Sécurité, fiabilité et protection des données des clients

Même si nous offrons des produits et un service de première qualité, notre succès repose avant tout sur l’offre d’une plateforme sûre et fiable afin d’assurer la sécurité de nos clients, de nos souscripteurs et de nos membres.

Cowan fait appel à des fournisseurs de services infonuagiques qui assurent la sécurité fondamentale de notre environnement. Ces fournisseurs nous aident à garantir la confidentialité, la sécurité et la conformité, et détiennent les certifications suivantes en matière de vérification des contrôles de sécurité : ISO 27001, CSA STAR, SOC 1 Type 2, SOC 2 Type 2, et SOC 3.

Qui plus est, nous mettons à profit des outils et des processus de conformité et de sécurité haut de gamme en matière de technologies infonuagiques afin de garantir que nos systèmes obtiennent des cotes de conformité élevées et répondent aux normes sectorielles en constante évolution.

Réussite de la vérification de sécurité de type 2 dans le contexte des normes et contrôles SOC 2

En août 2023, Cowan a reçu un rapport de la part de vérificateurs de services indépendants confirmant que ses contrôles de sécurité de l’information étaient conçus d’une manière qui répondait comme il se doit aux exigences des normes et contrôles SOC 2 de type 2 en date du 30 juin 2023. Nous nous employons maintenant à atteindre la conformité avec les exigences des normes et contrôles SOC 2 de type 2 pour la période allant du 1er juillet au 31 décembre 2023.

Cowan est résolue à obtenir la désignation de sécurité SOC 2, renforçant ainsi la garantie donnée à ses clients et partenaires commerciaux selon laquelle la société répond à leurs exigences strictes en matière de sécurité.

Les normes et contrôles SOC 2 (Systems and Organization Controls [contrôles des systèmes et des organisations]) consistent en des normes de sécurité à l’intention des organisations de services dont le respect garantit que Cowan s’engage à protéger et à préserver la confidentialité des données de ses clients. L’American Institute of Certified Public Accountants (AICPA) a élaboré les normes SOC 2, et des vérificateurs indépendants reconnus par l’AICPA évaluent les entreprises en fonction de ces normes.

Sécurité des applications

Chiffrement en transit

Les sessions à distance vous reliant à nos portails sont protégées au moyen d’un chiffrement en transit utilisant des clés de chiffrement de 2 048 bits ou plus, ainsi que du protocole de sécurité TLS 1.2 ou version plus récente.

Protocole de sécurité de la couche transport (Transport Layer Security – TLS) pour les courriels

Nos services de courriel prennent en charge le protocole TLS pour garantir que les courriels sont transmis dans un format chiffré, si votre serveur de messagerie électronique est configuré pour le prendre en charge.

Pare‑feu pour réseau et applications Web

Cowan surveille les attaques potentielles à l’aide de plusieurs outils permettant de protéger vos données et l’accès à vos produits, notamment des services de détection et d’intervention gérés 24 heures sur 24, 7 jours sur 7, des pare‑feu, des systèmes de gestion des événements et des incidents de sécurité, des services de surveillance de la sécurité des applications infonuagiques, une protection avancée contre les menaces et un service de protection contre les attaques utilisant le déni de service distribué (DDoS).

Sécurité du cycle de vie du développement des logiciels (CVDL)

Nous avons mis en œuvre des outils d’analyse de code statique et des processus d’examens menés par l’humain afin d’assurer la qualité uniforme de nos pratiques de développement de logiciels.

Protection des centres de données et des bureaux

Sécurité physique

Nos produits sont hébergés dans Microsoft Azure au Canada, qui maintient entre autres les certifications SOC 1 Type 2, SOC 2 Type 2, SOC 3, CSA STAR et ISO 27001. Ces protections certifiées comprennent les services d’un personnel de sécurité dédié, une gestion stricte du contrôle de l’accès physique et la surveillance vidéo.
Afin de nous protéger contre les accès non autorisés à nos bureaux, nous utilisons l’authentification à deux facteurs à chaque porte d’entrée.
L’accès à l’infrastructure essentielle de nos bureaux est également contrôlé au moyen de l’authentification à deux facteurs.

Sécurité des logiciels

Gestion de la conformité

Cowan tire partie des outils d’évaluation de la sécurité et de la conformité d’Azure et d’Office 365 pour s’assurer que les applications et l’infrastructure respectent les normes de l’industrie en matière de contrôles. Ces services sont continuellement gérés par Microsoft en fonction de notre environnement, et le personnel de Cowan surveille ces cotes de sécurité pour s’assurer qu’elles s’améliorent constamment.

Gestion des correctifs

Le processus de gestion des correctifs de Cowan permet de cerner les correctifs nécessaires et de les mettre en œuvre au sein de l’infrastructure du produit. Les instruments de détection au niveau des serveurs permettent de s’assurer que les progiciels surveillés utilisent les versions appropriées.

Intervention en cas d’incident de sécurité

Nos processus et nos enquêtes sur les incidents de sécurité sont prédéfinis lors des activités et des exercices de préparation récurrents et sont peaufinés au moyen d’enquête de suivis. Nous utilisons des structures de processus normalisées d’intervention en cas d’incident pour veiller à ce que les bonnes mesures soient prises au bon moment.

Nous utilisons également d’autres outils d’intervention en cas d’incident sur les postes de travail et les serveurs pour simplifier et contrôler les appareils pendant les incidents. Cela comprend les services de détection et d’intervention pour les menaces aux points d’extrémité, d’intervention en cas d’incident et les services de détection et d’intervention gérés 24 heures sur 24, 7 jours sur 7.

