Hero Background Image
Sécurité et confidentialité

Une relation de confiance à toute épreuve.

Vous pouvez faire confiance aux innovations Workday. Afin de garantir la sécurité et la confidentialité de vos données dans le Cloud, nous déployons des mesures de protection avancées et surveillons nos systèmes en continu, 24 h/24 et 7 j/7.

Sécurité

Chez Workday, la sécurité de vos données figure en tête de nos priorités. Nous adoptons des mesures de sécurité drastiques aux niveaux organisationnel, architectural et opérationnel afin de garantir la protection de vos informations, applications et infrastructure.

Sécurité organisationnelle

Nul ne peut négliger la sécurité. Tous les collaborateurs Workday suivent une formation sur la sécurité, la confidentialité et la conformité dès leur premier jour. Bien que leur implication en la matière puisse varier selon leur poste, chez Workday, la sécurité est l'affaire de tous.

L'équipe dirigeante a aussi un rôle à jouer. Le Workday Security Council, notre groupe transfonctionnel réunissant des dirigeants de l'ensemble de l'entreprise, conçoit nos programmes de sécurité, favorise l'alignement des managers et veille à ce que la sécurité soit prise en considération par tous.

Sécurité architecturale

Niveaux de relation

Nos clients sont les responsables du traitement des données, tandis que Workday en est le sous-traitant. Cela signifie que vous en avez le contrôle intégral dans les services proposés, ainsi que sur toutes les configurations. Vos informations demeurant toujours sous votre contrôle, vous n'aurez pas à dépendre de nous pour réaliser vos tâches quotidiennes comme par exemple :

  • La délivrance d'autorisations et la gestion des rôles
  • La création de nouveaux rapports et de worklets
  • La configuration de flux de processus de gestion, d'alertes, de règles et autres
  • La création de nouvelles intégrations avec des solutions ou outils Workday
  • La modification ou la création de nouvelles structures organisationnelles
  • Le suivi des transactions
  • La recherche de données historiques et de modifications de la configuration

Chiffrement des données

Workday chiffre tous les attributs des données client avant de les stocker dans une base de données. C'est l'une de nos caractéristiques technologiques fondamentales. Comme Workday est une application « in-memory » orientée objet et non pas un système de gestion de base de données relationnel (SGBDR) basé sur disques, nous sommes en mesure de garantir un chiffrement ultra-sécurisé. Nous utilisons l'algorithme AES (« Advanced Encryption Standard ») avec une clé de 256 bits et une clé de chiffrement unique pour chaque client.

Le protocole TLS (« Transport Layer Security ») protège l'accès des utilisateurs sur Internet en sécurisant le trafic réseau contre les indiscrétions, le piratage ou la falsification de messages. Les intégrations sur fichier peuvent être chiffrées via le logiciel PGP ou via cryptographie asymétrique, au moyen d'un certificat généré par le client. Le protocole WS-Security est également pris en charge pour les intégrations de services Web dans l'API Workday.

Sécurité logique

La sécurité Workday est gérée par rôles. Elle prend en charge l'authentification déléguée à l'annuaire LDAP, le protocole SAML d'authentification unique et l'authentification par certificat X.509 pour les utilisateurs et les intégrations de services Web.

Prise en charge de l'authentification unique (SSO)

Le protocole SAML offre une authentification unique et transparente entre le portail web interne du client et Workday. Les clients se connectent au portail de leur entreprise en saisissant leur nom d'utilisateur et leur mot de passe et reçoivent ensuite un lien permettant d'accéder automatiquement à Workday sans avoir à se reconnecter. Workday est également compatible avec OpenID Connect.

Connexion native Workday

Pour les clients qui souhaitent utiliser notre connexion native, Workday stocke uniquement leur mot de passe grâce à un algorithme de hachage sécurisé, plutôt que le mot de passe lui-même. Les échecs de connexion, ainsi que les connexions et déconnexions réussies, sont consignés à des fins d'audit. Les sessions au cours desquelles l'utilisateur est inactif expirent automatiquement après une durée définie que le client peut configurer en fonction de l'utilisateur.

Workday propose des règles de mot de passe configurables qui incluent longueur, complexité, délai d'expiration et questions personnelles en cas d'oubli.

Authentification multifacteur

Nous recommandons aux clients d'utiliser une authentification multifacteur. Grâce à la connexion native Workday, ils peuvent ainsi intégrer facilement leur propre fournisseur d'authentification multifacteur, le tout renforcé par un algorithme TOTP (« Time-based One-Time Passcode »). Workday permet aussi aux utilisateurs finaux de recevoir un mot de passe à usage unique via une passerelle SMS. Enfin, Workday prend en charge les questions secrètes comme protection supplémentaire.

