Yext Security

La sécurité de vos données est notre priorité absolue chez Yext. Lorsque vous nous confiez vos données, nous prenons cette responsabilité au sérieux. Nous investissons continuellement dans des fonctionnalités de sécurité de qualité professionnelle et dans les bonnes pratiques à adopter pour vous aider à répondre aux questions de vos clients en toute sécurité.

635x750

Conformité

 

Conformité en matière de sécurité

SOC 2

Nous nous soumettons régulièrement à des audits pour mettre à jour nos rapports SOC 2. Pour les périodes antérieures, nous pouvons présenter des rapports SOC 2 Type II. Un rapport SOC 2 Type I peut également être consulté sur demande et dans le respect des règles de confidentialité. Ce rapport a été publié selon les nouvelles normes SSAE 18 de l’AICPA (American Institute of Certified Public Accountants), qui s’appliquent à tous les rapports publiés après le 15 décembre 2018. Nous faisons actuellement l’objet d’un audit SOC 2 Type II qui suit ces nouvelles normes. Le rapport qui en résultera devrait être publié au printemps 2021. Vous pouvez demander le dernier rapport SOC 2 au responsable de votre compte ou à votre contact habituel.

ISO 27001 ET 27018

Les contrôles et pratiques de sécurité de Yext sont basés sur les principes des normes ISO 27001 et 27018.

Conformité spécifique à l’industrie

HIPAA

Nous aidons nos clients à respecter leurs obligations qui découlent du Health Insurance Portability and Accountability Act ou HIPAA en proposant des options de configuration de sécurité appropriées dans les produits Yext. En outre, nous mettons notre accord de partenariat (Business Associate Agreement, BAA) à la disposition des clients concernés qui ont acheté de tels produits.

Confidentialité et protection des données

POLITIQUE DE CONFIDENTIALITÉ

Vous pouvez consulter la politique de confidentialité de Yext ici. 

ACCORD DE TRAITEMENT DES DONNÉS

L’accord de traitement des données (Data Processing Agreement, DPA) s’applique aux données personnelles que Yext traite dans le cadre de l’utilisation des produits par des clients établis dans l’UE, au Royaume-Uni, en Suisse, en Afrique du Sud et en Australie.

SOUS-TRAITANTS SECONDAIRES

Yext autorise certains sous-traitants et affiliés tiers à traiter les données personnelles dans le cadre de l’utilisation des produits de Yext. La liste des sous-traitants secondaires de Yext est disponible ici.

Sécurité cloud

Sécurité physique des centres de données

INSTALLATIONS

Yext héberge principalement les données des clients dans des installations de colocation INAP et auprès des fournisseurs de services cloud computing Amazon Web Services (AWS) et Google Cloud Platform (GCP).

INAP

Yext utilise des centres de données de colocation certifiés conformes aux normes PCI DSS, SOC 2 et HIPAA. En savoir plus sur la conformité INAP

Les centres de données INAP offrent également la maintenabilité simultanée à tous les niveaux de la pile. En savoir plus sur les centres de données INAP

AMAZON WEB SERVICES (AWS)

Yext utilise des centres de données AWS certifiés conformes aux normes PCI DSS, SOC 2 et HIPAA. En savoir plus sur la conformité AWS

Pour protéger les serveurs, les services d’infrastructure AWS fournissent également une alimentation de secours, des systèmes de chauffage, ventilation et climatisation, et un équipement d’extinction des incendies. En savoir plus sur les centres de données AWS

GOOGLE CLOUD PLATFORM (GCP)

Yext utilise des centres de données GCP certifiés conformes aux normes PCI DSS, SOC 2 et HIPAA. En savoir plus sur la conformité GCP

Les services d’infrastructure GCP sont conçus pour être hautement disponibles et fiables. En savoir plus sur les centres de données GCP

LIEU D’HÉBERGEMENT DES DONNÉES

Yext exploite des centres de données INAP situés aux États-Unis.

Yext exploite des centres de données Amazon Web Services situés aux États-Unis, en Europe et dans la région Asie-Pacifique.

Yext exploite des centres de données Google Cloud Platform situés aux États-Unis et en Europe.

Sécurité du réseau

ÉQUIPE DÉDIÉE À LA SÉCURITÉ

Notre équipe chargée de la sécurité est disponible 24 heures sur 24, 7 jours sur 7 pour pouvoir réagir rapidement aux alertes et événements de sécurité.

PROTECTION

Notre réseau est protégé grâce à l’utilisation de nombreux services de sécurité, à l’intégration avec nos réseaux de protection de périphérie Cloudflare, à des audits réguliers et à des technologies d’intelligence réseau, qui surveillent et/ou bloquent le trafic malveillant et les attaques réseau connus.

