Gouvernance
Nos clients comptent parmi les plus grandes entreprises du monde. Leur confiance dans l’environnement physique et la sécurité des données pour les équipements qu’ils déploient dans nos datacentres est très importante pour nous. Nous nous engageons à améliorer notre résilience, à renforcer nos capacités et à promouvoir une culture de l’agilité, de la rapidité et de la concentration sur l’expérience du client et de l’utilisateur final.
Le Global Chief Information Security Officer d’Equinix, en partenariat avec notre Chief Privacy Officer, dirige nos efforts continus pour appliquer des politiques et des procédures qui nous permettent de maintenir les plus hauts niveaux de sécurité des données sur l’ensemble de notre plateforme mondiale de systèmes et d’applications et, dans ce cadre, de nous assurer que nous respectons toutes les lois en vigueur et en cours d’évolution sur la confidentialité des données dans les pays dans lesquels nous opérons. En ce qui concerne la confidentialité des données, les données personnelles dont Equinix est responsable ne sont pas différentes de l’ensemble standard de données personnelles que la plupart des entreprises conservent. Nous avons mis en place un programme complet de conformité à la confidentialité des données pour ces données personnelles, dans le but d’inspirer confiance à nos employés et à nos clients et de contribuer à gérer tout risque de réputation. Bien qu’Equinix ne possède pas et ne gère pas les données de ses clients sur les serveurs et en cours de transmission dans nos IBX, nous travaillons activement à les aider dans leurs propres pratiques de gestion et de sécurité des données, afin de faciliter leur propre conformité dans ces domaines.
En 2021, notre bureau de la protection de la vie privée a continué à progresser dans son programme de conformité à la législation sur la protection des données, avec pour objectif d’intégrer pleinement les concepts de protection de la vie privée dès la conception dans les nouveaux déploiements de systèmes et les améliorations des processus opérationnels dans toute l’entreprise.
Règlements et normes
Equinix a mis en place et gère un programme de conformité en matière de confidentialité des données qui est conçu pour répondre aux exigences du Règlement général sur la protection des données (RGPD) de l’Union européenne (UE). En prévision de l’évolution des réglementations mondiales en matière de confidentialité des données, nous avons continué à améliorer les mesures de confidentialité des données sur les marchés existants et à mettre en œuvre de manière proactive des modèles de conformité qui répondent aux exigences de type RGPD sur les nouveaux marchés. Notre approche proactive de la conformité en matière de protection des données nous permet de répondre de manière transparente aux exigences locales qui se présentent. Au Brésil, grâce à nos solides pratiques en matière de confidentialité des données, nous avons rapidement satisfait aux exigences de leur équivalent du RGPD, la loi générale brésilienne sur la protection des données (LGPD), lorsqu’elle est entrée pleinement en vigueur en août 2021.
En tant qu’entreprise internationale, Equinix suit de près l’évolution des exigences en matière de localisation et de souveraineté des données. Nous nous engageons à opérer de manière responsable et nous nous efforçons de rester à la pointe des discussions et des réglementations émergentes. Nous nous efforçons activement de nous conformer aux exigences actualisées de SCHREMS II concernant le transfert sécurisé des données personnelles de l’Europe vers le monde entier, conformément aux délais prescrits par l’UE.
Nos politiques, programmes et protocoles en matière de sécurité des données sont conformes au cadre de cybersécurité (NIST 800-53) du National Institute of Standards and Technology (NIST) et ont obtenu la certification des cadres de gestion de la sécurité de l’information ISO 27001 et ISO 27002. Nous avons été les premiers à nous conformer au Cybersecurity Maturity Model Certification (CMCC, certification du modèle de maturité de la cybersécurité) pour la passation de contrats avec le gouvernement fédéral américain et ses agences et nous nous préparons à la certification lorsqu’elle sera ouverte par l’autorité gouvernementale.
Les programmes de sécurité de l’information sont approuvés par l’équipe de direction, font l’objet de rapports trimestriels au comité d’audit du conseil d’administration et sont gérés dans le cadre de Golden Fortress, un ensemble de 12 programmes de cybersécurité visant à renforcer la sécurité et la résilience d’Equinix. Nous respectons pleinement la réglementation SOX.
Améliorer notre capital confiance et notre transparence
Site dédié au capital confiance et à la sécurité
Dans le cadre du programme de confiance et de transparence de Golden Fortress, nous avons développé un site dédié au capital confiance et à la sécurité afin de partager les certifications de conformité, les déclarations de responsabilité et les liens vers notre politique de confidentialité globale, ainsi que d’autres contenus relatifs à la confidentialité pour nos clients. Une fois authentifiés derrière notre portail sécurisé, les clients peuvent partager leurs commentaires officiels et recevoir des informations supplémentaires sur la sécurité des données.
Notre déclaration de politique de sécurité est également disponible pour tous les clients sur le site Trust and Security. Pour garantir que notre gestion de la sécurité de l’information est pleinement intégrée et qu’elle répond à toutes les exigences de l’entreprise, notre directeur de la sécurité de l’information définit et met en œuvre des politiques de sécurité, toutes alignées sur le NIST Security Framework, qui sont vérifiées et approuvées chaque année par le comité de gouvernance de la sécurité de l’information, un comité composé de cadres supérieurs et de dirigeants chargé de gérer les programmes de sécurité de l’information, et par le comité de nomination et de gouvernance. Tous les responsables, employés et sous-traitants d’Equinix sont formés à ces politiques et sont tenus de s’y conformer.
