SÉCURITÉ DE WORKDAY

Comment nous protégeons vos données.

Nous nous engageons à protéger vos données et à communiquer de manière transparente. Nous appliquons des mesures rigoureuses pour l’ensemble de notre personnel, de nos processus et de nos technologies afin de sécuriser vos données, vos applications et votre infrastructure.

 

''

Des gens de confiance.

Chez Workday, la sécurité est l’affaire de tous. Tant les employés que les clients contribuent à nos objectifs de sécurité. C’est pourquoi Workday s’efforce d’informer, d’habiliter et de soutenir tout le monde dans les efforts visant à prioriser la sécurité et l’utilisation de pratiques exemplaires.

Dirigeants et employés.

La direction accorde la priorité à la sécurité à tous les niveaux de notre organisation. Tous les employés de Workday sont responsables de la protection des données de nos clients et reçoivent dès le premier jour une formation sur la sécurité, la protection de la vie privée et la conformité. Notre équipe dédiée à la sécurité de l’information propose une formation continue sur la sécurité afin de réduire les risques au minimum, tandis que les champions de la sécurité Workday font la promotion des pratiques exemplaires de sécurité au moyen d’interactions et d’activités avec les employés.

Clients.

Nos clients ont le contrôle total des données entrées dans Workday, ainsi que de toutes les définitions et les configurations. Workday propose des formations, une assistance spécialisée, une documentation détaillée, des communications rapides et une communauté de pairs pour vous aider à protéger vos données et à tirer le meilleur parti de nos outils de sécurité robustes.

« Grâce à Workday, nous avons remplacé 262 systèmes par quelques applications globales, tout en renforçant la sécurité, en profitant de nouvelles fonctionnalités et en allant de l’avant avec l’innovation. »

— Directeur des technologies de l’information

illustration-man-holding-lock-UI-elements

Des processus qui protègent.

Pour protéger vos données, Workday a mis en place des politiques, des procédures et des processus opérationnels détaillés pour ses centres de données, son réseau et ses applications.

Centres de données.

Les applications Workday sont hébergées dans des centres de données de pointe dotés de sous-systèmes entièrement redondants et de zones de sécurité compartimentées. Les centres de données respectent les mesures de sécurité physique et environnementale les plus strictes. Les installations nécessitent plusieurs niveaux d’authentification pour l’accès aux infrastructures critiques.

 

Des systèmes de surveillance par caméra sont placés aux points d’entrée internes et externes critiques, tandis que le personnel de sécurité surveille les centres de données 24 heures sur 24 et 7 jours sur 7. Les centres de données ont mis en place des mesures de protection environnementale redondantes et des systèmes de gestion de l’énergie de secours, y compris l’extinction des incendies, la gestion de l’énergie, le chauffage, la ventilation et la climatisation, avec une redondance minimale de N+1.

Notre réseau a un accès sécurité grâce à des politiques, des procédures et des processus éprouvés, tels que la défense du périmètre, la prévention des menaces et les outils de détection des menaces qui surveillent les modèles de réseau atypiques dans l’environnement du client ainsi que le trafic entre les niveaux et les services. Nous disposons également d’un centre mondial des opérations de sécurité fonctionnant 24 heures sur 24, 7 jours sur 7 et 365 jours par an.

 

De multiples évaluations externes de la vulnérabilité, menées par des experts tiers, analysent les dispositifs en contact avec Internet, y compris les pare-feu, les routeurs et les serveurs Web, afin de détecter tout accès non autorisé. En outre, nous utilisons un réseau de détection de vulnérabilité interne authentifié et une évaluation du système permettant de détecter les faiblesses potentielles et les incohérences au sein des politiques générales de sécurité du système.

Chaque étape de notre processus de développement, de test et de déploiement d’applications est conçue pour assurer la sécurité de nos produits. Nos équipes de produits et de technologie utilisent le cycle de vie du développement logiciel sécurisé SSDLC ainsi que les pratiques de responsabilité DevSecOps. Notre processus de développement comprend une évaluation approfondie des risques de sécurité et un examen des fonctionnalités de Workday. Les analyses statiques et dynamiques du code source permettent d’intégrer la sécurité dans le cycle de développement. Le processus de développement est rehaussé par la formation des développeurs en matière de sécurité des applications et par les tests de pénétration de l’application.

