Sécurité des données

/

SÉCURITÉ DES DONNÉES

Date de la dernière révision : 22 octobre 2025 

But

La sécurité des données est importante pour nous. Ce document est destiné à répondre au plus grand nombre possible de questions sur la sécurité, la fiabilité et la disponibilité des applications et des systèmes de traitement des données de DDI. Ce document décrit le flux de données pour les solutions basées sur la technologie DDI et aborde les mesures de sécurité que nous avons prises pour protéger chaque partie du processus. 

Cette politique mondiale de sécurité de l’information fait partie du programme mondial de sécurité de l’information adopté par DDI. L’objectif de cette politique est d’établir les critères, les moyens, les méthodes et les mesures de sécurité de l’information pour protéger les actifs informationnels de la Société et ceux de nos clients contre la divulgation, la modification ou le refus non autorisés par l’établissement, la mise en œuvre et la gestion du programme mondial de sécurité de l’information. 

Pour recevoir des alertes lorsque des modifications sont apportées à cette page, abonnez-vous à notre Centre de gestion de la confidentialité.

S’inscrire


Portée 

Cette politique s’applique à tous les associés, agents, sous-traitants et tiers, dans le monde entier, sur tous les sites, unités commerciales et fonctions qui accèdent, gèrent ou interagissent avec les informations ou les systèmes d’information de l’entreprise. 

Définitions et abréviations 

Définitions des stratégies : 

Introduction 

DDI : Qui nous sommes, ce que nous faisons 

Fondée en 1970, Development Dimensions International (DDI), une société mondiale de conseil en ressources humaines, aide les organisations à combler l’écart entre les capacités de talents d’aujourd’hui et les besoins futurs en matière de talents. L’expertise de DDI comprend la conception et la mise en œuvre de systèmes de sélection, ainsi que l’identification et le développement des talents de première ligne et de leadership exécutif. Pour plus d’informations sur DDI, rendez-vous sur http://www.ddiworld.com

L’approche de DDI en matière de sécurité des données 

L’environnement de gestion des talents d’aujourd’hui nécessite le traitement de dossiers électroniques. La fonctionnalité de l’application dépend du stockage et du transfert d’informations sur les réseaux DDI et Internet. Une sécurité appropriée est essentielle et est entièrement intégrée aux fonctionnalités et aux processus de l’application. DDI maintient un cadre de sécurité cohérent avec des normes de confidentialité appropriées au sein desquelles les applications système et les populations d’utilisateurs exploitent les informations dans divers contextes commerciaux. DDI utilise une approche à plusieurs niveaux de la sécurité de l’information en ce qui concerne la protection des données des utilisateurs (y compris les informations sur les candidats, les participants, les apprenants, les administrateurs et les clients) et la prévention de l’accès, de l’altération ou de la destruction non autorisés. Nos politiques et processus sont conçus pour : 

DDI s’engage à exploiter ses activités d’une manière qui favorise la confiance, ce qui inclut l’utilisation et la gestion appropriées des données personnelles qui nous sont fournies par nos collègues, nos clients et nos fournisseurs. 

Gouvernance de la sécurité 

Pour garantir l’intégrité des données, DDI dispose de ressources, de politiques et de processus dédiés à la protection des données, notamment d’un bureau de la confidentialité, de la sécurité et de la conformité et d’un délégué à la protection des données, qui surveille régulièrement les normes mondiales. 

Le Bureau de la protection de la vie privée, de la sécurité et de la conformité de DDI définit et applique la vision et la stratégie du programme de sécurité et de conformité de l’entreprise, dans le but d’assurer la cohérence mondiale, de s’assurer que les risques sont gérés de manière appropriée et que les objectifs sont atteints.

La sécurité en partenariat 

La sécurité et la confidentialité des données de nos clients sont une responsabilité partagée entre DDI et nos clients. DDI fournit des plateformes sécurisées sur lesquelles les clients peuvent accéder à leurs données et les exploiter. En outre, DDI fournit des outils, des services, une assistance et des ressources qui permettent à nos clients d’assurer la sécurité de leurs données tout au long du cycle de vie de la mission.  

Les clients sont conjointement responsables de la sécurité de leurs données pendant et après leur engagement avec DDI. Les clients doivent comprendre quelles données sont collectées et conservées dans les systèmes DDI et définir la politique de partage de données appropriée pour s’assurer que les données ne sont partagées qu’avec ceux qui sont autorisés à y accéder. La politique de partage des données doit s’aligner sur les exigences en matière de risque et de conformité qui sont en corrélation avec l’importance et la classification de ces données. 

