Hero Background Image
SECURITÉ ET CONFIDENTIALITÉ

Une relation de confiance à toute épreuve

Vous pouvez faire confiance aux innovations Workday. Afin de garantir la sécurité et la confidentialité de vos données dans le Cloud, nous déployons des mesures de protection avancées et surveillons nos systèmes en continu, 24 h/24 et 7 j/7.

 

Sécurité

Chez Workday, la sécurité de vos données figure en tête de nos priorités. Nous adoptons des mesures de sécurité drastiques aux niveaux organisationnel, architectural et opérationnel afin de garantir la protection de vos informations, applications et infrastructure.

Décoratif

Sécurité organisationnelle

Chez Workday, la sécurité est l'affaire de tous, et ce dès le premier jour. Tous les collaborateurs Workday suivent une formation sur la sécurité, la confidentialité et la conformité à leur arrivée afin d'assurer la sûreté des données de Workday et de nos clients. Notre équipe en charge de la sécurité des informations (Security Information) fournit les connaissances et les compétences nécessaires pour éviter ou minimiser les risques de sécurité de manière continue via notre programme de formation et de sensibilisation.

L'équipe dirigeante a aussi un rôle à jouer. L'équipe Executive Leadership Team, groupe transfonctionnel réunissant des dirigeants de l'ensemble de l'entreprise, favorise l'alignement des managers et veille à ce que la sécurité soit prise en considération par tous.

Sécurité architecturale

Niveaux de relation

Nos clients sont les responsables du traitement des données, tandis que Workday en est le sous-traitant. Cela signifie que vous en avez le contrôle intégral dans les services proposés, ainsi que sur toutes les configurations. Vos informations demeurant toujours sous votre contrôle, vous n'aurez pas à dépendre de nous pour réaliser vos tâches quotidiennes comme par exemple :

  • La délivrance d'autorisations et la gestion des rôles
  • La création de nouveaux rapports et de worklets
  • La configuration de flux de processus de gestion, d'alertes, de règles et autres
  • La création de nouvelles intégrations avec des solutions ou outils Workday
  • La modification ou la création de nouvelles structures organisationnelles
  • Le suivi des transactions
  • La recherche de données historiques et de modifications de la configuration

Chiffrement des données

Workday chiffre tous les attributs des données client avant de les stocker dans l’environnement client. C'est l'une de nos caractéristiques technologiques fondamentales. Comme Workday est une application « in-memory » orientée objet et non pas un système de gestion de base de données relationnel (SGBDR) basé sur disques, nous sommes en mesure de garantir un chiffrement ultra-sécurisé. Nous utilisons l'algorithme AES (« Advanced Encryption Standard ») avec une clé de 256 bits et une clé de chiffrement unique pour chaque client.

Le protocole TLS (« Transport Layer Security ») protège l'accès des utilisateurs sur Internet en sécurisant le trafic réseau contre les indiscrétions, le piratage ou la falsification de messages. Les intégrations sur fichier peuvent être chiffrées via le logiciel PGP ou via cryptographie asymétrique, au moyen d'un certificat généré par le client. Le protocole WS-Security est également pris en charge pour les intégrations de services Web dans l'API Workday.

Sécurité logique

La sécurité Workday est gérée par rôles. Elle prend en charge l'authentification déléguée à l'annuaire LDAP, le protocole SAML d'authentification unique et l'authentification par certificat X.509 pour les utilisateurs et les intégrations de services Web.

Prise en charge de l'authentification unique (SSO)

Le protocole SAML offre une authentification unique et transparente entre le portail web interne du client et Workday. Les clients se connectent au portail de leur entreprise en saisissant leur nom d'utilisateur et leur mot de passe et reçoivent ensuite un lien permettant d'accéder automatiquement à Workday sans avoir à se reconnecter. Workday est également compatible avec OpenID Connect.

Connexion native Workday

Pour les clients qui souhaitent utiliser notre connexion native, Workday stocke uniquement leur mot de passe grâce à un algorithme de hachage sécurisé, plutôt que le mot de passe lui-même. Les échecs de connexion, ainsi que les connexions et déconnexions réussies, sont consignés à des fins d'audit. Les sessions au cours desquelles l'utilisateur est inactif expirent automatiquement après une durée définie que le client peut configurer en fonction de l'utilisateur.

Workday propose des règles de mot de passe configurables qui incluent longueur, complexité, délai d'expiration et questions personnelles en cas d'oubli.

