search button mobile

Normes et conformité

Nous prenons très au sérieux la sécurité des données de nos clients. Découvrez comment Sage s’engage à respecter les normes reconnues du secteur, ainsi que la conformité réglementaire. Tout cela participe à la protection de vos données et de vos logiciels.

Nous comprenons que la sécurité passe aussi par vous

À l’heure de la complexification galopante des technologies, notre maîtrise des exigences réglementaires, des certifications internationales et des normes est primordiale pour assurer la sécurité et la conformité de nos clients.

Gouvernance de la sécurité

Une bonne gouvernance est essentielle pour une sécurité efficace. Chez Sage, tout commence en haut de la hiérarchie avec notre PDG et notre conseil d’administration avant de gagner l’ensemble de notre entreprise. Nos méthodes sont validées par des organismes indépendants au cours d’audits et de certifications externes.

Évaluation des risques

Les risques informatiques sont un pilier stratégique pour Sage. Ils font l’objet d’une surveillance et de pratiques pour lesquelles rien n’est laissé au hasard. Nous évaluons régulièrement le risque de cybermenace afin de créer une hiérarchie des protocoles et des contrôles de sécurité.

Un modèle de sécurité partagée

Nous utilisons les fonctionnalités de sécurité mises à disposition par nos partenaires d’hébergement dans le Cloud, AWS et Microsoft Azure, et nous les consolidons avec nos propres outils et compétences. Nous faisons tous ces efforts pour réduire ceux de nos clients.

Sage s’engage en faveur des normes de sécurité

Notre spécificité ? Notre approche minutieuse de la conformité.

Stratégies de sécurité : Sage utilise la norme internationale ISO 27001 pour concevoir son système de gestion de la sécurité de l’information. Nous utilisons des normes et des stratégies comme ISO 27002, NIST et AICPA pour sélectionner et créer les contrôles et processus nécessaires pour atteindre nos objectifs en matière de cybersécurité.

Règles : Sage assure la conformité aux normes et règles de sécurité grâce à une gouvernance d’entreprise stricte. Cela signifie que nous disposons de procédures de routine pour évaluer, mettre à jour et intégrer dans notre organisation la sécurité de l’information, le développement sécurisé, l’utilisation conforme de nos systèmes internes, la protection des données personnelles et la gestion des données personnelles.

Aspects juridiques : Sage encourage la conformité légale en assurant une veille régulière des dispositions réglementaires et légales pour ne manquer aucune nouveauté ni amendement. Nous menons des audits de la conformité réglementaire et nous disposons d’un registre des activités de traitement tel que l’exige l’article 30 du RGPD.

RGPD et CCPA : Sage respecte le Règlement général relatif à la protection des données (RGPD), le California Consumer Privacy Act (CCPA) et toutes les autres réglementations pertinentes dans les juridictions où nous traitons des données.

ISO 27001 : la seule norme internationale à définir les exigences d’un système de management de la sécurité de l’information (SMSI) et à pouvoir servir de base à un audit. Il s’agit d’un ensemble de règles, procédures, processus et systèmes qui gère les risques de sécurité de l’information, comme les cyberattaques. Nous sommes certifiés ISO 27001 pour ce qui est du développement et de l’opération sécurisés de nos logiciels de comptabilité, de gestion financière, de RH et de gestion des entreprises basés dans le Cloud et offerts en tant que « software as a service » (SaaS) sur le Sage Business Cloud.

SOC 2 : un rapport sur les contrôles internes. Il porte sur les mesures prises par une entreprise pour protéger les données de ses clients et sur l’efficacité de ces contrôles internes. Chez Sage, nous élargissons sans cesse la portée de ces rapports pour y inclure toujours plus de produits et services.

Norme de sécurité de l'industrie des cartes de paiement (PCI DSS) : un ensemble de règles et procédures conçues pour optimiser la sécurité des transactions par carte de crédit, débit et retrait. Sage satisfait les exigences de niveau 1 de la norme PCI DSS et assure ainsi la protection des détenteurs de carte contre le détournement de leurs données personnelles.