Rôle de DDI en tant que sous-traitant 

Les clients de DDI opèrent en tant que « responsable du traitement des données » conformément aux clauses types de l’Union européenne (UE). DDI fonctionne en tant que « sous-traitant » conformément aux clauses types de l’UE et au règlement général sur la protection des données (RGPD). Voir https://www.ddi.com/privacy/en-us.  

Règlement sur la protection des données 

DDI, dont le siège social est situé aux États-Unis, sert des clients dans le monde entier et a mis en place des mécanismes pour s’assurer que les transferts de données de l’UE vers les États-Unis offrent les protections juridiques requises par les réglementations de l’UE en matière de protection des données, y compris l’auto-certification avec le cadre de confidentialité des données (DPF) UE-États-Unis, les clauses contractuelles types de l’UE et le consentement de l’utilisateur final. La certification de DDI dans le cadre du DPF peut être consultée à https://www.dataprivacyframework.gov/. DDI se conforme à toutes les réglementations applicables en matière de sécurité et de confidentialité des données. Pour plus d’informations, veuillez consulter les avis onhttps://www.ddi.com/privacy/en-us. Si vous avez des questions sur l’applicabilité de la réglementation, communiquez avec DataProtectionOfficer@ddiworld.com

Politique 

Gestion du risque 

DDI maintient une politique et des procédures de gestion des risques conçues pour identifier et remédier aux risques liés à la sécurité de l’information. Des processus sont mis en œuvre pour déterminer les risques inhérents et résiduels. Les critères d’acceptation des risques sont établis en fonction des exigences de l’entreprise. Des processus sont mis en œuvre pour les méthodes de traitement des risques, y compris une priorisation du traitement des risques en fonction du risque. Des processus sont établis pour examiner régulièrement la méthodologie d’évaluation des risques.  

Fournisseurs tiers 

DDI fait appel à des prestataires tiers pour la fourniture de ses services à ses clients. Tous les fournisseurs tiers sont tenus de se conformer aux normes de DDI en matière de traitement, de protection et de sécurité des données. Les risques de sécurité de l’information associés aux tiers, y compris les fournisseurs de technologies de l’information et de la communication (TIC) et les fournisseurs de services cloud (CSP), qui accèdent aux ressources d’information de DDI, sont identifiés, évalués et gérés. Les exigences en matière de sécurité de l’information sont documentées et mises en œuvre pour faciliter la sélection de fournisseurs tiers. Les contrats avec des fournisseurs tiers comprennent des clauses de sécurité de l’information et de confidentialité. Les examens de la sécurité de l’information des fournisseurs tiers existants sont effectués à une cadence régulière. Résiliation de fournisseurs ou de services tiers, respecter les clauses de sécurité et de confidentialité de l’information définies dans les contrats signés. 

Pour obtenir la liste des fournisseurs tiers actuels, veuillez consulter : 

https://www.ddiworld.com/thirdpartyproviders 

Classification des données 

DDI classe les données qu’elle collecte et traite en quatre catégories : données publiques, internes/privées, confidentielles et secrètes, chacune nécessitant des actions spécifiques pour garantir la sécurité.  

Contrôles de l’infrastructure 

Environnement d’hébergement 

Les services DDI sont hébergés sur Microsoft Azure (https://azure.microsoft.com). Les centres de données Microsoft hébergent en toute sécurité les ressources physiques et l’infrastructure utilisées pour fournir des solutions cloud. Microsoft possède, exploite et entretient tous ses centres de données physiques. Tous les services sont hébergés dans des centres de données Azure redondants basés aux États-Unis. 

Les services cloud Microsoft Azure fonctionnent avec une infrastructure de contrôle cloud, qui aligne les contrôles sur plusieurs normes réglementaires. Microsoft conçoit et crée des services cloud à l’aide d’un ensemble commun de contrôles, ce qui rationalise la conformité à une série de réglementations non seulement pour aujourd’hui, mais aussi pour demain. Microsoft engage des auditeurs indépendants pour effectuer des audits approfondis de la mise en œuvre et de l’efficacité de ces contrôles.  

Microsoft Azure est certifié ISO/IEC 27001 et ISO/IEC 27017. Les rapports d’audit, y compris SOC 1 et SOC 2, sont disponibles à https://servicetrust.microsoft.com.  

