Nous utilisons des cookies pour améliorer votre expérience sur ce site et vous proposer des offres personnalisées. Vous pouvez revenir sur ces préférences à tout moment. En cliquant sur "Accepter tout et fermer", vous consentez à l'utilisation de tous les cookies. En cliquant sur "Accepter la sélection", vous acceptez uniquement les catégories sélectionnées ci-dessous. Plus d'informations dans notre politique d'utilisation des cookies.
Cookies essentiels
Ils vous permettent de vous déplacer avec fluidité sur le site. Ils ne stockent pas d'informations personnelles identifiables et permettent des fonctionnalités telles que l'accès à des zones sécurisées du site ou la mémorisation du contenu de votre panier. Ils sont obligatoires pour le fonctionnement de withings.com.
Cookies analytiques
Ils nous permettent de recueillir des informations sur la façon dont les visiteurs utilisent notre site web. Par exemple, nous pouvons voir le nombre total de visites, ou les pages que les visiteurs consultent le plus souvent. Nous utilisons ces informations pour nous assurer que nos utilisateurs trouvent les informations qu'ils recherchent, pour mieux surveiller les indicateurs de performance du site et pour résoudre les bugs potentiels.
Cookies des réseaux sociaux
Ces cookies sont utilisés par les services de réseaux sociaux pour suivre l'utilisation de leurs fonctionnalités intégrées. Par exemple, ces cookies vous permettent de partager des pages de ce site sur vos réseaux sociaux ou de regarder les vidéos YouTube de withings.com.
Cookies marketing
Ces cookies peuvent être placés sur notre site par nos partenaires publicitaires. Ils identifient le navigateur et l'appareil que vous utilisez pour naviguer sur Internet. Ils peuvent être utilisés pour fournir des données démographiques anonymes, établir un profil de vos intérêts et vous proposer des publicités pertinentes en fonction de ceux-ci.
La protection de vos données revêt une importance capitale pour nous, et nous en assurons la sûreté et la sécurité à chaque étape du processus.
Sommaire
Le Plan d'Assurance Sécurité de Withings concerne exclusivement les activités de Withings avec les professionnels. Veuillez vous référer à notre politique de confidentialité pour en savoir plus sur les mesures de sécurité mises en place pour les données individuelles des utilisateurs grand public.
Withings s'engage à maintenir un environnement sécurisé vous permettant d’utiliser nos produits et services. Nous protégeons vos données personnelles, grâce à notre conformité à de multiples normes (ISO 27001:2017 et HDS)
Normes et certifications
Pour prendre en compte la confidentialité des données dans nos produits et services, nous nous efforçons de respecter les normes les plus strictes en matière de protection des données.
Certifications
HDS
Hébergement de données de santé - version 1.1 finale - mai 2018 pour les activités 1 à 3 selon le référentiel de certification fourni par l'ASIP Santé.
Comprend tous les systèmes, personnes et processus impliqués dans la conception, le développement, les opérations, la validation et le support des applications et services hébergés sur le Withings Medical Clouds incluant le traitement et la divulgation de données personnelles sur la santé.
Le référentiel de certification comprend : NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, ainsi que des dispositions supplémentaires.
Withings assure la prestation d'hébergeur infogéreur conforme aux exigences des normes ISO 27001:2017
Comprend tous les systèmes, personnes et processus impliqués dans la conception, le développement, les opérations, la validation et le support des applications et services hébergés sur le Withings Medical Clouds incluant le traitement et la divulgation de données personnelles sur la santé.
Règlement Général sur la Protection des Données (RGPD, GDPR) - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
HIPAA
Health Insurance Portability and Accountability Act of 1996. Norme régissant l’hébergement de données de santé à caractère personnel.
Comprend tous les systèmes, personnes et processus impliqués dans la conception, le développement, les opérations, la validation et le support des applications et services hébergés sur le Withings Medical Clouds incluant le traitement et la divulgation de données personnelles sur la santé.
Nous assurons, maintenons et gérons la protection des données dans nos applications, produits, et services à tous les stades de leur cycle de vie.
Développement sécurisé
Contrôles de sécurité des frameworks
Withings s'appuie sur des techniques modernes de contrôle de la sécurité pour limiter l'exposition aux 10 principaux risques de sécurité OWASP. Ces contrôles inhérents réduisent notre exposition à l’injection SQL (SQLi), au Cross Site Scripting (XSS) et au Cross Site Request Forgery (CSRF), entre autres.
