Centre de sécurité
En activité depuis 2010, Sprout Social compte plus de 30 000 clients effectifs qui font confiance à la plateforme pour gérer chaque jour des millions de conversations. Notre technologie est conçue et gérée spécialement pour nos clients et leurs audiences, qui englobent des centaines de millions de personnes. Forts d'une culture basée sur l'assistance et la réussite des clients, nous nous efforçons de nouer des relations durables au quotidien.
Mesures de sécurité des produits
Bien que les mesures de sécurité globales documentées sur cette page s'appliquent à l'ensemble de l'organisation Sprout Social, chacune de nos applications inclut des fonctionnalités de sécurité spécifiques au produit. Les informations concernant le contrôle d'accès, la sécurité des applications, l'hébergement dans le cloud et la sécurité de l'infrastructure de nos produits se trouvent dans leurs sections respectives ci-dessous.
Mesures de sécurité globales
Résilience opérationnelle
Fiabilité et disponibilité
Sprout Social s'efforce de minimiser les perturbations et les temps d'arrêt de ses services. Nos systèmes sont conçus pour être opérationnels malgré les failles, et nos équipes sont formées à la résolution rapide des incidents. Nous mettons un point d'honneur à éviter à tout prix les temps d'arrêt, que ces derniers soient ou non planifiés. Nous n'imposons jamais d'arrêt de maintenance si celui-ci est évitable, et c'est généralement le cas. Les concepts de continuité des activités et de reprise après incident sont intégrés dans nos pratiques et nos systèmes. Nous y avons pensé en amont, et ils ne sont pas une idée secondaire ni l'apanage d'une seule équipe.
Notre équipe d'ingénierie s'efforce de maintenir une disponibilité de 99,9 % pour chacun de nos produits en tant qu'indicateur clé de performance (KPI). Nous partageons publiquement l'état du système et les statistiques en temps réel sur nos sites web de statut, où les clients peuvent s'abonner pour recevoir des notifications de futurs incidents :
Intégrations sociales
Notre couche d'ingestion de données combine plusieurs connexions aux API des réseaux sociaux. Grâce à nos accords de partenariat officiels, des réseaux sociaux tels que Facebook, Instagram, LinkedIn, Pinterest, Threads, TikTok, X et YouTube nous offrent des niveaux de redondance plus élevés et un accès direct à leurs équipes d'assistance.
Toutes les connexions entre les produits Sprout Social et les réseaux sociaux se font sur des réseaux sécurisés. Lorsque les clients connectent leurs profils de réseaux sociaux à Sprout Social, ils saisissent leurs identifiants directement sur le réseau social ; ces informations ne sont jamais consultées, traitées ni stockées par Sprout Social.
Sauvegardes
Des sauvegardes sont effectuées fréquemment, chiffrées en transit et au repos, et testées régulièrement. Elles sont intentionnellement stockées « hors site », séparées géographiquement du lieu d'hébergement principal de chaque application, afin de garantir des niveaux élevés de durabilité et de disponibilité.
Vous pouvez trouver des informations supplémentaires sur les centres de données et les emplacements d'hébergement dans les pages de sécurité spécifiques au produit ci-dessus.
DevOps et surveillance
Notre équipe d'ingénieurs a recours à l'Infrastructure as Code pour offrir exactitude, cohérence, testabilité et vitesse de récupération. Tous les membres de l'équipe d'astreinte 24 h/24, 7 j/7 et 365 j/an sont habilités à reconstruire les systèmes et les topologies de manière cohérente. En cas de perte de système, notre équipe d'ingénierie est en mesure de recréer rapidement les systèmes en exécutant le code d'infrastructure.
Nous effectuons une surveillance continue dans le monde entier pour afficher et envoyer des alertes et créer des rapports en temps réel dans l'ensemble de notre environnement technique. Notre équipe d'assistance en contact avec la clientèle collabore avec notre équipe d'ingénierie pour aider les clients. Notre équipe d'ingénieurs spécialisés travaille en continu, 24 h sur 24, 7 j sur 7 et 365 jours par an.
Lorsque des problèmes surviennent, nos équipes sont rapidement averties, reçoivent automatiquement des informations contextuelles et disposent d'outils pour collaborer efficacement avec leurs pairs. Nous utilisons un système de triage par pager pour nous assurer que les ingénieurs reçoivent les alertes rapidement et de manière fiable.
Sécurité du personnel
Sensibilisation et formation
Sprout Social a mis en place un solide système de gestion de la sécurité des informations grâce à un ensemble complet de politiques et de normes qui couvrent tous les aspects de la sécurité et de la vie privée. Dans le cadre de leur condition d'emploi, tous les employés doivent confirmer leurs responsabilités en matière de protection des données des clients.
Non seulement les développeurs sont formés à la programmation sécurisée, mais l'ensemble des employés doit suivre une formation générale annuelle sur la sécurité et la confidentialité des données. Des simulations de phishing sont réalisées quotidiennement et comparées aux données de référence du secteur.
Organisation de la sécurité
Sprout Social dispose d'une équipe hautement qualifiée et étendue dédiée à la sécurité de l'information, dirigée par le vice-président de l'informatique, de la sécurité et de la conformité, sous la supervision du directeur de la technologie (CTO) et du conseil d'administration de Sprout Social.
En fonction de leurs qualifications et de leurs intérêts professionnels, les membres du personnel de sécurité peuvent être affectés à des domaines fonctionnels tels que la sécurité des employés, la sécurité des applications, la sécurité des infrastructures, la surveillance du SOC, la conformité, et plus encore.