Les processus, outils et technologies de supervision du cloud de DDI assurent la supervision, le contrôle, l’administration et la maintenance organisés de l’infrastructure, des services et des ressources du cloud computing. Les outils de supervision couvrent à la fois les installations d’infrastructure et les installations basées sur les produits. La supervision permet aux administrateurs DDI de promouvoir le contrôle, la visibilité et l’évolutivité tout en s’adaptant rapidement aux changements dans l’environnement du cloud. Voici quelques exemples d’opérations critiques : - l’installation, la modification et la suppression de périphériques virtualisés tels que les serveurs, les réseaux et le stockage ; - les procédures de résiliation pour l’utilisation du service cloud ; - Sauvegarde et restauration. 

DDI maintient un plan de reprise après sinistre détaillé pour rétablir le service de l’entreprise en cas de défaillance du système à grande échelle. Ce plan est mis à jour au fur et à mesure que des modifications sont apportées à l’infrastructure système ou à la configuration de la batterie de serveurs Web de production et est testé sur une base annuelle. 

Certifications/normes applicables 

SSAE-18 (en anglais seulement) 

DDI ne stocke les données que dans des centres de données qui ont fait l’objet d’audits annuels SAS 70 Type II favorables et impartiaux. Notez que le SAS 70 a été remplacé par le Statement on Standards for Attestation Engagements (SSAE) n° 18 et que les centres de données de DDI sont certifiés selon cette norme. 

ISO 27001 / ISO 27701 

DDI n’utilise que des centres de données qui ont démontré leur conformité aux normes ISO27001 et ISO27701 par des évaluations périodiques et une certification annuelle.  

DDI maintient sa propre certification ISO27001 et ISO27701 et fait l’objet d’audits annuels.  

SOC 1 / SOC 2 

DDI a réalisé un audit SOC 2® de type 1 en date du 08-2025-31, couvrant les plates-formes Pinpoint et LeaderLab. 

DDI héberge tous les services dans des centres de données qui ont été audités pour SOC1 et SOC2. 

Renforcement des serveurs 

Le processus d’amélioration de la sécurité des serveurs de DDI comprend les mesures suivantes : 

Gestion des correctifs 

Les correctifs à fort impact sont définis comme des correctifs qui protègent contre un risque de sécurité susceptible d’avoir un impact significatif sur le réseau de DDI au plus tard à la date du correctif. DDI distribue ces correctifs à tous les appareils après vérification et test du correctif sur les plates-formes de test. La distribution a lieu au plus tard 24 heures après l’identification. 

Les correctifs à impact moyen ou faible sont définis comme des correctifs qui protégeront contre un risque de sécurité futur. DDI distribue ces correctifs à tous les appareils après avoir testé le correctif sur des plates-formes de test et avec un groupe témoin d’utilisateurs. La distribution a lieu au plus tard 2 semaines après la fin des tests. 

Procédures de sauvegarde, de conservation et d’archivage 

Les données sont sauvegardées de manière incrémentielle tous les soirs pour s’assurer que toutes les applications et les données des clients sont préservées et disponibles pour être restaurées en cas de perte de données ou d’événement catastrophique. Les sauvegardes à chaud sont effectuées directement vers le stockage cloud de niveau d’accès rapide et transférées vers le stockage cloud de niveau d’archivage. Les sauvegardes quotidiennes sont stockées dans un stockage à chaud pendant deux semaines avec un cryptage AES-256. Les sauvegardes complètes hebdomadaires sont stockées dans un stockage d’archives pendant un mois. Les sauvegardes complètes mensuelles sont stockées pendant un an dans le stockage de niveau archive. Les sauvegardes complètes annuelles sont stockées dans un stockage de niveau archive pendant cinq ans. Tout le stockage au niveau de l’archivage est chiffré AES-256. 

Toutes les données de sauvegarde sont stockées dans le cloud Commvault ou Azure (à l’aide des fonctionnalités de sauvegarde natives). La rotation des sauvegardes dans le stockage au niveau de l’archivage est gérée automatiquement par les plates-formes respectives. 

Si une restauration du système est nécessaire, DDI peut récupérer le fichier, les données ou l’état du système à partir d’un système de sauvegarde en ligne. Selon le volume de données récupérées, la récupération d’un système ou d’une base de données prend généralement de quelques minutes à plusieurs heures. 

