Gouvernance

Cybersécurité et confidentialité

Parmi nos clients, on retrouve certaines des plus grandes entreprises du monde. La confiance qu’elles accordent à l’environnement physique et à la sécurité des données pour les équipements qu’elles déploient dans nos datacentres est très importante pour nous. Nous sommes déterminés à assurer la confidentialité sur l’ensemble de notre périmètre organisationnel, en améliorant la résilience et les capacités, en favorisant une culture de la rapidité, de l’agilité et de l’engagement, et en optimisant l’expérience des utilisateurs et des clients.

Notre dirigeant en charge de la sécurité des systèmes d’informations, en partenariat avec notre vice-président chargé de la réglementation, de la politique publique, de la confidentialité et de la conformité à l’échelle mondiale, mène nos efforts en vue de mettre en pratique des politiques, des normes et des procédures qui nous permettent d’optimiser la sécurité des données sur l’ensemble de notre plateforme mondiale de systèmes et d’applications. Dans ce contexte, nous nous assurons de notre conformité à la réglementation sur la confidentialité des données en vigueur et en cours d’évolution dans les pays où nous opérons.

Réglementations et normes

La plateforme Infosec Governance, Risk Compliance (GRC) d’Equinix assure la gestion des changements réglementaires qui permet de réaliser d’importants progrès en matière de conformité par l’automatisation de notre conformité aux évolutions réglementaires, ce qui aurait, dans le cas contraire, entraîné une augmentation du risque global pour notre entreprise. Equinix dispose d’un programme mondial de conformité à la confidentialité des données conçu pour répondre aux exigences des lois applicables en matière de confidentialité et, en particulier, du Règlement général sur la protection des données (RGPD) de l’Union européenne (UE). En prévision de l’évolution des réglementations mondiales en matière de confidentialité des données, nous continuons à renforcer les mesures de confidentialité des données sur nos marchés existants et à mettre en œuvre de manière proactive des modèles de conformité qui répondent à des exigences similaires à celles du RGPD sur les nouveaux marchés. Notre approche proactive de la conformité en matière de protection des données nous permet de répondre aux exigences locales chaque fois qu’elles se présentent.

GDPR

Les exigences locales en matière de reporting des incidents de cybersécurité se sont également renforcées. En 2022, en Inde, nous avons mis en place un processus permettant de respecter les délais et les exigences obligatoires du CERT-In en matière de reporting des incidents de cybersécurité. Aux États-Unis, nos équipes spécialisées dans les questions juridiques et de politique publique travaillent avec des associations professionnelles nationales pour surveiller et répondre aux règles et réglementations élargies de la Security Exchange Commission (SEC) en matière de reporting des incidents de cybersécurité. En tant qu’organisation mondiale en pleine expansion, nous sommes prêts à nous engager avec les parties prenantes locales pour pouvoir répondre aux exigences locales.

Equinix suit de près les changements de politique en cours, notamment les exigences en matière de localisation et de souveraineté des données, ce qui nous permet de rester à l’avant-garde des discussions et des réglementations émergentes dans les pays où nous opérons. Cela suppose, par exemple, le respect des exigences actualisées de la directive Schrems II concernant le transfert en toute sécurité de données à caractère personnel de l’Europe vers le reste du monde.

Nos politiques, programmes et protocoles de sécurité des données sont conformes au cadre de cybersécurité (NIST 800-53) du National Institute of Standards and Technology (NIST) et ont obtenu la certification ISO 27 001 Information Security Management Frameworks (cadres de gestion de la sécurité de l’information). Bien que chaque datacentre IBX® conserve actuellement sa propre certification, nous cherchons à faire certifier tous les sites Equinix dans le cadre d’une certification au niveau mondial. Nous avons adopté très tôt la certification du modèle de maturité de la cybersécurité (CMMC) dans le cadre des contrats passés avec le gouvernement fédéral américain et ses agences.

ISO

Nettoyage des données
Nous avons mis en place un processus normalisé de gestion des déchets électroniques et travaillons en étroite collaboration avec les fournisseurs qui répondent à nos critères stricts afin de nous assurer que toutes les données critiques sont nettoyées avant d’être retirées de nos sites.