Authentification multifacteur

Nous recommandons aux clients d'utiliser une authentification multifacteur. Workday leur permet d'intégrer facilement leur propre fournisseur d'authentification multifacteur, renforcée par un algorithme TOTP (« time-based one-time passcode »), Avec cette configuration, les clients peuvent facilement intégrer des fournisseurs d'authentification multifacteur avec la connexion Workday native. Workday permet aussi aux utilisateurs finaux des clients de recevoir un mot de passe à usage unique via une passerelle SMS. Enfin, Workday prend en charge les questions secrètes comme protection supplémentaire.

Authentification progressive

Les entreprises qui utilisent le protocole SAML peuvent exiger un niveau de vérification supplémentaire pour les fonctionnalités critiques dans Workday. L’authentification progressive permet aux clients d'imposer un facteur d'authentification secondaire que les utilisateurs doivent saisir pour y accéder.

Sécurité configurable

La sécurité configurable de Workday permet aux administrateurs de contrôler les éléments que les utilisateurs visualisent et les actions qu'ils effectuent. Les administrateurs peuvent choisir comment regrouper les utilisateurs par groupe de sécurité. Les administrateurs peuvent spécifier les éléments et les actions que les membres des groupes de sécurité peuvent voir et exécuter via des règles de sécurité.

Sécurité opérationnelle

Sécurité physique

Les applications Workday sont hébergées dans des data centers conçus pour protéger les systèmes informatiques sensibles grâce à des sous-systèmes redondants et des zones de sécurité compartimentées. Ces data centers appliquent les mesures de sécurité physique les plus strictes, parmi lesquelles :

  • Plusieurs niveaux d'authentification pour obtenir l'accès à la zone des serveurs
  • Une authentification biométrique à 2 facteurs pour l'accès aux zones sensibles
  • Des systèmes de vidéosurveillance installés aux points d'entrée internes et externes les plus vulnérables
  • Une surveillance assurée 24 h/24 et 7 j/7 par des vigiles

Tous les accès physiques aux data centers sont strictement limités et réglementés.

Sécurité du réseau

Workday a mis en place des règles et des procédures opérationnelles détaillées, conçues pour gérer la qualité et l'intégrité de son environnement. Nous avons également mis en place des procédures de sécurité proactives comme la défense du périmètre et les systèmes de prévention des intrusions (IPS) sur le réseau.

Les IPS surveillent également les parties critiques du réseau afin de détecter d'éventuelles configurations anormales dans l'environnement du client ainsi que le trafic entre les niveaux et le service. Nous avons également mis en place un centre de sécurité mondial, actif 24 h/24, 7 j/7, 365 jours par an.

Sécurité des applications

Workday a mis en place un cycle de vie de développement des logiciels sécurisé (SDLC – « Secure Software Development Life Cycle ») d'entreprise afin de garantir la sécurité continue de ses applications.

Ce programme comprend une analyse approfondie des risques associés à la sécurité et une évaluation des fonctionnalités de Workday. Des analyses statiques et dynamiques du code source sont également réalisées afin de permettre l'intégration de la sécurité d'entreprise dans le cycle de vie du développement. Le processus de développement est également complété par une formation à la sécurité des applications destinée aux développeurs et par des tests d'intrusion des applications.

Evaluations des vulnérabilités

Workday fait appel à des sociétés spécialisées indépendantes pour réaliser des évaluations internes et externes de la vulnérabilité de ses applications, systèmes et réseaux.

Applications

Nous faisons appel à une société leader pour évaluer la vulnérabilité de nos applications mobiles et Web avant chaque lancement de nos mises à jour. Cette société applique des tests conçus pour identifier les failles de sécurité standard et avancées des applications Web, notamment :

  • Les failles de sécurité associées aux technologies Flash, Flex, AJAX et ActionScript
  • Les attaques de type « Cross-site Request Forgery » (CSRF)
  • Le traitement inapproprié des entrées, comme les vulnérabilités de type « Cross-Site Scripting » (XSS), injection SQL, injection XML et « Cross-Site Flashing » (XSF)
  • Les attaques XML et SOAP (« Simple Object Access Protocol »)
  • La gestion des sessions vulnérables
  • Les failles dans la validation des données et les incohérences des limitations du modèle de données
  • Une authentification ou autorisation insuffisantes
  • Les vulnérabilités de type « HTTP Response Splitting » (séparation de réponse HTTP)
  • Une utilisation inappropriée des protocoles SSL/TLS
  • Des requêtes HTTP non sûres
  • Une cryptographie inappropriée

Réseau

Les évaluations des vulnérabilités externes analysent tous les dispositifs en lien direct avec Internet, tels que les pare-feu, les routeurs et les serveurs Web, afin de mettre au jour les éventuelles failles d'autorisation d'accès au réseau. Une évaluation des vulnérabilités du réseau et des systèmes interne authentifiée est également réalisée afin d'identifier les failles et les anomalies potentielles par rapport aux règles générales de sécurité du système.