Gestion du changement 

Des procédures formelles de gestion du changement sont suivies lors de l’introduction de nouvelles ressources ou de modifications apportées à des ressources existantes, y compris des modifications de la configuration et de l’infrastructure. Des procédures documentées sont en place pour faciliter les demandes de changement, y compris la hiérarchisation, l’examen, l’approbation, la mise à l’essai et la mise en œuvre des changements. Les modifications font l’objet d’un suivi pendant et après la mise en œuvre. 

Récupération, recyclage et élimination des actifs 

Recyclage/élimination du matériel 

Lorsque le matériel a atteint la fin de son cycle de vie, il est stocké dans une salle verrouillée et conservé pour être éliminé. L’équipement mis hors service est recyclé par l’intermédiaire d’un fournisseur de recyclage certifié R2, et DDI recevra un rapport détaillé de destruction des actifs qui ont été recyclés pour la tenue de registres. 

Les disques durs sont désinfectés conformément à la norme NIST 800-88 par le(s) fournisseur(s) de recyclage approuvé(s), et DDI reçoit un certificat de destruction pour la tenue des dossiers. 

Les ressources matérielles basées sur Azure sont régies par les normes de Microsoft, telles que définies ici : https://learn.microsoft.com/en-us/azure/security/fundamentals/physical-security#data-bearing-devices 

Sécurité du réseau 

Renseignements sur les menaces 

DDI dispose d’une équipe de sécurité composée d’experts interfonctionnels en matière de sécurité des infrastructures et des applications. Cette équipe est chargée de soutenir la posture de sécurité de l’organisation par l’identification et l’évaluation des menaces émergentes et potentielles. 

En coordination avec le Bureau de la protection de la vie privée, de la sécurité et de la conformité (PSCO), l’équipe de sécurité est responsable de la collecte et de l’analyse des renseignements sur les menaces provenant de sources internes et externes. Il s’agit notamment d’informations stratégiques, tactiques et opérationnelles sur les menaces pertinentes pour le paysage des risques de l’organisation. 

L’équipe de sécurité est chargée de s’assurer que les renseignements pertinents sur les menaces sont communiqués aux parties prenantes appropriées au sein de l’organisation. Le chef de l’équipe de sécurité est responsable d’informer l’équipe de direction de toute menace susceptible d’avoir un impact direct ou matériel sur l’organisation, le cas échéant. 

Infrastructure réseau 

Les services de DDI sont hébergés dans une instance cloud utilisant des services qui fournissent des capacités d’accélération fiables et évolutives à nos applications et plateformes.  

L’infrastructure est placée en toute sécurité entre les pare-feu entrants et sortants. Toutes les tentatives d’accès sont enregistrées. Des méthodes d’authentification forte sont appliquées pour protéger tous les actifs. 

Pare-feu 

Les pare-feu de couche applicative sont déployés devant tous les actifs/infrastructures et inspectent le trafic entrant et sortant tout en enregistrant toutes les sessions. Tous les pare-feu de la couche applicative fournissent des règles de déchiffrement TLS, d’IDPS et de Theat Intelligence. 

Détection et surveillance des intrusions 

DDI utilise un ensemble complet d’outils qui fournissent une surveillance continue en temps réel de chaque composant pour permettre la surveillance de la sécurité, la gestion des correctifs et d’autres fonctions d’administration à distance. DDI emploie une société de services de sécurité gérés pour les systèmes de surveillance de la sécurité et de détection des intrusions (systèmes conçus pour détecter les menaces potentielles en temps réel) et les processus de réponse. 

DDI utilise à la fois des systèmes de détection basés sur l’hôte et sur le réseau qui sont surveillés et traités sur une base 24x7. DDI IT est immédiatement averti de la détection de toute anomalie. Des rapports hebdomadaires sont fournis à DDI pour examen. 

Protection contre les logiciels malveillants et antivirus 

DDI s’engage à maintenir la sécurité et l’intégrité de son environnement technologique grâce à une surveillance continue de ses réseaux, systèmes et applications. Les activités de surveillance sont conçues pour détecter les anomalies, garantir l’intégrité du système et prendre en charge une réponse rapide aux menaces de sécurité potentielles. 

Tous les systèmes concernés font l’objet d’une surveillance des événements liés à la sécurité. Les alertes générées par les outils de surveillance sont dirigées vers le personnel désigné afin d’assurer une réponse appropriée et rapide. 

