Aller au contenu

Pratiques de sécurité de Hootsuite

Dernière mise à jour : 9 juillet 2024

Hootsuite Inc. et ses sociétés affiliées (collectivement, « Hootsuite ») appliquent des mesures organisationnelles et techniques (collectivement « Pratiques de sécurité ») pour protéger les informations que vous nous fournissez (« Informations clients ») contre la perte, l'utilisation abusive, ainsi que l'accès ou la divulgation non autorisés. Ces mesures tiennent compte de la sensibilité des informations collectées, traitées et stockées par Hootsuite, de l'état actuel de la technologie, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des objectifs du traitement des données auquel Hootsuite procède.

Lorsqu'il est utilisé dans le présent document sur les pratiques de sécurité, le terme « Services Hootsuite » désigne les Services en self-service ou les Services d'entreprise définis dans les Conditions d'utilisation en self-service de Hootsuite ou les Conditions d'utilisation pour les entreprises, selon le cas. « Services Sparkcentral » désigne les Services définis dans les Conditions d'utilisation de Sparkcentral. « Services Heyday » désigne les services définis dans les conditions d'utilisation de Heyday Enterprise. Les Services Hootsuite, les Services Sparkcentral et les Services Heyday sont collectivement désignés par le terme « Services ». Les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans les conditions de service applicables à votre accès et à votre utilisation des Services Hootsuite, des Services Sparkcentral et/ou des Services Heyday.

Les Pratiques de sécurité comprennent :

1. La Responsabilité affectée en matière de sécurité. Hootsuite dispose d'un responsable de la sécurité désigné et d'une équipe de sécurité chargés de superviser le développement, la mise en œuvre et la maintenance de ses Pratiques de sécurité.

2. Les Pratiques personnelles.

a. Tous les employés de Hootsuite :

  • i. sont liés par les politiques de Hootsuite concernant le traitement confidentiel des Informations client ;

  • ii. suivent une formation en matière de sécurité et de confidentialité lors de leur intégration et sur une base continue au moins une fois par an par la suite, et bénéficient d'une supervision dont le niveau et le fond sont adaptés à leur poste ;

  • iii. sont tenus de lire et de signer les politiques de sécurité et de confidentialité des informations concernant la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services que Hootsuite utilise pour fournir les Services Hootsuite.

b. Hootsuite met en place des contrôles appropriés pour restreindre l'accès de ses employés aux Informations client que vous et vos Utilisateurs autorisés mettez à disposition via les Services Hootsuite, et pour empêcher l'accès aux Informations client de toute personne qui ne devrait pas y avoir accès.

c. Hootsuite procède à un filtrage préalable à l'embauche approprié en fonction de la sensibilité du poste, qui peut inclure une vérification des antécédents judiciaires pour des postes particulièrement sensibles, lorsque la loi l'autorise.

3. Conformité et essais. Hootsuite est soumis à un processus d'audit rigoureux pour obtenir diverses certifications liées à la sécurité de ses services. Les certifications respectives pour chacun des services sont définies dans notre Centre de gestion de la confidentialité (https://trustcenter.hootsuite.com/). 

a. Rapports de contrôle de l'organisation des services (SOC) : Hootsuite fait l'objet d'un audit SOC 2 de type II chaque année, réalisé par un auditeur tiers indépendant. Une copie du dernier rapport de Hootsuite est disponible sur demande pour les clients Enterprise existants ou potentiels qui acceptent de garder le rapport confidentiel dans le cadre d'un accord de confidentialité conclu avec Hootsuite.

b. ISO 27001 : Hootsuite est soumis chaque année à un audit ISO 27001 réalisé par un auditeur tiers indépendant.

c. PCI-DSS : lorsque les paiements sont traités par carte bancaire, Hootsuite fait appel à des fournisseurs tiers respectant la norme PCI-DSS. Hootsuite ne stocke, ne transmet ou ne traite à aucun moment les informations de votre carte bancaire ; Hootsuite stocke simplement des jetons anonymes qui identifient les transactions traitées applicables.

d. Autorisation FedRAMP : les Services Hootsuite sont autorisés à être utilisés dans le cadre du programme fédéral de gestion des risques et des autorisations du gouvernement américain (FedRAMP Marketplace), un processus de certification audité selon la norme NIST SP 800-53.

e. Pentest externe : Les Services font l'objet de tests d'intrusion annuels réalisés par un tiers indépendant, pour ses applications web et mobiles.