Matériel et dispositifs
Sprout Social tient à jour un inventaire de tout le matériel et des appareils, qui fait l'objet d'audits réguliers, à la fois automatiquement et manuellement. Chaque appareil est géré de manière centralisée par une solution de gestion des appareils mobiles (MDM), qui applique des configurations centralisées et permet une surveillance continue du système.
Le poste de travail de chaque employé est sécurisé par un chiffrement complet des disques, un antivirus et un logiciel antimalware de nouvelle génération ainsi qu'un logiciel de prévention des pertes de données. Les contrôles matériels, comme le blocage des supports externes et des ports USB, sont également configurés.
Dépistage
Les candidats à l'embauche passent plusieurs séries d'entretiens avec des parties prenantes de plusieurs équipes afin de vérifier leurs qualifications. Avant de commencer à travailler chez Sprout Social, tout le personnel fait l'objet d'une vérification d'identité et d'une vérification des antécédents, sous réserve des lois et des réglementations locales.
Gestion des vulnérabilités et des risques
Détection et opérations
L'équipe de sécurité interne de Sprout Social surveille les systèmes et les journaux 24 h/24, 7 j/7, 365 j/an pour détecter de possibles événements et anomalies. En outre, des experts sont disponibles sur appel en cas de besoin.
Les systèmes et les applications sont régulièrement analysés pour rechercher des vulnérabilités courantes, et les résultats visent à apporter des corrections en fonction du risque. Des fournisseurs de tests tiers qualifiés effectuent des tests d'intrusion au niveau des applications et des couches réseau plusieurs fois par an.
Gestion et réponse aux incidents
La planification et les procédures d'intervention en cas d'incident de Sprout Social sont basées sur les normes NIST, qui intègrent les phases de préparation, de détection et d'analyse, de confinement, d'éradication, de récupération et d'activité post-incident. Celles-ci sont renforcées par les exigences de gestion des incidents de sécurité de l'information de la norme ISO 27001.
Lorsque des incidents potentiels sont identifiés par nos systèmes de surveillance, nos outils de détection des menaces ou les rapports des parties prenantes, une évaluation et une classification initiales sont effectuées avant de passer rapidement à des mesures de réponse et de confinement. Les parties prenantes sont régulièrement informées tout au long de l'enquête, et des preuves et des dossiers complets sont collectés et conservés. Une fois l'incident résolu, la cause profonde est identifiée et, dans un esprit d'amélioration continue, des changements sont mis en œuvre pour éviter que des incidents similaires ne se reproduisent à l'avenir.
Gestion de la chaîne d'approvisionnement
Sprout Social utilise des méthodes automatisées et manuelles pour examiner et surveiller régulièrement tous les principaux fournisseurs de produits et services de notre chaîne d'approvisionnement. Nos sous-traitants sont tenus par contrat de respecter un ensemble établi de mesures de sécurité conformes aux bonnes pratiques du secteur.
Étant donné l'importance de surveiller les risques liés aux tiers, nous portons une attention particulière aux bibliothèques et aux autres dépendances tierces utilisées dans notre environnement pour nous assurer qu'elles restent corrigées et entièrement à jour.
Contrôle des modifications
Toutes les équipes d'ingénierie de Sprout Social suivent des méthodologies de développement logiciel Agile, qui intègrent des phases formelles du cycle de vie du développement logiciel (SDLC), notamment la planification, le développement, la révision du code, les tests, le déploiement et la surveillance continue.
Toutes les modifications de code et de configuration sont soumises à plusieurs étapes d'examen et de test avant d'être déployées. Nos environnements de production appliquent le code approuvé par le biais d'outils de gestion de configuration, et toute modification directe apportée à ces systèmes sera remplacée par la configuration approuvée pour des raisons de cohérence. Les développeurs de Sprout Social doivent suivre une formation annuelle sur le codage sécurisé.
Protection physique et environnementale
Sécurité physique des bureaux
Tous les bureaux de Sprout Social sont équipés de portes multicouches sécurisées par des systèmes de contrôle d'accès électroniques. L'accès physique est limité au personnel de Sprout Social et aux visiteurs autorisés accompagnés. Les bureaux sont équipés de caméras de surveillance qui surveillent les entrées et les sorties.
Sécurité numérique des bureaux
Tous les bureaux disposent de salles de données sécurisées contenant des équipements de réseau, notamment des pare-feu, des commutateurs et des points d'accès, que nous possédons et gérons. Les réseaux de bureaux sont segmentés et surveillés de façon centralisée. Nos services étant hébergés par des centres de données tiers, les produits ne dépendent pas du siège social de Sprout Social ou des autres bureaux que nous gérons.
Sécurité des personnes
Dans chaque bureau de Sprout Social, des plans d'étage sont disponibles, qui détaillent l'emplacement des sorties, des extincteurs, des défibrillateurs et d'autres ressources de santé et de bien-être. Les systèmes d'alarme d'urgence sont installés et testés régulièrement. Les procédures d'urgence en cas de catastrophe sont mises à jour, et des exercices de simulation sont effectués au moins une fois par an.
Continuité des activités
Bien que Sprout Social dispose de plusieurs bureaux, la continuité de nos opérations ne dépend pas de ces installations. Pendant la pandémie de COVID-19 (Coronavirus), les employés de Sprout Social sont passés au travail à distance sans que cela n'occasionne aucun retard ni aucune interruption. De nombreux employés sont de retour au bureau, mais l'organisation demeure hybride, avec du personnel en télétravail dans le monde entier. Par conséquent, nos produits, nos services et nos opérations commerciales globales peuvent se poursuivre 24 heures sur 24, quelles que soient les interruptions de bureau.