DDI s’assure que les systèmes sont protégés par des solutions de sécurité gérées de manière centralisée, y compris des technologies antivirus et de détection des menaces. Ces protections sont appliquées sur les terminaux, les serveurs et les systèmes de passerelle afin d’atténuer les risques associés aux logiciels malveillants et autres activités malveillantes. 

DDI utilise des contrôles de sécurité à plusieurs niveaux, y compris l’analyse du contenu et l’analyse heuristique, pour protéger le trafic des e-mails et du Web et pour s’assurer que les données entrant ou sortant de l’environnement sont exemptes de menaces connues. 

Transmission et cryptage sécurisés des données 

Toutes les applications DDI prennent en charge la transmission sécurisée des données à l’aide de protocoles de cryptage acceptés par l’industrie (TLS1.2 et versions ultérieures). Les informations d’identification sensibles, telles que les mots de passe et les clés API, sont stockées en toute sécurité à l’aide de mécanismes cryptés. 

Les données transférées des appareils gérés par DDI vers un stockage externe restent chiffrées pour empêcher tout accès non autorisé. Les contrôles de chiffrement sont appliqués sur le lecteur de destination, quelle que soit la classification de sensibilité des données. 

Le courrier électronique n’est pas considéré comme un canal de communication sécurisé par défaut. Cependant, DDI fournit des mécanismes permettant d’activer le chiffrement des communications par e-mail lorsque cela est nécessaire pour protéger les informations sensibles. 

Sécurité des applications 

Sécurité basée sur les rôles 

Les applications utilisent un modèle de sécurité basé sur les rôles pour déterminer les droits d’accès. Les données client sont séparées logiquement en fonction du site, du rôle, de l’utilisateur et des groupes d’accès utilisateur contrôlés par le client.  

Administration du compte et accès aux moindres droits 

DDI applique un contrôle strict sur l’administration de l’infrastructure et la gestion des comptes afin de protéger les systèmes et les données contre les accès non autorisés. 

L’accès aux systèmes et aux données est régi par le principe du moindre droit nécessaire, ce qui garantit que les utilisateurs ne disposent que du niveau d’accès minimum nécessaire à l’exercice de leurs fonctions. Cela s’applique à tous les utilisateurs, y compris le personnel de DDI, les représentants des clients et les utilisateurs finaux autorisés. 

Des pratiques d’authentification forte sont requises pour tous les comptes d’utilisateurs et de services. L’accès au compte est soumis à des contrôles visant à empêcher toute utilisation non autorisée, y compris des mécanismes de verrouillage et de désactivation en cas de résiliation d’emploi ou de contrat. 

Accès direct à la base de données 

DDI applique des contrôles stricts sur l’accès privilégié aux systèmes et aux données sensibles, y compris les environnements de base de données. L’accès au niveau de la base de données est limité à un petit nombre de personnes autorisées et n’est accordé qu’à des fins opérationnelles telles que les activités de sauvegarde et de restauration. Ces activités sont menées au niveau du plan de contrôle sans accès au niveau du plan de données. 

Tous les accès privilégiés sont formellement demandés, justifiés et approuvés conformément au cadre de gouvernance des identités de DDI. L’accès est limité dans le temps et fait l’objet d’une surveillance et d’un examen pour garantir la conformité aux normes de sécurité de l’organisation. 

La gestion des comptes à privilèges est prise en charge par des outils de gouvernance des identités pour appliquer les contrôles d’accès, surveiller l’utilisation et maintenir la responsabilité. Des exigences supplémentaires en matière de vérification des antécédents peuvent s’appliquer aux personnes ayant des privilèges d’accès élevés, comme indiqué dans la politique de vérification des antécédents de DDI. 

Accès aux données de l’application 

DDI définit des rôles distincts pour les utilisateurs finaux au sein de ses systèmes d’application afin de garantir des pratiques d’accès et de traitement des données appropriées. Il s’agit notamment des participants clients, des administrateurs clients et des utilisateurs du système DDI

L’accès aux données des utilisateurs par le personnel de DDI est limité à ce qui est nécessaire pour remplir les responsabilités d’assistance ou opérationnelles. Lorsque l’assistance technique est demandée, l’accès temporaire aux comptes d’utilisateurs peut être accordé au personnel d’assistance autorisé dans le seul but de résoudre le problème. Cet accès est limité dans sa portée et sa durée et est régi par les normes de protection des données et de confidentialité de DDI. 

