Présentation de la responsabilité partagée avec Zoho

Zoho assume la responsabilité de construire des produits sûrs, fiables et solides. Tandis que nous gérons l'infrastructure de cloud, vous êtes responsable de la sécurité de vos données et des paramètres que vous configurez dans les applications Zoho.

Lorsque vous utilisez Zoho, nous partageons avec vous la responsabilité en matière de sécurité et confidentialité des données. Le modèle que voici décrit l'architecture de haut niveau de notre environnement cloud (à savoir « Software as a Service [SaaS] »), ainsi que les responsabilités qui y sont associées.

Mis à jour le 12 juillet 2020

Responsabilité du client

  •   Responsabilisation à l'égard des données
  •   Mots de passe
  •  Sécurité des clients et des points d'accès

Responsabilité partagée

  •   Identité et gestion de l'accès
  •   Gestion des données
  •   Gestion des données à d'autres parties
  •   Chiffrement
  •   Sauvegardes
  •   Gestion des incidents
  •   Sensibilisation et formation
  •   Politique et conformité

Responsabilité de Zoho

  •  Sécurité des données
  •  Disponibilité
  •   Continuité des activités
  •   Contrôles de réseau
  •   Infrastructure hôte
  •   Sécurité physique

Nous avons mis au point ce guide pour vous aider à comprendre les mesures prises par Zoho pour assurer la sécurité de votre compte, ce que vous pouvez faire pour sécuriser vos données et comment nous pouvons travailler ensemble en vue de garantir la sécurité de l'environnement cloud.

Responsabilité du client

Voyons votre part de responsabilité quant à la protection de vos données dans le cloud et à la sécurité de vos appareils.

Responsabilisation à l'égard des données

Vous êtes responsable des points suivants :

  • Les données que vous partagez et recevez sur le cloud. Vous décidez des personnes avec qui vous les partagez, des moyens de partage et pendant combien de temps.
  • Vous vous assurez de la confidentialité des données que vous gérez à l'aide des services Zoho, en veillant à ne pas mettre à disposition du public le moindre contenu privé, que ce soit accidentellement ou volontairement.
  • Vous veillez à l'exactitude des données que vous traitez dans votre système.
  • Afin que les services Zoho soient uniquement utilisés conformément à l'usage auxquels ils sont destinés, vous vous assurez que votre compte de service Zoho n'est utilisé ni par vous, ni par quiconque en votre nom, à des fins illégales ou de pollupostage.

Mots de passe

Il vous incombe de créer un mot de passe sécurisé et de le protéger lorsque vous l'utilisez pour vous connecter et accéder au cloud.

Sécurité des clients et des points d'accès

  • La compromission de l'un de vos points d'accès (ordinateur portable, ordinateur de bureau ou smartphone) rendra tous les autres contrôles inefficaces.
  • Étant responsable de la sécurité de vos points d'accès, vous devez veiller à ce que vos services de navigateur, votre système d'exploitation mobile et vos applications mobiles soient régulièrement mis à jour vers la dernière version et appliquer les correctifs nécessaires pour parer aux vulnérabilités.

Responsabilité partagée

Responsabilité du contrôle qui s'appliquera à vous comme à Zoho.

Gestion des identités et de l'accès

Nous fournissons une infrastructure pour la gestion des comptes utilisateur via le service de gestion des identités et de l'accès (IAM). Pour ce faire, nous facilitons les tâches suivantes :

  • Enregistrement des utilisateurs, options de désenregistrement et spécifications concernant leur utilisation.
  • Fonctionnalité de gestion des droits d'accès des utilisateurs de votre cloud.
  • Techniques d'authentification renforcées telles que l'authentification multifacteur et la restriction d'adresses IP.

Vous êtes responsable des points suivants :

  • Application de contrôles renforcés de gestion de l'accès utilisateur.
  • Configuration de mots de passe sécurisés conformément à la stratégie de l'organisation et protection de ces mots de passe.
  • Activation de l'authentification multifacteur pour les utilisateurs de votre organisation.
  • Administration des comptes et des privilèges d'utilisateur : configuration de rôles utilisateurs conformément aux principes du moindre privilège.
  • Définition du ou des administrateurs du compte de l'organisation et adoption d'un processus approprié pour les transferts de propriété. Adoption des mesures nécessaires pour vous assurer que votre organisation conserve le contrôle des comptes d'administrateur.
  • Vérification périodique de la liste des utilisateurs ayant accès aux données et suppression de l'accès pour toute personne qui ne devrait pas y avoir droit.
  • Examen fréquent des appareils liés aux comptes d'utilisateur de l'organisation et suppression des appareils inutilisés ou non autorisés.
  • Surveillance des comptes d'utilisateur de votre organisation pour détecter tout usage ou accès malveillant.
  • Notification à Zoho en cas d'utilisation non autorisée des comptes de votre organisation.
  • Sensibilisation de vos utilisateurs quant à la nécessité de gérer efficacement leur mot de passe, aux risques de réutilisation des identifiants, aux connexions sociales et aux attaques de phishing.

