Politique sur la sécurité des données de CISION


Nous prenons la sécurité au sérieux chez Cision. Depuis plus de 60 ans, Cision traite l’information non publique de ses clients. En préserver la confidentialité fait intégralement partie de notre culture.

Nous avons pris un certain nombre de mesures pour protéger les données de nos clients, pour garantir la confidentialité, l’intégrité et la disponibilité des ressources d’information de Cision, ainsi que pour sécuriser nos installations, nos réseaux et nos systèmes. Ces mesures sont définies dans la Politique de sécurité de l’information de Cision. Dirigé par notre directeur de la sécurité de l’information, le Bureau de la sécurité de l’information de Cision est chargé d’élaborer et de tenir à jour la Politique de sécurité de l’information et de veiller à ce qu’elle soit respectée. Le programme de gestion de la sécurité de l’information est fondé sur les lignes directrices de la norme ISO 27002.

La Politique de sécurité de l’information s’applique aux personnes et aux entités qui ont accès aux ressources d’information de Cision, y compris aux experts-conseils, aux entrepreneurs et aux fournisseurs indépendants.

Chez Cision, nous appliquons le principe du contrôle d’accès en fonction des rôles. L’accès à l’information des clients est réservé uniquement à ceux dont le rôle exige un tel accès. Les procédures et processus éditoriaux qui sont en place ont été conçus pour protéger l’information de nos clients. Nos procédures de fonctionnement normalisées exigent que les antécédents des employés qui auront accès à de l’information sensible soient vérifiés, que ces employés signent des documents de confidentialité et reçoivent de la formation sur la sécurité de l’information, ainsi que sur l’éthique et la conformité aux règles de sécurité.

Ces dernières années, la cybersécurité devenant particulièrement importante, nous avons effectué des investissements majeurs dans la technologie de l’information, l’architecture des systèmes, les politiques, les systèmes et les pratiques conformément à notre Politique de sécurité de l’information. Notre Politique de sécurité de l’information prévoit une approche multidimensionnelle de la sécurité de l’information :

  • Les applications sont régulièrement soumises à des évaluations de vulnérabilité. Elles sont effectuées sur les applications en cours d’exécution (dynamiques), sur le code d’application (statiques), ainsi que sur les systèmes hôtes dans l’environnement, au moyen d’outils couramment utilisés dans l’industrie. Les vulnérabilités sont classées par catégories, et les risques élevés qui sont détectés sont traités en priorité et corrigés le plus rapidement possible pendant les cycles de développement réguliers. Les applications essentielles sont soumises à des tests de pénétration sur une base annuelle.
  • Une authentification multifacteur est exigée pour l’accès à distance à notre réseau.
  • Les applications suivent un modèle à plusieurs niveaux, qui offre la possibilité d’appliquer des contrôles à chaque niveau, en pratiquant une « défense en profondeur ». Nos portails Internet sont hébergés dans un environnement de réseau qui est séparé de notre environnement interne par des pare-feu. Le niveau exposé à Internet utilise une communication sécurisée par des protocoles cryptographiques comme SSL et TLS. Les centres de données qui hébergent nos applications suivent les pratiques couramment utilisées dans l’industrie et fournissent une attestation de leurs vérifications annuelles telles que SOC Type II.
  • Nous utilisons le cryptage pour protéger l’information des communiqués en transit vers les points de diffusion.
  • Les appareils des employés (utilisateurs finaux) sont munis de logiciels antivirus couramment utilisés dans l’industrie, qui font régulièrement l’objet de mises à jour et d’une surveillance. Des filtres antipourriel sont utilisés en périphérie pour aider à prévenir les épidémies de virus internes et les campagnes d’hameçonnage. La navigation sur Internet est contrôlée, et les sites Web externes réputés malveillants sont bloqués et consignés en vue de prévenir des épidémies de virus internes et le vol de données.
  • Une authentification à plusieurs étapes est obligatoire pour tous les utilisateurs du Portail des membres aux États-Unis et au Canada.

Malgré ces mesures de protection, Cision admet que tous les systèmes de TI demeurent vulnérables aux attaques; c’est pourquoi la surveillance est essentielle. Nos centres de données emploient des systèmes de détection des intrusions qui sont soumis à une surveillance régulière. Un Centre de commande des opérations de sécurité (SOCC, pour Security Operations Command Center) surveille le périmètre 24 heures sur 24, 7 jours sur 7, et tout comportement anormal est signalé à l’Équipe d’intervention en cas d’incident lié à la sécurité informatique (CSIRT, pour Computer Security Incident Response Team). Un plan formel d’intervention en cas d’incident est suivi par le SOCC et la CSIRT.