Les programmes de sécurité de l’information sont approuvés par l’équipe de direction et font l’objet d’un rapport trimestriel au comité de nomination et de gouvernance du conseil d’administration. Ils sont gérés dans le cadre de Golden Fortress, un ensemble de 12 programmes de cybersécurité visant à renforcer la sécurité et la résilience d’Equinix. Nous sommes en parfaite conformité avec la réglementation SOX. Nous avons également obtenu la certification de conformité mondiale PCI DSS pour les contrôles de sécurité de l’industrie des cartes de paiement en 2022.

Programme Equinix de gouvernance et de conformité aux risques Infosec

Le programme Infosec Governance, Risk Compliance (GRC) d’Equinix réduit les risques de cybersécurité pour l’organisation en mettant en œuvre une plateforme unique, centralisée, automatisée et évolutive qui répond aux exigences de l’entreprise en matière de gestion des audits, de gestion des risques, de gestion des politiques, de changement réglementaire et de gestion de la conformité.

Ces solides fondamentaux de gouvernance nous permettent de maintenir la confiance et la transparence en matière de sécurité de l’information avec toutes les parties prenantes internes et externes.

La quantification des risques sur la plateforme a été utilisée comme outil de prise de décision pour certaines fonctions chez Equinix. En 2022, le programme Infosec GRC s’est associé à l’équipe chargée des achats pour établir des exigences de sécurité obligatoires pour les fournisseurs et accélérer la gestion des risques liés aux tiers à l’échelle mondiale.

Notre capacité à fournir une assurance et une conformité continues en automatisant divers contrôles internes à travers ce programme GRC nous a permis de nous positionner plus haut dans les différents modèles de maturité Infosec GRC.

Les collaborateurs d’Equinix sont leaders dans leur domaine

Abdul Khader Aslam, directeur de la sécurité de l’information, de la gouvernance, du risque et de la conformité chez Equinix, a coécrit et publié « Enterprise Cybersecurity – How to Build a Successful Cyberdefense Program Against Advanced Threats » (Cybersécurité d’entreprise – Comment construire un programme de cyberdéfense efficace contre les menaces avancées). Cet ouvrage est utilisé comme manuel dans plusieurs programmes de formation universitaire.

Améliorer la transparence

Nous avons continué à chercher des voies et moyens pour mieux communiquer sur la confidentialité et la sécurité des données à nos parties prenantes. Nous avons créé un blog en 2022 pour présenter notre travail sur des sujets très pertinents pour nos employés et nos clients. Nous pouvons promouvoir nos messages et renforcer la confiance des clients grâce à ce canal de communication et à d’autres.

Programme de confiance et de transparence

Equinix Trust

Equinix a mis en place un programme de confiance et de transparence permettant à chaque client de s’assurer que son équipement et ses données sont toujours protégés lorsqu’il utilise les produits et services d’Equinix. Ce programme comprend trois éléments qui fonctionnent ensemble pour accompagner nos clients. Il décrit les politiques, les procédures et les mesures de sécurité que nous avons mises en place pour protéger les données, les systèmes et les actifs sensibles.

  • Le portail client d’Equinix (ECP – Equinix Customer Portal) permet à nos clients et partenaires d’accéder rapidement et facilement à des informations sur notre posture de sécurité.
  • La demande d’attestation permet à nos clients et partenaires de bénéficier de l’expertise d’Equinix et d’obtenir une assistance rapide pour répondre à leurs exigences de conformité.
  • Le site web public Trust & Transparency permet aux clients et aux chercheurs de signaler de manière responsable toute problématique de sécurité constatée dans nos services.

Equinix entend mettre en place des canaux de communication clairs pour signaler et traiter des problèmes et des préoccupations en matière de sécurité. Pour s’assurer que notre gestion de la sécurité de l’information est parfaitement intégrée et qu’elle répond à toutes les exigences de l’entreprise, notre responsable de la sécurité de l’information définit et met en œuvre des politiques liées à la sécurité, toutes conformes au cadre du National Institute of Standards and Technology (NIST).Ces politiques sont examinées et approuvées chaque année par le comité de pilotage de la sécurité de l’information, une instance qui regroupe des cadres supérieurs et des dirigeants et qui gère les programmes de sécurité de l’information. Tous les responsables, employés et prestataires d’Equinix sont formés à ces politiques et sont tenus de s’y conformer.

