Programme de gestion de la sécurité informatique
Kyndryl dispose d'un programme de gestion de la sécurité informatique au niveau de l'entreprise, comprenant des politiques, des pratiques, des contrôles, la formation des employés, des rapports d'incidents et des examens, qui s'efforce de réduire les risques de pertes et d'utilisation abusive des informations critiques de Kyndryl et permet d'éviter l'interruption des activités de Kyndryl. Le programme prend en compte un large éventail de risques potentiels pour la sécurité, tels que les risques technologiques, humains et naturels. La structure du programme est influencée par plusieurs normes et cadres de sécurité de l'industrie, tels que le National Institute of Standards and Technology (NIST - Institut National de Standards et Technologie) et l'Organisation internationale de normalisation (ISO).
Principes de sécurité pour la protection de notre entreprise
Enregistrer et créer un inventaire des actifs.
Établir une politique d'utilisation acceptable pour chaque actif ou groupe d'actifs.
Politique de contrôle d'accès - Établir une politique de contrôle d'accès pour chaque application ou système qui décrit la façon de gérer les risques liés à la gestion des comptes d'utilisateurs, à l'application et à la surveillance des accès, à la séparation des tâches et à l'accès à distance.
Gestion des accès utilisateurs - Attribuer des droits d'accès en fonction des besoins de l'entreprise. L'accès privilégié doit être attribué minutieusement et avec le moins de privilèges requis. Révoquer tous droits lorsqu'un employé ou un sous-traitant n'a plus le besoin d'avoir accès à des fins d'affaires. Les droits d'accès sont revus régulièrement pour garantir un besoin continu de l'entreprise et une revalidation privilégiée.
Contrôle d'accès aux applications et au système - Utiliser des procédures de connexion sécurisées pour contrôler l'accès aux applications et aux systèmes, y compris l'authentification multifacteur.
Utiliser un chiffrement basé sur des critères de risque, tels que le niveau de sensibilité ou de classification des informations.
Protéger les données en transit sur les réseaux publics et privés et sécuriser les données au repos dans les applications ou les systèmes afin d'atténuer les menaces.
Protéger et crypter les clés cryptographiques tout au long du cycle de vie de la gestion des clés.
Tenir à jour les procédures d'exploitation et les mettre à la disposition des utilisateurs concernés
Les procédures d'exploitation peuvent inclure : l'installation et la configuration des applications et des systèmes
Procédures de démarrage et d'arrêt
Gestion des authentifications et autorisations
Procédures de maintenance et de sauvegarde
Procédures de traitement des informations, à la fois manuelles et automatisées
Détermination et traitement des problèmes
Journalisation et surveillance
Communication avec les contacts d'assistance et d'escalade
Traitement des incidents de sécurité
Tests de sécurité
Gestion des vulnérabilités et des correctifs
Concevoir et exploiter des réseaux avec les objectifs suivants :
Limiter l'accès aux réseaux Kyndryl des parties autorisées.
Faire preuve de résilience face aux menaces externes telles que les intrusions et les perturbations.
Protéger les informations des systèmes et des applications sur le réseau Kyndryl.
Placer les actifs d'infrastructure dans des zones d'accès contrôlé, à l'exception de celles destinées à l'usage public.
Appliquer des contrôles d'accès basés sur les risques, qui peuvent inclure le verrouillage ou la protection de zones pour :
Autoriser l'accès uniquement aux personnes autorisées
Maintenir la sécurité physique pendant les pannes de courant
Tenir à jour la journalisation des accès
Évaluer les fournisseurs en fonction de leur capacité à répondre aux exigences commerciales et de sécurité. Le fournisseur doit démontrer ses pratiques en matière de sécurité et de confidentialité, comme par exemple au moyen de certifications ou d'attestations de tiers.
