TEHTRIS XDR Platform - Conditions générales d’utilisation Licence & Documentation
TEHTRIS XDR Platform - Conditions générales d’utilisation Licence & Documentation
Les présentes Conditions générales d’utilisation TEHTRIS XDR PLATFORM forment un contrat (ci-après le « Contrat ») conclu entre l’Utilisateur et TEHTRIS relatif à l’abonnement au Service TEHTRIS XDR PLATFORM (ci- après dénommé « Service TEHTRIS »).
L’émission d’un bon de commande par le Partenaire auprès de TEHTRIS et/ou le commencement du Service TEHTRIS vaut acceptation entière et sans réserve du Contrat et la renonciation par l’Utilisateur à se prévaloir de ses éventuelles conditions générales d’achat et vaut commande ferme et définitive de l’Utilisateur, ce dernier ne pouvant l’annuler.
En téléchargeant, installant, copiant ou utilisant de toute autre façon le Service TEHTRIS, l’Utilisateur reconnait avoir lu, compris et est réputé avoir accepté les stipulations du Contrat. Si l’Utilisateur ne les accepte pas, il n’est pas autorisé à installer et/ou utiliser tout ou partie du Service TEHTRIS à quelque fin que ce soit.
1. Définitions
Les termes débutant par une majuscule au sein du Contrat, utilisés au singulier et/ou au pluriel, auront la signification ci-après :
« Alerte » désigne les remontées d’informations liées à l’analyse logicielle des Événements indiquant qu’un certain seuil fixé par TEHTRIS ou une certaine anormalité technique, a été signalé au sein du Service TEHTRIS.
« Appliance » ou « Machine Virtuelle » ou « Virtual Machine » ou « VM » désigne un serveur virtuel configuré pour exécuter des tâches spécialisées en fonction de la Solution TEHTRIS à laquelle l’Appliance est associée. Il peut exister plusieurs Appliances pour une même Solution TEHTRIS. Les Appliances sont situées dans le datacenter TEHTRIS et/ou dans l’infrastructure de l’Utilisateur (« On-Premise »).
« Contrat » désigne le présent document, ses annexes et avenants éventuels. Il définit les droits et les obligations des Parties.
« Documentation » : désigne l’ensemble des documents, quel qu’en soit la forme ou le support, lisible par l’Homme et/ou la machine, permettant de comprendre le fonctionnement d’une application ou d’un composant informatique faisant partie des Solutions TEHTRIS ou plus généralement d’un élément composant le Service TEHTRIS.
« Données » désigne les données techniques de sécurité de l’Utilisateur dont l’utilisation est l’objet du Contrat.
« Droit(s) de Propriété Intellectuelle » désigne tous (a) droits liés au droit d'auteur et droits voisins, y compris, mais sans y être limités, les droits patrimoniaux et droits moraux, (b) droits de marques, raisons sociales et droits apparentés, (c) secrets commerciaux, (d) droits de brevet, de dessins et de modèles et des bases de Données, (e) autres Droits de Propriété Intellectuelle et industrielle de toutes sortes et de toutes natures, et (f) enregistrements, requêtes initiales, renouvellements ou extensions de ceux- ci (y compris tous les droits de faire ou de demander l'un quelconque de ceux-ci).
« Équipement » désigne un élément opérationnel associé à une Solution TEHTRIS déterminée, déployé et/ou configuré sur l’Appliance correspondante (exemple : un agent EDR, une source SIEM, etc.).
« Événement » désigne un événement de sécurité généré par les composants du système d’information de l’Utilisateur et collecté par les Solutions TEHTRIS pouvant être qualifié d’Incident de sécurité selon sa criticité.
« Identifiants » désignent l'identifiant propre de l’Utilisateur (« login »), le mot de passe de connexion (« password »), et le certificat numérique pour se connecter à un environnement numérique TEHTRIS.
« Incident de sécurité » désigne un Événement susceptible de compromettre l’intégrité, la disponibilité, la confidentialité, ou l’imputabilité de tout ou partie de l’infrastructure de l’Utilisateur.
« Intranet » désigne un réseau informatique propre à l’Utilisateur, utilisant les protocoles « TCP/IP ».
