La protection des données personnelles revêt une importance capitale pour nous, et nous en assurons la sûreté et la sécurité à chaque étape du processus.

Sécurité des données

Withings s'engage à maintenir un environnement sécurisé vous permettant d’utiliser nos produits et services. Nous protégeons les données personnelles, grâce à notre conformité à de multiples normes (ISO 27001:2022, ISO 27701:2019 et HDS).

Normes et certifications

Pour prendre en compte la confidentialité des données dans nos produits et services, nous nous efforçons de respecter les normes les plus strictes en matière de protection des données.

Certifications

HDS

HDS Certification

Hébergement de données de santé - version 1.1 finale - mai 2018 pour les activités 1 à 6 selon le référentiel de certification fourni par l'ASIP Santé.

Comprend tous les systèmes, personnes et processus impliqués dans la conception, le développement, les opérations, la validation et le support des applications et services hébergés par Withings incluant le traitement et la divulgation de données personnelles sur la santé.

Le référentiel de certification comprend : NF ISO/IEC 27001:2017, ISO/IEC 27018:2014, NF ISO/IEC 20000-1:2011, ainsi que des dispositions supplémentaires.

Télécharger

ISO 27001:2022

ISO_27001

Withings assure la prestation d'hébergeur infogéreur conforme aux exigences des normes ISO 27001:2022

Comprend tous les systèmes, personnes et processus impliqués dans la conception, le développement, les opérations, la validation et le support des applications et services hébergés par Withings incluant le traitement de données personnelles sur la santé.

Télécharger

ISO 27701:2019

ISO_27701

Démontre la capacité de Withings à respecter et appliquer les standards encadrant la protection des données à caractère personnel (comme par exemple le RGPD). Pour ce faire, les procédés et politiques internes mis en place sont régulièrement audités pour s’assurer que la protection des données est prise en compte à chaque étape des activités de Withings, qu’elles soient internes ou externes.

Télécharger

Normes

RGPD

RGPD

Règlement Général sur la Protection des Données (RGPD, GDPR) - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

HIPAA

HIPAA

Health Insurance Portability and Accountability Act of 1996. Norme régissant l’hébergement de données de santé à caractère personnel.

Comprend tous les systèmes, personnes et processus impliqués dans la conception, le développement, les opérations, la validation et le support des applications et services hébergés sur le Withings Medical Clouds incluant le traitement et la divulgation de données personnelles sur la santé.

Télécharger

Sécurité des services et des applications

Nous assurons, maintenons et gérons la protection des données dans nos applications, produits, et services à tous les stades de leur cycle de vie.

Développement sécurisé

Contrôles de sécurité des frameworks

Withings s'appuie sur des techniques modernes de contrôle de la sécurité pour limiter l'exposition aux 10 principaux risques de sécurité OWASP. Ces contrôles inhérents réduisent notre exposition à l’injection SQL (SQLi), au Cross Site Scripting (XSS) et au Cross Site Request Forgery (CSRF), entre autres.

Organisation Agile, revue de code et test

L’ensemble des activités de développement est organisé en utilisant la méthode AGILE avec la mise en place de sprints et la priorisation des tâches avec l’équipe des Product Manager. Tous les sprints sont archivés. Les développeurs effectuent des tests unitaires, des tests d’intégration fonctionnelle et des tests de sécurité. Les fonctionnalités sont revues par l’équipe Security et évaluées par des examens effectués par des pairs avant le déploiement.

Assurance Qualité (Software Quality Assurance)

Le département Software Quality Assurance teste l’ensemble des services et applications avant la mise en production (tests manuels et automatiques).

Séparations des environnements et données de tests

Les environnements de développement et de test sont logiquement séparés de l'environnement de production. Aucune donnée personnelle de production n'est utilisée dans nos environnements de développement ou de test.

Gestion des vulnérabilités

Audit de code

Withings utilise des outils de sécurité tiers pour analyser l’ensemble du code avant la mise en production, et se protéger contre les principaux risques de sécurité. Les vulnérabilités pouvant causer des failles de sécurité sont obligatoirement corrigées et/ou planifiées dans un cycle d’amélioration continue.

