Questions fréquentes

Phished a mis en œuvre et maintient l’un des systèmes de gestion de la sécurité de l’information les plus connus au monde : ISO/IEC 27001. Nous sommes entièrement certifiés conformes à cette norme. Notre numéro d’enregistrement de certificat est 30050399, valable du 27/09/2024 au 26/09/2027, avec une déclaration d’applicabilité datée du 13/08/2024 (version 2.0).

En plus de la norme ISO 27001, Phished détient un rapport ISAE 3000 (SOC 2 Type II), un certificat Cyber Essentials et opère conformément aux exigences ISO/IEC 27701, NIS2 et DORA.

Phished est également entièrement conforme au RGPD, garantissant que toutes les activités de traitement des données répondent aux exigences strictes du Règlement général sur la protection des données. De plus, nous appliquons les meilleures pratiques du secteur dans des domaines tels que le chiffrement des données, le contrôle d’accès et les processus de développement sécurisés, assurant la protection des données des clients à tout moment.

Pour en savoir plus, consultez notre page sur la conformité.

Phished accorde une priorité élevée à la confidentialité et à la protection des données des utilisateurs. La plateforme est entièrement conforme au RGPD et adhère à des principes fondamentaux tels que la minimisation des données et la limitation des objectifs. Cela signifie que Phished ne collecte que les données personnelles strictement nécessaires à la fourniture de ses services — telles que des simulations de phishing, des modules de formation et des informations sur les rapports—et ne les utilise qu’à cette fin.

Bien que Phished utilise certains attributs utilisateur (par exemple, la langue, la région, le rôle de l’emploi) pour adapter les simulations et le contenu de formation, cela se fait par des processus automatisés qui ne donnent pas lieu à des décisions ayant des effets juridiques ou similaires sur les individus. L’objectif est d’offrir un contenu pertinent et réaliste tout en respectant pleinement la vie privée des utilisateurs et en évitant le profilage intrusif.

Pour plus de détails, vous pouvez consulter notre politique de confidentialité.

Phished applique plusieurs couches de sécurité pour protéger l’accès à la plateforme et l’authentification des utilisateurs. Toutes les sessions utilisateur sont sécurisées avec le cryptage TLS/SSL, garantissant un transfert de données sécurisé entre les utilisateurs et la plateforme.

L’authentification multifacteur (MFA) est appliquée aux comptes administrateurs pour empêcher tout accès non autorisé. La plateforme prend également en charge l’authentification unique (SSO) via SAML 2.0, permettant aux organisations d’intégrer Phished avec leur fournisseur d’identité existant pour une authentification utilisateur rationalisée et sécurisée.

De plus, le contrôle d’accès basé sur les rôles (RBAC) garantit que les utilisateurs n’ont accès qu’aux fonctionnalités et données pertinentes pour leur rôle. Phished implémente la gestion de session, la surveillance des connexions et la journalisation des activités pour aider à détecter les comportements suspects. Des évaluations de sécurité régulières et des tests d’intrusion sont effectués pour identifier et atténuer de manière proactive les vulnérabilités potentielles.

Notre approche globale de la cybersécurité met l’accent sur une stratégie minutieuse et proactive. En alignant étroitement le processus de correction avec la gravité et les conséquences potentielles des vulnérabilités, nous assurons une réponse systématique et efficace. 
De plus, notre stratégie va au-delà du simple patch, englobant un suivi et une évaluation continus pour rester en avance sur les risques émergents. Nous croyons en un cadre de cybersécurité holistique qui non seulement répond aux préoccupations immédiates, mais établit également une base pour la résilience à long terme. 
De plus, Phished utilise une approche à plusieurs niveaux pour l’analyse des vulnérabilités

- Analyse automatique des vulnérabilités : scanner de vulnérabilités en ligne qui analyse les faiblesses de cybersécurité dans notre infrastructure numérique sur une base quotidienne et émergente de menaces. Les alertes instantanées nous permettent de traiter rapidement les menaces, en minimisant la fenêtre d’exposition et en améliorant la résilience globale de la cybersécurité.

- Hackers éthiques : Nous tirons parti d’un programme professionnel qui engage des hackers éthiques à identifier en permanence les faiblesses de cybersécurité au sein de notre infrastructure numérique. Notre programme invite les chercheurs en sécurité du monde entier à participer activement à la détection et au signalement des vulnérabilités. Cette approche proactive et transparente favorise un cycle d’amélioration continue, renforçant la résilience de nos systèmes face aux menaces émergentes.

- Politique de divulgation responsable : Nous croyons que la collaboration avec la communauté de recherche en sécurité est cruciale pour identifier et aborder les vulnérabilités potentielles dans nos systèmes et applications. Nous encourageons la divulgation responsable de tout problème de sécurité découvert et apprécions l’aide des chercheurs en sécurité pour maintenir un environnement sécurisé pour tous. Notre politique de divulgation responsable décrit les lignes directrices pour signaler les vulnérabilités de sécurité à Phished, ainsi que notre fichier security.txt.

- Tests de pénétration physique : En plus des protections numériques, Phished effectue régulièrement des tests de pénétration physique pour évaluer la résilience de notre infrastructure physique et nos procédures opérationnelles. Ces tests simulent des tentatives d’intrusion dans le monde réel pour évaluer les contrôles d’accès, la sensibilisation des employés et les protocoles de sécurité au niveau de l’installation.

Chez Phished, toutes les données des utilisateurs sont stockées dans des centres de données hautement sécurisés situés en Europe et en Amérique du Nord. Cette configuration garantit la conformité aux normes internationales les plus élevées en matière de confidentialité, de sécurité et de protection juridique, y compris le RGPD et d’autres réglementations applicables.

Les applications Phished sont hébergées sous forme d’applications distribuées basées sur des conteneurs dans Google Cloud Platform (GCP) en Belgique. Nos bases de données de production dorsales sont hébergées dans la même région. Les emplacements de base de données à basculement hautement disponibles se trouvent dans la même région, mais dans une autre zone.

Une liste détaillée des sous-traitants peut être consultée dans notre accord de traitement des données. Nous avons des accords de traitement des données en place avec tous nos sous-traitants conformément à l’article 28 du RGPD. Ces accords incluent des clauses contractuelles standard pour les transferts de données vers des pays tiers. Les centres de données principaux de nos sous-traitants sont situés dans l’EEE, mais ils peuvent transférer des données en dehors de l’Espace économique européen si leur siège social est situé aux États-Unis. Cependant, toutes les données personnelles sont toujours cryptées au repos et en mouvement pour assurer leur sécurité. Nous avons exécuté une évaluation d’impact sur la protection des données (DPIA) et une évaluation d’impact sur le transfert de données (DTIA) pour chaque sous-processeur, et ils sont conformes à ISO27001 et SOC2.