« Log » désigne un journal d’événements contenant les enregistrements séquentiels, généralement horodatés, émanant d’un processus informatique de type système ou applicatif.
« Logiciel » désigne tout logiciel fourni par TEHTRIS à l’Utilisateur et notamment certains éléments présents et/ou utilisés dans le Service TEHTRIS.
« Partenaire » signifie une entité autre que TEHTRIS auprès de laquelle l’Utilisateur a souscrit un abonnement pour le Service TEHTRIS. Il peut être un revendeur, un distributeur des produits TEHTRIS.
« Prérequis techniques » désigne un ensemble de conditions à remplir par le l’Utilisateur dans le cadre de son utilisation du Service TEHTRIS.
« Prestataire Tiers » désigne un prestataire et/ou éditeur de logiciels autre que TEHTRIS et fournissant à l’Utilisateur des services liés aux technologies de l’information (prestation de service et/ou logiciel). Le Prestataire Tiers peut être un Partenaire.
« Service(s) TEHTRIS » ou « Service(s) » désigne l’ensemble des Solutions TEHTRIS, des Services opérationnels TEHTRIS ainsi que la TEHTRIS XDR Platform, tel que souscrit par l’Utilisateur et fourni à distance par TEHTRIS. Le terme « Services TEHTRIS » est étendu à la Documentation se rapportant auxdits Services.
« Service(s) opérationnel(s) TEHTRIS » désigne une prestation de service optionnelle.
« Solution TEHTRIS » désigne une fonctionnalité opérationnelle de cybersécurité fournie en SaaS, mise en service à partir d’une ou plusieurs Appliance(s), composée de plusieurs Équipements.
« TEHTRIS XDR Platform » désigne une plateforme située dans le Datacenter TEHTRIS et permettant d’accéder au Service TEHTRIS souscrit.
« TEHTRIS » désigne TEHTRI-Security, SAS, au capital de 139 816 €, dont le siège social est situé 00-00 xxx Xxxxxxxx, 00000, XXXXX, Xxxxxx, immatriculée au RCS de Paris sous le n° de SIRET 521 474 445.
« Utilisateur » désigne toute personne physique ou morale ayant souscrit au Service TEHTRIS et disposant de la qualité de professionnel au sens de la législation française.
2. Documents contractuels
Le Contrat est formé des documents contractuels suivants présentés par ordre hiérarchique de valeur juridique décroissante :
- Le présent Contrat et ses annexes :
o Appendix 1 – Convention de Services ;
o Appendix 2 – Charte Qualité ;
o Appendix 3 – Traitement de données à caractère personnel ;
o Les devis et/ou bons de commande signés par les Parties.
Conditions générales d’utilisation – Version jui 2022
TEHTRI-Security 00-00 xxx XXXXXXXX, 00000, XXXXX, Xxxxxx SAS au capital de 139 816 - euros, 521 474 44500017 RCS Paris Page 1 sur 21
En cas de conflit entre une ou plusieurs stipulations contractuelles figurant dans l’un de ces documents, la disposition du document de rang supérieur sera retenue. En cas de contradiction entre les termes de documents de même rang, le plus récent prévaudra.
3. Durée et effet
Le Contrat entre en vigueur et s’applique selon les modalités et pour la durée convenue entre TEHTRIS et l’Utilisateur ou entre le Partenaire et l’Utilisateur.
Sauf accord des Parties faisant l’objet d’un autre contrat, l’Utilisateur ne doit pas utiliser les Solutions TEHTRIS en tant que fournisseur de services ou activité similaire à l’intention de tiers.
4. Try and Buy
Uniquement dans les cas expressément convenus entre les Parties, l’Utilisateur pourra bénéficier de la possibilité d’essayer les Services (ci-après
« Try and Buy ») durant une période maximum d’un (1) mois, sauf disposition écrite contraire. Cette phase a pour objet de permettre à l’Utilisateur de vérifier et valider l’adéquation des Services avec ses besoins. La phase de Try and Buy débute à la date de prise d’effet du Contrat.
Durant cette phase de Try and Buy, sous réserve d’avoir été convenus entre les Parties, les engagements de niveaux de service (SLA), ne s’appliqueront pas.
A l’issue de la phase de Try and Buy, l’application du Contrat se poursuivra automatiquement.