Organisation Agile, revue de code et test
L’ensemble des activités de développement est organisé en utilisant la méthode AGILE avec la mise en place de sprints et la priorisation des tâches avec l’équipe des Product Manager. Tous les sprints sont archivés. Les développeurs effectuent des tests unitaires, des tests d’intégration fonctionnelle et des tests de sécurité. Les fonctionnalités sont revues par l’équipe Security et évaluées par des examens effectués par des pairs avant le déploiement.
Assurance Qualité (Software Quality Assurance)
Le département Software Quality Assurance teste l’ensemble des services et applications avant la mise en production (tests manuels et automatiques).
Séparations des environnements et données de tests
Les environnements de développement et de test sont logiquement séparés de l'environnement de production. Aucune donnée personnelle de production n'est utilisée dans nos environnements de développement ou de test.
Gestion des vulnérabilités
Audit de code
Withings utilise des outils de sécurité tiers pour analyser l’ensemble du code avant la mise en production, et se protéger contre les principaux risques de sécurité. Les vulnérabilités pouvant causer des failles de sécurité sont obligatoirement corrigées et/ou planifiées dans un cycle d’amélioration continue.
Test automatique de code
Le code est automatiquement testé avec des scénarios de tests prédéfinis afin d’assurer que les changements n’entraînent aucune perte ou dégradation du niveau de sécurité. Les tests sont faits sur des machines virtuelles à durée de vie limitée et sont totalement séparés de la production.
Tests de pénétration tiers
En complément de la gestion des vulnérabilités comprenant analyse et test, Withings emploie des experts en sécurité tiers pour effectuer des tests de pénétration sur différentes applications de notre gamme de produits. De plus, Withings a ouvert des programmes de prime aux bugs (bug bounty) avec un partenaire, afin de permettre aux hackers éthiques de tester en continu nos systèmes et de signaler les vulnérabilités.
Sécurité d’authentification
Politique de mot de passe
Withings impose l’utilisation d’un mot de passe fort, et conforme aux recommandations internationales en termes de robustesse. Cette politique s’applique à l’ensemble des utilisateurs de l’application Health Mate.
Authentification à double facteurs
Vous pouvez activer l'authentification à double facteur afin de renforcer la sécurité de votre compte.
Affichage des données d’authentification
Withings n’affiche jamais des données d’authentification en clair dans ses applications ou services.
API - authentification des applications partenaires
L’API de Withings utilise la méthode OAuth 2.0 pour authentifier les applications partenaires. Chaque application possède un ID client unique et robuste, ainsi qu’un secret. Les données de connexion sont ensuite sécurisées par des jetons qui expirent, que le client doit régénérer auprès de Withings.
Contrôles d'accès basés sur les rôles
La majorité des applications et services Withings sont soumis à des contrôles d’accès basés sur des rôles à privilèges prédéfinis. Cela permet de contrôler l'utilisation et l'accès aux données.
Sécurisation des données en transit
Toutes les communications sur le réseau public sont chiffrées avec les normes industrielles HTTPS/TLS (TLS 1.2 ou supérieur).
Gestion des changements
Catégorisation des changements
Withings a défini des catégories de changements permettant un suivi adapté à la typologie du changement. Ceci permet une forte réactivité, tout en garantissant que les implications sont correctement évaluées.
Procédure des changements
Withings a défini une procédure de gestion de changement en fonction de leur catégorie, pouvant notamment comprendre : une demande de modification, la nomination d’un comité de changement, une analyse de risque liée à la sécurité, une planification, une implémentation du changement ou encore une modification du plan de continuité ou de reprise.
Protection des infrastructures
Parce que la protection des données est une façon de prendre soin de nos utilisateurs, nous faisons appel aux meilleures solutions de sécurité pour protéger vos données.
Sécurité des centres de données physiques
Installations physiques
Pour les activités B2C et B2B en Europe, Withings héberge ses serveurs grâce à BSO dans des centres de données situés en France. Afin de garantir un fonctionnement 24h/24 et 7j/7 et une disponibilité constante des services, les centres de données de BSO sont équipés de systèmes d'alimentation redondants et sont soumis à des contrôles environnementaux.
Pour les activités B2B aux États-Unis, Withings héberge ses serveurs grâce à GCP dans des centres de données situés aux États-Unis. Pour garantir un fonctionnement 24 h/24 et 7 j/7, et une disponibilité constante des services, les centres de données de Google sont équipés de systèmes d'alimentation redondants et sont soumis à des contrôles environnementaux.
