Interview avec Kirk Bushell, Directeur Technique chez Award Force 

Lisez l’entrevue ci-dessous avec Kirk Bushell, Directeur Technique chez Award Force, pour savoir comment faire en sorte que votre programme soit sécurisé et les actions menées par Award Force pour assurer la sécurité et l’intégrité de votre programme.

Carl (Award Force Academy) : Nous savons tous que la sécurité d’un produit ouservice qu’une entreprise commercialise est une question importante, et nous avons tous une certaine idée de ce que cette notion signifie, mais, en toute honnêteté, cette définition reste floue pour beaucoup d’entre nous. Nous entendons des choses comme “le cryptage de données”, “SSL”, “ISO”, “RGPD”, “PCI DSS”, et bien plus encore ; mais que signifient-elles donc ?

Je suis ravi de vous présenter mon ami et collègue, Kirk Bushell, Directeur Technique chez Award Force. Bonjour Kirk !

Kirk : Bonjour Carl, comment ça va ?

Carl : Très bien, merci. Merci de vous joindre à nous aujourd’hui et de prendre le temps de discuter avec nous de ce qu’Award Force fait en matière de sécurité. On commence sans plus attendre, j’ai quelques questions pour vous.

Kirk : Pas de problème.

Carl : Super ! En ce qui concerne les données cryptées, les programmes de prix utilisant Award Force utilisent également SSL par défaut. En quoi cela aide-t-il les utilisateurs d’Award Force ? Et quel niveau de protection cela leur procure-t-il ? 

Kirk : C’est une très bonne question, Carl. SSL est présent par défaut, comme vous l’avez mentionné, et pour nos clients et utilisateurs cela assure une meilleure sécurité pour toutes les requêtes formulées sur la plateforme. Cela signifie qu’avec SSL activé, certaines attaques sont impossibles à réaliser. Par exemple, une attaque de l’homme du milieu. La plateforme permet cette protection par défaut. Vous ne pouvez donc pas créer de connexion avec nos services sans SSL. Si vous essayez de vous connecter à notre plateforme sans avoir activé SSL, la requête est tout simplement bloquée, ce qui favorise grandement la sécurité. 

Carl : Super ! Le Règlement Général sur la Protection des Données, également connu sous le nom de RGPD, a été adopté en mai 2018 pour protéger les citoyens européens, mais comment cela affecte-t-il les personnes hors de l’UE ?

Kirk : Une autre très bonne question. Tout d’abord, bien que le RGPD ait été développé à l’intérieur de l’UE pour les citoyens de l’UE, il a en réalité des implications plus larges pour quiconque opérant hors de la zone ayant des clients dans la zone UE. Par exemple, si un citoyen européen accède aux services Award Force depuis un pays extérieur à l’UE, nous devons quand même appliquer le même ensemble de fonctionnalités et la même protection que s’il se trouvait dans l’UE. Parce que le RGPD est vraiment un très bon projet de loi qui contribue à assurer la protection de la vie privée et la sécurité des utilisateurs à un niveau fondamental, nous avons défendu cette cause, même si nous sommes une entreprise australienne. Nous avons veillé à ce que toutes ces réglementations soient respectées grâce à un certain nombre de caractéristiques présentes sur la plateforme aujourd’hui. 

Carl : Excellent. Qu’a fait Award Force pour fournir à nos clients les options dont ils ont besoin pour se protéger et protéger leur base d’utilisateurs ? 

Kirk : Une autre très bonne question. Award Force est un processeur de données, ce qui signifie que, conformément à la réglementation, nous devons faire en sorte d’avoir toutes les caractéristiques en place pour fournir à nos clients et gestionnaires de programmes des options et exigences pertinentes facilitant certaines actions comme les demandes de suppression d’utilisateur. 

Toutes les ressources au sein d’Award Force ont maintenant une fonction de suppression permanente des utilisateurs et des entrées, et, par exemple, si vous avez besoin de supprimer votre saison ou même votre compte complet à un moment donné, nous pouvons le faire et vous fournir un certificat pour que vous soyez certain que cela a bien été fait. Cela s’explique par le fait que le RGPD stipule que nous ne devons pas conserver ou maintenir les données au-delà de leur date limite d’utilisation. 

Donc, si vous lancez une saison et que vous avez des données qui ne sont plus pertinentes, vous pouvez supprimer ces informations. 

Deuxièmement, et c’est probablement la caractéristique la plus importante: la manière dont nous traitons le cryptage des données pour garantir que nous respectons la vie privée des utilisateurs et en particulier les données sensibles. 

Par exemple, lorsque vous configurez des champs personnalisés, vous avez le choix parmi trois niveaux de cryptage.

Le niveau standard est celui que nous appliquons à toutes les données, quelle que soit l’option que vous sélectionnez, et c’est notre fonction par défaut pour les « données au repos », de sorte que toutes les informations et données que nous recueillons sur les utilisateurs et ce qu’ils téléchargent dans le cadre de leur candidature ou dans le cadre de leur profil utilisateur sont toutes cryptées au repos. Cela signifie que les données existent sur l’espace disque d’un serveur et sont cryptées à ce niveau. Donc, si quelqu’un devait avoir accès au serveur, par exemple, il ou elle aurait en fait besoin de connaître la clé que nous avons utilisée pour crypter ces données avant de pouvoir les voir. C’est un très bon niveau de cryptage. 

L’option suivante est l’option de cryptage élevé pour les champs personnalisés. Cela signifie que nous « hashons » les valeurs dans notre base de données, de sorte que même si vous voyiez les données, vous ne pourriez pas en lire la valeur. Vous pourriez peut-être la deviner si vous en connaissez déjà le contenu, mais évidemment, avec la quantité et la diversité des données qu’il y a, c’est très difficile à faire. Et en fait, vous ne pouvez pas vraiment les voir, vous devez aussi les déchiffrer à l’aide de notre clé. 