Si l’Utilisateur souhaite mettre fin à la phase de Try and Buy, ce dernier devra avertir TEHTRIS de son choix de ne pas poursuivre le Contrat qui se terminera automatiquement et de plein droit cinq (5) jours ouvrés à compter de la date de réception de la notification par TEHTRIS. Dans le cas où l’Utilisateur déciderait de mettre un terme au Contrat suite à la phase de Try and Buy, ce dernier reste tenu de payer les Services jusqu’à la date de fin du Contrat.
5. Propriété intellectuelle
5.1 Licence SaaS
TEHTRIS concède à l’Utilisateur un droit personnel, non exclusif, non cessible et non transférable d’accès et d’utilisation du Service TEHTRIS, pendant toute la durée du Contrat et pour le monde entier. La licence n’est concédée que dans le seul et unique but de permettre à l’Utilisateur l’utilisation du Service TEHTRIS pour ses besoins internes et conformément à leur documentation, à l’exclusion de toute autre finalité. Le droit d’utilisation s’entend du droit de représenter et de mettre en œuvre le Service TEHTRIS conformément à leur destination, en mode SaaS via une connexion à un réseau de communications électroniques.
Sous réserve de clause contraire prévue entre les Parties ce dernier ne pourra en aucun cas mettre le Service TEHTRIS à disposition d’un tiers n’agissant pas pour son compte. L’Utilisateur s’interdit strictement toute autre utilisation, en particulier toute adaptation, modification, traduction, arrangement, diffusion, décompilation, sans que cette liste soit limitative.
5.2 Propriété
TEHTRIS est et demeure titulaire des Droits de Propriété relatifs au Service TEHTRIS mis à disposition de l’Utilisateur, de son savoir-faire et de ses méthodes utilisées dans le cadre de l’exécution du Contrat, ainsi que toute l’infrastructure informatique (logicielle, voire matérielle le cas échéant) fournie par TEHTRIS et mise en œuvre ou développée dans le cadre du Contrat. Les Logiciels et les documentations associées, toutes les copies, améliorations, modifications et travaux dérivés en découlant, ainsi que tous les Droits de Propriété Intellectuelle associés, sont et doivent rester la Propriété unique et exclusive de TEHTRIS.
Le Contrat ne confère à l’Utilisateur aucun droit de propriété sur le Service TEHTRIS. La mise à disposition temporaire du Service TEHTRIS pour la durée du Contrat, ne saurait être analysée comme la cession d’un quelconque Droit de Propriété Intellectuelle au bénéfice de l’Utilisateur, au sens du code français de la Propriété Intellectuelle.
TEHTRIS déclare expressément ne fournir à l’Utilisateur ou à quiconque, aucun accès ou droit, sous aucune condition, sur les codes sources de tout ou partie d’un élément composant le Service TEHTRIS.
L’Utilisateur s’interdit de reproduire tout élément des Logiciels, ou toute documentation les concernant, par n’importe quel moyen ou n’importe quelle forme et sur n’importe quel support. Sous réserve des dispositions
légales d’ordre public en vigueur, l’Utilisateur n’est pas autorisé à décompiler les Logiciels, codes et algorithmes utilisés dans le cadre du Service TEHTRIS.
L’Utilisateur et tout tiers qui auraient eu accès au Service TEHTRIS s’engagent à ne pas développer des solutions concurrentes offrant tout ou partie des éléments proposés dans le Service TEHTRIS, pendant toute l’exécution du Contrat et pour une durée de dix (10) ans à compter de la fin du Contrat et dans le monde entier.
L’Utilisateur est et demeure propriétaire de l’ensemble des Données qu’il envoie dans le Service TEHTRIS.
TEHTRIS se réserve le droit à titre permanent d’utiliser et d’exploiter les malwares et tout élément malveillant ou suspect à des fins de recherche et développements, analyses, rapports et statistiques, et d’amélioration continue des performances du Service TEHTRIS.
6. Maintenance
TEHTRIS assure la maintenance technique (1), corrective (2) et évolutive (3) du Service TEHTRIS, en France.
