Questions fréquentes

Phished a mis en œuvre et maintient l’un des systèmes de gestion de la sécurité de l’information les plus reconnus au monde : l’ISO/IEC 27001. Nous sommes entièrement certifiés conformes à cette norme. Notre numéro d’enregistrement de certificat est le 30050399, valable du 27/09/2024 au 26/09/2027, avec une déclaration d’applicabilité datée du 13/08/2024 (version 2.0).

En plus de la norme ISO 27001, Phished détient un rapport ISAE 3000 (SOC 2 Type II), un certificat Cyber Essentials et opère conformément aux exigences ISO/IEC 27701, NIS2 et DORA.

La plateforme est également entièrement conforme au RGPD, garantissant que toutes les activités de traitement des données répondent aux exigences strictes du Règlement général sur la protection des données. De plus, nous appliquons les meilleures pratiques du secteur dans des domaines tels que le chiffrement des données, le contrôle d’accès et les processus de développement sécurisés, assurant la protection des données des clients à tout moment.

Pour en savoir plus, consultez notre page sur la conformité.

Phished accorde une priorité élevée à la confidentialité et à la protection des données des utilisateurs. La plateforme est entièrement conforme au RGPD et respecte des principes fondamentaux tels que la minimisation des données et la limitation des objectifs. Cela signifie que Phished ne collecte que les données personnelles strictement nécessaires à la fourniture de ses services (simulations de phishing, modules de formation, informations sur les rapports…) et ne les utilise qu’à cette fin.

Bien que la plateforme utilise certains attributs utilisateur pour adapter les simulations et le contenu de formation (telle que la langue, la région ou le rôle dans l’entreprise), cela se traduit par des processus automatisés qui ne donnent aucunement lieu à des décisions ayant des effets juridiques ou similaires sur les individus. L’objectif est d’offrir un contenu pertinent et crédible tout en respectant pleinement la vie privée des utilisateurs et en évitant le profilage intrusif.

Pour plus de détails, veuillez consulter notre politique de confidentialité.

Phished applique plusieurs couches de sécurité pour protéger l’accès à la plateforme et l’authentification des utilisateurs. Toutes les sessions utilisateur sont sécurisées par un chiffrement TLS/SSL qui garantit un transfert de données sécurisé entre les utilisateurs et la plateforme.

Une authentification multifacteur (MFA) est appliquée aux comptes administrateurs afin d’empêcher tout accès non autorisé. La plateforme prend également en charge l’authentification unique (SSO) via SAML 2.0, permettant aux organisations d’intégrer Phished avec leur fournisseur d’identité existant pour une authentification utilisateur simplifiée et sécurisée.

Par ailleurs, le contrôle d’accès basé sur les rôles (RBAC) garantit que les utilisateurs n’accèdent qu’aux fonctionnalités et données pertinentes pour leur rôle. Phished implémente la gestion des sessions, la surveillance des connexions et la journalisation des activités afin d’aider à détecter les comportements suspects. Des évaluations de sécurité régulières et des tests d’intrusion sont effectués pour identifier et atténuer de manière proactive les vulnérabilités potentielles.   

Notre approche globale de la cybersécurité met l’accent sur une stratégie minutieuse et proactive. En alignant étroitement le processus de correction avec la gravité et les conséquences potentielles des vulnérabilités, nous assurons une réponse systématique et efficace. 
De plus, notre stratégie dépasse le simple patch : elle englobe un suivi et une évaluation continus pour anticiper les risques émergents. Nous croyons en un cadre de cybersécurité holistique qui répond non seulement aux préoccupations immédiates, mais qui établit également une base pour la résilience à long terme.

Phished utilise une approche à plusieurs niveaux pour l’analyse des vulnérabilités

- Analyse automatique des vulnérabilités : scanner en ligne qui analyse quotidiennement les faiblesses de cybersécurité dans notre infrastructure numérique en fonction des menaces émergente. Les alertes instantanées nous permettent de traiter rapidement les menaces, en minimisant la fenêtre d’exposition et en améliorant la résilience globale de la cybersécurité.

- Hackers éthiques : nous tirons parti d’un programme professionnel qui engage des hackers éthiques à identifier en permanence les failles de sécurité au sein de notre infrastructure numérique. Notre programme invite les chercheurs en sécurité du monde entier à participer activement à la détection et au signalement des vulnérabilités. Cette approche proactive et transparente favorise un cycle d’amélioration continue, renforçant la résilience de nos systèmes face aux menaces émergentes.

- Politique de divulgation responsable : nous croyons que la collaboration avec la communauté de recherche en sécurité est cruciale afin d’identifier et d’aborder les vulnérabilités potentielles dans nos systèmes et applications. Nous encourageons la divulgation responsable de tout problème de sécurité découvert et apprécions l’aide des chercheurs en sécurité pour maintenir un environnement sécurisé pour tous. Notre politique de divulgation responsable décrit les lignes directrices pour signaler les vulnérabilités de sécurité à Phished, ainsi que notre fichier security.txt.

- Tests de pénétration physique : en plus des protections numériques, Phished effectue régulièrement des tests de pénétration physique afin d’évaluer la résilience de notre infrastructure physique et nos procédures opérationnelles. Ces tests simulent des tentatives d’intrusion dans le monde réel pour évaluer les contrôles d’accès, la sensibilisation des employés et les protocoles de sécurité au niveau de l’installation.

Chez Phished, toutes les données utilisateur sont stockées dans des centres de données hautement sécurisés situés en Europe. Cette configuration garantit la conformité aux normes internationales les plus strictes en matière de confidentialité, de sécurité et de protection juridique, notamment au RGPD et d’autres réglementations applicables.

Les applications Phished, déployées sous forme d’applications distribuées basées sur des conteneurs dans Google Cloud Platform (GCP), ainsi que nos bases de données de production backend sont hébergées en Belgique. Les emplacements de base de données à basculement à haute disponibilité sont également hébergés dans cette même région, mais dans une zone distincte.

Une liste détaillée des sous-traitants peut être consultée dans notre accord de traitement des données. Nous avons conclu des accords de traitement des données avec chacun de nos sous-traitants, conformément à l’article 28 du RGPD. Ces accords incluent des clauses contractuelles standard pour les transferts de données vers des pays tiers. Les centres de données principaux de nos sous-traitants sont situés dans l’Espace économique européen (EEE), mais des données peuvent être transférées en dehors de cet espace si le siège social est situé aux États-Unis. Cependant, toutes les données personnelles demeurent chiffrées, au repos comme en transit, afin d’assurer leur sécurité. Nous avons réalisé une analyse d’impact relative à la protection des données (AIPD) et une évaluation d’impact sur le transfert de données (AITD) pour chaque sous-traitant, et tous sont conformes aux normes ISO 27001 et SOC 2.