Test automatique de code

Le code est automatiquement testé avec des scénarios de tests prédéfinis afin d’assurer que les changements n’entraînent aucune perte ou dégradation du niveau de sécurité. Les tests sont faits sur des machines virtuelles à durée de vie limitée et sont totalement séparés de la production.

Tests de pénétration tiers

En complément de la gestion des vulnérabilités comprenant analyse et test, Withings emploie des experts en sécurité tiers pour effectuer des tests de pénétration sur différentes applications de notre gamme de produits. De plus, Withings a ouvert des programmes de prime aux bugs (bug bounty) avec un partenaire, afin de permettre aux hackers éthiques de tester en continu nos systèmes et de signaler les vulnérabilités.

Sécurité d’authentification

Politique de mot de passe

Withings impose l’utilisation d’un mot de passe fort, et conforme aux recommandations internationales en termes de robustesse. Cette politique s’applique à l’ensemble des utilisateurs de l’application Withings.

Authentification à double facteurs

Vous pouvez activer l'authentification à double facteur afin de renforcer la sécurité de votre compte (iOS/Android)

Affichage des données d’authentification

Withings n’affiche jamais des données d’authentification en clair dans ses applications ou services.

API - authentification des applications partenaires

L’API de Withings utilise la méthode OAuth 2.0 pour authentifier les applications partenaires. Chaque application possède un ID client unique et robuste, ainsi qu’un secret. Les données de connexion sont ensuite sécurisées par des jetons qui expirent, que le client doit régénérer auprès de Withings.

Contrôles d'accès basés sur les rôles

La majorité des applications et services Withings sont soumis à des contrôles d’accès basés sur des rôles à privilèges prédéfinis. Cela permet de contrôler l'utilisation et l'accès aux données.

Sécurisation des données en transit

Toutes les communications sur le réseau public sont chiffrées avec les normes industrielles HTTPS/TLS (TLS 1.2 ou supérieur).

Gestion des changements

Catégorisation des changements

Withings a défini des catégories de changements permettant un suivi adapté à la typologie du changement. Ceci permet une forte réactivité, tout en garantissant que les implications sont correctement évaluées.

Procédure des changements

Withings a défini une procédure de gestion de changement en fonction de leur catégorie, pouvant notamment comprendre : une demande de modification, la nomination d’un comité de changement, une analyse de risque liée à la sécurité, une planification, une implémentation du changement ou encore une modification du plan de continuité ou de reprise.

Protection des infrastructures

Parce que la protection des données est une façon de prendre soin de nos utilisateurs, nous faisons appel aux meilleures solutions de sécurité pour protéger les données personnelles.

Sécurité des centres de données physiques

Installations physiques

Pour les activités B2C et B2B en Europe, Withings héberge ses serveurs grâce à BSO dans des centres de données situés en France. Afin de garantir un fonctionnement 24h/24 et 7j/7 et une disponibilité constante des services, les centres de données de BSO sont équipés de systèmes d'alimentation redondants et sont soumis à des contrôles environnementaux.

Pour les activités B2B aux États-Unis, Withings héberge ses serveurs grâce à GCP dans des centres de données situés aux États-Unis. Pour garantir un fonctionnement 24 h/24 et 7 j/7, et une disponibilité constante des services, les centres de données de Google sont équipés de systèmes d'alimentation redondants et sont soumis à des contrôles environnementaux.

Sécurité sur site

Les centres de données BSO et GCP sont conçus selon un modèle de sécurité multicouche comprenant les dispositifs suivants : cartes d'accès électroniques conçues sur mesure, alarmes, barrières pour contrôler l'accès des véhicules, clôtures de sécurité, détecteurs de métaux et technologies biométriques. Chaque centre de données est également doté d'un système de détection des intrusions à faisceau laser. Les centres de données sont surveillés 24h/24, 7j/7 à l'aide de caméras haute résolution intérieures et extérieures, capables de détecter et de suivre les intrus.