Tests d’intrusion d’applications 

DDI s’engage à identifier et à atténuer de manière proactive les vulnérabilités de sécurité au sein de ses environnements applicatifs. Pour atteindre cet objectif, DDI fait appel à des experts en sécurité indépendants pour effectuer régulièrement des évaluations de la sécurité des applications. 

Ces évaluations comprennent des techniques de test automatisées et manuelles permettant d’identifier un large éventail de vulnérabilités, y compris celles spécifiques à la logique et à la configuration des applications, ainsi que les failles de sécurité connues. 

Les résultats de l’évaluation sont examinés par les responsables de la sécurité et des produits désignés afin d’évaluer les risques potentiels et de déterminer les mesures correctives appropriées. Les vulnérabilités identifiées sont classées par ordre de priorité en fonction de leur gravité et de leur impact sur l’entreprise, et les efforts de correction sont suivis et gérés conformément au cadre de gestion des risques de DDI. 

Toutes les conclusions et les décisions relatives aux risques associés sont documentées et supervisées par le directeur des services technologiques mondiaux et de la sécurité afin d’assurer une application cohérente des normes de sécurité et un alignement sur la tolérance au risque de l’organisation. 

Classification des vulnérabilités 

La classification et la correction des vulnérabilités sont définies dans la politique de gestion des vulnérabilités de DDI. 

Politiques d’associé DDI 

DDI utilise des processus et des contrôles rigoureux sur l’accès et les autorisations pour tous les composants de l’infrastructure, les réseaux, les pare-feu, les serveurs, les bases de données, etc. Ceci est strictement contrôlé au sein du Global Technology Group, qui a l’autorité finale sur tous les accès administratifs des utilisateurs, la surveillance et les notifications du système, ainsi que sur les mises à jour du système d’exploitation, de la sécurité et des applications. 

Verrouillage de l’écran 

Tous les ordinateurs sont configurés pour disposer d’un économiseur d’écran activé par mot de passe. La politique de DDI en matière de verrouillage de l’écran est de 15 minutes. Après 15 minutes d’inactivité, l’économiseur d’écran sera appelé. L’utilisateur doit ensuite saisir à nouveau son mot de passe pour accéder à l’ordinateur. 

Passe 

La politique de DDI en matière de mots de passe comprend des exigences en matière de complexité, de longueur, de vieillissement et d’authentification multifacteur.  

Travail à distance 

Les exigences en matière de télétravail ou de travail à distance sont identifiées, établies et mises en œuvre pour protéger les données lorsque vous n’êtes pas dans un lieu physique. Des normes et les contrôles techniques et administratifs associés sont mis en place pour faciliter le télétravail. Les terminaux sont protégés par un renforcement de la sécurité, une protection contre les logiciels malveillants et une surveillance basée sur l’hôte. Les normes et les contrôles techniques et administratifs associés sont mis en œuvre pour faciliter la protection des informations contre les activités frauduleuses et la divulgation ou modification non autorisée lors de leur passage sur les réseaux publics.  

L’accès à distance aux systèmes DDI via VPN est sécurisé à l’aide de technologies d’authentification et de cryptage conformes aux normes de l’industrie. Tous les terminaux et systèmes sont protégés par des contrôles de sécurité appropriés afin de maintenir la confidentialité, l’intégrité et la disponibilité des données de l’organisation. Seuls les appareils gérés par DDI qui répondent aux exigences de sécurité et de conformité peuvent se connecter à distance via VPN. 

Révocation de l’accès 

DDI applique des contrôles stricts pour s’assurer que l’accès administratif aux systèmes et aux plates-formes d’applications est limité aux personnes ayant un besoin commercial actuel et légitime. L’accès est révoqué lorsqu’il n’est plus nécessaire en raison d’un changement dans les responsabilités professionnelles ou d’un licenciement. 

Les droits d’accès font l’objet d’un examen régulier afin de s’assurer qu’ils sont conformes aux responsabilités liées aux rôles et de maintenir le principe du moindre privilège. Des ajustements sont apportés si nécessaire pour refléter les changements organisationnels ou de personnel. 

Formation de sensibilisation à la confidentialité et à la sécurité des données 

Tous les collaborateurs de DDI reçoivent régulièrement des formations et des conseils sur les meilleures pratiques en matière de confidentialité, de sécurité et de confidentialité des données. L’achèvement de la formation fait l’objet d’un suivi afin de promouvoir le plus haut niveau de conformité. Des simulations régulières d’attaques de phishing sont également menées pour aider les collaborateurs de DDI à être plus conscients de ces attaques et à y répondre de manière appropriée. 

