utilisera des procédures qui sont au minimum conformes aux recommandations SP 800-88, révision 1 du National Institute of Standards and Technology (NIST) (ou à une norme successeur largement utilisée au sein du secteur) pour rendre le Contenu client irrécupérable avant toute suppression des informations.  

2.9    Chiffrement.  Smartsheet utilisera des normes de chiffrement qui exploitent des algorithmes autorisés, des exigences en termes de longueur et des processus de gestion qui sont conformes ou supérieurs aux normes en vigueur dans l’industrie, y compris les recommandations du NIST, et imposera des exigences de durcissement et de configuration conformes aux normes en vigueur dans l’industrie, y compris les recommandations du SANS Institute, du NIST ou du Center for Internet Security (CIS). Conformément à ces normes, Smartsheet chiffrera le Contenu client hébergé via les Services en ligne et n’autorisera que des connexions chiffrées au Service en ligne aux fins du transfert de Contenu client.

2.10  Accès à distance.  Smartsheet veillera à ce que tout accès à ses Systèmes d’information ou à ses réseaux de postes de travail d’entreprise ou de développement depuis l’extérieur de ses environnements d’entreprise ou de production soit soumis aux contrôles de connexion appropriés, tels qu’une authentification par VPN ou multifacteur. 

 

3.      Utilisation de tiers.

3.1    Généralités.  Les tiers engagés par Smartsheet conformément à l’Accord maintiendront (au minimum) des niveaux de sécurité sensiblement similaires, selon le cas et conformément aux exigences des présentes Pratiques de sécurité.

3.2   Hébergement de données.  Smartsheet s’assurera que tout hébergeur tiers (« Infrastructure en tant que service » ou « IaaS ») utilisé par Smartsheet pour Traiter le Contenu client satisfait aux exigences suivantes :

  • 3.2.1    Exigences de base.  Smartsheet veillera au minimum à ce que les fournisseurs IaaS : (a) mettent en place des contrôles d’accès et de sécurité physique adéquats, comme indiqué dans la Section 2.5 des présentes Pratiques de sécurité ; (b) utilisent des contrôles professionnels de l’équipement CVC et de l’environnement ; (c) utilisent un environnement professionnel de réseau/câblage ; (d) disposent de capacités professionnelles de détection/élimination des incendies ; et (e) élaborent un plan complet de continuité des activités.
  • 3.2.2    Audit annuel ; évaluation.  Effectuez des évaluations et des audits annuels indépendants des risques. Lesdits rapports d’audit et évaluations seront fournis à Smartsheet et, si la loi l’exige, mis à la disposition du Client, à condition que Smartsheet puisse supprimer toutes les informations commerciales et confidentielles ou les conditions non liées aux pratiques de sécurité de l’IaaS. En outre, Smartsheet doit procéder à des examens et des évaluations annuels de tout IaaS critique afin de s’assurer que les mesures de sécurité répondent au minimum aux exigences des présentes Pratiques de sécurité.
  • 3.2.3    Exigences améliorées.  Répondre aux exigences et posséder les capacités d’un centre de données redondant (« N+1 ») à haute disponibilité, plusieurs composants étant chacun associé à au moins un composant de sauvegarde indépendant afin de garantir le fonctionnement continu du système selon des niveaux de performance acceptables en cas de panne.

 

4.      Disponibilité du système.  Smartsheet mettra en place (ou, dans le cas de systèmes contrôlés par des tiers, veillera à ce que lesdits tiers mettent en place) un programme de reprise après sinistre (« disaster recovery » ou « DR ») conçu pour rétablir la disponibilité du Service d’abonnement à la suite d’un sinistre. Ce programme DR doit comprendre au minimum les éléments suivants : (a) validation de routine des procédures afin de créer régulièrement et par la programmation des copies du Contenu client dans le but de récupérer les données perdues ou corrompues ; (b) inventaires mis à jour au moins une fois par an et qui répertorient tous les Systèmes d’information critiques de Smartsheet ; (c) examen et mise à jour annuels du programme DR ; et (d) tests annuels du programme DR afin de valider les procédures DR et la récupérabilité du service décrit dans les présentes.

 

5.      Atteinte à la sécurité.

5.1   Procédures

  • 5.1.1     Smartsheet informera le Client par écrit dans les meilleurs délais dès qu’elle aura connaissance d’une Atteinte à la sécurité confirmée. 
  • 5.1.2    En cas d’Atteinte à la sécurité, Smartsheet mènera l’enquête et, si nécessaire, l’atténuera ou y remédiera, conformément à ses politiques et procédures en matière d’incidents de sécurité (« Gestion des violations »).
  • 5.1.3    Sous réserve de ses obligations légales, Smartsheet fournira au Client toutes les informations à sa disposition à la suite de sa Gestion des violations, y compris la nature de l’incident, les informations spécifiques divulguées (si elles sont connues) et l’ensemble des efforts d’atténuation ou mesures correctives pertinents (« Informations sur les violations »), afin que le Client se conforme à ses obligations en vertu des lois applicables à la suite d’une Violation de sécurité.
  • 5.1.4    Si le Client a besoin d’informations relatives à une Atteinte à la sécurité en plus des Informations sur l’incident, à sa seule charge et sur demande écrite dans la mesure où il n’est pas en mesure d’accéder à ses informations supplémentaires par lui-même, Smartsheet coopérera raisonnablement avec lui afin de tenter de collecter et de fournir lesdites informations supplémentaires.