Sécurité sur site
Les centres de données BSO et GCP sont conçus selon un modèle de sécurité multicouche comprenant les dispositifs suivants : cartes d'accès électroniques conçues sur mesure, alarmes, barrières pour contrôler l'accès des véhicules, clôtures de sécurité, détecteurs de métaux et technologies biométriques. Chaque centre de données est également doté d'un système de détection des intrusions à faisceau laser. Les centres de données sont surveillés 24h/24, 7j/7 à l'aide de caméras haute résolution intérieures et extérieures, capables de détecter et de suivre les intrus.
Lieu d'hébergement des données
Sur demande, le client peut demander à régionaliser le traitement de ses données. Cet accord doit être ajouté au contrat et peut être ajouté à la proposition commerciale. Withings s’engage à respecter le choix du client et à informer son client si un ou plusieurs services ne sont pas régionalisables.
Sécurité des réseaux
Protection
Le réseau Withings est protégé par plusieurs services de sécurité (DMZ, liste de contrôle d'accès, pare-feu, anti-malware, TLS, VPN IPSec...)
Architecture
Notre architecture de sécurité réseau se compose de plusieurs couches de sécurité, chacune étant répliquée dans plusieurs zones de disponibilité. Des zones démilitarisées (DMZ) sont utilisées pour les zones exposées au réseau public. Chaque couche est protégée par des pare-feux.
Analyse de la vulnérabilité d’infrastructure
L'analyse de la sécurité de l’infrastructure via des analyses automatiques donne des informations approfondies pour une identification rapide des systèmes non conformes ou potentiellement vulnérables.
Accès logiques
L'accès à l’environnement de production est strictement limité aux administrateurs système. Tous les accès sont contrôlés et enregistrés dans des journaux protégés. Ceux-ci sont automatiquement analysés, puis audités par un ingénieur sécurité indépendant des administrateurs système. Les administrateurs système accédant à la plateforme de production doivent utiliser plusieurs facteurs robustes d'authentification personnelle.
Sauvegardes
Withings a mis en place une politique de sauvegarde sur l’ensemble des systèmes et environnements de production, incluant les bases de données, les répertoires GIT, les disques des machines virtuelles et des serveurs de partage de documents. Les sauvegardes sont régulièrement exécutées et testées en fonction de leur niveau de criticité. Les sauvegardes sont ensuite chiffrées avant leur transfert vers le lieu de stockage sécurisé. Seuls les administrateurs système ont accès aux sauvegardes.
Journaux d'événements
Withings a mis en place une politique de journalisation d’événements avec des journaux d'administration système qui ne peuvent être désactivés. Les activités sur l'ensemble des systèmes et applications Withings sont également journalisées. Les journaux sont ensuite analysés par des algorithmes automatiques afin de détecter toute activité suspicieuse ou malveillante.
Gestion des incidents de sécurité
Un système d’alerte continu permet de surveiller en permanence les incidents de sécurité et leur résolution par les administrateurs système dans les meilleurs délais. Les employés sont formés sur les processus de réponse aux incidents de sécurité, y compris dans la gestion des canaux de communication et des chemins d'escalade.
Chiffrement
Chiffrement de l’information stockée
Withings utilise un cryptage de disque de bas niveau. Le cryptage a une robustesse d'au moins AES-256 ou équivalent.
Chiffrement des bases de données
L’information dans les bases de données est chiffrée conformément à sa classification dans le registre des données.
Chiffrement des communications
Sur les réseaux publics, toutes les communications avec les interfaces utilisateur et API Withings sont chiffrées via le standard HTTPS / TLS (TLS 1.2 ou supérieur) avec des certificats signés avec des hash sha256. Cela garantit que tout le trafic entre le client et Withings soit sécurisé pendant le transit.
Connexions SSH
Withings garantit des connexions SSH utilisant uniquement SSH v2 et des Ciphers de cryptage reconnus par l'industrie.
Connexions VPN
Withings garantit des connexions VPN utilisant uniquement des Ciphers de chiffrement robustes et reconnus par l’industrie.
Sauvegardes
Toutes les sauvegardes sont chiffrées, au moins une fois, avant d'être transmises à une zone de stockage distante. Lorsque cela est possible, elles sont également chiffrées par la solution de stockage elle-même.
