Passer au contenu principal

La conformité est incluse dans la sécurité du Cloud Appian.

Face à l’augmentation des pressions exercées par les réglementations mondiales, les entreprises sont appelées à respecter l’équilibre entre conformité et innovation concurrentielle. Le Cloud Appian facilite cela avec un programme de sécurité et de conformité complet.

Programme de conformité du Cloud Appian

Industry Standards

Respecte les normes sectorielles les plus rigoureuses à l’échelle locale, régionale et mondiale.

security audits

Subit de nombreux audits de sécurité indépendants par des tierces parties.

Protecting customer data

Vérifie que les contrôles protègent les données des clients.

Governance Capabilities

Fournit des capacités de gouvernance avancées.

L’armée de l’air américaine s’engage à moderniser nos anciens systèmes métier de manière économique en implémentant des technologies de cloud évolutives telles que les capacités de gestion des processus métier fournies par nos partenaires du secteur comme Appian.

Richard T. Aldridge
Fonctionnaire exécutif chargé des programmes pour la gestion des systèmes intégrés d’entreprise et membre du service des hauts fonctionnaires de l’armée de l’air des États-Unis.

SOC 1/ISAE 3402

Les rapports Service Organization Controls (SOC) (autrefois appelés rapports SAS 70) sont conçus pour aider les opérateurs et les fournisseurs de systèmes informatiques à instaurer un climat de confiance autour de leurs processus et de leurs contrôles.

Appian publie un rapport SOC 1 type II et un rapport International Standards for Assurance Engagements (ISAE) 3402. Cet audit réalisé par un expert-comptable indépendant examine les contrôles internes d’une organisation de service sur une période donnée pouvant affecter les rapports financiers d’un client qui utiliserait le service audité. Ces rapports sont fréquemment des aspects essentiels des évaluations des contrôles internes des clients quant à leurs rapports financiers et servent à soutenir les exigences d’audit et de conformité des rapports financiers.

Un engagement de type II donne un avis sur l’exactitude de la description du système d’un fournisseur de service, la pertinence de son design et l’efficacité opérationnelle de ses moyens de contrôle pour atteindre les objectifs de contrôle associés et définis dans la description sur une certaine période et pas seulement à un instant donné.

SOC 2

Les rapports SOC 2 sont conçus pour répondre aux besoins d’une large gamme d’utilisateurs devant comprendre les moyens de contrôle internes des organisations de service relatives aux principes et critères d’approbation de services, qui couvrent la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la protection de la vie privée.

Un rapport de type II détaille l’exactitude de la description du système d’un fournisseur de service, la pertinence de son design et l’efficacité opérationnelle de ses moyens de contrôle sur une certaine période et pas seulement à un instant donné.

Le rapport SOC 2 de type II offre un examen détaillé et réalisé par un cabinet d’audit indépendant de la sécurité, de la disponibilité et des contrôles de confidentialité du Cloud Appian.

SOC 3

Le rapport SOC 3 sur le Cloud Appian est publiquement disponible et constitue une synthèse du rapport SOC 2 du Cloud Appian. Le rapport SOC 3 confirme que la sécurité, la disponibilité et les contrôles de confidentialité du Cloud Appian sont conformes aux principes d’approbation de services de l’AICPA. Il comprend également l’avis d’un auditeur externe sur l’efficacité de l’application des contrôles.

Lire le rapport

PCI-DSS

Le Payment Card Industry (PCI) Security Standards Council a publié des normes destinées à renforcer la sécurité des données des cartes de paiement. La norme PCI Data Security Standard (PCI-DSS) offre un cadre pour le développement d’un processus rigoureux de sécurité des données des cartes de paiement, avec prévention, détection et réponse appropriée aux incidents de sécurité. Les clients peuvent exploiter la certification PCI-DSS du Cloud Appian pour simplifier leur propre conformité à cette norme après avoir accepté les conditions du Cloud Appian relatives à cette certification.

Le Cloud Appian a été évalué par un auditeur externe indépendant, et il est conforme à la norme PCI-DSS.

HIPAA

La loi américaine Health Insurance Portability and Accountability Act (HIPAA) de 1996 régule la sécurité et la confidentialité des données de santé protégées (PHI).

Le Cloud Appian est conforme aux exigences de sécurité de l’HIPAA. Grâce à la conformité HIPAA, les clients peuvent traiter et stocker de façon sécurisée les données de santé protégées (PHI) dans le Cloud Appian après avoir conclu un accord de partenariat.

FedRAMP

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme gouvernemental américain qui définit une approche standardisée des évaluations de sécurité, des autorisations et de la surveillance continue des produits et services du cloud. La conformité FedRAMP signifie qu’un système cloud donné offre un environnement bien établi et hautement sécurisé qui a fait l’objet de contrôles exhaustifs avant de pouvoir être utilisé par des agences fédérales.