5.2    Tentatives infructueuses.  Une attaque ou une intrusion infructueuse ne constitue pas une Atteinte à la sécurité relevant de la présente Section 5. Une « attaque ou intrusion infructueuse » est une attaque qui n’engendre aucun accès non autorisé ou illégal au Contenu client et peut inclure, sans s’y limiter, des pings et d’autres attaques par diffusion via des pare-feu ou des serveurs périphériques, des analyses de ports, des tentatives d’ouverture de session infructueuses, des attaques par déni de service, la commutation de paquets (ou tout autre accès non autorisé aux données de trafic qui n’engendre pas un accès au-delà des adresses IP ou des en-têtes TCP/UDP), ou des incidents similaires.

5.3    Implication des Clients ou des Utilisateurs.  Ne constitue pas une Atteinte à la sécurité tout accès non autorisé ou illégal au Contenu client résultant des paramètres de configuration du Client, d’une compromission des identifiants de connexion d’un Utilisateur ou du partage ou de la divulgation intentionnels ou involontaires du Contenu client par le Client ou un Utilisateur.

5.4    Notifications.  Le cas échéant, des notifications d’Atteinte à la sécurité sont envoyées à un ou plusieurs Utilisateurs administrateur système du Client par tout moyen raisonnable choisi par Smartsheet, y compris par e-mail. Le Client est seul responsable de veiller à ce que les coordonnées figurant dans le Service en ligne soient à jour à tout moment.

5.5    Exclusion de responsabilité.  L’obligation de Smartsheet de signaler une Atteinte à la sécurité ou de la gérer en vertu de la présente Section 5 ne saurait constituer une reconnaissance par l’entreprise d’une faute ou d’une responsabilité de Smartsheet concernant ladite Atteinte à la sécurité.

 

6.      Audits et rapports.

6.1    Supervision.  Smartsheet surveille en permanence l’efficacité de son programme de sécurité des informations en effectuant divers audits, évaluations des risques et autres activités de surveillance afin d’assurer l’efficacité de ses mesures et contrôles de sécurité. 

6.2    Rapports d’audit.  Smartsheet fait appel à des auditeurs externes pour vérifier l’adéquation de ses mesures et contrôles de sécurité pour certains Services, y compris les Services d’abonnement. L’audit qui en résultera : (a) comprendra des tests qui couvrent l’ensemble de la période de mesure depuis la fin de la précédente période de mesure ; (b) sera effectué conformément aux normes SOC2 de l’AICPA ou à d’autres normes essentiellement équivalentes à ces normes ; (c) sera effectué par des professionnels de la sécurité indépendants choisis par Smartsheet et aux frais de cette dernière ; (d) donnera lieu à la génération d’un rapport SOC2 (« Rapport d’audit »), qui fera partie des Informations confidentielles de Smartsheet. Le rapport d’audit sera mis à la disposition du client sur demande écrite, au plus tard une fois par an, sous réserve des obligations de confidentialité de l’Accord ou d’un accord de non-divulgation mutuellement convenu. Pour éviter toute ambiguïté, chaque Rapport d’audit concernera uniquement les Services existants au moment de sa publication ; les Services mis à disposition par la suite, s’ils relèvent du champ d’application du Rapport d’audit, seront intégrés à l’itération annuelle suivante du Rapport d’audit.  

6.3    Tests d’intrusion.  Smartsheet fait appel à des experts externes en sécurité pour effectuer des tests d’intrusion par rapport à certains Services en ligne, y compris les Services d’abonnement. Ces tests : (a) seront réalisés au moins une fois par an ; (b) seront réalisés par des professionnels de la sécurité indépendants, choisis par Smartsheet et à ses propres frais ; et (c) donneront lieu à la génération d’un rapport de test d’intrusion (« Rapport de test d’intrusion »), qui fera partie des Informations confidentielles de Smartsheet. Les Rapports de test d’intrusion seront mis à la disposition du Client sur demande écrite une fois par an au maximum, sous réserve des obligations de confidentialité de l’Accord ou d’un accord de non-divulgation mutuellement convenu.  

6.4    Audit client.  Si le Client exige légalement des informations afin de se conformer aux lois applicables en sus des Rapports d’audit et de test d’intrusion, à ses frais et sur demande écrite et dans la mesure où il ne parvient pas à accéder à ses informations supplémentaires par lui-même, Smartsheet autorisera la réalisation d’un Audit mandaté par le Client par un auditeur tiers dans le cadre de son traitement du Contenu client (« Audit client »), à condition que :

  • 6.4.1.   le Client informe Smartsheet dans un délai raisonnable, précisant notamment l’identité de l’auditeur, la date prévue et le champ d’application de l’audit du Client ;
  • 6.4.2    Smartsheet approuve l’auditeur en en informant le Client, cette approbation ne pouvant être refusée sans motif valable ;
  • 6.4.3    le Client et l’auditeur veillent à éviter de causer des dommages, des atteintes ou des perturbations au niveau des locaux, de l’équipement ou de l’activité de Smartsheet au cours de cet Audit ; et 
  • 6.4.4.   le Client n’initie qu’un seul Audit par année civile, sauf si les autorités l’exigent autrement.

 

Dernière mise à jour : 24 mars 2023