4. Contrôles d'accès. Hootsuite dispose et maintiendra des mécanismes de contrôle d'accès appropriés, notamment :

a. des politiques et procédures qui concernent l'intégration et le départ, la transition entre les postes, les examens réguliers des accès, les limites et le contrôle de l'utilisation des droits d'administrateur, ainsi que les délais d'inactivité ;

b. la séparation des tâches et des domaines de responsabilité incompatibles ;

c. le maintien à jour des inventaires précis des ordinateurs et des comptes utilisateurs ;

d. l'application des principes du « moindre privilège » et du « besoin d'en connaître » ;

e. le réexamen régulier des droits d'accès des utilisateurs afin de repérer les privilèges excessifs ;

f. l'application d'une limite de tentatives de connexion non valides ; et

g. des exigences en matière de mot de passe, y compris une complexité minimale définie, des modifications du mot de passe après la première connexion, et des modifications ultérieures à des intervalles prédéterminés avec des limites de réutilisation.

5. Authentification multifacteur

a. L'accès aux systèmes utilisés par les employés et le personnel contractuel de Hootsuite est contrôlé par une authentification multifacteur. Cela signifie que tous les employés et sous-traitants de Hootsuite sont tenus de fournir un justificatif d'authentification supplémentaire en plus de l'identifiant et du mot de passe, afin d'accéder à tout système utilisé dans le cadre de la fourniture des Services.

b. Hootsuite prend également en charge une fonctionnalité d'authentification multifacteur pour ses Clients et de leurs Utilisateurs autorisés en ce qui concerne leur utilisation des Services (en tant qu'outil leur permettant de maintenir la sécurité de leurs comptes).

6. Authentification unique

a. Hootsuite a mis en place l'authentification unique (SSO) à l'échelle de l'entreprise afin de garantir un contrôle d'accès renforcé et plus centralisé des systèmes utilisés par les employés et le personnel contractuel de Hootsuite.

b. Hootsuite prend également en charge la fonctionnalité SSO pour les clients Enterprise qui souhaitent garantir un contrôle d'accès renforcé et plus centralisé de leurs comptes.

7. Chiffrement des données

a. Toutes les Informations clients sont chiffrées au repos et en mouvement. Les Services prennent en charge les suites de chiffrement et les protocoles sécurisés les plus récents pour chiffrer l'ensemble du trafic en mouvement. À l'heure actuelle, Hootsuite prend en charge uniquement le protocole TLS 1.2 ou supérieur sur son site web et sur toutes les pages acceptant les informations relatives aux cartes bancaires.

b. Hootsuite suit de près l'évolution en matière de chiffrement et déploie des efforts commercialement raisonnables pour améliorer les Services afin de répondre aux nouvelles faiblesses de chiffrement au fur et à mesure qu'elles sont découvertes et de mettre en œuvre les bonnes pratiques au fur et à mesure de leur évolution.

8. Journalisation et détection des intrusions

a. Tous les systèmes utilisés pour fournir les Services, y compris les pare-feu, les routeurs, les commutateurs réseau et les systèmes d'exploitation, enregistrent les informations sur des serveurs de journaux sécurisés afin de permettre des examens et des analyses de sécurité.

b. Hootsuite gère un environnement de journalisation complet et centralisé dans son environnement de production qui contient des informations relatives à la sécurité, à la surveillance, à la disponibilité, à l'accès et à d'autres indicateurs concernant les Services. Les journaux sont analysés pour détecter les événements de sécurité via un logiciel de surveillance automatique supervisé par l'équipe de sécurité de Hootsuite.

c. Hootsuite surveille les Services pour détecter les intrusions non autorisées à l'aide de mécanismes de détection des intrusions basés sur le réseau et sur l'hôte et de pare-feu d'applications web. 