Authentification progressive

Dans l'éventualité où un collaborateur ne verrouillerait pas son ordinateur ou si plusieurs utilisateurs accèdent à Workday depuis le même poste, les entreprises qui utilisent le protocole SAML pour l'authentification peuvent se protéger contre les accès non autorisés en identifiant des éléments sensibles. Cela permet aux clients d'imposer un facteur d'authentification secondaire que les utilisateurs doivent saisir pour y accéder.

Sécurité opérationnelle

Sécurité physique

Les applications Workday sont hébergées dans des data centers conçus pour protéger les systèmes informatiques sensibles grâce à des sous-systèmes redondants et des zones de sécurité compartimentées. Ces data centers appliquent les mesures de sécurité physique les plus strictes, parmi lesquelles :

  • Plusieurs niveaux d'authentification pour obtenir l'accès à la zone des serveurs
  • Une authentification biométrique à 2 facteurs pour l'accès aux zones sensibles
  • Des systèmes de vidéosurveillance installés aux points d'entrée internes et externes les plus vulnérables
  • Une surveillance assurée 24 h/24 et 7 j/7 par des vigiles

Tous les accès physiques aux data centers sont strictement limités et réglementés.

Sécurité du réseau

Workday a mis en place des règles et des procédures opérationnelles détaillées, conçues pour gérer la qualité et l'intégrité de son environnement. Nous avons également mis en place des procédures de sécurité proactives comme la défense du périmètre et les systèmes de prévention des intrusions (IPS) sur le réseau.

Les IPS surveillent également les parties critiques du réseau afin de détecter d'éventuelles configurations anormales dans l'environnement du client ainsi que le trafic entre les niveaux et le service. Nous avons également mis en place un centre de sécurité mondial, actif 24 h/24, 7 j/7, 365 jours par an.

Sécurité des applications

Workday a mis en place un cycle de vie de développement des logiciels sécurisé (SDLC – « Secure Software Development Life Cycle ») d'entreprise afin de garantir la sécurité continue de ses applications.

Ce programme comprend une analyse approfondie des risques associés à la sécurité et une évaluation des fonctionnalités de Workday. Des analyses statiques et dynamiques du code source sont également réalisées afin de permettre l'intégration de la sécurité d'entreprise dans le cycle de vie du développement. Le processus de développement est également complété par une formation à la sécurité des applications destinée aux développeurs et par des tests d'intrusion des applications.

Evaluations des vulnérabilités

Workday fait appel à des sociétés spécialisées indépendantes pour réaliser des évaluations internes et externes de la vulnérabilité de ses applications, systèmes et réseaux.

Vulnérabilité des applications

Nous faisons appel à une société leader pour évaluer la vulnérabilité de nos applications mobiles et Web avant chaque lancement de nos mises à jour. Cette société applique des tests conçus pour identifier les failles de sécurité standard et avancées des applications Web, notamment :

  • Les failles de sécurité associées aux technologies Flash, Flex, AJAX et ActionScript
  • Les attaques de type « Cross-site Request Forgery » (CSRF)
  • Le traitement inapproprié des entrées, comme les vulnérabilités de type « Cross-Site Scripting » (XSS), injection SQL, injection XML et « Cross-Site Flashing » (XSF)
  • Les attaques XML et SOAP (« Simple Object Access Protocol »)
  • La gestion des sessions vulnérables
  • Les failles dans la validation des données et les incohérences des limitations du modèle de données
  • Une authentification ou autorisation insuffisantes
  • Les vulnérabilités de type « HTTP Response Splitting » (séparation de réponse HTTP)
  • Une utilisation inappropriée des protocoles SSL/TLS
  • Des requêtes HTTP non sûres
  • Une cryptographie inappropriée

Réseau

Les évaluations des vulnérabilités externes analysent tous les dispositifs en lien direct avec Internet, tels que les pare-feu, les routeurs et les serveurs Web, afin de mettre au jour les éventuelles failles d'autorisation d'accès au réseau. Une évaluation des vulnérabilités du réseau et des systèmes interne authentifiée est également réalisée afin d'identifier les failles et les anomalies potentielles par rapport aux règles générales de sécurité du système.