Confidentialité

Workday s'engage à protéger la confidentialité des données de ses clients et à les aider à respecter leurs propres obligations en la matière. Au moment de choisir un système Finance ou HCM, les entreprises doivent privilégier les solutions qui permettent de remplir leurs obligations en matière de protection des données et d'assurer leur confidentialité. Avec Workday, vous bénéficiez de pratiques et de fonctionnalités de pointe pour remplir vos obligations.

En outre, nous sommes transparents quant à nos pratiques en matière de protection des données personnelles. Nous mettons également à votre disposition les ressources et informations nécessaires afin de vous aider à comprendre les exigences de votre entreprise en matière de confidentialité et de conformité. Nous vous expliquons aussi comment Workday peut dynamiser vos efforts.

 

   

Décoratif

Principes de confidentialité

Avec une complexité grandissante et une évolution constante des enjeux et de la législation mondiale sur la protection des données, Workday a jugé important le maintien d'un programme de confidentialité complet qui s'intègre dans sa culture et ses services.

Nous nous engageons à suivre trois principes qui reflètent nos valeurs fondamentales :

  • La confidentialité comme priorité
  • Une innovation responsable
  • La préservation de l'équité et de la confiance

Notre philosophie de « Privacy by Design » en témoigne et fournit à nos clients l'assurance dont ils ont besoin pour la confidentialité et la protection de leurs données. Ces principes de confidentialité déterminent la manière dont nous formons nos employés, dont nous concevons nos produits et, enfin, dont nous traitons les données personnelles.

La protection des données et la confidentialité nécessitent une vigilance de tous les instants, et nous nous engageons à protéger les données personnelles de nos clients et de nos collaborateurs. En savoir plus sur la façon dont nous appliquons les principes clés de la confidentialité.

Nous vous invitons à consulter notre Charte de confidentialité pour découvrir comment nous gérons et protégeons les informations de nos clients.

  

Règles de confidentialité dans le monde

Une protection des données mondiale

La confidentialité est au cœur de la législation de nombreux pays, notamment avec l'entrée en vigueur du Règlement général sur la protection des données (RGPD) au sein de l'Union européenne, l'élan continu en faveur d'une législation semblable aux États-Unis et les nouvelles lois votées en Asie et en Amérique latine. Chez Workday, nous pensons que ce renforcement des règles est bienvenu, car le respect de votre confidentialité est l'un de nos piliers depuis le début de notre histoire. Nous savons également que la confidentialité est une responsabilité partagée entre nous et nos clients.

Workday et ses clients doivent être prêts à respecter des réglementations et des lois complexes sur la protection de la vie privée. Nous gardons une longueur d'avance sur les réglementations internationales en matière de confidentialité en maintenant un programme global de protection des données qui contient des garanties techniques, administratives et organisationnelles complètes. Nos clients peuvent être assurés que nous nous engageons à respecter les normes mondiales en matière de protection de la confidentialité, comme en témoigne notre mise en œuvre des Règles d'entreprise contraignantes (BCR) pour les sous-traitants et le fait que nous soyons la première entreprise à être certifiée conforme aux règles de confidentialité de la Coopération économique Asie-Pacifique pour les sous-traitants.

La confidentialité des données au sein de l'UE

Pour souligner la façon dont Workday se prépare à l'évolution des réglementations, le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a considérablement modifié le paysage européen de la confidentialité des données en harmonisant le patchwork de lois sur la protection des données en Europe. Après l'entrée en vigueur du RGPD, nous sommes restés confiants dans notre capacité à traiter les données personnelles de nos clients dans le respect de celui-ci. À titre d'exemple, peu de choses ont changé pour les clients Workday en ce qui concerne les transferts hors frontières de données personnelles vers l'application Workday en vue de leur traitement. Nous avions déjà des conditions de protection des données robustes, mais nous les avons mises à jour de manière proactive pour répondre aux exigences du RGPD.

