Aller au contenu

Pratiques de sécurité de Hootsuite


Dernière mise à jour : 20 septembre 2022

Hootsuite applique des mesures organisationnelles et techniques (« Pratiques de sécurité ») pour protéger les informations que vous nous fournissez (« Informations clients ») contre la perte, l'utilisation abusive, ainsi que l'accès ou la divulgation non autorisés. Ces mesures tiennent compte de la sensibilité des informations collectées, traitées et stockées par Hootsuite, de l'état actuel de la technologie, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des objectifs du traitement des données auquel Hootsuite procède.

Dans ce document sur les pratiques de sécurité, les « Services Hootsuite » désignent les Services en self-service ou les Services Enterprise, selon le cas et tels que définis dans les conditions applicables à votre accès aux services Hootsuite et à leur utilisation (le « Contrat »). Les termes en majuscules qui ne sont pas définis dans ce document ont le sens qui leur est donné dans le Contrat.


Les Pratiques de sécurité comprennent :

1. La Responsabilité affectée en matière de sécurité. Hootsuite dispose d'un responsable de la sécurité désigné et d'une équipe de sécurité chargés de superviser le développement, la mise en œuvre et la maintenance de ses Pratiques de sécurité.

2. Les Pratiques personnelles.

a. Tous les employés de Hootsuite :

  • i. sont liés par les politiques de Hootsuite concernant le traitement confidentiel du Contenu client ;

  • ii. suivent une formation en matière de sécurité et de confidentialité lors de leur intégration et sur une base continue au moins une fois par an par la suite, et bénéficient d'une supervision dont le niveau et le fond sont adaptés à leur poste ;

  • iii. sont tenus de lire et de signer les politiques de sécurité des informations concernant la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services que Hootsuite utilise pour fournir les Services Hootsuite.

b. Hootsuite met en place des contrôles appropriés pour restreindre l'accès de ses employés au Contenu client que vous et vos Utilisateurs autorisés mettez à disposition via les Services Hootsuite, et pour empêcher l'accès au Contenu client de toute personne qui ne devrait pas y avoir accès.

c. Hootsuite procède à un filtrage préalable à l'embauche approprié en fonction de la sensibilité du poste, qui peut inclure une vérification des antécédents judiciaires pour des postes particulièrement sensibles, lorsque la loi l'autorise.

3. Conformité et essais.Les audits, certifications et essais liés à la sécurité de Hootsuite comprennent :

a. des rapports de contrôle de l'organisation des services (SOC) : Hootsuite fait l'objet d'un audit SOC 2 de type II et de type III chaque année, réalisé par un auditeur tiers indépendant. Une copie du dernier rapport de Hootsuite est disponible sur demande pour les clients Enterprise existants ou potentiels qui acceptent de garder le rapport confidentiel dans le cadre d'un accord de confidentialité conclu avec Hootsuite ;

b. PCI-DSS : lorsque les paiements sont traités par carte bancaire, Hootsuite fait appel à des fournisseurs tiers respectant la norme PCI-DSS. Hootsuite ne stocke, ne transmet ou ne traite à aucun moment les informations de votre carte bancaire ; Hootsuite stocke simplement des jetons anonymes qui identifient les transactions traitées applicables ;

c. autorisation FedRAMP : l'utilisation par Hootsuite est autorisée au titre du programme fédéral de gestion des risques et des autorisations du gouvernement américain (https://marketplace.fedramp.gov/#!/product/hootsuite-enterprise), un processus de certification audité selon la norme NIST SP 800-53 ;

d. tests d'intrusion : la plateforme de produits Hootsuite (internet et mobile) est soumise à des tests d'intrusion annuels réalisés par un tiers indépendant.