Gestion des données

Nous vous proposons une plateforme pour gérer vos données grâce aux fonctions suivantes :

  • Fonctionnalités de partage de données pour les contrôles aux niveaux administrateur et utilisateur.
  • Fonctionnalités d'audit concernant les données clients afin de garantir la transparence des activités importantes et d'effectuer le suivi des changements.
  • Interopérabilité des données : possibilité d'effectuer une sauvegarde complète des données et configurations pour migrer tout ou partie de vos données vers un autre fournisseur SaaS.
  • Conservation et destruction des données : nous conservons les données dans votre compte tant que vous choisissez d'utiliser Zoho Services. Lorsque vous résiliez votre compte utilisateur Zoho, vos données sont supprimées de la base de données active lors du prochain nettoyage, le nettoyage ayant lieu une fois tous les six mois. Les données supprimées de la base de données active sont supprimées des sauvegardes au bout de trois mois.
  • Fonctionnalités de limitation de l'accès pour empêcher les employés d'accéder aux données clients, sauf en cas de raison spécifique.

Vous êtes responsable des points suivants :

  • Faire preuve de diligence raisonnable lorsque vous traitez des informations appartenant à des catégories spéciales (par exemple, les données personnelles/sensibles) en appliquant les contrôles appropriés pour vous conformer aux exigences de la loi applicable.
  • Configuration appropriée des autorisations de partage et d'affichage.
  • Examen régulier des rapports d'audit pour identifier toute activité suspecte.
  • Maintenir à jour les informations de contact auprès de Zoho.
  • Retirer vos données du système une fois que vous avez cessé d'utiliser nos services. Dans le cas contraire, ces données feront l'objet d'une suppression permanente sans aucune possibilité de récupération.

Gestion des données à d'autres parties

Nous nous efforcerons de mettre en place des intégrations et extensions sécurisées pour nos applications, en procédant comme suit :

  • Applications Marketplace : réalisation de tests fonctionnels, de sécurité et de confidentialité lorsqu'une application nous est soumise. Nous passons également en revue les produits et le contenu.
  • Sous-processeurs : la société Zoho évalue les pratiques de sécurité et de confidentialité des sous-traitants indirects auxquels elle souhaite faire appel, de façon à garantir leur adéquation aux normes de Zoho en matière de confidentialité et de sécurité des informations. Nous établissons ensuite avec eux des accords de protection des données appropriés.
  • Nous étudions la politique de confidentialité et les conditions d'utilisation de service de nos fournisseurs, et nous nous assurons que leurs opérations les respectent.

Voici ce que nous attendons de vous :

  • Vous activez ou désactivez les intégrations tierces lorsque vous vous rendez compte des données partagées avec des environnements tiers. Vous étudiez la politique de confidentialité et les conditions d'utilisation de service tiers en matière de collecte, d'utilisation ou de divulgation des données.
  • Vous indiquez si vous préférez ou non partager vos coordonnées avec les fournisseurs à chaque fois qu'une extension est installée.
  • Vous évaluez la pertinence des applications Marketplace et déterminez si les autorisations demandées avant l'installation sont raisonnables.
  • Vous informez Zoho de tout comportement malveillant identifié dans les applications Marketplace.

Droits des titulaires des données

Nous sommes responsables des points suivants :

  • Fournir aux clients les fonctionnalités qui leur permettront de satisfaire et de protéger les droits de leurs clients.
  • Vous informer des demandes de vos clients lorsqu'ils nous contactent directement pour exercer leurs droits.

Vous êtes tenu :

  • d'honorer et de traiter les demandes des clients concernant l'accès aux données, la rectification ou suppression de ces dernières et les restrictions concernant le traitement de leurs informations personnelles.