Voici notamment comment nous nous assurons que les pratiques de sécurité et de confidentialité de ses applications demeurent conformes au RGPD :

  • Organisation de formations de rappel pour les collaborateurs en fonction des rôles aux procédures de sécurité et de confidentialité des données
  • Mise en place de processus pour collecter les évaluations des dispositifs de protection des données
  • Mise en place de mécanismes de transfert afin de légaliser les transmissions de données à caractère personnel à l'extérieur de l'Espace économique européen, dont les BCR de Workday
  • Tenue de registres pour les traitements
  • Mise à disposition de nos clients de fonctionnalités de protection des données et de conformité configurables.
  • Mise en correspondance des exigences du RGPD avec nos contrôles SOC2

De plus, les concepts de « Privacy by Design » et de protection des données par défaut sont profondément intégrés dans Workday. Nous suivons en permanence les nouvelles directives publiées par les autorités de contrôle de l'UE afin de nous assurer que notre programme de conformité reste à jour.

Workday a également conscience de l'importance pour elle-même du respect du RGPD en tant que sous-traitant, mais aussi pour ses clients de pouvoir utiliser Workday tout en respectant leurs propres exigences de conformité. C'est pourquoi Workday conçoit ses applications en tenant compte de la configurabilité afin de vous aider à respecter vos obligations en matière de RGPD.

Transferts de données transfrontaliers

Bien que les flux de données internationaux aient connu de nombreux défis au fil des ans, Workday est resté confiant dans sa capacité à soutenir ses clients. Nous avons très tôt élaboré un programme qui propose à nos clients de nombreux mécanismes de transfert des données. Notre contrat inclut les clauses contractuelles types (CCT) de la Commission européenne permettant le transfert de données personnelles de l'Espace économique européen vers les États-Unis. En outre, Workday propose à ses clients les règles d'entreprise contraignantes pour les sous-traitants (BCR) comme mécanisme de transfert supplémentaires. Les BCR de Workday sont disponibles ici.

Nous collaborons avec nos clients internationaux lorsqu'ils réalisent des anayses d'impact de transfert (TIA – Transfer Impact Assessments) avant de transférer des données personnelles européennes vers des pays tiers. Nous partageons proactivement des informations, telles que des FAQ et des livres blancs, pour les aider à s'orienter dans ces évaluations. En outre, Workday s'engage à être transparent envers ses clients dans le cas où nous serions rappelés par une autorité chargée de l'application de la loi ou toute autre agence gouvernementale pour accéder aux informations électroniques que les clients soumettent dans les applications Software-as-a-Service (SaaS) de Workday.

Démonstration de conformité

Nous investissons dans la certification aux normes et cadres de référence du secteur afin que nos clients puissent facilement vérifier nos pratiques en matière de confidentialité. Nous sommes souvent les premiers à le faire.

Workday a adhéré au Bouclier de Protection des Données (« Privacy Shield ») dès la mise en place par le ministère américain du Commerce du processus de certification, ce qui témoigne de notre engagement infaillible et permanent à garantir la confidentialité et la protection des données de chacun. Même si le Bouclier de Protection des Données (« Privacy Shield ») ne représente plus un cadre de transfert des données valable, Workday continue de certifier sa conformité aux principes du Bouclier de Protection des Données (« Privacy Shield ») auprès du ministère américain du Commerce. Malgré la possibilité donnée aux entreprises de s'auto-certifier, Workday fait appel à TRUSTe en tant qu'agent de vérification tiers pour plus de conformité. En savoir plus sur la vérification par TRUSTe de notre conformité au Bouclier de Protection des Données (« Privacy Shield »).

Workday était le premier prestataire de services Cloud à adhérer au Code de conduite de l'UE sur le Cloud (CCoC), qui propose un ensemble d'exigences permettant aux prestataires de services Cloud de démontrer leur capacité à se conformer au RGPD. Les vérifications annuelles sont mises en place par un organisme de surveillance indépendant. Consulter l'adhésion de Workday au CCoC.

Workday est certifié conforme aux règles de confidentialité transfrontalières (CBPR) et aux règles de confidentialité pour les sous-traitants (PRP) de la Coopération économique Asie-Pacifique (APEC). Ces certifications désignent un ensemble de normes de confidentialité pensé pour les responsables du traitement et les sous-traitants, afin de faciliter les transferts de données entre les pays de l'APEC. Ces certifications attestent de la conformité aux normes strictes de confidentialité des pays de la région Asie-Pacifique.

Workday a été l'une des premières entreprises à être certifiée conforme aux CBPR APEC en mars 2014 et la première à être certifiée conforme aux PRP APEC en septembre 2018. Nous avons reçu une certification de TRUSTe, spécialiste de la gestion de la confidentialité des données de l'APEC pour les Etats-Unis.