ANALYSE DE LA VULNÉRABILITÉ DU RÉSEAU

L’analyse de la sécurité du réseau nous donne des informations qui nous aident à identifier rapidement les systèmes non conformes ou potentiellement vulnérables.

TESTS DE PÉNÉTRATION TIERS

En plus de nos analyses et de nos tests internes, Yext fait appel chaque année à des experts en sécurité externes pour effectuer un test de pénétration complet sur l’ensemble des réseaux de production et d’administration de Yext. Les résumés des résultats de ces tests peuvent être obtenus auprès de l’équipe chargée de votre compte.

GESTION DES INCIDENTS ET ÉVÉNEMENTS DE SÉCURITÉ

Notre système de gestion des incidents et événements de sécurité (Security Incident Event Management, SIEM) collecte des journaux complets à partir des principaux périphériques du réseau et systèmes hôtes. Le système est déclenché par des événements corrélés et l’équipe chargée de la sécurité est notifiée à des fins d’enquête et de réponse.

DÉTECTION ET PRÉVENTION DES INTRUSIONS

Les points d’entrée et de sortie des services sont instrumentés et surveillés pour détecter tout comportement anormal. Ces systèmes sont configurés pour déclencher des alertes lorsque les incidents et les valeurs dépassent des seuils prédéterminés. Les signatures utilisées sont aussi régulièrement mises à jour en fonction des nouvelles menaces. Le système est en outre surveillé en permanence.

PROGRAMME D’INFORMATIONS SUR LES MENACES

Yext participe à plusieurs programmes de partage d’informations sur les menaces. Nous surveillons les menaces partagées sur ces réseaux de renseignement et prenons des mesures en fonction du risque encouru.

ATTÉNUATION DES ATTAQUES DE DÉNI DE SERVICE DISTRIBUÉ (DDOS)

Yext a une approche à plusieurs niveaux pour minimiser les attaques DDoS. Nos partenariats technologiques avec Cloudflare et Akamai fournissent une protection en périphérie de réseau, tandis que les outils de mise à l’échelle et de protection d’Amazon Web Services et de Google Cloud Platform protègent le back-end.

ACCÈS LOGIQUE

L’accès au réseau de production Yext est limité au strict minimum. Les employés qui souhaitent y accéder doivent utiliser plusieurs facteurs d’authentification.

RÉPONSE AUX INCIDENTS DE SÉCURITÉ

En cas d’alerte système, les événements sont transmis à nos équipes chargées des opérations, de l’ingénierie des réseaux et de la sécurité, qui sont disponibles 24 heures sur 24 et 7 jours sur 7. Les employés sont formés aux processus de réponse aux incidents de sécurité, notamment les canaux de communication et les voies de remontée des problèmes.

Chiffrement

CHIFFREMENT EN TRANSIT

Toutes les communications avec l’interface utilisateur et les API Yext sont chiffrées sur les réseaux publics conformément à la norme industrielle HTTPS/TLS 1.2. Cela garantit la sécurité du trafic entre Yext et nos clients pendant le transit.

CHIFFREMENT AU REPOS

Les données client du Knowledge Graph de Yext sont chiffrées au repos dans INAP à l’aide du chiffrement AES-256. Les données client du Knowledge Graph de Yext sont chiffrées au repos dans Google Cloud Platform et Amazon Web Services à l’aide du chiffrement AES-256.

Disponibilité et continuité

DISPONIBILITÉ

Yext maintient une accessible au public, qui contient des informations sur la disponibilité du système, la maintenance planifiée et l’historique des incidents des services.

REDONDANCE

Yext utilise le clustering et les redondances de réseau pour éliminer les points de défaillance uniques.

RECONSTRUCTION APRÈS SINISTRES

Notre programme de reprise après sinistre (Disaster Recovery, DR) permet aux services Yext de rester disponibles et d’être facilement récupérables en cas de sinistre. Nos plans de reprise après sinistre sont complets et régulièrement testés. De plus amples informations sont disponibles sur demande.

Sécurité des applications

Développement sécurisé (SDLC)

FORMATION EN PROGRAMMATION SÉCURISÉE

Pendant et après le processus d’intégration, les ingénieurs de Yext participent à des formations en programmation sécurisée. Ces formations couvrent les 10 plus grands risques de sécurité identifiés par l’OWASP ainsi que les outils que Yext utilise pour sécuriser le codage.