Le Cloud Appian est conforme FedRAMP et a reçu une autorisation d’opérer (ATO) d’agence au niveau modéré.

Avec la conformité FedRAMP, le Cloud Appian est considéré comme une solution viable pour réaliser des économies de temps et d’argent considérables, pour mieux gérer les risques de sécurité et pour renforcer la transparence des programmes pour les opérations fédérales critiques. Cette autorisation peut être réutilisée par d’autres agences fédérales pour économiser du temps et de la main-d’œuvre par rapport aux systèmes sans conformité FedRAMP.

Accédez au package de conformité FedRAMP du Cloud Appian

DISA niveau d’impact 2 (IL2)

À partir du programme FedRAMP, le département de la Défense américain (DoD) a défini des exigences supplémentaires dans son guide des exigences de sécurité (SRG) pour le Cloud Computing au sein du DoD. Ce programme d’autorisation est géré par la Defense Information Systems Agency (DISA).

Appian dispose d’une autorisation provisoire (PA) pour les déploiements d’IL2 dans le Cloud Appian pour les services gouvernementaux.

Pour plus d’informations sur les niveaux d’impact de la sécurité dans le cloud du département de la Défense, rendez-vous sur le portail DoD Cloud Security.

DISA niveau d’impact 4 (IL4)

À partir du programme FedRAMP, le département de la Défense américain (DoD) a défini des exigences supplémentaires dans son guide des exigences de sécurité (SRG) pour le Cloud Computing au sein du DoD. Ce programme d’autorisation est géré par la Defense Information Systems Agency (DISA).

Appian dispose d’une autorisation provisoire (PA) pour les déploiements d’IL4 dans le Cloud Appian pour les services gouvernementaux.

Pour plus d’informations sur les niveaux d’impact de la sécurité dans le cloud du département de la Défense, rendez-vous sur le portail DoD Cloud Security.

DISA niveau d’impact 5 (IL5)

À partir du programme FedRAMP, le département de la Défense américain (DoD) a défini des exigences supplémentaires dans son guide des exigences de sécurité (SRG) pour le Cloud Computing au sein du DoD. Ce programme d’autorisation est géré par la Defense Information Systems Agency (DISA).

Appian a reçu une autorisation provisoire (PA) pour les déploiements d’IL5 dans le Cloud Appian pour les services gouvernementaux.

Pour plus d’informations sur les niveaux d’impact de la sécurité dans le cloud du département de la Défense, rendez-vous sur le portail DoD Cloud Security.

FISMA

Entrée en vigueur en 2002 et modifiée en 2014, la loi Federal Information Security Management Act (FISMA) offre un cadre exhaustif visant à garantir l’efficacité des contrôles de sécurité des données pour les systèmes informatiques du gouvernement fédéral des États-Unis. Ensemble, l’Office of Management and Budget (OMB), le département de la Sécurité intérieure (DHS) et le National Institute of Standards and Technology (NIST) ont instauré un programme destiné à définir les normes et à superviser la conformité.

Le Cloud Appian dispose d’un cadre de sécurité avec une structure fiable de contrôle de la sécurité qui permet aux organisations fédérales d’obtenir une autorisation d’opérer (ATO).

GxP

Les sociétés pharmaceutiques et de sciences de la vie sont légalement obligées de satisfaire aux standards de validation et de bonnes pratiques (GxP) pour la création de systèmes de traitement ou de modification d’enregistrements prédicats. Les enregistrements et les processus associés aux essais cliniques, aux travaux en laboratoire, à l’assurance qualité, aux activités de Regulatory Information Management, à la fabrication industrielle et aux dossiers médicaux électroniques sont notamment concernés.

Le Cloud Appian a fait l’objet d’une évaluation indépendante auprès d’experts du secteur des sciences de la vie. L’objectif était d’en vérifier les contrôles et leur alignement sur les critères et les standards de validation de systèmes informatiques de la norme GxP.

Les clients peuvent utiliser ce rapport indépendant pour compléter et soutenir leurs activités de contrôle et de conformité avec la norme GxP.

FDA

La Food and Drug Administration (FDA) a créé la réglementation 21 CFR Part 11 pour forcer les entreprises du secteur des sciences de la vie qui traitent des enregistrements et des signatures au format électronique exigés par la FDA à respecter des normes précises et à appliquer les bonnes pratiques de laboratoire, de fabrication et de clinique. Les principaux objectifs de cette réglementation sont de garantir l’intégrité des données, de s’assurer que les modifications apportées aux différents systèmes sont documentées, pertinentes et validées, de confirmer que les systèmes informatiques utilisés sont dignes de confiance et de vérifier que les applications sont validées pour leur utilisation prévue.

