A l’occasion de la journée européenne de la protection des données, nous avons demandé à Julien Champseix et Arthur Poirier de Brevo de répondre à nos questions autour de la sécurité. Ensemble, nous avons discuté aussi bien de l’impact des régulations que de notre approche globale sur la protection des données.
Dans cette dernière partie de notre série : Conversation avec les Experts, nous parlons de l’approche de Brevo sur la protection des données.
Nos experts en protection des données
Julien Champseix
Julien est Responsable de la Sécurité des Systèmes d’Information chez Brevo. Depuis sa prise de poste il y a un an, Julien a supervisé l’obtention de notre certification ISO 27001:2013 et continue de renforcer la structure de protection de données de l’entreprise.
Arthur Poirier
Arthur est Directeur Juridique et Délégué à la Protection des Données chez Brevo. Son rôle est de s’assurer de la conformité de Brevo et de nos clients avec la RGPD.
Définition de l’approche de Brevo
Quelle est l’approche globale de Brevo sur la cybersécurité ?
Julien : Notre structure de cybersécurité est basée sur plusieurs axes, puisque notre plateforme et applications peuvent être accédées manuellement via un portail mais aussi via un accès programmatique avec des clés API.
Nous effectuons divers tests d’intrusion afin de pouvoir détecter nos points faibles avant qu’ils ne soient compromis. Nous travaillons avec des hackers éthiques et organisons des « bug bounty » où ils essaient de pénétrer et de casser notre plateforme et toutes les applications qui y sont attachées.
Ce type de sécurité proactive est très précieux. Ça nous donne un certain nombre d’informations sur la faille de sécurité en elle-même mais aussi sur les actions qu’un acteur externe devrait prendre pour avoir accès à cette faille. Ces détails sont vérifiés en premier lieu par notre équipe de sécurité chez Brevo, et donnés ensuite à nos ingénieurs, qui corrigent et documentent cette faille pour ne pas qu’elle se reproduise.
Avec mon équipe, on effectue des contrôles réguliers sur la qualité du code et la sécurité au sein de nos applications. Avant même de lancer une application, on peut ainsi voir si elle ne répond pas à nos standards ou si elle ne respecte pas les régulations en vigueur (comme le référentiel de l’OWASP).
Enfin, on fait l’effort d’offrir à nos clients l’option de se protéger encore plus par eux-même en leur proposant des mécanismes comme l’authentification multi-facteurs ou les listes blanches d’adresses IP. Quand un client prend ces deux mesures, cela laisse très peu de marge pour les pirates informatiques.
Plusieurs cas récents de violations de données de haut niveau ont été liés à des comptes employés compromis. Que fait Brevo pour empêcher ce genre d’incidents ?
Julien : C’est tout à fait le cas — on voit de plus en plus que la majorité des cas de violations de sécurité viennent des employés, que ce soit en partageant des mots de passe avec un collègue ou en étant la victime d’un mail d’hameçonnage (phishing) ou encore de social engineering.
Chez Brevo, tous les appareils que nous allouons aux employés sont protégés par du chiffrement et un software anti-malware. Nos employés doivent suivre une formation en cybersécurité et changer leurs mots de passe régulièrement. C’est notre première ligne de défense, protéger et sensibiliser nos employés.
Ensuite, notre système de gestion des appareils mobiles (Mobile Device Management) nous permet de surveiller notre flotte entière d’appareils. De cette manière, on peut s’assurer que nos employés utilisent la version la plus actuelle et sécurisée de chaque application ou logiciel. Ce système de gestion nous permet aussi de garder un œil sur le type d’informations auxquelles nos employés ont accès.
Enfin, j’envoie des communications régulières à nos employés pour les prévenir des violations de données dans notre industrie et partager des mises à jour sur les meilleures pratiques à adopter. Cela aide à garder la sécurité des données à l’esprit de tous et permet de s’assurer que nous faisons tous attention et sommes capables d’identifier des tentatives de phishing, de social engineering, et d’autres contenus malveillants.
Pouvez-vous donner un exemple des menaces contre lesquelles le système de protection de données de Brevo a été conçu pour se défendre ?
Julien : Pour donner un exemple concret, nous avons des clients qui créent des clés API pour créer des automations entre leur site Internet, leur magasin en ligne, et Brevo. Ils stockent parfois ces clés API sur des sites accessibles publiquement comme GitHub.
Cela rend leurs clés API visible de tous, ce qui veut dire que leur compte et leurs données peuvent être corrompus. Donc ce qu’on a fait c’est mettre en place des mécanismes qui détectent ces fuites de clés API pour nos clients, afin de pouvoir désactiver immédiatement ces clés dans notre système, et d’en informer nos clients.