9. Protection du réseau. Outre la surveillance et la journalisation du système, Hootsuite a mis en place des pare-feu. Les ports qui ne sont pas utilisés pour la fourniture des Services sont bloqués par la configuration auprès de notre fournisseur de services de centre de données.

10. Gestion des hôtes. Hootsuite effectue des analyses automatisées des logiciels malveillants et des vulnérabilités sur ses charges de travail de production et déploie des efforts commercialement raisonnables pour remédier à toute découverte présentant un risque matériel pour l'environnement des Services. Hootsuite impose des analyses de logiciels malveillants, le verrouillage des écrans et l'utilisation du chiffrement complet des disques pour les ordinateurs portables de l'entreprise.

11. Reprise après sinistre

a. Lorsque votre utilisation des Services nécessite que les systèmes de Hootsuite stockent des Informations client, ces Informations client sont stockées de manière redondante à plusieurs endroits dans les centres de données du fournisseur d'hébergement Hootsuite afin de garantir sa disponibilité. Hootsuite dispose de procédures de sauvegarde et de restauration pour permettre la récupération après un sinistre majeur, le cas échéant.

b. Les Informations client et le code source de Hootsuite sont automatiquement sauvegardés tous les soirs. L'équipe des opérations de Hootsuite est alertée en cas de panne du système. Les sauvegardes sont entièrement testées pour confirmer que ces processus et outils fonctionnent comme prévu.

12. Sécurité physique. Hootsuite utilise actuellement Amazon Web Services (AWS) pour ses centres de données de production afin de fournir les Services. AWS a été sélectionné pour ses normes élevées en matière de sécurité physique et technologique, et possède des certifications et des accréditations reconnues au niveau international, qui prouvent sa conformité au regard de normes internationales rigoureuses, telles que les normes ISO 27017 pour la sécurité du cloud, ISO 27018 pour la confidentialité dans le cloud, SOC 1, SOC 2 et SOC 3, PCI DSS de niveau 1, entre autres. Pour plus d'informations sur la certification et la conformité d'Amazon Web Services, veuillez consulter le site de sécurité d'AWS (https://aws.amazon.com/security/) et le site internet de conformité d'AWS (https://aws.amazon.com/compliance/).

13. Politiques et procédures de sécurité. Hootsuite met en œuvre et gère des politiques et des procédures de sécurité conformes au cadre de cybersécurité du National Institute of Standards and Technology (NIST). En particulier, les Services sont gérés conformément aux politiques et procédures suivantes :

a. Les mots de passe des clients sont stockés à l'aide d'un hachage salé unidirectionnel.

b. Les journaux d'authentification des clients sont enregistrés afin de protéger les données des clients et de faciliter les enquêtes sur les incidents de sécurité.

c. Les mots de passe des clients ne sont pas enregistrés.

d. Le personnel de Hootsuite ne définira pas de mot de passe défini pour les utilisateurs. Les mots de passe sont réinitialisés à une valeur aléatoire (qui doit être modifiée lors de la première utilisation) et envoyés automatiquement par e-mail à l'utilisateur qui en fait la demande.

14. Pratiques de sécurité liées à la conception des produits. Les nouvelles fonctionnalités et modifications de conception font l'objet d'un processus de révision facilité par l'équipe de sécurité de Hootsuite. En outre, le code de Hootsuite est testé et révisé manuellement par des pairs avant d'être déployé en production. L'équipe de sécurité de Hootsuite travaille en étroite collaboration avec ses équipes produit et d'ingénierie pour résoudre tout problème de sécurité ou de confidentialité supplémentaire qui pourrait survenir au cours du développement.

15. Gestion et réponse en cas d'incidents. Hootsuite applique des politiques et des procédures robustes de gestion des incidents de sécurité pour la réponse aux incidents. Hootsuite informe sans délai les clients concernés de toute divulgation non autorisée de leurs Informations client par Hootsuite ou ses agents, dont Hootsuite a connaissance, dans la mesure autorisée par la loi.