Audits et évaluations
Nous procédons régulièrement à des audits internes, à des évaluations par des tiers indépendants, à des tests de pénétration. Nous avons mis en œuvre un programme de gestion des menaces et des vulnérabilités de l’entreprise afin de donner la priorité à la correction des risques techniques. En 2022, Equinix a permis à 3 000 clients de se conformer aux exigences de leurs auditeurs et de leurs clients. Equinix a également obtenu la certification ISO27001 et le rapport d’évaluation indépendant SOC 2 pour ECP, Network Edge, Equinix Fabric® et Equinix Metal®. Nos systèmes de sécurité convergents couvrent l’ensemble des systèmes de contrôle industriels afin de respecter la norme NIST 800-82.

L’équipe chargée de la sécurité de l’information teste régulièrement nos capacités à répondre aux incidents. Les tests comportent un manuel pour répondre aux scénarios d’atteinte à la protection des données, qu’il s’agisse d’un risque interne ou d’un accès externe non autorisé. Ce manuel est basé sur des incidents réels que nous avons gérés efficacement, ainsi que sur les tactiques utilisées par les acteurs de la menace. Le manuel bien élaboré nous aide à accroître notre taux de réponse et les exigences de divulgation qui seraient activées et à identifier les autorités mondiales externes, les fournisseurs et les fonctions internes qui doivent être notifiés en cas de manquement à la protection des données.

Notre programme de formation et de certification des développeurs NEXTcode lancé en 2022

a permis de former avec succès 1 279 développeurs

Plateforme Zero Trust
Les principes du Zero Trust encouragent des l’accès à moindre privilège et validés en permanence, à l’aide de technologies avancées qui prennent en compte l’accès à un moment donné. D’après la philosophie d’Equinix, il ne faut pas que les entreprises fassent systématiquement confiance à tout ce qui se trouve à l’intérieur ou à l’extérieur de leurs périmètres de sécurité. Elles doivent valider en permanence toute personne ou tout ce qui tente d’accéder à l’entreprise. En appliquant les principes et les fonctions du Zero Trust à travers notre plateforme de sécurité, nous améliorons notre stratégie de sécurité et renforçons la confiance de nos clients dans notre engagement en faveur de la sécurité. Nous sommes conscients que les menaces au niveau mondial sont en constante évolution et que les cybercriminels ne cessent de perfectionner leurs tactiques. L’intelligence collective de notre plateforme de cybersécurité nous permet d’évaluer constamment les menaces et les vulnérabilités, pour pouvoir adapter nos contrôles en conséquence.

Déclaration de confidentialité des données des collaborateurs
La confiance de nos employés est déterminante pour notre succès, et nous voudrions être totalement transparents avec eux en ce qui concerne leurs données personnelles et la manière dont nous les traitons. Notre déclaration de confidentialité des données des collaborateurs est conçue pour répondre aux exigences réglementaires locales, mais elle envoie également un message cohérent à l’échelle mondiale à nos employés. Cette déclaration explique de manière détaillée le traitement des données personnelles des employés par Equinix, les raisons de ce traitement et la manière dont elles sont sécurisées. Elle permet également aux employés de poser des questions et d’exercer leurs droits réglementaires, si nécessaire. Nous examinons et actualisons le projet en fonction de l’expansion d’Equinix afin de nous assurer que nous respectons les réglementations locales des marchés sur lesquels nous opérons.

Développer une culture de la confiance et de la sécurité

Equinix est un choix pertinent en matière de sécurité pour nos clients et les professionnels de l’informatique. Nous nous engageons à développer régulièrement nos talents ainsi que nos capacités en matière de sécurité. En même temps que nous augmentons nos investissements dans la gouvernance de la sécurité, les contrôles et le personnel, nous avons souligné l’importance de la diversité et de l’inclusion au sein de l’entreprise. Nos équipes disposent de solides capacités adaptées aux meilleurs contrôles du National Institute of Standards and Technology (NIST), tout en s’inscrivant dans notre culture d’appartenance et de confiance.