Le Cloud Appian prend en charge les capacités et les technologies nécessaires pour permettre aux clients de créer des applications conformes à la réglementation 21 CFR Part 11.

UK G-Cloud

G-Cloud 13 est un marché numérique qui permet au secteur public du Royaume-Uni de trouver des individus et des technologies pour des projets à l’échelle du gouvernement. Le cadre G-Cloud est rendu possible par le Crown Commercial Service (CCS), qui se concentre sur l’apport de prestations commerciales pour le secteur public tout en aboutissant à des économies pour le contribuable. Pour ce faire, ce service combine des programmes, offre ses conseils, valide les offres de qualité et permet aux organisations d’acheter directement ce dont elles ont besoin.

Le Crown Commercial Service (CCS) travaille avec les services et les organisations de l’ensemble du secteur public, afin d’exploiter au mieux chaque relation commerciale et d’améliorer la qualité des services proposés.

Le Cloud Appian est conforme au cadre G-Cloud. La  certification G-Cloud du Cloud Appian est disponible sur la place du marché numérique gov.uk.

508/VPAT

La loi Rehabilitation Act de 1973, Section 508, exige que les technologies électroniques et informatiques des agences fédérales américaines soient utilisables par les personnes handicapées.

Le Voluntary Product Accessibility Template (VPAT) est un outil utilisé pour documenter la conformité d’un produit donné par rapport aux normes d’accessibilité définies dans la Section 508 de la loi Rehabilitation Act.

Appian a satisfait à l’évaluation VPAT, et le produit Appian est conforme à la Section 508.

En savoir plus

Cloud Security Alliance

Le programme Security, Trust and Assurance Registry (STAR) de la Cloud Security Alliance (CSA) offre un cadre complet pour les processus de confiance et d’assurance des fournisseurs de cloud. Le programme STAR de la CSA est un registre public conçu pour représenter les différents degrés de maturité et critères d’assurance des fournisseurs et des consommateurs. Il est utilisé par des clients, des prestataires, des secteurs d’activité et des gouvernements du monde entier. Le programme STAR permet aux fournisseurs de cloud de comparer leurs contrôles à la matrice de contrôles du cloud de la CSA.

Le Cloud Appian est inscrit au registre Security, Trust and Assurance Registry de la CSA après avoir satisfait au questionnaire Consensus Assessments Initiative Questionnaire (CAIQ) portant sur 133 contrôles axés sur 16 domaines.

Voir la proposition du Cloud Appian pour le programme STAR

Qualys SSL Labs

Qualys SSL Labs propose des analyses approfondies de la configuration des systèmes de sécurité des serveurs Web sur Internet, notamment la configuration SSL/TLS. SSL Labs a décerné une note A+ à la solution Web du Cloud Appian.

Health Information Trust Alliance (HITRUST)

Les entreprises se basent sur les recommandations du cadre de sécurité commun (CSF) de la Health Information Trust Alliance (HITRUST) pour gérer les exigences de sécurité inhérentes à la norme HIPAA.

Afin de protéger les informations hautement sensibles, les organismes de santé (notamment les compagnies d’assurance santé, les hôpitaux, les cabinets médicaux et les fournisseurs de solutions SaaS) doivent disposer d’une infrastructure certifiée conforme au cadre de sécurité commun (CSF) HITRUST.

Le CSF HITRUST utilise des normes reconnues nationalement et à l’international, notamment les normes ISO, NIST, PCI et HIPAA, afin de garantir un ensemble complet de contrôles de sécurité de base.

CoalFire

ISO/IEC 27001:2013

La norme internationale ISO/CEI 27001:2013 régit la sécurité des informations et la gestion des risques, et protège des entreprises de tous les secteurs d’activité dans le monde entier.

La norme ISO 27001:2013 encourage les entreprises à implémenter un système de management de la sécurité des informations (SMSI) approprié. Ce système permet de garantir la bonne exécution des contrôles de sécurité techniques, opérationnels et de gestion.

Avec la certification ISO 27001:2013, le Cloud Appian démontre sa grande maturité en matière de sécurité. Avec comme objectif d’offrir la sécurité la plus renforcée possible, Appian a mis en œuvre des contrôles destinés à gérer ou à éliminer les risques de sécurité, afin d’apporter aux clients la certitude que leurs données confidentielles sont bien protégées.

ISO 27017:2015

La norme ISO 27017:2015 établit des exigences de contrôle supplémentaires spécifiquement pour les fournisseurs de services cloud, y compris la gestion de l’infrastructure en cloud.

Avec la certification ISO 27017:2015, le Cloud Appian démontre sa grande maturité en matière de sécurité. Dans le but de fournir la sécurité la plus robuste possible, Appian a mis en place les contrôles nécessaires pour gérer ou éliminer les risques de sécurité, permettant ainsi aux clients d’avoir confiance dans la protection de leurs données. Cette certification ISO s’applique à tous les clients du Cloud Appian dans le monde entier, car elle étend notre cadre de certification ISO 27001 existant.