Lieu d'hébergement des données

Sur demande, le client peut demander à régionaliser le traitement de ses données. Cet accord doit être ajouté au contrat et peut être ajouté à la proposition commerciale. Withings s’engage à respecter le choix du client et à informer son client si un ou plusieurs services ne sont pas régionalisables.

Sécurité des réseaux

Protection

Le réseau Withings est protégé par plusieurs services de sécurité (DMZ, liste de contrôle d'accès, pare-feu, anti-malware, TLS, VPN IPSec...)

Architecture

Notre architecture de sécurité réseau se compose de plusieurs couches de sécurité, chacune étant répliquée dans plusieurs zones de disponibilité. Des zones démilitarisées (DMZ) sont utilisées pour les zones exposées au réseau public. Chaque couche est protégée par des pare-feux.

Analyse de la vulnérabilité d’infrastructure

L'analyse de la sécurité de l’infrastructure via des analyses automatiques donne des informations approfondies pour une identification rapide des systèmes non conformes ou potentiellement vulnérables.

Accès logiques

L'accès à l’environnement de production est strictement limité aux administrateurs système. Tous les accès sont contrôlés et enregistrés dans des journaux protégés. Ceux-ci sont automatiquement analysés, puis audités par un ingénieur sécurité indépendant des administrateurs système. Les administrateurs système accédant à la plateforme de production doivent utiliser plusieurs facteurs robustes d'authentification personnelle.

Sauvegardes

Withings a mis en place une politique de sauvegarde sur l’ensemble des systèmes et environnements de production, incluant les bases de données, les répertoires GIT, les disques des machines virtuelles et des serveurs de partage de documents. Les sauvegardes sont régulièrement exécutées et testées en fonction de leur niveau de criticité. Les sauvegardes sont ensuite chiffrées avant leur transfert vers le lieu de stockage sécurisé. Seuls les administrateurs système ont accès aux sauvegardes.

Journaux d'événements

Withings a mis en place une politique de journalisation d’événements avec des journaux d'administration système qui ne peuvent être désactivés. Les activités sur l'ensemble des systèmes et applications Withings sont également journalisées. Les journaux sont ensuite analysés par des algorithmes automatiques afin de détecter toute activité suspicieuse ou malveillante.

Gestion des incidents de sécurité

Un système d’alerte continu permet de surveiller en permanence les incidents de sécurité et leur résolution par les administrateurs système dans les meilleurs délais. Les employés sont formés sur les processus de réponse aux incidents de sécurité, y compris dans la gestion des canaux de communication et des chemins d'escalade.

Chiffrement

Chiffrement de l’information stockée

Withings utilise un cryptage de disque de bas niveau. Le cryptage a une robustesse d'au moins AES-256 ou équivalent.

Chiffrement des bases de données

L’information dans les bases de données est chiffrée conformément à sa classification dans le registre des données.

Chiffrement des communications

Sur les réseaux publics, toutes les communications avec les interfaces utilisateur et API Withings sont chiffrées via le standard HTTPS / TLS (TLS 1.2 ou supérieur) avec des certificats signés avec des hash sha256. Cela garantit que tout le trafic entre le client et Withings soit sécurisé pendant le transit.

Connexions SSH

Withings garantit des connexions SSH utilisant uniquement SSH v2 et des Ciphers de cryptage reconnus par l'industrie.

Connexions VPN

Withings garantit des connexions VPN utilisant uniquement des Ciphers de chiffrement robustes et reconnus par l’industrie.

Sauvegardes

Toutes les sauvegardes sont chiffrées, au moins une fois, avant d'être transmises à une zone de stockage distante. Lorsque cela est possible, elles sont également chiffrées par la solution de stockage elle-même.

Plan de disponibilité et continuité

Information sur la disponibilité

Withings met à disposition une page Web d'état du système accessible publiquement, qui comprend les détails de disponibilité du système, la maintenance planifiée, l'historique des incidents de service et les événements de sécurité pertinents.