Plan de disponibilité et continuité
Information sur la disponibilité
Withings met à disposition unepage Web d'état du systèmeaccessible publiquement, qui comprend les détails de disponibilité du système, la maintenance planifiée, l'historique des incidents de service et les événements de sécurité pertinents.
Redondances
L’ensemble de l’infrastructure physique et cloud est redondant afin de minimiser les risques de pertes de disponibilités et les risques de pertes de données. En particulier, les bases de données sont configurées avec une réplication quasi-instantanés, afin de garantir, qu’en conditions opérationnelles normales, la perte complète du nœud principal recevant les écritures n'entraîne pas de perte de données de plus de quelques secondes.
Perte de données maximale admissible
La politique de sauvegarde informatique de Withings assure une sauvegarde quotidienne des bases de données de production.
Plan de reprise après un sinistre
Le plan de reprise après sinistre de Withings garantit que la plateforme de production peut être entièrement recréée en cas de dysfonctionnement total de l'environnement de production. Tous les codes, configurations et bases de données sont stockés dans des endroits sécurisés et sont indépendants de l'environnement de production. La restauration de la plateforme complète est régulièrement effectuée à des fins de test.
Sécurité des ressources humaines
Le personnel restreint qui traite les données du Cloud Withings est soumis à une vérification régulière et à une formation continue sur la manière de réduire les risques liés au traitement des données à caractère personnel.
Gestion des employés
Vérification des antécédents et des compétences
Withings vérifie les antécédents de tous les nouveaux employés conformément aux lois locales. Ces vérifications sont également effectuées pour les prestataires. La vérification des antécédents peut comprendre la vérification de compétences techniques et générales, des précédents emplois, et des antécédents judiciaires si besoin.
Accord de confidentialité
Tous les employés doivent signer des accords de non-divulgation et de confidentialité. Cet accord de confidentialité reste valable après la fin du contrat de travail.
Définition des rôles et responsabilités
Withings s'assure que tous les rôles et responsabilités sont bien définis et compris par les personnes auxquelles ils sont attribués.
Procédure disciplinaire
Withings a mis en place des procédures disciplinaires en cas de manquement aux responsabilités confiées basées sur une échelle de sanctions définie dans le règlement intérieur.
Sensibilisation à la sécurité
Politiques de sécurité
Withings a développé un ensemble complet de politiques de sécurité couvrant un large éventail de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et sous-traitants ayant accès aux systèmes d’informations de Withings.
Sensibilisation à la sécurité de l’information
Tous les employés suivent une sensibilisation à la sécurité incluse dans la procédure d'embauche et revue annuellement par la suite. Les règles de base et les bonnes pratiques sont également rappelées régulièrement dans les locaux de Withings.
Formation sécurité
Tous les développeurs sont sensibilisés aux 10 principaux risques de sécurité OWASP grâce à des formations et des guides de bonnes pratiques. Des formations dispensées par des experts externes sont également organisées afin d’assurer la connaissance approfondie et la diffusion du code sécurisé. L'équipe de sécurité fournit également des mises à jour supplémentaires sur la sensibilisation à la sécurité par email, articles de blog et présentations lors d'événements internes.
Amélioration continue
En tant qu'entreprise innovante dans le secteur de la technologie, nous nous assurons d’avoir toujours une longueur d'avance sur les normes actuelles de protection des données. Cela est soutenu par des audits internes et externes réguliers.
Audits internes
Plan d’audit interne
L’ensemble des processus sont audités par des équipes d’audit internes ou par des prestataires externes.
Revue de direction
Les examens de la direction garantissent que la direction examine systématiquement le SMSI, évalue les possibilités d'amélioration et décide des mesures nécessaires pour garantir la pertinence, l'adéquation et l'efficacité du SMSI.
Audits externes
Audits techniques
En complément de la gestion des vulnérabilités comprenant analyse et test, Withings emploie des experts en sécurité tiers pour effectuer des tests de pénétration détaillés sur différentes applications de notre gamme de produits. Les audits techniques externes sont intégrés au plan d'audit annuel de Withings.
Audit de certification de conformité
Withings s’est engagé dans un processus de certification avec un organisme agréé afin de garantir la conformité de son SMSI au regard des normes internationales reconnues par l’industrie. Le bon fonctionnement du SMSI est donc évalué annuellement par un tiers de confiance indépendant.