ISO 27018:2019

La norme ISO 27018:2019 fournit des exigences supplémentaires pour une sécurité et une gestion efficaces des informations personnelles identifiables (PII) dans les environnements cloud.

Avec la certification ISO 27018:202019, le Cloud Appian démontre qu’il a atteint un haut niveau de maturité en matière de sécurité et de protection des PII. Appian a mis en place les contrôles nécessaires pour gérer ou éliminer les risques de sécurité, permettant ainsi aux clients d’avoir confiance dans la protection de leurs informations personnelles identifiables. Cette certification ISO s’applique à tous les clients du Cloud Appian dans le monde entier, car elle élargit notre cadre de certification ISO 27001 existant.

ISO 9001:2015    

La norme internationale de gestion de la qualité ISO 9001:2015 permet de garantir aux clients des produits et des services de qualité constante.

Elle demande aux organisations de mettre en œuvre un système de gestion de la qualité (SGQ) approprié, qui assure l'orientation client, la motivation et l'implication de la direction générale, l'approche processus et l'amélioration continue.

Avec la certification ISO 9001:2018, le Cloud Appian démontre sa grande maturité en matière de qualité. Dans son souci de satisfaire sa clientèle et de garantir la qualité, Appian a mis en place des processus pour s'assurer que les clients obtiennent des produits et des services cohérents et de bonne qualité.

Cyber Essentials

Le programme Cyber Essentials du Centre national de la cybersécurité du Royaume-Uni est conçu pour garantir que les organisations se protègent contre les cybermenaces les plus courantes et prouvent leur engagement en matière de cybersécurité, avec le soutien du gouvernement britannique. Le Cloud Appian a obtenu la certification Cyber Essentials. Pour plus d’informations relatives à cette certification, rendez-vous sur ncsc.gov.uk/cyberessentials

Cyber Essentials Plus

La certification Cyber Essentials Plus est soutenue par le Centre national de cybersécurité du Royaume-Uni pour que les organisations puissent démontrer leur sécurité opérationnelle face aux cyberattaques les plus courantes. Elle atteste les niveaux de sécurité pour les entreprises et les organismes gouvernementaux. Le Cloud Appian a obtenu les certifications Cyber Essentials et Cyber Essentials Plus. Pour plus d’informations, rendez-vous sur ncsc.gov.uk/cyberessentials.

Esquema Nacional de Seguridad (ENS, plan national de sécurité espagnol)

L’Esquema Nacional de Seguridad (ENS) est le cadre national de sécurité de l’Espagne, basé sur des lois relatives à la sécurité de l’information. Le Cloud Appian a obtenu la certification ENS. Pour plus d’informations relatives à cette certification, rendez-vous sur ens.ccn.cni.es/en/

StateRAMP


StateRAMP est un programme américain destiné aux États qui fournit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services dans le Cloud. La conformité StateRAMP signifie qu’un système cloud donné offre un environnement bien établi et hautement sécurisé qui a fait l’objet de contrôles exhaustifs avant de pouvoir être utilisé par des États.

Le Cloud Appian est conforme à StateRAMP et a reçu une autorisation au niveau modéré.

Avec la conformité StateRAMP, le Cloud Appian est considéré comme une solution viable pour réaliser des économies de temps et d’argent considérables, l’amélioration de la gestions des risques de sécurité et pour renforcer la transparence des programmes pour les opérations étatiques critiques. Cette autorisation peut être réutilisée par d’autres États pour économiser du temps et de la main-d’œuvre par rapport aux systèmes sans conformité StateRAMP.

Veuillez vous référer à https://stateramp.org/about-us/

Canada Protected B


Le niveau de sécurité Protected B du gouvernement du Canada (GC) pour les informations et les biens sensibles du gouvernement s'applique aux informations ou aux biens qui, s'ils sont compromis, pourraient causer un préjudice grave à une personne, à une organisation ou à un gouvernement. Sur la base du document « Information Technology Security Guidance » (ITSG) 33 sur la gestion des risques liés à la sécurité informatique, publié par le Centre canadien pour la cybersécurité (CCCS), le GC a conçu le Guide sur la catégorisation de la sécurité des services dans le Cloud (ITSP.50.103) et le Profil de contrôle de sécurité au Canada pour les services du GC dans le Cloud (Profil de contrôle de sécurité du GC), qui identifie les contrôles de sécurité de base applicables au traitement des informations ayant une catégorie de sécurité « Protected B », intégrité et disponibilité moyennes (PBMM).

Avez-vous des questions pour notre équipe ?