Enfin, il y a l’option de cryptage maximal, auquel cas les données que nous stockons sont entièrement cryptées. À moins d’avoir une clé, encore une fois, vous ne pouvez pas voir les données. Ce qui est intéressant avec cette option, c’est que vous ne pouvez pas réellement rechercher les données ; nous ne pouvons pas écrire de requêtes pour rechercher les données. Cette option vous fournit un niveau avancé de cryptage et de sécurité pour les informations réellement privées destinées aux utilisateurs finaux. Par conséquent, si vous recueillez des informations particulièrement sensibles sur les utilisateurs, il peut être judicieux d’utiliser cette option de cryptage.

Carl : Génial ! On reviendra sur cela un peu plus tard. Merci pour ces explications. La prochaine question que j’aimerais vous poser est la suivante : quelles sont les responsabilités des programmes collectant des renseignements personnels, surtout s’il y a la moindre chance de recueillir des données sur les citoyens européens ? Et, qu’est-ce que cela signifie d’être en infraction avec le RGPD ?

Kirk : Si vous êtes un programme de prix au sein de l’UE, il est très important que vous soyez au courant de la réglementation du RGPD et que vous compreniez ce que l’on attend de vous en tant que contrôleur de données et quelles sont vos responsabilités. 

Tout d’abord, par exemple, si l’utilisateur a besoin que des informations soient supprimées, vous devez satisfaire cette demande. Je ne me souviens pas du délai exact, mais je pense que c’est dans les 30 jours. Il est très important que nos clients soient conscients de leurs responsabilités et de ce qu’ils doivent faire pour leurs utilisateurs finaux. Ils doivent aussi connaître le dernier cycle de données recueillies. En avez-vous besoin pour toujours, juste pour cette année, pour cette saison ou pour un mois ? Il est très important de connaître la date limite de conservation des données que vous avez recueillies. 

La deuxième question concerne les atteintes à la protection des données. Disons qu’Award Force, dans le pire des cas de figure, ait été piraté par quelqu’un qui a pu accéder à nos serveurs de données ; c’est essentiellement une atteinte aux données. Donc, dès que nous nous rendons compte d’une telle violation des données, il y a deux choses que nous devons faire. La première est d’enquêter et de déterminer comment le problème s’est produit, et la deuxième est de signaler cette violation à la fois au client et à l’organisme de réglementation de l’UE, en disant « nous avons été attaqués, voici tous les détails, voilà les mesures que nous prenons pour y remédier à l’avenir. » 

Carl : Award Force est certifié ISO 27001. Qu’a fait Award Force pour s’assurer que les exigences de l’organisation internationale de normalisation soient respectées pour cette certification et, vous pardonnerez ma candeur, qu’est ce que c’est ?

Kirk : Excellente question. Cette norme est en fait un ensemble de directives qui contrôlent la façon dont une organisation doit se comporter pour gérer toutes sortes de données pour l’ensemble de son activité : les informations que nous recueillons, comment nous les stockons, comment nous les vérifions, comment nous assurons que les utilisateurs ont accès à ces informations, etc. Je vous ai donné une vue d’ensemble très large et assez simpliste, mais si une organisation n’a pas tout cela en place dès le départ, cela peut devenir un gros projet.

Ce qui est bien, c’est qu’à Award Force, nous avons toujours été très sensibles à la confidentialité et à la sécurité des données, et nous avions déjà beaucoup de ces éléments en place dès le départ, mais il a quand même fallu environ douze mois pour mettre en place tous les contrôles, les diverses vérifications et autres éléments pour nous assurer d’être vraiment conformes à cette certification. D’ailleurs, nous préparons déjà notre certification pour l’année prochaine. Nous sommes donc certifiés depuis environ un an maintenant, et ce fut une période très intéressante et passionnante parce que cela montre à nos clients que nous prenons la sécurité très au sérieux. 

Carl : Absolument. Sur le plan de la sécurité, qu’a fait, et continue de faire, Award Force pour s’assurer que nous sommes les leaders de l’industrie, le point de référence, en termes de sécurité des données et des utilisateurs ?

Kirk : Une autre très bonne question. Nous avons mentionné un certain nombre de démarches que nous avons entreprises pour faciliter cela, mais du point de vue de la certification, nous avons poursuivi la certification ISO27001, nous avons également poursuivi la certification PCI DSS. Ce dernier point est très important parce que, même si nous ne conservons pas les données des cartes de crédit utilisées pour les paiements, par exemple pour les inscriptions, nous devons quand même recueillir ces données pour les transmettre aux passerelles de paiement partenaires utilisées sur la plateforme; et ainsi, cette certification montre que nous ne gardons pas ces informations et que nous ne faisons rien de celles-ci sauf les transmettre. Dans certains cas, nous ne recueillons même pas ces données; ces données ne sont pas demandées à l’utilisateur si vous passez, par exemple, une passerelle de redirection pour cela. Enfin, il y a le règlement RGPD, qui est probablement la plus grande mesure à mon avis, simplement parce qu’elle place la protection de la vie privée des utilisateurs et la sécurité des données au premier plan. Donc, essentiellement, si vous voulez opérer dans l’UE, vous devez suivre ce règlement et sa législation. 

Carl : Merci, Kirk, merci beaucoup de vous être joint à nous aujourd’hui et de nous avoir accordé votre temps. J’apprécie vraiment cela. 

Kirk : Pas de problème. 

En savoir plus sur la sécurité chez Award Force.