Audits et contrôles
- Nous procédons régulièrement à des audits internes, à des tests de pénétration des contrôles communs et à un programme de gestion des menaces et des vulnérabilités de l’entreprise afin de donner la priorité à la correction des risques techniques dans le cadre de l’assurance. En 2021, nous avons réalisé environ 3 000 cyber-audits de clients, avec aucun résultat à haut risque.
- En 2021, nous avons déployé un système de sécurité convergent sur l’ensemble de nos systèmes de contrôle industriel pour assurer la conformité avec la norme NIST 800-82.
Plateforme Zero trust
Les principes du Zero trust (confiance zéro) sont fondés sur l’accès du moindre privilège et sur l’autorisation continue instrumentée par l’apprentissage automatique. La philosophie d’Equinix est que les organisations ne doivent pas automatiquement faire confiance à tout ce qui se trouve à l’intérieur ou à l’extérieur de leurs périmètres de sécurité et qu’elles doivent continuellement valider tout ce qui tente d’obtenir un accès. En appliquant les principes et les contrôles Zero trust par le biais de notre plateforme de sécurité, nous améliorons notre position en matière de sécurité et renforçons la confiance de nos clients dans notre engagement envers la sécurité. Nous sommes conscients que le paysage mondial des menaces est en constante évolution et que les tactiques des acteurs malveillants continuent d’évoluer. L’intelligence collective de notre plateforme de cybersécurité nous permet d’évaluer en permanence les menaces et les vulnérabilités avec la souplesse nécessaire pour adapter nos contrôles en conséquence. Equinix a déployé la plateforme GRC en 2020 pour la gestion des politiques de sécurité de l’information et l’auto-attestation des contrôles communs.
Avis de confidentialité des données des employés
La confiance de nos employés est essentielle à notre réussite, et nous voulons être totalement transparents envers eux en ce qui concerne leurs données personnelles et la manière dont nous les traitons. En 2021, nous avons préparé et partagé un nouvel avis de confidentialité des données avec tous les employés au niveau mondial, qui répond à toutes les exigences réglementaires locales, mais qui envoie également un message cohérent au niveau mondial. Cet avis fournit des détails sur la manière dont Equinix traite les données personnelles des employés, dans quel but, comment nous les gardons en sécurité et donne aux employés la possibilité de poser des questions et d’exercer leurs droits réglementaires, le cas échéant. Il est prévu d’actualiser périodiquement cet avis sur la confidentialité des données.
Promouvoir une culture de la confiance et de la sécurité
Construire notre équipe
En 2021, nous nous sommes concentrés sur le rapatriement des capacités essentielles des opérations de sécurité, de la sensibilisation à la sécurité et des équipes de réponse aux incidents. Nous avons fait d’Equinix une destination de choix en matière de sécurité pour les clients et les professionnels de l’informatique et nous nous engageons à continuer de développer nos talents et nos capacités de sécurité. Tout en augmentant nos investissements dans la gouvernance de la sécurité, les contrôles et le personnel interne, nous avons souligné l’importance de la diversité et de l’inclusion au sein de l’organisation. Nos équipes disposent de solides capacités alignées sur les principaux contrôles du NIST, tout en se conformant à notre culture d’appartenance et de confiance.
Formation et développement
Nous organisons régulièrement des formations à l’intention des employés sur la manière de repérer les activités suspectes et nous les sensibilisons aux risques potentiels en matière de confidentialité et de sécurité des données.
En 2021, nous avons lancé un module de formation en ligne dédié à la confidentialité des données, axé sur les exigences du RGPD, à l’intention des employés et des cadres qui traitent des données personnelles dans leur champ de responsabilité, soit environ 30 % de la base d’employés. Ce module de formation se situe entre les aspects relatifs à la confidentialité des données de nos programmes de formation au code d’éthique que tous les employés suivent, et les exercices de formation spécifiques des départements axés sur des aspects particuliers de la conformité à la confidentialité des données, comme la gestion du consentement marketing, la notification et la gestion des violations, etc.
L’équipe de sécurité de l’information teste régulièrement notre formation à la réponse aux incidents. La formation comprend des manuels pour répondre à des scénarios de violation de données allant du risque interne à l’accès externe non autorisé. Ce guide est basé sur des incidents réels que nous avons gérés efficacement, ainsi que sur les tactiques utilisées par les acteurs malveillants. Le guide enrichi permet d’accélérer notre taux de réponse et les exigences de divulgation qui seraient activées et d’identifier les autorités mondiales externes, les fournisseurs et les fonctions internes qui doivent être notifiés en cas de violation.
Programme d’ambassadeurs Cyber Knights
Notre programme d’ambassadeurs Cyber Knights, lancé en 2021, est un programme d’ambassadeurs de la sécurité qui nous offre une opportunité de développement structuré pour promouvoir une culture de la sécurité et pour que nos employés aident à partager les meilleures pratiques en matière de sécurité des données. En 2021, 175 chevaliers dans le monde ont participé à des conférences mensuelles, à des questions-réponses et à trois niveaux de formation. Notre programme est conforme à notre ambition de faire progresser le secteur de la sécurité et a été reconnu pour son innovation et son impact, ce qui lui a valu un prix Women in Tech.
Alors que nous continuons à nous développer en tant qu’entreprise et à enrichir nos offres, nous restons concentrés sur le maintien d’une culture de sécurité et de confiance dans toute l’entreprise. Nous contrôlons cette culture en suivant l’engagement sur nos différentes plateformes, y compris notre portail interne de réseaux sociaux Yammer.
Défense des intérêts et collaboration
La défense des intérêts est un élément essentiel de notre stratégie, car nous tirons parti du pouvoir d’achat de nombreuses entreprises en parlant d’une seule voix.