Kyndryl a établi des normes de sécurité et d'utilisation s’appliquant aux employés et au personnel sous contrat de Kyndryl, y compris leurs postes de travail et appareils mobiles utilisés pour mener les activités de Kyndryl ou les appareils connectés au réseau interne de Kyndryl. L'objectif de ces normes est de protéger les données et les biens informatiques contre les pertes, modifications ou destructions. Les politiques internes de Kyndryl résument les étapes les plus critiques que les employés doivent suivre pour protéger les postes de travail et les appareils mobiles. De plus, les normes décrivent les responsabilités des employés en matière de protection des informations confidentielles de Kyndryl et stipulent les exigences en matière de sécurité et d'utilisation appropriée.
Sécurité physique
Les employés de Kyndryl reçoivent des instructions spécifiques destinées à maintenir la sécurité physique de leurs postes de travail, appareils mobiles et zones de travail, ainsi qu'à maintenir un haut niveau de sécurité lors de leurs déplacements.
Sécurité logique
La gestion des accès est nécessaire pour protéger les informations et les systèmes au niveau individuel et en fonction des rôles. Les mots de passe doivent être changés régulièrement et les normes de complexité des mots de passe doivent être suivies.
Utilisation sécuritaire et éducation
Les employés de Kyndryl reçoivent des conseils et une formation concernant l'utilisation sécuritaire des ressources informatiques. En outre, Kyndryl a mis en place une formation annuelle obligatoire sur la sécurité informatique visant à aider les employés à comprendre les risques pour la sécurité et à se conformer aux politiques informatiques. Les employés reçoivent également une formation sur l'éthique et l'intégrité de Kyndryl en plus des exigences de Kyndryl obligeant les employés à mener leurs activités au respect de normes éthiques élevées tout en se conformant aux politiques de sécurité et de confidentialité des données. Les employés doivent également signaler les comportements illégaux ou contraires aux règles d'éthique. Au moment de leur embauche, puis annuellement par la suite, les employés de Kyndryl sont tenus de lire et d'accepter de se conformer aux normes d'éthique et d'intégrité comme condition d'emploi.
Rapports d'incidents
Kyndryl maintient un système de signalement et d'atténuation des incidents de sécurité accessible dans le monde entier dans lequel les incidents de sécurité informatique et de données sont signalés. Ce type de signalement déclenche une réponse de la part d'une équipe disponible toute l’année, 24h sur 24 et 7j sur 7, spécialement formée et équipée qui, en collaboration avec les équipes commerciales et d'autres experts en la matière selon les besoins, se chargera de traiter l'incident jusqu'à sa résolution.
La Société organisera chaque année une formation personnalisée obligatoire sur la cybersécurité pour tous les employés, y compris une formation sur la reconnaissance, l'évitement et le signalement des activités suspectes. L'organisation RSSI (Responsable de la sécurité des systèmes d'information) fournit une variété de mécanismes permettant aux employés et autres membres du personnel de signaler les incidents de sécurité potentiels, qui peuvent aller de la perte de téléphones portables aux logiciels malveillants sur un ordinateur portable, en passant par les incidents d'hameçonnage et les courriels trompeurs. Régulièrement, l'organisation RSSI effectue des simulations d'hameçonnage pour tester et vérifier l'état de préparation et d'alerte des employés face aux menaces par courriel.
Le Centre des opérations de sécurité (COS) surveille les menaces sur les réseaux et les systèmes de l'entreprise. Afin d'identifier, de surveiller et de traiter les menaces internes, le COS s'appuie sur diverses sources de renseignements sur les menaces. Le COS gère un vaste dispositif de technologies avancées de détection et de réponse.
En plus du COS, des équipes dédiées se consacrent à l’évaluation, à la poursuite, au test et à la remédiation des menaces. Ces équipes travaillent ensemble dans le but de détecter de manière proactive d'éventuelles attaques, de traquer les activités suspectes au sein des réseaux et des systèmes de l'entreprise, d'identifier les faiblesses potentielles des dispositifs de sécurité avant qu'elles ne puissent être exploitées et de s'assurer que les mesures correctives de suivi sont pleinement appliquées. Ces équipes sont également en contact avec les équipes COS et CSIRT (Centres de réponse aux incidents de sécurité informatique) pour améliorer la surveillance et faciliter les enquêtes sur les incidents.