4. Contrôles d'accès. Hootsuite dispose et maintiendra des mécanismes de contrôle d'accès appropriés, notamment :

a. des politiques et procédures qui concernent l'intégration et le départ, la transition entre les postes, les examens réguliers des accès, les limites et le contrôle de l'utilisation des droits d'administrateur, ainsi que les délais d'inactivité ;

b. la séparation des tâches et des domaines de responsabilité incompatibles ;

c. le maintien à jour des inventaires précis des ordinateurs et des comptes utilisateurs ;

d. l'application des principes du « moindre privilège » et du « besoin d'en connaître » ;

e. le réexamen régulier des droits d'accès des utilisateurs afin de repérer les privilèges excessifs ;

f. l'application d'une limite de tentatives de connexion et de sessions simultanées ; et

g. des exigences en matière de mot de passe, y compris une complexité minimale définie, des modifications du mot de passe après la première connexion, et des modifications ultérieures à des intervalles prédéterminés avec des limites de réutilisation.

5. Authentification multifacteur

a. L'accès aux systèmes utilisés par les employés et le personnel contractuel de Hootsuite est contrôlé par une authentification multifacteur. Cela signifie que tous les employés et sous-traitants de Hootsuite sont tenus de fournir la preuve de leur identité, en plus de fournir un mot de passe, pour accéder à tout système utilisé dans le cadre de la fourniture des Services Hootsuite.

b. Hootsuite met également à la disposition de ses Clients et de leurs Utilisateurs autorisés une fonctionnalité d'authentification multifacteur en ce qui concerne leur utilisation des Services Hootsuite (en tant qu'outil leur permettant de maintenir la sécurité de leurs comptes).

6. Authentification unique

a. Hootsuite a mis en place l'authentification unique (SSO) à l'échelle de l'entreprise afin de garantir un contrôle d'accès renforcé et plus centralisé des systèmes utilisés par les employés et le personnel contractuel de Hootsuite.

b. Hootsuite met également la fonctionnalité SSO à la disposition des clients Enterprise qui souhaitent garantir un contrôle d'accès renforcé et plus centralisé de leurs comptes.

7. Chiffrement des données

a. Les services Hootsuite prennent en charge les suites de chiffrement et les protocoles sécurisés les plus récents pour chiffrer l'ensemble du trafic en transit. À l'heure actuelle, Hootsuite prend en charge uniquement les protocoles TLS 1.2 et TLS 1.3 sur son site internet principal et sur toutes les pages acceptant les informations relatives aux cartes bancaires, et prend en charge les protocoles TLS 1.2 et TLS 1.3 sur toutes les pages.

b. Le Contenu client est également chiffré au repos, le cas échéant et en fonction de la nature du contenu et des risques associés. Presque toutes les informations traitées par Hootsuite sont largement accessibles depuis les Réseaux sociaux ou ailleurs, mais tous les messages programmés et en attente d'approbation, par exemple, sont chiffrés au repos pour une protection supplémentaire.

c. Hootsuite suit de près l'évolution en matière de chiffrement et déploie des efforts commercialement raisonnables pour améliorer les Services Hootsuite afin de répondre aux nouvelles faiblesses de chiffrement au fur et à mesure qu'elles sont découvertes et de mettre en œuvre les meilleures pratiques au fur et à mesure de leur évolution. Pour le chiffrement des données en mouvement, Hootsuite le fait tout en tenant compte du besoin de compatibilité pour les anciens clients.

8. Journalisation et détection des intrusions

a. Tous les systèmes utilisés pour fournir les Services Hootsuite, y compris les pare-feu, les routeurs, les commutateurs réseau et les systèmes d'exploitation, enregistrent les informations sur des serveurs de journaux sécurisés afin de permettre des examens et des analyses de sécurité.

b. Hootsuite gère un environnement de journalisation complet et centralisé dans son environnement de production qui contient des informations relatives à la sécurité, à la surveillance, à la disponibilité, à l'accès et à d'autres indicateurs concernant les Services Hootsuite. Les journaux sont analysés pour détecter les événements de sécurité via un logiciel de surveillance automatique supervisé par l'équipe de sécurité de Hootsuite.

c. Hootsuite surveille les Services Hootsuite pour détecter les intrusions non autorisées à l'aide de mécanismes de détection des intrusions basés sur le réseau et sur l'hôte et de pare-feu d'applications web.

9. Protection du réseau. Outre la surveillance et la journalisation du système, Hootsuite a mis en place des pare-feu. Les ports qui ne sont pas utilisés pour la fourniture des Services Hootsuite sont bloqués par la configuration auprès de notre fournisseur de centre de données.