FRAMEWORK AVEC CONTRÔLES DE SÉCURITÉ

Yext utilise des frameworks open source modernes et sécurisés avec des contrôles de sécurité qui minimisent l’exposition aux 10 plus grands risques de sécurité identifiés par l’OWASP. Ces contrôles inhérents réduisent notamment notre vulnérabilité à l’injection SQL (SQLi) et aux attaques de type Cross Site Request Forgery (CSRF).

ENVIRONNEMENTS SÉPARÉS

Les environnements de développement, de test et sandbox sont séparés de l’environnement de production. Aucune donnée client n’est utilisée dans nos environnements de développement ou de test.

Gestion des vulnérabilités

ANALYSE DE CODE STATIQUE

Nous utilisons des outils de sécurité tiers pour analyser quotidiennement nos principales applications à la recherche des 10 plus grands risques de sécurité identifiés par l’OWASP. De plus, nous disposons d’une équipe interne entièrement dédiée à la sécurité des applications qui effectue des tests et aide les équipes d’ingénierie à résoudre les problèmes découverts.

TESTS DE PÉNÉTRATION TIERS

En plus de nos analyses et de nos tests internes, Yext fait appel à des experts en sécurité externes pour effectuer des tests de pénétration complets sur différentes applications de notre gamme de produits. Les résumés des résultats peuvent être obtenus auprès de l’équipe chargée de votre compte.

PROGRAMME DE DIVULGATION RESPONSABLE / BUG BOUNTY

Grâce à un partenariat avec HackerOne, Yext a créé un programme de bug bounty qui permet d’effectuer des tests sécurisés et d’informer Yext des failles de sécurité.

Sécurité des produits

Sécurité de l’authentification

OPTIONS D’AUTHENTIFICATION

Les clients peuvent activer l’authentification native Yext ou l’authentification unique d’entreprise (SAML) pour l’authentification des clients.

STOCKAGE DES IDENTIFIANTS DES SERVICES

Yext suit les bonnes pratiques en matière de stockage sécurisé des informations d’identification en ne stockant jamais les mots de passe dans un format lisible par l’homme, et uniquement à la suite d’un hachage sécurisé, salé et unidirectionnel.

Fonctions de sécurité supplémentaires pour les produits

CONTRÔLES D’ACCÈS BASÉS SUR LES RÔLES

L’accès aux données est sécurisé dans les applications Yext par un contrôle d’accès basé sur les rôles (role-based access control, RBAC) et peut donc être configuré pour définir des droits d’accès granulaires. Yext propose plusieurs niveaux d’autorisation au sein d’une même organisation.

Sécurité des ressources humaines

Sensibilisation à la sécurité

POLITIQUES

Yext a créé un ensemble complet de politiques de sécurité qui couvrent un certain nombre de sujets. Ces politiques sont communiquées et mises à la disposition de tous les employés qui ont accès aux actifs informationnels de Yext.

FORMATION

Tous les employés suivent une formation de sensibilisation à la sécurité au moment de leur embauche et ensuite chaque année. Tous les ingénieurs reçoivent également une formation en programmation sécurisée. L’équipe chargée de la sécurité fournit des mises à jour supplémentaires sur le sujet par e-mail, Slack et sous forme de présentations lors d’événements internes.

Contrôle des employés

VÉRIFICATION DES ANTÉCÉDENTS

Yext vérifie les antécédents de tous les nouveaux employés conformément à la législation locale. Selon le pays où se trouve l’employé, cette vérification peut comprendre un examen du casier judiciaire, de sa formation et de son parcours professionnel.

ACCORDS DE CONFIDENTIALITÉ

Toutes les nouvelles recrues sont tenues de signer des accords de non-divulgation et de confidentialité.

Ressources supplémentaires

Nous disposons d’un certain nombre de ressources que nous pouvons fournir sur demande.

RESSOURCES SUPPLÉMENTAIRES DISPONIBLES

Les ressources suivantes peuvent être obtenues auprès de l’équipe chargée de votre compte. L’accès à ces ressources peut nécessiter un accord de confidentialité (non-disclosure agreement, NDA) ou tout autre accord qui contient des obligations de confidentialité.

  • Attestation de conformité PCI (Attestation of Compliance, AoC) et certificat de conformité
  • Certificat d’assurance
  • Diagrammes d’architecture réseau
  • Rapport SOC 2 Type I ou rapport SOC 2 Type II antérieur
  • Résumé du test de pénétration annuel
  • Résumé du test de continuité des activités et de reprise après sinistre
  • Plans de reprise après sinistre

Ça vous tente ?

Modernisez votre entreprise en un rien de temps avec une expérience de recherche en langage naturel conçue pour l’ère de l’IA.

Lancez-vous.