Pour aller plus loin

Améliorer les pratiques en matière de sécurité à l'intérieur et à l'extérieur de l'entreprise
Lire le blog
Dans les coulisses du Cloud : le CTO de Workday explique comment créer une culture de la sécurité
Regarder la vidéo
L'authentification multifacteur : un impératif absolu
Lire le blog

  

Confidentialité

La réglementation sur la confidentialité des données est complexe, varie d'un pays à l'autre et impose des exigences strictes. Au moment de choisir une application ERP, les entreprises doivent privilégier les solutions qui permettent de remplir leurs obligations en matière de protection des données et d'assurer leur confidentialité. Avec Workday, vous bénéficiez de pratiques et de fonctionnalités de pointe pour remplir vos obligations.

De plus, nous mettons à votre disposition les ressources et informations nécessaires afin de vous aider à comprendre les exigences de votre entreprise en matière de confidentialité et de conformité. Nous vous expliquons aussi comment Workday peut dynamiser vos efforts.

 

   

Programme de confidentialité à toute épreuve

Workday a conçu un programme de confidentialité qui repose sur des règles et des procédures strictes conçues pour gérer l'accès aux données des clients, leur utilisation, leur divulgation et leur transfert. Celui-ci interdit notamment à nos collaborateurs de consulter, d'utiliser, de divulguer ou de transférer des données de nos clients en l'absence d'accord contractuel ou d'autorisation expresse de ces derniers.

Avec une complexité grandissante et une évolution constante des enjeux et de la législation mondiale sur la protection des données, Workday a jugé important la création d'un programme qui s'intègre dans sa culture et ses services. Notre philosophie du « Privacy by Design » en est la preuve : nos clients sont en droit d'exiger des garanties quant à la confidentialité et la sécurité de leurs données.

L'équipe Privacy, Ethics, and Compliance (PEC – Confidentialité, éthique et conformité) de Workday, dirigée par notre Chief Privacy Officer, gère le programme et veille à son efficacité. Elle est en charge de :

  • Formuler, mettre à jour et gérer nos règles internes en matière de confidentialité, ainsi que nos procédures et nos outils pour protéger les données à caractère personnel gérées par les collaborateurs et les partenaires pour le compte de Workday
  • Veiller à la mise en conformité avec nos règles de confidentialité destinées aux clients, auditées chaque année par un cabinet tiers
  • S'assurer que les engagements en matière de confidentialité pris envers nos clients, partenaires et collaborateurs sont tenus
  • Gérer nos certifications et nos obligations de mise en conformité avec les réglementations
  • Former le personnel Workday sur notre programme de confidentialité, suivre l'évolution des lois sur la protection des données dans le monde et effectuer les mises à jour et les modifications nécessaires de notre programme

La protection des données et la confidentialité nécessitent une vigilance de tous les instants, et nous nous engageons à protéger les données personnelles de nos clients et de nos collaborateurs. Pour en savoir plus sur la façon dont nous appliquons les principes clés de la confidentialité, cliquez ici.

Nous vous invitons à consulter la Politique de confidentialité de Workday Service pour en savoir plus sur la façon dont nous gérons et protégeons les informations de nos clients.

« Privacy by Design »

Nous avons intégré un programme de confidentialité complet dans tous nos services, de leur conception à leur lancement. Ce programme, fondé sur notre principe du « Privacy by Design », nous inspire dans le développement de nos produits et services.

Transparence des données

Nous faisons preuve d'une transparence absolue quant aux régions dans lesquelles les données de nos clients sont stockées et traitées.

Règles de confidentialité dans le monde

Une protection des données mondiale

Workday et ses clients doivent respecter un certain nombre de réglementations et de lois sur la protection de la vie privée. Les principes communs à l'ensemble des pays concernés portent sur la notification, le choix, l'accès, l'utilisation, la divulgation et la sécurité des données. Notre application est conçue pour vous permettre de réaliser des configurations adaptées, conformément à la législation de votre pays. Par ailleurs, Workday assure le respect des réglementations internationales sur la protection de la vie privée à travers la mise en œuvre d'un programme complet de sécurité de l'information sous forme écrite, qui prévoit des mesures techniques et organisationnelles visant à protéger les données des clients contre tout accès et toute utilisation ou divulgation non autorisés. Workday continue de répondre aux normes de confidentialité internationales, comme en témoigne notre engagement envers des programmes tels que le Bouclier de Protection des Données (« Privacy Shield »), les règles d'entreprise contraignantes (« Binding Corporate Rules » – BCR) et les règles transfrontalières de protection de la vie privée de la Coopération économique Asie-Pacifique (APEC).