TEHTRIS n’est pas responsable de la maintenance dans l’un des cas suivants :
(i) utilisation de tout ou partie du Service TEHTRIS, non conforme à sa destination ou à sa documentation ; (ii) modification non autorisée ou mauvaise utilisation du Service TEHTRIS, par l’Utilisateur ou un tiers sous sa responsabilité; (iii) manquement de l’Utilisateur à ses obligations au titre du Contrat ; (iv) l’Utilisateur refuse d’effectuer les mises à jour demandées par TEHTRIS ; (v) implantation de progiciel, logiciel ou système d'exploitation non compatibles avec le Service TEHTRIS ; (vi) utilisation d’éléments incompatibles avec les Prérequis techniques ; (vii) défaillance des réseaux de communication électronique ; (viii) acte volontaire de dégradation, malveillance, sabotage ; (ix) cas de force majeure.
TEHTRIS se réserve le droit d’opérer des réglages et des suppressions dans les Alertes et/ou Logs les plus anciens qui remontent ou qui sont stockées lorsque le bon fonctionnement d’une TEHTRIS XDR Platform et/ou d’une Appliance Cloud, pourrait être remise en cause (de façon non limitative : en cas de disque quasiment plein, problème sur les backups, problème sur le CPU et sur la RAM).
6.1 Maintenance technique
TEHTRIS met à jour les différents composants du Service TEHTRIS (Appliance, serveurs, bases de Données, applications des patchs de sécurité, etc…). Tout ou partie du Service TEHTRIS pourra être occasionnellement suspendu temporairement en raison d'interventions nécessaires à son bon fonctionnement. TEHTRIS ne pourra être tenue responsable de l’impact éventuel de cette indisponibilité sur les activités de l’Utilisateur. Les maintenances techniques sont programmées d'un commun accord avec l’Utilisateur, sauf urgence opérationnelle (cas d'un patch de sécurité par exemple).
6.2 Maintenance corrective
TEHTRIS s’engage à assurer la maintenance corrective des Services TEHTRIS dans les conditions décrites en Annexe 1. La notion d’anomalie fait référence à tout dysfonctionnement ou non-conformité des Solutions TEHTRIS à leurs spécifications et à leur destination, reproductible par l’Utilisateur, qui empêche le fonctionnement normal de tout ou partie des Solutions TEHTRIS. Les différents niveaux d’anomalie sont définis en Annexe 1. TEHTRIS qualifiera le niveau d’anomalie et pourra à son entière discrétion procéder au diagnostic d’une anomalie et effectuer des corrections d’erreurs et/ou de bugs ou de réaliser des mises à jour.
6.3 Maintenance évolutive
Par défaut, l’application des mises à jour mineures, c’est-à-dire une montée en version X.y. à X.z, ainsi que les évolutions fonctionnelles mineures (l’ensemble ci-après dénommé « Mise à jour mineure ») du Service TEHTRIS sont incluses et soumises aux conditions du Contrat.
Les interventions relatives aux Mises à jour mineures peuvent rendre tout ou partie du Service TEHTRIS momentanément indisponible TEHTRIS ne pourra être tenue responsable de l’impact éventuel de cette indisponibilité sur les activités de l’Utilisateur. Les maintenances évolutives sont programmées d'un commun accord avec l’Utilisateur. . TEHTRIS se réserve le droit de supprimer des fonctionnalités pour des raisons d’adaptation aux évolutions globales de l’informatique.
A titre d'information, la fréquence des maintenances évolutives est de (trois) 3 par an en moyenne.
Le passage vers une version majeure, c’est-à-dire un passage d’une version X à Y impliquant un changement conséquent du fonctionnement de tout ou partie du Service TEHTRIS, pourra être proposé à l’Utilisateur au travers d'un nouveau devis dès lors que cette nouvelle version entraine l’adoption de nouvelles conditions particulières. L’Utilisateur pourra refuser de passer à une version majeure supérieure pendant une durée de trois (3) mois à compter de la mise à disposition publique de la nouvelle version majeure. Au plus, à l’issue de ce délai de trois (3) mois, les Parties conviennent de se réunir afin de définir les modalités de passage à la nouvelle version. Le maintien en condition opérationnelle sur d’anciennes versions n’étant pas souhaitable, l’Utilisateur est averti qu’il convient d’appliquer les évolutions proposées afin de continuer à bénéficier des fonctionnalités de sécurité avancées.