10. Gestion des hôtes. Hootsuite effectue des analyses de vulnérabilité automatisées sur ses hôtes de production et déploie des efforts commercialement raisonnables pour remédier à toute découverte présentant un risque matériel pour l'environnement Hootsuite. Hootsuite impose le verrouillage des écrans et l'utilisation du chiffrement complet des disques pour les ordinateurs portables de l'entreprise.

11. Disponibilité. L'infrastructure de Hootsuite fonctionne sur des systèmes tolérants aux pannes et fournit aux clients Enterprise une disponibilité garantie, comme le prévoit l'Accord de niveau de service Enterprise publié à l'adresse suivante : https://www.hootsuite.com/legal/enterprise-service-level-agreement.

12. Reprise après sinistre

a. Lorsque votre utilisation des Services Hootsuite nécessite que les systèmes de Hootsuite stockent du Contenu client, ce Contenu client est stocké de manière redondante à plusieurs endroits dans les centres de données du fournisseur d'hébergement Hootsuite afin de garantir sa disponibilité. Hootsuite dispose de procédures de sauvegarde et de restauration pour permettre la reprise après un sinistre majeur.

b. Le Contenu client et le code source de Hootsuite sont automatiquement sauvegardés tous les soirs. L'équipe des opérations de Hootsuite est alertée en cas de panne du système. Les sauvegardes sont entièrement testées au moins tous les 90 jours pour confirmer que ces processus et outils fonctionnent comme prévu.

13. Sécurité physique. Hootsuite utilise actuellement Amazon Web Services (AWS) pour ses centres de données de production afin de fournir les Services Hootsuite. AWS a été sélectionné pour ses normes élevées en matière de sécurité physique et technologique, et possède des certifications et des accréditations reconnues au niveau international, qui prouvent sa conformité au regard de normes internationales rigoureuses, telles que les normes ISO 27017 pour la sécurité du cloud, ISO 27018 pour la confidentialité dans le cloud, SOC 1, SOC 2 et SOC 3, PCI DSS de niveau 1, entre autres. Pour plus d'informations sur la certification et la conformité d'Amazon Web Services, veuillez consulter le site de sécurité d'AWS (https://aws.amazon.com/security/) et le site internet de conformité d'AWS (https://aws.amazon.com/compliance/).

14. Politiques et procédures de sécurité. Hootsuite met en œuvre et gère des politiques et des procédures de sécurité conformes au cadre de cybersécurité du National Institute of Standards and Technology (NIST). En particulier, les Services Hootsuite sont gérés conformément aux politiques et procédures suivantes :

a. Les mots de passe des clients sont stockés à l'aide d'un hachage salé unidirectionnel.

b. Les journaux d'accès des utilisateurs sont conservés et contiennent la date, l'heure, l'ID utilisateur, l'URL exécutée ou l'ID de l'entité utilisée, l'opération effectuée (création, mise à jour, suppression) et l'adresse IP source.

c. Les mots de passe des clients ne sont pas enregistrés.

d. Le personnel de Hootsuite ne définira pas de mot de passe défini pour les utilisateurs. Les mots de passe sont réinitialisés à une valeur aléatoire (qui doit être modifiée lors de la première utilisation) et envoyés automatiquement par e-mail à l'utilisateur qui en fait la demande.

15. Pratiques de sécurité liées à la conception des produits. Les nouvelles fonctionnalités et modifications de conception font l'objet d'un processus de révision facilité par l'équipe de sécurité de Hootsuite. En outre, le code de Hootsuite est testé et révisé manuellement par des pairs avant d'être déployé en production. L'équipe de sécurité de Hootsuite travaille en étroite collaboration avec ses équipes produit et d'ingénierie pour résoudre tout problème de sécurité ou de confidentialité supplémentaire qui pourrait survenir au cours du développement.

16. Gestion et réponse des incidents. Hootsuite applique des politiques et des procédures de gestion des incidents de sécurité. Hootsuite informe sans délai les clients concernés de toute divulgation non autorisée de leur Contenu client par Hootsuite ou ses agents, dont Hootsuite a connaissance, dans la mesure autorisée par la loi.