La confidentialité des données au sein de l'UE

La situation en matière de protection des données dans l'Union européenne a changé radicalement à la suite de l'adoption du règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. Le RGPD a harmonisé les lois sur la protection des données à l'échelle de l'Europe. Workday souhaite continuer à traiter les données personnelles de ses clients dans le respect du RGPD et suit de près l'évolution des directives édictées en la matière par les autorités compétentes de l'UE. Nous nous engageons à intégrer toute modification éventuelle de ces réglementations.

Workday a étudié les exigences du RGPD et mis en œuvre de nombreuses procédures de confidentialité et de sécurité afin de garantir son respect en tant que sous-traitant dès l'entrée en vigueur du règlement. En voici quelques exemples :

  • La formation des collaborateurs aux procédures de sécurité et de confidentialité des données
  • L'évaluation des dispositifs de protection des données
  • La mise en place de mécanismes de transfert afin de légaliser les transmissions de données à caractère personnel à l'extérieur de l'Espace économique européen, dont les BCR de Workday.
  • La tenue de registres pour les traitements
  • La mise à la disposition de nos clients de dispositifs de protection des données et de conformité configurables.

Les concepts de « Privacy by Design » et de protection des données par défaut sont profondément ancrés dans les Services Workday. Workday a conscience de la très grande importance du RGPD pour ses clients internationaux. Ainsi, nous suivons en permanence les nouvelles directives publiées par les autorités de contrôle de l'UE afin de s'assurer que notre programme de conformité reste à jour.

Workday a également conscience de l'importance pour elle-même du respect du RGPD en tant que sous-traitant, mais aussi pour ses clients de pouvoir utiliser nos services tout en respectant leurs propres exigences de conformité. C'est pourquoi Workday propose des outils conçus pour les aider à remplir leurs obligations. Le Service Workday permet aux clients de traiter des données à caractère personnel dans leur propre environnement. Pour savoir comment nous aidons nos clients à respecter le RGPD, cliquez ici.

Bouclier de Protection des Données (« Privacy Shield »)

En 2016, Workday a adhéré au Bouclier de Protection des Données (« Privacy Shield ») dès le lancement par le ministère américain du Commerce du processus de certification, ce qui témoigne de notre engagement infaillible et permanent à garantir la confidentialité et la protection des données de chacun. Ce dispositif est un référentiel de transfert de données conçu pour permettre les transferts de données à caractère personnel entre l'UE et les États-Unis ainsi qu'entre la Suisse et les États-Unis. Il repose sur 4 principes essentiels :

  • Des mécanismes de sauvegarde et des obligations de transparence de la part du gouvernement des États-Unis sur son accès aux données
  • Des obligations strictes pour les entreprises qui traitent des informations
  • Une protection efficace des droits individuels, dont des possibilités de recours pour les ressortissants des États membres de l'UE
  • Une revue annuelle conjointe par la Commission européenne et le ministère américain du Commerce

Malgré la possibilité donnée aux entreprises de s'auto-certifier, Workday fait appel à TRUSTe. Workday continue par ailleurs de faire régulièrement vérifier son programme de confidentialité des données par des tiers afin de garantir une protection et une confidentialité optimales. Pour en savoir plus sur notre certification de conformité au Bouclier de Protection des Données, cliquez ici.

Règles d'entreprise contraignantes (BCR)

Outre l'auto-certification de conformité au Bouclier de Protection des Données, Workday a reçu l'agrément des autorités européennes en charge de la protection des données pour ses BCR pour les sous-traitants. L'Autorité irlandaise de la protection des données a supervisé le processus, car le siège social européen de Workday se trouve à Dublin. Les autorités compétentes dans le domaine de la protection des données au Royaume-Uni et aux Pays-Bas sont également intervenues. Pour en savoir plus sur les engagements des BCR Workday relatifs à vos données, cliquez ici.

CBPR et PRP de l'APEC

Workday est certifié conforme aux règles de confidentialité transfrontalières (CBPR) et aux règles de confidentialité pour les sous-traitants (PRP) de la Coopération économique Asie-Pacifique (APEC). Ces certifications désignent un ensemble de normes de confidentialité pensé pour les responsables du traitement et les sous-traitants afin de faciliter les transferts de données entre les pays de l'APEC et attester de la conformité aux normes de confidentialité des pays membres de l'organisation.

Workday a été l'une des premières entreprises à être certifiée conforme aux CBPR APEC en mars 2014 et la première à être certifiée conforme aux PRP APEC en septembre 2018. Nous avons reçu une attestation de TrustArc, spécialiste de la gestion de la confidentialité des données de l'APEC pour les États-Unis.

