La confidentialité chez ORSEC Technologies

Introduction

Votre cyber sérénité étant notre priorité, nous appliquons à nos solutions les bonnes pratiques en matière de cybersécurité et de confidentialité des données.

Cybersécurité de vos données chez ORSEC Technologies

Mais si les Services API (orsec.io) permet de synchroniser les mises à jours de ma sonde dans réseau informatique, n’y a-t-il pas un risque pour mes données sur le serveur d'ORSEC Technologies ?

Excellente question ! La réponse est « non ». Voilà pourquoi :

Collecte de données sur les serveurs

Le Règlement Général sur la Protection des Données (RGPD) est clair sur ce point : la meilleure protection d’une donnée, c’est de ne pas l’avoir. Chez ORSEC Technologies, nous aimons cette maxime. Nous avons pensé notre solution matérielle pour que les données collectées sur votre réseau soient réduites au strict minimum.

Les données que les solutions NMS collecte sur votre réseau

Concernant votre entreprise :

• L'ensemble des périphériques sur votre réseau
• L'ensemble des flux
• Évolution des risques de sécurité de votre réseau
• L'adresse IP publique et l'adresse IP passerelle de votre réseau

Concernant le matériel ORSEC Technologies :

• L'ensemble du trafic réseau de la solution NMS®
• L'historique des données sécurisé de la solution NMS®
• Les données physiques de la solution NMS® (température, tension, statistiques CPU, GPU, RAM, HDD et statistiques logicielles internes)
ORSEC Technologies ne collecte donc AUCUNE donnée sensible ni donnée à caractère personnel sur ses serveurs.

Les données que ORSEC Technologies ne collecte pas sur votre réseau

• Les types d’appareils connectés • Les adresses IP des appareils connectés
• Les adresses MAC des appareils connectés
• Les OS et logiciels installés des appareils
• Les e-mails et numéros de téléphone que la solution ORSEC Technologies pourrait détecter sur les appareils
• Les listes de contacts que la solution ORSEC Technologies pourrait détecter sur les appareils
• Les noms d’utilisateurs et d’administrateurs que la solution ORSEC Technologies pourrait détecter sur les appareils
• Les données des disques durs ou des serveurs des appareils (documents, photos, vidéos...)
• etc...

Finalités du traitement

Toutes les données collectées mentionnées ci-dessus le sont dans le but exclusif de l'offre de cyber sérénité ORSEC Technologies :

• Cartographie de votre réseau
• Découverte et alerte des failles connues de sécurité en temps réel
• Suivi de l'état physique de la solution NMS®
• Génération de rapports des flux
• Génération de rapports des risques
• Détection de nouveaux appareils connectés sur votre réseau

Aucune de ces données n'est utilisée à d'autres fins, ni n'est cédée, gratuitement ou non, à un tiers.

Durée de conservation des données

ORSEC Technologies traite les données mentionnées ci-dessus toute la durée du contrat. À la fin de notre partenariat, ORSEC Technologies récupère la solution NMS et la réinitialise complètement dans un délai de trois (3) mois. Toutes les données contenues dans la solution NMS sont détruites sauf les données suivantes qui sont anonymisées et archivées à titre statistique :

• Évolution du nombre d’appareils connectés
• Évolution du nombre d’appareils par niveau de criticité
• Évolution de la note globale de sécurité de votre réseau
• Évolution de l'état de santé de l'appareil

Aucune donnée sensible sur nos serveurs

Votre entreprise ne sera pas soumise aux mêmes risques cyber en fonction des types de données traitées. Contactez-nous pour déterminer la solution NMS la plus adaptée à votre structure et à vos activités.

ORSEC Technologies n’a pas accès à vos données sensibles

Aucune information sensible ne sort du réseau d'entreprise. Toutes les informations confidentielles restent sur la solution NMS et ne sont accessibles qu'en se connectant depuis le réseau de l'entreprise. En réalité, ORSEC Technologies est dans l'impossibilité de stocker vos données sur son réseau. Notre matériel n'a tout simplement pas été conçu dans le but de transmettre des données personnelles. ORSEC Technologies n'a accès :

• Ni à aucune donnée à caractère personnel sur votre réseau
• Ni à aucune donnée sensible
• Ni aux types de failles de sécurité

Les raisons sont simples :

• Nous souhaitons respecter la loi
• Nous souhaitons respecter notre philosophie et nos valeurs
• Nous souhaitons établir une relation de confiance avec nos clients
• Nous ne souhaitons pas devenir la cible de tous les hackers du monde attirés par les failles réseau et les données personnelles de nos clients

En somme, les seules données à caractère personnel traitées par ORSEC Technologies sont les renseignements administratifs nécessaires à l'exécution du Service ORSEC Technologies (nom, prénom, email et numéro de téléphone mobile du contact contractuel) obtenues à la signature du contrat.

Données personnelles du compte client

Lorsque nous débutons un partenariat avec un client, nous sommes évidemment amenés à créer un compte client et donc collecter des données. Dans ce cas aussi, nous limitons le traitement au strict minimum.

Données à caractère personnel collectées

• Nom du contact
• Prénom du contact
• Email et numéro de téléphone mobile du contact contractuel (si non professionnels)

Et c'est tout ! Toutes les autres données traitées sont liées aux informations juridiques & administratives de l'entreprise et aux informations de facturation (adresse postale, informations de paiement...).

Finalité du traitement

Toutes les données collectées mentionnées ci-dessus le sont dans le but exclusif de l'exécution du contrat entre ORSEC Technologies et le Client :

• Informations juridiques de l'entreprise
• Informations administratives de l'entreprise
• Informations de facturation de l'entreprise
• Informations administratives du contact contractuel de l'entreprise

Durée de conservation des données personnelles

ORSEC Technologies traite les données mentionnées ci-dessus durant toute la durée du contrat. À la fin de notre partenariat, ORSEC Technologies supprime ces données à caractère personnel dans un délai de trois (3) mois. En aucun cas elles ne sont cédées, gratuitement ou non, à un tiers.

Nos sous-traitants en conformité RGPD

ORSEC Technologies travaille avec des partenaires et des sous-traitants : distributeurs, revendeurs, infogéreurs, auditeurs, pentesters, etc... Comme stipulé dans le RGPD, ils « présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques » (Article 28). Ils ont par ailleurs tous accepté par accord oral notre charte de bonne conduite et de conformité RGPD. Par cette charte, ils s’engagent à respecter la philosophie et les valeurs de ORSEC Technologies vis-à-vis du traitement des données à caractère personnel et de la sécurité de vos réseaux informatiques. Comme ORSEC Technologies, nos sous-traitants et partenaires n’ont pas accès aux données de vos réseaux.

Références et liens

• Site Internet de la CNIL : https://www.cnil.fr/
• Texte du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Contact

Pour tout renseignement supplémentaire, n'hésitez pas à nous contacter en vous adressant à contact@orsec.tech ou par courrier à l'addresse suivante : ORSEC Technologies, 8 rue des métiers, 05000 Rennes, France. Référent DPO : David Legeay