Filtrage Web 

DDI gère l’accès aux ressources Web externes afin de réduire l’exposition aux contenus malveillants et de protéger les systèmes et les données de l’entreprise. L’accès aux sites Web connus ou suspectés d’être nuisibles est restreint et l’utilisation de ressources Web non autorisées est interdite. 

Cookies 

DDI utilise des cookies et des technologies similaires pour améliorer l’expérience utilisateur, prendre en charge les fonctionnalités du système et améliorer la fourniture de contenu et de services. Ces technologies permettent de faciliter la navigation, de personnaliser le contenu, de prendre en charge les mécanismes de rétroaction et de permettre les efforts d’analyse et de marketing. 

Les cookies utilisés par DDI ne stockent pas de données personnelles et sont mis en œuvre d’une manière qui s’aligne sur les meilleures pratiques en matière de confidentialité et de sécurité. Certains cookies essentiels au fonctionnement des systèmes DDI sont nécessaires et ne peuvent pas être désactivés par les utilisateurs. 

Pour consulter l’intégralité de la politique en matière de cookies, veuillez vous référer à https://www.ddiworld.com/privacy

Processus de développement de produits et gestion du code 

Cycle de mise en production du développement 

DDI suit une méthodologie de développement logiciel agile pour soutenir l’amélioration continue et la réactivité rapide aux besoins des clients. Cette approche itérative permet à l’organisation de fournir régulièrement des améliorations, des mises à jour et des correctifs à ses plates-formes applicatives. 

Les versions logicielles sont planifiées et exécutées de manière récurrente, avec la possibilité de déployer des mises à jour urgentes en dehors du cycle de publication standard si nécessaire. Toutes les versions sont soumises à des processus d’examen, de test et d’approbation appropriés afin de garantir la qualité et de minimiser les perturbations.  

Environnements de développement 

DDI maintient des environnements distincts pour le développement, les tests et la production de logiciels afin de garantir l’intégrité et la sécurité de ses systèmes et de ses données. Le code en cours de développement est isolé des environnements de production et n’interagit pas avec les données en direct. 

Toutes les activités de test et de développement sont menées à l’aide d’environnements et de données hors production afin d’empêcher l’accès non autorisé ou la manipulation des systèmes opérationnels et des informations sensibles. 

Revue de code 

Tout le code développé par DDI est soumis à un examen par les pairs et à des tests d’assurance qualité dans des environnements hors production avant d’être publié. 

Pour garantir la fiabilité et la sécurité du code de l’application, DDI intègre des processus de révision manuels et automatisés. Il s’agit notamment de tester la fonctionnalité et d’identifier les vulnérabilités connues avant le déploiement sur les systèmes de production. 

Gestion du code 

DDI maintient des contrôles structurés sur le cycle de vie du développement logiciel afin de garantir l’intégrité, la traçabilité et la qualité du code d’application. Un système centralisé de contrôle de version est utilisé pour gérer le code source et coordonner les contributions de plusieurs développeurs, évitant ainsi les conflits et préservant l’historique du code. 

Des processus formels de contrôle du changement sont en place à toutes les étapes du développement, de l’assurance qualité et de la mise en œuvre. Il s’agit notamment des demandes de modification documentées, de l’examen et de l’approbation par les propriétaires d’applications désignés, et de la promotion contrôlée du code entre les environnements. 

Toutes les modifications logicielles sont soumises à un processus de test en plusieurs phases pour valider la fonctionnalité et la sécurité avant le déploiement. Les tests sont effectués dans des environnements isolés pour s’assurer que seul le code vérifié est introduit dans les systèmes de production. 

Services mondiaux en ressources humaines (politiques en matière de ressources humaines) 

Informations confidentielles 

Lors de l’embauche, tous les associés de DDI sont tenus de signer un accord de confidentialité qui traite spécifiquement des préoccupations et des risques liés au traitement d’informations confidentielles. Tout associé qui a enfreint cette politique est passible de mesures disciplinaires appropriées pouvant aller jusqu’au licenciement ou à toute action en justice applicable. De plus, les employés examinent et signent un code de conduite et d’éthique chaque année. 