 

Avant chaque version majeure, une société de sécurité tierce de premier plan effectue une évaluation de la vulnérabilité de la sécurité au niveau de l’application de notre application Web et mobile afin de déterminer les vulnérabilités potentielles. La société tierce effectue diverses procédures de test pour déterminer les vulnérabilités standard et avancées en matière de sécurité des applications Web.

''

Une technologie conçue pour être sécuritaire.

Nos technologies, de l’architecture jusqu’aux applications, donnent la priorité à la sécurité de vos données et visent à répondre aux besoins de sécurité de nos clients, y compris les plus réfractaires au risque.

Cryptage des données.

Nous utilisons de puissantes technologies de cryptage pour protéger les données des clients, au repos et en transit. Workday s’appuie sur l’algorithme AES (Advanced Encryption Standard) avec une clé de 256 bits pour le chiffrement au repos.

 

Le protocole TLS protège l’accès des utilisateurs par Internet, en aidant à sécuriser le trafic réseau contre l’écoute électronique passive, l’altération active ou la falsification des messages. Les intégrations basées sur des fichiers peuvent être cryptées au moyen d’une clé PGP ou d’une paire de clés publique et privée générée par Workday, à l’aide d’un certificat généré par le client. La norme WS-Security est également prise en charge pour les intégrations de services Web à l’API Workday.

 

Le service de gestion des clés de Workday couvre la gestion du cycle de vie complet des clés cryptographiques utilisées pour crypter et décrypter les données des clients au repos. En outre, les clients ont la possibilité de mettre en œuvre une fonctionnalité « apportez votre propre clé » afin de conserver le contrôle total de leurs clés de chiffrement racine.

Workday met à la disposition des auditeurs et des administrateurs un ensemble complet de rapports sur l’activité des utilisateurs dans le locataire Workday. La piste d’audit, les journaux d’activité des utilisateurs et les rapports de connexion sont des fonctionnalités très appréciées des clients et des auditeurs de Workday. Workday vous permet de faire le suivi de toutes vos transactions commerciales et d’afficher facilement vos données historiques ainsi que les changements de configuration.

Authentification.

Workday a mis en place des procédures pour authentifier chaque utilisateur ou système qui accède à la plateforme. Workday permet aux clients de créer des identités d’utilisateurs finaux dans Workday ou de les intégrer dans Workday à partir de systèmes externes, comme Active Directory. L’accès à la sécurité de Workday repose sur les rôles et prend en charge SAML pour l’authentification unique ainsi que l’authentification par certificat x509 pour les utilisateurs et les intégrations de services Web.

 

Prise en charge de l’authentification unique.

La norme SAML permet une connexion unique et transparente entre le portail Web interne du client et Workday. Workday prend également en charge OpenID Connect.

 

Connexion native à Workday.

Notre connexion native pour les produits Workday Enterprise enregistre le mot de passe sous forme de hachage sécurisé, et non le mot de passe lui-même. Les tentatives de connexion infructueuses et les activités de connexion et de déconnexion réussies sont enregistrées à des fins d’audit. Les sessions d’utilisateurs inactives sont automatiquement interrompues au bout d’une certaine durée, qui peut être configurée par le client pour chaque utilisateur.

 

Les règles de mot de passe configurables par le client comprennent la longueur, la complexité, l’expiration et les questions de validation pour mots de passe oubliés.

 

Sécurité configurable.

Votre administrateur de sécurité Workday peut contrôler les données auxquelles les utilisateurs peuvent accéder et les actions qui peuvent être effectuées dans votre locataire client. Des outils tels que les rôles, les groupes de sécurité et les configurations de processus de gestion permettent aux administrateurs de mettre en œuvre les politiques de sécurité de votre entreprise et de les mettre à jour au fur et à mesure que vous évoluez.


Outillez-vous pour vous adapter.

Prêt à passer à l’action? Communiquez avec nous!