Conformité

Les géants technologiques d'aujourd'hui doivent garantir la sécurité et la protection des données de leurs clients et de leurs collaborateurs ainsi que leur propriété intellectuelle dans un monde où les menaces prennent des formes de plus en plus sophistiquées. Les entreprises ont également l'obligation de respecter les lois applicables, y compris celles régissant la confidentialité et la transmission des données à caractère personnel, notamment lorsqu'un prestataire de services détient et traite les données d'une entreprise pour son compte.

Workday dispose d'un programme de sécurité officiel et complet, conçu pour garantir la sécurité et l'intégrité des données de ses clients, se protéger des menaces ou des brèches de sécurité et empêcher les accès non autorisés aux informations. Ce programme est analysé en détail lors d'audits de sécurité réalisés par des organismes indépendants.

   

   

décoratif

Vous trouverez ci-dessous une liste des ressources de conformité afin d'aider vos équipes à mieux cerner nos exigences de conformité

Audits et certifications par des tiers

Profile image
SOC 1

Les audits « Service Organization Controls » (SOC 1) contiennent des informations sur l'environnement de contrôle d'une société de services susceptibles de concerner les audits internes du client sur les rapports financiers.

Profile image
SOC 2

Le rapport SOC 2 Type II de Workday est une évaluation de notre environnement de contrôle réalisée par un tiers.

Profile image
SOC 3

L'AICPA (American Institute of Certified Public Accountants) a mis en place le référentiel « Service Organization Control » (SOC 3) destiné à garantir la confidentialité des informations stockées et traitées dans le Cloud.

Profile image
ISO 27001

La norme ISO 27001 est une approche de la sécurité standardisée et mondialement reconnue qui spécifie les exigences relatives à un système de management de la sécurité de l'information (SMSI) dans un contexte d'entreprise.

Profile image
ISO 27017

La norme ISO 27017, publiée en 2015, est une norme complémentaire à la norme ISO 27001.

Profile image
ISO 27018

La norme ISO 27018, publiée en 2014, est une norme complémentaire à la norme ISO 27001.

Profile image
ISO 27701

La norme ISO 27701, publiée en 2019, est une norme complémentaire à la norme ISO 27001.

Profile image
PCI DSS

Workday respecte la norme PCI DSS régissant l'environnement sécurisé des cartes de crédit Workday, environnement isolé qui stocke, traite et transmet les données non masquées des titulaires de cartes via des intégrations prédéfinies.

Profile image
HIPAA

Workday a reçu une attestation de conformité avec la loi « Health Insurance Portability and Accountability Act » (HIPAA) pour ses solutions Cloud destinées aux entreprises. Cet agrément démontre que le programme de mise en conformité avec la loi HIPAA prévoit des mesures adéquates pour sauvegarder, consulter et partager des informations personnelles et médicales.

Profile image
NIST CSF et NIST 800-171

Le référentiel de cybersécurité (CSF) du NIST fournit des lignes directrices aux entreprises pour améliorer leur capacité à éviter, détecter les risques de cyberattaques et à y répondre. La norme NIST 800-171 régit la protection des informations non classifiées contrôlées dans les systèmes d'informations et les organisations non fédéraux.

Profile image
G-Cloud

Le référentiel de normes G-Cloud est un accord entre le gouvernement britannique et les fournisseurs de services Cloud.

Profile image
Auto-évaluation CSA STAR

L'auto-évaluation Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) regroupe des informations sur les risques pour la sécurité et les contrôles dans un questionnaire standard (CSA STAR CAIQ).

Profile image
Bouclier de Protection des Données (« <i>Privacy Shield</i> »)

Workday est enregistré comme participant « actif » au Bouclier de Protection des Données. TRUSTe est l'agent de vérification par un tiers utilisé par Workday dans le cadre du Bouclier de Protection des Données. 

Profile image
Code de conduite de l'UE sur le Cloud

Le Code de conduite de l'UE sur le Cloud (CCoC) propose un ensemble d'exigences permettant aux prestataires de services Cloud de démontrer leur capacité à se conformer au RGPD. 

Profile image
Certification TRUSTe de conformité au programme de bonne gouvernance et de protection des données des entreprises

Participation Workday au programme de bonne gouvernance et de protection des données des entreprises de TRUSTe.

Profile image
Questionnaire SIG

Le questionnaire SIG (« Standardized Information Gathering ») est une compilation de questions liées à la technologie de l'information et la sécurité des données, à travers un large spectre de zones de contrôle dans un questionnaire dédié aux normes d'un seul secteur d'activité. 

Profile image
Cyber Essentials

Cyber Essentials est un modèle soutenu par le gouvernement britannique qui aide les entreprises à se protéger des cyber-attaques en programmant des contrôles techniques de base.