Chiffrement

Nous protégeons vos données à l'aide du chiffrement en transit et au repos, en procédant comme suit :

  • Données en transit : les données clients transmises à nos serveurs sur les réseaux publics sont protégées grâce à de puissants protocoles de chiffrement. Nous exigeons que toute connexion à nos serveurs utilise le chiffrement Transport Layer Security (TLS 1.2/1.3) avec des chiffres forts. Cela est valable pour toutes les connexions, y compris l'accès Web, l'accès aux API, nos applications mobiles et l'accès IMAP/POP/SMTP.
  • Données au repos : les données clients sensibles sont chiffrées au repos à l'aide de l'algorithme AES (Advanced Encryption Standard) de 256 bits. Les données qui sont chiffrées au repos varient en fonction des services que vous choisissez. Nous possédons et gérons les clés à l'aide de notre service de gestion des clés (KMS) interne.

Nous vous suggérons de procéder ainsi :

  • Déterminez vos besoins en matière de chiffrement. Pour les données au repos, dans de nombreux cas, lorsque vous utilisez nos services, la responsabilité d'identifier les champs à chiffrer peut vous incomber.
  • Lorsque des données sont téléchargées ou exportées de notre cloud vers votre environnement ou lorsqu'elles sont synchronisées dans le cadre d'intégrations dans Zoho ou de toute autre intégration tierce, vous devez vous assurer que les contrôles de chiffrement appropriés sont appliqués. Par exemple, activez le chiffrement de disque sur vos appareils et utilisez la fonction d'exportation en veillant à activer la protection par mot de passe, etc.

Sauvegardes

Notre système fiable permet :

  • de gérer les sauvegardes au niveau système qui sont chiffrées à l'aide de l'algorithme AES de 256 bits et stockées en toute sécurité ; d'exécuter automatiquement des contrôles d'intégrité et de validation des sauvegardes complètes ;
  • d'autoriser les demandes de restauration des données et de fournir un accès sécurisé à celles-ci pendant la période de conservation ; de fournir aux clients une fonctionnalité leur permettant d'exporter et de sauvegarder leurs données.

De votre côté, vous pouvez :

  • planifier une sauvegarde de vos données, les exporter depuis leurs services Zoho respectifs et les stocker localement dans votre infrastructure, si nécessaire. Leur stockage sécurisé relève de votre responsabilité.

Gestion des incidents

De notre côté, nous veillons aux points suivants :

  • Nous signalons tous les incidents de violation dont nous avons connaissance et qui vous concernent, ainsi que des détails de l'impact et les actions appropriées Pour les incidents spécifiques à un utilisateur ou à une organisation, nous informerons la partie concernée en la notifiant via l'adresse e-mail enregistrée auprès de nos services.
  • Nous effectuons le suivi des incidents de ce type, et nous y mettons fin.
  • Nous appliquons des contrôles pour éviter la récurrence de situations similaires
  • Sur demande, nous fournirons des preuves supplémentaires au sujet de l'incident dans lequel vous êtes impliqué.

Voici ce que nous attendons de vous :

  • Vous prenez les mesures suggérées par Zoho en cas de violation.
  • Vous respectez vos exigences en matière de divulgation et de notification en cas de violation de données, par exemple en notifiant vos utilisateurs finaux et les autorités de protection des données, lorsque cela se révèle pertinent.
  • Vous nous signalez les incidents liés à la sécurité et la confidentialité dont vous avez connaissance à l'adresse suivante : incidents@zohocorp.com.

Sensibilisation et formation

Nous assumons l'entière responsabilité des points suivants :

  • Formation de nos employés afin de leur faire prendre conscience des enjeux de sécurité et leur faire comprendre comment adhérer à une norme de développement sécurisé. En plus de recevoir régulièrement des formations de sensibilisation à la sécurité par le biais d'e-mails d'information, de présentations et de ressources disponibles sur notre Intranet, les employés que nous venons d'embaucher participent à une formation obligatoire sur la sécurité et la confidentialité.
  • Formation de nos employés sur la gestion appropriée des données clients sur le service cloud.

Vous êtes responsable de la formation des utilisateurs du cloud à propos des points suivants :

  • Normes et procédures concernant l'utilisation de nos services.
  • Gestion des risques liés à nos services.
  • Risques pour le système général et l'environnement réseau.
  • Considérations juridiques et réglementaires applicables.

Politique et conformité

Nous respectons les directives suivantes :

  • Nous avons mis en place un programme complet dédié à la gestion des risques, et nous appliquons les contrôles avec efficacité.
  • Nous respectons la loi des différentes juridictions d'où nous opérons.
  • Nous fournissons des preuves de conformité avec les lois applicables, et répondons à nos engagements contractuels.
  • Nous apportons notre aide pour procéder aux évaluations DPIA de nos clients, dans la mesure où cela est autorisé par les lois applicables.