7. Conditions financières
Les conditions financières sont convenues entre l’Utilisateur et TEHTRIS ou entre l’Utilisateur et le Partenaire.
Dans l’hypothèse où les conditions financières applicables entre TEHTRIS et l’Utilisateur ne seraient pas précisées dans un document spécifique, les dispositions ci-dessous du présent article « Conditions financières » s’appliqueront.
Les prestations sont payables selon les temporalités suivantes :
- les Services sont par défaut facturés annuellement à terme à échoir. La facture est calculée sur la base des Services mentionnés au devis. Tout dépassement entrainera l’adaptation de la facturation correspondante par TEHTRIS.
- les autres prestations non récurrentes (formation, intégration, consulting, etc.) sont facturées mensuellement à terme échu.
Les factures sont exigibles sous trente (30) jours à compter de leur date d’émission, par prélèvement automatique ou par virement bancaire. Par défaut, l’adresse de facturation est celle du siège social du destinataire du présent devis. Sauf dispositions contraires prévues entre les Parties, il est expressément convenu que le montant des sommes facturées pourra être révisé chaque année par TEHTRIS.
Les prix convenus entre TEHTRIS et le destinataire du présent devis s’entendent hors taxes et hors frais. Les prix sont indexés sur l’indice SYNTEC. Ils seront révisés à la date anniversaire du début des Services en fonction de la revalorisation de l’indice SYNTEC, selon la formule suivante : P = Po (S/So) dans laquelle :
- P représente le prix après révision,
- Po représente le prix défini dans le devis,
- S représente le plus récent indice SYNTEC publié à la date de révision,
- So représente l’indice SYNTEC connu à la date de signature des présentes.
Sans préjudice d’éventuels dommages et intérêts, le défaut ou le retard de paiement, y compris le paiement partiel d’une facture entraîne de plein droit le jour suivant l’échéance : (i) l’application d’un intérêt de retard égal à trois
(3) fois le taux d’intérêt légal, sans mise en demeure préalable et à compter du premier jour de retard ; (ii) les frais bancaires et de gestion supplémentaires (suivi du recouvrement, courriers et frais téléphoniques de relance, représentation des rejets de prélèvement bancaire) conformément à l’article L.441-10 du code du commerce et (iii) la suspension des Services à l’issue d’un délai de trente (30) jours d’une notification par lettre recommandée AR restée infructueuse et entrainant par conséquent, la résiliation de plein droit du Contrat pour manquement à une obligation essentielle.
Par exception aux dispositions de l’article « Documents contractuels » les alinéas 2 à 4 du présent article « Conditions financières » ne prévalent pas sur les mentions figurant dans les devis.
8. Qualité de service
TEHTRIS fournit ses meilleurs efforts pour garantir le Service TEHTRIS contre tout vice de programmation pour toute la durée du Contrat. Cette garantie n'est plus valable si une personne agissant pour le compte de l’Utilisateur ou un tiers, modifie ou tente de modifier, tout ou partie du Service TEHTRIS. TEHTRIS ne saurait être tenu responsable des éventuelles indisponibilités ou ralentissements du Service TEHTRIS et en particulier des Solutions TEHTRIS, dus aux aléas techniques inhérents à Internet ainsi qu’au fournisseur de service et de l’hébergeur de Données, et les interruptions d’accès qui peuvent en résulter. Sous réserve des engagements de niveaux de Service
(« SLA ») mentionnés en Annexe 1, TEHTRIS n’est pas en mesure de garantir la continuité du Service TEHTRIS.
Il appartient à l’Utilisateur de respecter les seuils de volumétrie indiqués au travers des choix d’options sur les vitesses réseaux, les tailles de disques durs, et autres critères techniques prévus au Contrat, et d’avertir TEHTRIS en cas d’augmentation de ses besoins en termes de capacité de traitement.
TEHTRIS ne fait aucune autre garantie expresse ou implicite relativement au Service TEHTRIS, y compris, notamment, toute garantie implicite de qualité marchande ou d'adéquation des services à un objectif particulier. Les Parties reconnaissent qu'un logiciel peut contenir des erreurs et que toutes les erreurs ne sont pas économiquement rectifiables ou qu'il n'est pas toujours nécessaire de les corriger. TEHTRIS ne garantit pas en conséquence que l'ensemble des défaillances ou erreurs du Service TEHTRIS sera corrigé.