Nous prenons la sécurité de nos clients très au sérieux car sans ces mesures, une fuite pourrait avoir des conséquences désastreuses pour leurs entreprises. C’est pour cela que nous avons mis en place des filets de sécurité comme celui-ci.
Quel rôle joue Brevo dans la protection des données personnelles des individus dans le contexte du RGPD ?
Arthur : Le RGPD définit deux rôles principaux qui sont pertinents pour Brevo et nos utilisateurs : celui qui contrôle le traitement et celui qui traite les données sur la base d’instructions précises. Celui qui contrôle, le Responsable du traitement, initie et commandite le traitement des données personnelles. Celui qui suit les instructions du Responsable du traitement est le Sous-traitant: il est bien souvent un fournisseur qui traite les données personnelles pour le compte d’un client (hébergeur, acteur du Cloud, etc).
Dans le cadre de la fourniture du service Brevo, le Responsable du traitement est notre client, et nous sommes son Sous-traitant. Nous ne traitons les données personnelles du client que pour son compte, sur la base des instructions données depuis leur compte et les fonctionnalités de notre plate-forme. Brevo ne télécharge jamais de donnée personnelle, n’envoie de campagne d’emails, ni ne contacte une personne concernée depuis le compte d’un client sans avoir été chargée de le faire.
Impact client
Que faisons-nous pour aider nos clients à respecter le RGPD ?
Arthur : En premier lieu, le RGPD définit l’obligation d’établir un contrat entre le Responsable du traitement et le Sous-traitant des données (Accord sur la protection des données personnelles, ou “Data Processing Agreement” en anglais) . Ce contrat fait partie de la documentation standard que nous donnons à nos clients et qui est inclus comme annexe dans nos Conditions Générales d’Utilisation.
Ensuite, nous auditons régulièrement nos propres Sous-traitants pour avoir autant d’informations que possible quant à leur gestion des données. De cette façon, nous pouvons appuyer notre respect du RGPD tout au long de la chaîne de contractualisation et pouvons assurer la transparence quant à l’utilisation des données du client.
Nous avons deux Délégués à la Protection des Données chez Brevo : moi-même au niveau du Groupe et Betina Russel, qui se concentre sur la la zone germanophone. A nous deux, nous gérons la plus grande partie des inquiétudes et questions de nos clients. On forme aussi nos agents du service client sur les questions de protection des données et les gardons informés sur les enjeux actuels du RGPD.
Nous avons surtout conçu un produit permettant de répondre aux enjeux de la mise en conformité au RGPD, tenant compte des contraintes et des exigences d’une telle réglementation.
Brevo applique enfin une procédure efficace de réponse aux demandes de personnes concernées.
Quel est l’impact de l’obtention récente de la certification ISO de Brevo ?
Julien : Grâce à la certification ISO27001 de Brevo, nos utilisateurs sont assurés que leur données sont gérées et protégées par des pratiques élevées. Ça démontre également notre engagement en cybersécurité sur le long terme, car cette certification requiert d’avoir un département dédié à l’amélioration continue de la sécurité de notre produit.
Au-delà de ça, avoir la certification ISO est en train de devenir une norme dans l’industrie. C’est utile pour les consommateurs de comparer ce que les entreprises font en termes de cybersécurité sur des critères standardisés. Nous avons les mêmes processus de surveillance et d’audit et pouvons facilement communiquer avec les utilisateurs au travers de cette certification publique.
De cette manière, la certification est bien plus que quelque chose délivré à un instant T — cela signifie que l’entreprise travaille en continu pour le maintien et l’amélioration de la gestion et de la protection de ses données. Cela veut dire qu’elle a alloué des ressources physiques, humaines et budgétaires pour continuer d’améliorer sa sécurité.
Un acteur majeur de la cybersécurité
Puisque les grandes organisations ont tendance à gérer un volume considérable de données personnelles, ce sont elles qui épaulent la plus grande partie des risques de violations et de fuites. De l’autre côté, ce sont elles qui ont le plus de ressources pour contrecarrer les incidents de cybersécurité.
Les consommateurs deviennent de plus en plus préoccupés sur la façon dont leurs données personnelles sont gérées. Il est temps pour les grandes organisations de répondre à ces inquiétudes en évaluant, en défiant, et en renforçant leur système de protection des données.
Pour en savoir plus sur la protection des données chez Brevo, allez lire notre politique globale de sécurité.