Voici ce que nous attendons de vous :

  • Vous évaluez les réglementations et les lois s'appliquant à votre cas, et vous vérifiez si nous respectons les réglementations et normes requises pour votre entreprise. Vous pouvez demander des informations supplémentaires pour avoir la preuve de notre conformité.
  • Vous comprenez nos stratégies, nos méthodes d'évaluation des stratégies et la façon dont nous traitons les données.
  • Vous procédez à des évaluations DPIA conformément aux lois sur la protection des données applicables à votre entreprise avant ou pendant le traitement des données.
  • Avant de traiter la moindre donnée personnelle/sensible, vous vous interrogez sur la base juridique de ce traitement. Si cette base juridique repose sur le consentement, vous vous assurez d'obtenir le consentement de vos clients.
  • Vous évaluez l'adéquation de nos services cloud d'après les informations que nous fournissons et vous vous assurez que ces dernières sont suffisantes pour répondre à vos besoins en matière de conformité.
  • Vous comprenez le profil de risque et le caractère sensible des données hébergées sur les services Zoho et vous appliquez les contrôles appropriés.

Responsabilité de Zoho

Nous sommes responsables de la protection du cloud et des contrôles associés qui exécutent tous les services Zoho.

Sécurité des données

  • Nous sommes responsables de l'isolation des données que vous stockez auprès de nos services. Les données de service de chaque client sont logiquement séparées des données d'autres clients à l'aide d'un ensemble de protocoles sécurisés dans la structure.
  • Nous sommes responsables de la confidentialité de vos données que vous stockez auprès de nos services au repos, en transmission et pendant le traitement.
  • Nous sommes responsables de l'intégrité de vos données et des données système comme les journaux ou les données de configuration.
  • Nous sommes responsables de la traçabilité et du contrôle de vos données. Ainsi, à tout moment, il est possible de connaître l'emplacement physique et la nature du traitement des données.

Disponibilité

  • Conformément à notre contrat de service, nous devons nous assurer que nos services soient disponibles 99,9 % du temps. Pour ce faire, nous gérons les pannes matérielles/logicielles et les menaces telles que les attaques par déni de service.
  • En tant que client, vous pouvez visiter status.zoho.com à tout moment pour consulter le statut actuel du site ou en savoir plus sur les perturbations passées.

Continuité des activités

  • Nous sommes tenus de nous assurer qu'un plan de continuité des activités soit mis en place pour nos principales opérations, telles que l'assistance et la gestion de l'infrastructure.
  • Nous veillerons à ce que les données d'application stockées dans un espace de stockage résilient soient répliquées dans tous les centres de données. Les données du centre de données principal sont répliquées en temps quasi réel dans le centre de donnée secondaire. En cas de sinistre, nous pouvons donc basculer sur ce centre de données secondaire.

Contrôles de réseau

Nous sommes responsables de l'exploitation d'un réseau de production sécurisé. Nous utilisons des pare-feu pour empêcher l'accès non autorisé à notre réseau et le trafic indésirable sur celui-ci. L'accès aux réseaux de production est strictement contrôlé.

Infrastructure hôte

Nous sommes responsables de la protection et de la sécurisation de l'infrastructure hôte. Tous les serveurs compris dans le réseau de production sont renforcés conformément aux normes. Des technologies de gestion des correctifs de système d'exploitation, de configuration de base et de détection d'intrusion au niveau de l'hôte sont adoptées pour que l'infrastructure reste sécurisée.

Sécurité physique

Nous devons nous assurer que notre infrastructure est protégée contre les accès physiques non autorisés, les intrusions et les sinistres.

Conclusion

Le modèle de responsabilité partagée en matière de sécurité dans le cloud fournit des informations claires à propos des attentes en matière de sécurité pour les utilisateurs et les fournisseurs de services dans le cloud. Cependant, comprendre ces attentes n'est qu'un début. Les utilisateurs doivent prendre les mesures nécessaires pour assumer leurs responsabilités en créant des stratégies et des procédures pour remplir leur part en matière de sécurité du cloud. Comme toujours, Zoho continuera à travailler dur pour assurer la sécurité de vos données et s'efforcer de mettre en place un environnement cloud sécurisé.

Pour toute question supplémentaire à ce sujet, n'hésitez pas à nous contacter à l'adresse security@zohocorp.com.