Redondances

L’ensemble de l’infrastructure physique et cloud est redondant afin de minimiser les risques de pertes de disponibilités et les risques de pertes de données. En particulier, les bases de données sont configurées avec une réplication quasi-instantanés, afin de garantir, qu’en conditions opérationnelles normales, la perte complète du nœud principal recevant les écritures n'entraîne pas de perte de données de plus de quelques secondes.

Perte de données maximale admissible

La politique de sauvegarde informatique de Withings assure une sauvegarde quotidienne des bases de données de production. 

Plan de reprise après un sinistre

Le plan de reprise après sinistre de Withings garantit que la plateforme de production peut être entièrement recréée en cas de dysfonctionnement total de l'environnement de production. Tous les codes, configurations et bases de données sont stockés dans des endroits sécurisés et sont indépendants de l'environnement de production. La restauration de la plateforme complète est régulièrement effectuée à des fins de test.

Sécurité des ressources humaines

Le personnel restreint qui traite les données du Cloud Withings est soumis à une vérification régulière et à une formation continue sur la manière de réduire les risques liés au traitement des données à caractère personnel.

Gestion des employés

Vérification des antécédents et des compétences

Withings vérifie les antécédents de tous les nouveaux employés conformément aux lois locales. Ces vérifications sont également effectuées pour les prestataires. La vérification des antécédents peut comprendre la vérification de compétences techniques et générales, des précédents emplois, et des antécédents judiciaires si besoin.

Accord de confidentialité

Tous les employés doivent signer des accords de non-divulgation et de confidentialité. Cet accord de confidentialité reste valable après la fin du contrat de travail.

Définition des rôles et responsabilités

Withings s'assure que tous les rôles et responsabilités sont bien définis et compris par les personnes auxquelles ils sont attribués.

Procédure disciplinaire

Withings a mis en place des procédures disciplinaires en cas de manquement aux responsabilités confiées basées sur une échelle de sanctions définie dans le règlement intérieur.

Sensibilisation à la sécurité

Politiques de sécurité

Withings a développé un ensemble complet de politiques de sécurité couvrant un large éventail de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et sous-traitants ayant accès aux systèmes d’informations de Withings.

Sensibilisation à la sécurité de l’information

Tous les employés suivent une sensibilisation à la sécurité incluse dans la procédure d'embauche et revue annuellement par la suite. Les règles de base et les bonnes pratiques sont également rappelées régulièrement dans les locaux de Withings.

Formation sécurité

Tous les développeurs sont sensibilisés aux 10 principaux risques de sécurité OWASP grâce à des formations et des guides de bonnes pratiques. Des formations dispensées par des experts externes sont également organisées afin d’assurer la connaissance approfondie et la diffusion du code sécurisé. L'équipe de sécurité fournit également des mises à jour supplémentaires sur la sensibilisation à la sécurité par email, articles de blog et présentations lors d'événements internes.

Amélioration continue

As an innovative IoT company, we make sure that we are always one step ahead of current data protection standards. This is supported by regular internal and external audits.

Audits internes

Plan d’audit interne

L’ensemble des processus sont audités par des équipes d’audit internes ou par des prestataires externes.

Revue de direction

Les examens de la direction garantissent que la direction examine systématiquement le SMSI, évalue les possibilités d'amélioration et décide des mesures nécessaires pour garantir la pertinence, l'adéquation et l'efficacité du SMSI.

Audits externes

Audits techniques

En complément de la gestion des vulnérabilités comprenant analyse et test, Withings emploie des experts en sécurité tiers pour effectuer des tests de pénétration détaillés sur différentes applications de notre gamme de produits. Les audits techniques externes sont intégrés au plan d'audit annuel de Withings.

Audit de certification de conformité

Withings s’est engagé dans un processus de certification avec un organisme agréé afin de garantir la conformité de son SMSI au regard des normes internationales reconnues par l’industrie. Le bon fonctionnement du SMSI est donc évalué annuellement par un tiers de confiance indépendant.

loader newco
loader newco