Health Insurance Portability and Accountability Act (HIPAA) : cette loi définit un niveau de protection des données sensibles des patients. Sage Intacct est certifié pour satisfaire les exigences de l’HIPAA.

Assurance des contrôles : nous entretenons un programme complet d’assurance des contrôles de la sécurité. Il vise à garantir que nos produits respectent nos normes de sécurité et que cette conformité est évaluée régulièrement afin que nous puissions juger l’efficacité de nos contrôles de sécurité.

Gestion du changement : les mises à jour, les correctifs ou les nouvelles versions des logiciels sont soumis à des procédures de gestion du changement ou de publication, ainsi qu’à des normes strictes.

Contrôle de l’accès : nos procédures reposent sur le « droit d’accès minimal ». Ce principe régit les autorisations d’accès, l’administration des accès privilégiés aux données et aux systèmes ou encore les prérequis et les accords contractuels avec nos fournisseurs.

Cryptographie : nous transposons nos exigences de chiffrement dans des règles et des normes contraignantes. Nous définissons des algorithmes et des schémas de cryptographie et nous validons leur intégration dans les produits et solutions Sage.

Riposte aux incidents, continuité de l’activité et reprise après sinistre : nous testons et mettons régulièrement en pratique nos règles et nos procédures de riposte aux incidents et de continuité de l’activité, ainsi que nos processus de sauvegarde et de récupération des données. Nous élaborons différents scénarios pour nous assurer d’être en mesure d’apporter une réaction efficace à n’importe quel incident.

La sécurité chez nos partenaires et fournisseurs

Nous veillons à ce que nos partenariats reposent sur la confiance et des normes de sécurité strictes.

  • Évaluation du niveau de sécurité : Sage dispose d’un programme complet d’assurance de la chaîne d’approvisionnement afin de garantir que les données ou les services critiques sont protégés sans interruption.
  • Gestion des partenaires : avant d’intégrer des services ou des composants externes, nous effectuons un contrôle complet de la sécurité pour identifier tout problème et y remédier en amont.
  • Accords contractuels et audits : nous pouvons demander à nos fournisseurs de faire évaluer tous les ans leur sécurité. Nous collaborons ici avec plusieurs services externes qui utilisent des technologies de l’IA pour assurer un suivi régulier de nos partenaires et prendre des mesures adaptées pour remédier à tout changement dans leur sécurité.

Garantir la sécurité des données

Vos données sont notre ressource la plus précieuse et nous nous engageons à les protéger.

  • Mesures de sécurité des données : le trafic entrant et sortant des applications et sites Internet de Sage est crypté à l’aide de la version la plus récente du protocole international Transport Layer Security (TLS). Le TLS garantit la confidentialité, l’intégrité et la disponibilité des données sensibles tout au long de leur parcours sur Internet.
  • Contrôles de l’accès : nous appliquons sans exception le principe de droit d’accès minimal. Ainsi, les données ne sont accessibles qu’aux utilisateurs qui en ont vraiment besoin. Nous documentons et évaluons régulièrement les processus et les contrôles afférents.
  • Hébergement dans le Cloud : nous faisons équipe avec des prestataires de service incontournables du Cloud. Nous pouvons ainsi proposer plusieurs couches de contrôles de sécurité et garantir que vos données sont non seulement accessibles, mais aussi protégées.

Des ressources pour aller plus loin

Notre engagement en faveur de la cybersécurité est inconditionnel. Informez-vous sur ce thème avec nos pages dédiées aux activités de surveillance et du développement sécurisé.

Surveillance et opérations

Découvrez l'étendue de notre stratégie opérationnelle et de surveillance 24/7 qui vise à garantir le meilleur niveau de sécurité et de fiabilité de vos données et systèmes.

Développement sécurisé

Découvrez notre approche du développement de logiciels où chaque ligne de code intègre des éléments de sécurité dès sa création.

Commentaires