La Société utilise un processus complet de réponse aux incidents pour traiter les problèmes relatifs à la cybersécurité dans le monde entier. Ce processus détaille les procédures de bout en bout et les responsabilités de chaque partie prenante dans la réponse à un incident. Le processus est revu et mis à jour périodiquement pour tenir compte des leçons apprises dans ce domaine extrêmement évolutif.
Une équipe composée des membres spécialisés du centre de réponse aux incidents de sécurité informatique (CSIRT) et aux aspects juridiques (Cyber Legal) se réunit régulièrement pour évaluer les informations sur les incidents nouveaux et anciens. Les incidents sont délégués aux personnes appropriées pour évaluation, enquête et correction. Selon la nature du problème, la réponse à un problème peut inclure le CSIRT, Cyber Legal, le RSSI et ses divers membres, mais aussi le/la responsable de la protection de la vie privée, les ressources humaines, l'approvisionnement, le/la directeur(ice) comptable et la sécurité de l'entreprise, en consultation avec l'avocat(e) général(e) et le Vice-Président(e) Général(e) en charge de la cybersécurité.
Le CSIRT de Kyndryl est une équipe interne composée d'intervenants en cas d'incident et d'analystes judiciaires. Les incidents liés à la cybersécurité éligibles comprennent :
Toute violation potentielle ou suspectée de la sécurité des données, des actifs et des systèmes informatiques détenus ou gérés par Kyndryl.
Toute compromission potentielle des données du client ou des actifs et des systèmes informatiques lorsque l'incident peut impliqu
La structure du programme de sécurité informatique de Kyndril est conditionnée par plusieurs normes et cadres de sécurité de l'industrie, tels que le National Institute of Standards and Technology (NIST) et l'Organisation internationale de normalisation (ISO). La politique et les normes de sécurité et de confidentialité de Kyndryl sont revues régulièrement par rapport à divers cadres et soumises à des audits internes et externes, le cas échéant.
La Société dispose d'un responsable de la sécurité de l'information (RSSI) dédié, dont l'équipe est chargée de diriger la stratégie, la politique, les normes, l'architecture et les processus de sécurité de l'information à l'échelle de l'entreprise. L'organisation RSSI intervient à tous les niveaux de l'entreprise pour protéger la Société, sa marque et ses clients contre les risques liés à la cybersécurité.
Le comité de gouvernance de la cybersécurité assurera la surveillance et l'orientation de la gestion du risque de cybersécurité de la Société. Le comité de gouvernance de la cybersécurité sera également chargé, entre autres, d'établir la structure de gouvernance de la Société visant à gérer les risques de cybersécurité et d'examiner les incidents notables de cybersécurité, ainsi que les stratégies permettant d’éviter les récidives.
Le conseil d'administration de la société sera chargé de suivre le processus de cyber-gouvernance et de se tenir informé sur les questions relatives à l'identification, la gestion et la résolution des risques de cybersécurité, aussi bien internes qu'externes, ainsi que sur les renseignements liés aux menaces, aux politiques et aux réglementations mondiales émergentes, les technologies de cybersécurité, les problèmes et les incidents impliquant la cybersécurité.
Clause de non-responsabilité
Cette page Web décrit les objectifs du programme de gestion de la sécurité de Kyndryl pour les opérations internes de Kyndryl. La sécurité des services commerciaux de Kyndryl est décrite dans les modalités associées à ces services spécifiques. Les services dédiés à un seul client de Kyndryl sont régis par des exigences établies contractuellement avec ce client. Les informations sont fournies « telles quelles » et à titre informatif uniquement et ne doivent être incluses dans aucun contrat ou accord. Kyndryl peut modifier les informations contenues sur cette page Web de temps à autre, à la seule discrétion de Kyndryl et sans préavis. Ces modifications remplaceront les versions précédentes.