9. Pénalités
TEHTRIS s’engage à respecter les délais d’exécution et les niveaux de services stipulés au Contrat. Dans le cas où le Contrat le prévoit expressément, TEHTRIS s’expose à l’application de pénalités prévues.
Ces pénalités visent à sanctionner le non-respect exclusivement imputable à TEHTRIS de ses obligations. L’Utilisateur ne pourra en aucun cas se prévaloir du présent article et prétendre aux pénalités en cas de manquement résultant en tout ou partie : (i) évènements ou facteurs échappant au contrôle de TEHTRIS tels que, non-limitativement, cas de force majeure, fait d’un tiers, problème de connexion au réseau Internet, dysfonctionnement du réseau Internet, dysfonctionnement ou mauvaise utilisation de matériels ou logiciels sous le contrôle de l’Utilisateur, attaque informatique ; (ii) d’un manquement de l’Utilisateur aux obligations mises à sa charge dans le cadre du Contrat (notamment défaut de collaboration) ; (iii) d’une mauvaise utilisation ou d’une utilisation inappropriée du Service TEHTRIS par l’Utilisateur ; (iv) d’une maintenance conformément à l’Article – Maintenance ; (v) de la perte de Données et/ou interruption et/ou baisse de service de l’opérateur de télécommunications, de l’opérateur d’hébergement de Données, du fournisseur d’électricité ; (vii) de défaillance des réseaux de communication électronique ou des réseaux de transport Internet ou des plateformes informatiques associées (hardware et software), en particulier de son/ses fournisseur(s) d’accès et hébergeurs de Données. L’application de l’un des cas d’exclusion définis ci-dessus, est établie par TEHTRIS par tous moyens, et notamment sur la base des éléments du système d’information de TEHTRIS (telles que les Données de connexion), qui, d’accord exprès entre les Parties, seront recevables. Pour tout service étant mis à la disposition gratuitement ou offert par TEHTRIS à l’Utilisateur, le SLA associé n’est pas garanti et aucun crédit ne pourra être accordé à l’Utilisateur en cas de non- respect de ce dernier.
Les pénalités sont directement déduites sur la prochaine facture de l’Utilisateur sur simple demande de ce dernier, effectuée par e-mail, au plus tard, le mois suivant celui au cours duquel l’indisponibilité a été constatée par l’Utilisateur. A défaut, l’Utilisateur ne pourra plus prétendre obtenir lesdits dédommagements.
Il est expressément convenu que les pénalités constituent pour l’Utilisateur une indemnisation forfaitaire de l’ensemble des préjudices résultant du non- respect par TEHTRIS des niveaux de service en cause ; l’Utilisateur renonçant à ce titre, à toute autre demande, réclamation et/ou action.
10. Responsabilités
Chacune des Parties assume la responsabilité des conséquences résultant de ses fautes, erreurs ou omissions, ainsi que celles de ses sous-traitants éventuels et causant un dommage direct et prévisible à l'autre Partie.
Le présent article « Responsabilité » produira effet même en cas de résolution du Contrat.
10.1 Responsabilité de TEHTRIS
TEHTRIS est tenue de fournir à l’Utilisateur le Service TEHTRIS selon les dates et modalités convenues entre l’Utilisateur et le Partenaire.
Concernant la capacité et la performance des Solutions TEHTRIS et des Services opérationnels TEHTRIS, TEHTRIS est soumis uniquement à une obligation de moyens, signifiant ainsi que TEHTRIS ne peut garantir la prévention et la détection de façon exhaustive et en temps réel et/ou en temps différé, de n’importe quelle attaque ou menace informatique, de n’importe quel Incident de sécurité, de n’importe quelle panne affectant tout ou partie du système d’information surveillé.
En tant que professionnel de l’informatique et dans le cadre de son obligation de conseil, TEHTRIS apportera à l’Utilisateur toute préconisation nécessaire à l’optimisation de ses choix et à la couverture la plus appropriée de ses besoins.