Politique et procédure de vérification des antécédents 

DDI estime que l’embauche de personnes qualifiées pour pourvoir des postes contribue au succès stratégique global de l’entreprise. La vérification des antécédents constitue une partie importante du processus de sélection chez DDI. Ce type d’information est recueilli dans le but de promouvoir les jumelages de candidats retenus pour le poste, ainsi que d’assurer un environnement de travail sûr et sécurisé pour les employés actuels et futurs. La vérification des antécédents permet à DDI d’obtenir des informations supplémentaires sur les candidats qui aident à déterminer l’employabilité globale du candidat, garantissant ainsi la protection des personnes, des biens et des informations actuels de l’organisation. 

L’intégralité de la politique et de la procédure de vérification des antécédents de DDI peut être consultée sur demande. Pour demander la police, veuillez consulter https://trust.ddiworld.com/

Vérification des informations d’identification 

Les vérifications préalables à l’embauche de DDI sont conçues pour s’assurer que tous les associés ont la confirmation qu’ils possèdent les diplômes et les certifications qu’ils prétendent et/ou sont tenus d’avoir. Tous les associés potentiels ont leurs antécédents professionnels déclarés et leurs références d’intégrité vérifiées. 

Vérification du numéro de sécurité sociale 

Tous les associés basés aux États-Unis sont des travailleurs américains légaux vérifiés, et les numéros de sécurité sociale ou les autorisations de travail sont vérifiés. 

Mesures disciplinaires 

Un processus disciplinaire formel est établi et mis en œuvre en cas de non-conformité aux politiques, normes et procédures de sécurité de l’information. 

Continuité d’activité 

Les aspects liés à la confidentialité et à la sécurité de l’information liés à la continuité des activités sont gérés de manière à assurer la disponibilité des ressources d’information et à répondre aux exigences en matière de gestion de la capacité. Des processus sont mis en œuvre pour la sécurité de l’information et la continuité de la gestion de la sécurité de l’information dans des situations défavorables. Des exigences sont mises en œuvre pour s’assurer que les contrôles de confidentialité et de continuité de la sécurité de l’information sont vérifiés à intervalles réguliers afin d’évaluer leur validité et leur efficacité dans des situations défavorables. Des contrôles administratifs et techniques sont mis en place dans les installations de l’entreprise pour répondre aux exigences de disponibilité. 

Réponse aux incidents de sécurité 

DDI maintient un cadre complet de détection et de réponse aux incidents de sécurité pour garantir l’identification, le confinement et la résolution en temps opportun des événements liés à la sécurité. Cela comprend l’utilisation de mesures techniques et procédurales appropriées pour détecter et répondre aux incidents informatiques et non informatiques. 

Tous les incidents de sécurité impliquant un accès non autorisé ou la perte d’informations confidentielles font l’objet de procédures formelles d’enquête et de réponse. DDI s’engage à informer les clients touchés ou potentiellement touchés de tout incident ou violation de sécurité confirmé dans les 48 heures suivant sa découverte. 

Les problèmes ou incidents de sécurité peuvent être signalés par les canaux désignés. Les clients peuvent signaler des incidents potentiels liés à la protection de la vie privée ou à la sécurité sous forme de plaintes par le biais de https://trust.ddiworld.com

Sécurité physique 

Les lieux physiques doivent être protégés contre les accès physiques non autorisés, les menaces environnementales, les dommages et les interruptions. Des mécanismes de protection du périmètre de sécurité sont mis en œuvre pour réduire le risque d’accès non autorisé. Des contrôles d’accès sont mis en place pour restreindre l’accès physique. Des contrôles de protection de l’environnement sont mis en œuvre pour s’assurer que les emplacements physiques sont protégés contre les menaces externes et environnementales. Un suivi de la sécurité physique et des incidents liés à l’environnement est mis en place. Des mécanismes d’utilité et de sécurité sont mis en œuvre en fonction de la criticité du site. Des mesures de zone de travail et de poste de travail sont mises en œuvre pour protéger les informations sensibles. 

Application de la loi et conformité 

Des vérifications régulières seront effectuées pour s’assurer de la conformité à cette politique. La non-conformité doit être traitée rapidement et des mesures correctives seront prises. Il incombe à la direction de s’assurer que les personnes qui relèvent de leurs responsabilités connaissent les politiques et procédures pertinentes et s’y conforment. 

Cette politique peut être mise à jour périodiquement et sans préavis. DDI indiquera en haut de la déclaration la date de son dernier examen.