Assurance de la sécurité

Évaluation de la vulnérabilité

Nous testons de façon récurrente les vulnérabilités potentielles. Nous effectuons l’analyse de code statique et les analyses des vulnérabilités de l’infrastructure.

Tests de pénétration

Chaque année, Cowan fait appel à des entreprises tierces qui effectuent des tests de pénétration afin de tester nos systèmes et nos infrastructures.

Évaluations de fournisseurs tiers

Nous effectuons régulièrement des évaluations de nos fournisseurs à l’égard des risques pour la sécurité, et notre plateforme les surveille continuellement pour détecter les nouveaux risques opérationnels et cybernétiques qui apparaissent au fil du temps.

Formation et tests pour les employés

Les employés de Cowan doivent suivre une formation annuelle sur la sensibilisation à la sécurité et nous menons régulièrement des campagnes de simulation (p. ex. courriels d’hameçonnage) pour veiller à ce que les employés puissent mettre en pratique ce qu’ils ont appris dans le cadre de la formation sur la sensibilisation.

Foire aux questions

Fiabilité du système

Q. Comment Cowan rend il son système fiable et robuste?

R. Notre plateforme logicielle est bâtie de façon à ce qu’elle soit disponible et accessible dans une variété de scénarios de catastrophe. Chaque service dispose également d’un environnement d’essai correspondant dans lequel les changements sont déployés avant d’être migrés vers l’environnement de production.

Q. Les services sont ils toujours disponibles?

R. Notre objectif est que vous puissiez accéder à votre compte en tout temps. Il arrive que les services ne soient pas disponibles en raison d’une maintenance planifiée ou d’une défaillance d’un composant. Dans de tels cas, notre personnel est avisé dès que l’erreur est détectée et entreprend les démarches nécessaires pour faire en sorte que le service soit rétabli le plus rapidement possible.

Q. Comment pouvons-nous nous assurer que les pannes causées par des défaillances de composants ne se reproduisent pas?

R. En cas de panne ou de défaillance importante, l’objectif principal de Cowan est de remettre le service en marche afin qu’il soit disponible pour les clients. Une fois que le problème a été résolu, l’équipe responsable du service touché procède à un examen officiel de l’incident afin de déterminer la cause fondamentale de l’événement et d’élaborer une liste de mesures à prendre immédiatement pour s’assurer que cet événement, et d’autres événements du même type, ne se reproduisent pas.

Pour obtenir de plus amples renseignements sur notre infrastructure infonuagique, veuillez communiquer avec votre gestionnaire de compte Cowan.

Sécurité des données

Q. Mes données sont elles en sécurité?

R. Notre plateforme utilise une variété de banques de données pour assurer le stockage et la sécurité des données. Chaque banque de données est conçue selon les pratiques exemplaires en matière de sécurité et de récupération des données. Les applications de Cowan sont hébergées par Microsoft Azure. Les données sont répliquées trois fois dans le même serveur, puis répliquées dans un deuxième centre de données. Si un serveur d’un centre de données tombe en panne, le traitement est basculé vers un serveur de reproduction dans un autre centre de données régional de façon à minimiser les interruptions de service. Cowan garde également des sauvegardes qui sont géorépliquées vers un autre centre de données régional.

Q. Mes données sont elles sécurisées?

R. Toutes les communications entre un client Web et les systèmes de Cowan sont protégées à l’aide du protocole de chiffrement TLS (1,2) utilisant des clés de chiffrement de 2 048 bits. Afin d’empêcher les accès non autorisés, nos employés utilisent l’authentification à deux facteurs pour accéder à nos systèmes. Les données sont chiffrées lorsqu’elles sont inactives, ce qui permet de les protéger contre les accès non autorisés.

Récupération et fiabilité

Q. Où nos données sont elles stockées?

R. Les données de Cowan sont principalement stockées dans la région Azure « Centre du Canada ». Un sous ensemble essentiel de données est également répliqué et sauvegardé dans la région Azure de « l’Est du Canada ».

Q. Comment pouvons nous nous assurer que toutes les données sont sauvegardées et peuvent être restaurées en cas de sinistre?

R. Notre stratégie de reprise après sinistre utilise une combinaison d’instantanés de données, de réplication vers une deuxième région et de sauvegardes pour veiller à ce qu’il y ait plusieurs copies des données à restaurer. Les instantanés sont conçus pour fournir un mécanisme de récupération rapide pouvant être réalisée en quelques minutes. Des sauvegardes complètes sont utilisées lorsque des instantanés ne sont pas disponibles pour récupérer les données.

Q. Quelles sont les mesures instaurées par Cowan pour surveiller ses systèmes?

R. Les équipes d’exploitation et d’ingénierie utilisent des outils et des instruments de services de pointe pour surveiller et analyser le comportement de notre plateforme. Les indicateurs des services et de notre infrastructure infonuagique sont intégrés à un cadre d’alerte. En ce qui concerne la surveillance de la sécurité, nous avons un service de détection et d’intervention gérées 24 heures sur 24, 7 jours sur 7 qui a des procédures documentées en place pour alerter le personnel concerné et acheminer le problème au palier supérieur au besoin.

Q. De quelle façon les clients de Cowan sont ils informés à ce sujet?

R. Si nous constatons des problèmes qui pourraient avoir une incidence sur votre capacité d’utiliser nos services, nous vous en informerons immédiatement par l’intermédiaire de courriels ou de publications sur notre site Web.