En garantissant sa mise en conformité avec les CBPR et PRP de l'APEC ainsi que les normes de confidentialité en vigueur dans l'Espace économique européen, Workday démontre être en conformité avec des normes internationales particulièrement strictes.

Pour aller plus loin

3 fonctionnalités Workday pensées pour le RGPD
Lire le blog
Workday participe à l'Assemblée générale du Code de conduite de l'UE sur le Cloud
Lire le blog
RGPD : « Privacy by Design » chez Workday
Lire le blog

  

Conformité

Les géants technologiques d'aujourd'hui doivent garantir la sécurité et la protection des données de leurs clients et de leurs collaborateurs ainsi que leur propriété intellectuelle dans un monde où les menaces prennent des formes de plus en plus sophistiquées. Les entreprises ont également l'obligation de respecter les lois applicables, y compris celles régissant la confidentialité et la transmission des données à caractère personnel, notamment lorsqu'un prestataire de services détient et traite les données d'une entreprise pour son compte.

Workday dispose d'un programme de sécurité officiel et complet, conçu pour garantir la sécurité et l'intégrité des données de ses clients, se protéger des menaces ou des brèches de sécurité et empêcher les accès non autorisés aux informations. Ce programme est analysé en détail lors d'audits de sécurité réalisés par des organismes indépendants.

   

Vous trouverez ci-dessous une liste des ressources de conformité afin d'aider vos équipes à mieux cerner nos exigences de conformité

Audits et certifications par des tiers

Profile image
SOC 1

Les audits « Service Organization Controls » (SOC 1) contiennent des informations sur l'environnement de contrôle d'une société de services susceptibles de concerner les audits internes du client sur les rapports financiers.

Profile image
SOC 2

Le rapport SOC 2 Type II de Workday est une évaluation de notre environnement de contrôle réalisée par un tiers.

Profile image
SOC 3

L'AICPA (American Institute of Certified Public Accountants) a mis en place le référentiel « Service Organization Control » (SOC 3) destiné à garantir la confidentialité des informations stockées et traitées dans le Cloud.

Profile image
ISO 27001

La norme ISO 27001 est une approche de la sécurité standardisée et mondialement reconnue qui spécifie les exigences relatives à un système de management de la sécurité de l'information (SMSI) dans un contexte d'entreprise.

Profile image
ISO 27017

La norme ISO 27017, publiée en 2015, est une norme complémentaire à la norme ISO 27001.

Profile image
ISO 27018

La norme ISO 27018, publiée en 2014, est une norme complémentaire à la norme ISO 27001.

Profile image
PCI DSS

Workday respecte la norme PCI DSS régissant l'environnement sécurisé des cartes de crédit Workday, environnement isolé qui stocke, traite et transmet les données non masquées des titulaires de cartes via des intégrations prédéfinies.

Profile image
HIPAA

Workday a reçu une attestation de conformité avec la loi « Health Insurance Portability and Accountability Act » (HIPAA) pour ses solutions Cloud destinées aux entreprises. Cet agrément démontre que le programme de mise en conformité avec la loi HIPAA prévoit des mesures adéquates pour sauvegarder, consulter et partager des informations personnelles et médicales.

Profile image
NIST CSF et NIST 800-171

Le référentiel de cybersécurité (CSF) du NIST fournit des lignes directrices aux entreprises pour améliorer leur capacité à éviter, détecter les risques de cyberattaques et à y répondre. La norme NIST 800-171 régit la protection des informations non classifiées contrôlées dans les systèmes d'informations et les organisations non fédéraux.

Profile image
G-Cloud

Le référentiel de normes G-Cloud est un accord entre le gouvernement britannique et les fournisseurs de services Cloud.

Profile image
Bouclier de Protection des Données (« Privacy Shield »)

Le Bouclier de Protection des Données UE-États-Unis et le Bouclier de Protection des Données Suisse-États-Unis sont de nouveaux référentiels conçus pour permettre les transferts de données à caractère personnel entre l'UE et les États-Unis. 

Profile image
TRUSTe

Les normes de certification de TRUSTe reprennent les principes des référentiels de confidentialité adoptés par l'APEC, l'OCDE et le FTC.

Profile image
Auto-évaluation CSA STAR

L'auto-évaluation Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) regroupe des informations sur les risques pour la sécurité et les contrôles dans un questionnaire standard (CSA STAR CAIQ).