Formation et développement
Nous formons régulièrement nos employés à la détection des activités suspectes et les informons des risques potentiels en matière de confidentialité et de sécurité des données. En 2022, nous avons commencé à organiser des formations ciblées en faveur de groupes spécifiques d’employés. Pour commencer, nous nous sommes intéressés aux nouveaux employés et avons pu constater une réduction quantifiable des risques sur la base d’une modification du comportement en ligne des utilisateurs. Nous avons également relancé la formation en présentiel afin de normaliser et de relever les défis régionaux. Par exemple, au Brésil, nous avons formé notre personnel aux dangers associés à certaines plateformes de messagerie, qui présentent des risques importants pour la sécurité.

19%

Reduction

in click rate on phishing emails sent by Infosec in 2022

692

Posts

on the Information Security Awareness Yammer channel

with

1.3M

Total Views

and 10.3k total engagement

13K+

Employees

included in the Information Security Awareness Yammer channel

Le module de formation en ligne d’Equinix sur la confidentialité des données, axé sur les exigences du RGPD, est ouvert aux employés et aux cadres qui traitent des données personnelles dans le cadre de leurs responsabilités, ce qui représente environ 30 % de notre effectif. Ce module de formation se situe entre les composantes relatives à la protection des données de nos programmes de formation au code de déontologie que tous les employés suivent et les exercices de formation spécifiques des départements axés sur des aspects particuliers de la conformité en matière de protection des données, telles que la gestion des consentements marketing, la notification et la gestion des atteintes à la protection des données.

Apprentissage ludique en 2022 Thumbnails of Equinix's cybersecurity training games
Equinix a commencé à utiliser avec succès Yammer pour encourager l’apprentissage volontaire et ludique auprès de ses employés en 2022. Chaque mois, nous publions des jeux axés sur la sécurité des réseaux sociaux, les données sensibles, l’ingénierie sociale, la navigation sécurisée et d’autres thèmes liés à la cybersécurité. Chaque mois, au moins 150 joueurs sont attirés par le format attrayant et l’accent mis sur les sujets d’actualité de la sécurité. Les employés sont encouragés à consulter la documentation connexe pertinente pour obtenir des conseils supplémentaires sur les sujets mis en exergue, en plus du contenu du jeu.

Equinix a fait part du grand succès qu’a connu notre formation ludique à la cybersécurité lors du SANS Security Awareness Summit en 2022. Nous avons recueilli les réactions des participants intéressés par l’adoption d’approche ludique pour leurs propres employés. Influencés par cette interaction et par notre succès, nos homologues du secteur bancaire et de la grande distribution s’approprient le programme.

Notre programme Cyber Knights Ambassador est un programme d’ambassadeurs de la sécurité qui offre à nos employés une opportunité de développement structuré. Il nous permet d’encourager une culture de la sécurité et permet à nos employés de partager les meilleures pratiques en matière de sécurité des données. En 2022, un groupe de Global Knights issus de 19 nations a accédé à un portail de formation spécifique et a participé aux discussions mensuelles, aux séances de questions-réponses et à trois niveaux de formation. Les participants s’appuient sur cette formation pour demander des activités de sensibilisation spécifiques pour leurs départements et régions. Notre programme est en phase avec notre ambition de faire progresser le secteur de la sécurité et il est actuellement utilisé comme modèle de référence pour le secteur.

Alors que nous continuons à nous développer en tant qu’entreprise et à élargir nos offres, nous sommes déterminés à instaurer une culture de la sécurité et de la confiance au sein de notre entreprise. Nous contrôlons la mise en œuvre de cette culture à travers un suivi de l’engagement et de l’impact sur le comportement des utilisateurs sur nos différentes plateformes, un traitement analytique des données et notre portail de réseaux sociaux internes Yammer.

Défense des intérêts et collaboration