Dans l’hypothèse où TEHTRIS serait amenée à délivrer des prestations de conseil à l’Utilisateur, TEHTRIS ne pourra être responsable des décisions prises par l’Utilisateur dans la mesure où les prestations concernées consistent uniquement à formuler des observations et conseils. L’Utilisateur ayant le choix entre une multitude de solutions, la décision de mise en œuvre ou non des observations et conseils lui incombe uniquement.
10.2 Responsabilités propres à l’Utilisateur
L’Utilisateur s'engage à collaborer avec TEHTRIS et à fournir ou garantir l'accès à toute information ou éléments dont TEHTRIS pourrait raisonnablement avoir besoin afin de remplir ses obligations au titre du présent Contrat. L’Utilisateur doit notamment communiquer à TEHTRIS les éventuelles exigences légales et réglementaires spécifiques auxquelles il est soumis, notamment celles liées à la sécurité informatique et à son secteur d’activité, afin que ces exigences puissent être prises en considération par TEHTRIS qui fera ses meilleurs efforts pour y répondre.
L’Utilisateur est réputé disposer ou avoir recueilli auprès des éventuels tiers, l’ensemble des droits de propriété et d’accès des systèmes d’information entrant dans le périmètre du Service TEHTRIS. L’Utilisateur sera seul responsable pour tout préjudice pouvant résulter d’une telle absence.
L’Utilisateur est seul responsable : des choix techniques et des mesures de sécurité concernant l’hébergement physique de ses équipements (hardware) et des solutions informatiques (software) sur lesquels seront installées les Solutions TEHTRIS ; de ses infrastructures où le Service TEHTRIS sera utilisé ; de la bonne santé des réseaux connectant les Solutions TEHTRIS ainsi que des réseaux où les Données sont transmises entre le Service TEHTRIS et les infrastructures externes.
Dans le cas où les Solutions TEHTRIS seraient utilisées dans une machine virtuelle chez l’Utilisateur (« On Premise »), ce dernier sera responsable des hyperviseurs où elles seront déployés, notamment du dimensionnement, du management et de la bonne santé desdits hyperviseurs. L’Utilisateur supporte seul les conséquences, sans que cette liste soit exhaustive, des erreurs et/ou dysfonctionnements et/ou dimensionnement insuffisant des ressources utilisées pour héberger les Solutions TEHTRIS.
L’Utilisateur est l’unique responsable du choix et des modifications des configurations de sécurité des Solutions TEHTRIS et des conséquences pouvant en résulter. TEHTRIS se conforme aux instructions de l’Utilisateur et ne pourra être tenue responsable d’un quelconque préjudice à cet égard. L’Utilisateur est l’unique responsable du contenu des Données transmises vers le Service TEHTRIS et ce à quelque titre que ce soit.
L’Utilisateur s’engage à utiliser le Service TEHTRIS, notamment les ressources réseaux et systèmes, de façon professionnelle et respectueuse des droits de TEHTRIS. Si des actions malveillantes ou illégales sont observées vers l’infrastructure de TEHTRIS ou sur un élément ou sous-élément du Service TEHTRIS ou que des investigations illicites pour étudier son fonctionnement interne sont menées par le l’Utilisateur ou toute autre personne agissant pour son compte, TEHTRIS se réserve le droit de suspendre totalement l’accès au Service TEHTRIS et mettre fin au Contrat pour violation de l’obligation essentielle d’utilisation professionnelle du Service TEHTRIS.
L’Utilisateur est responsable de l'utilisation, la garde et la confidentialité des Identifiants. Il supporte seul les conséquences pouvant résulter de la perte, la divulgation, ou l’utilisation frauduleuse ou illicite des Identifiants. Si l’Utilisateur a connaissance d’un accès non autorisé, il en informera TEHTRIS sans délai par e-mail.
10.3 Limitation de Responsabilité
Dans le cadre de l’exécution de ses obligations, aucune des Parties ne peut exclure ni limiter sa responsabilité pour : (i) décès ou blessures corporelles résultant d’une négligence ; (ii) fraude ou déclaration frauduleuse ; ou (iii) tout autre chef de responsabilité ne pouvant être exclu par la loi.
Aucune des Parties ne peut être tenue responsable au titre des pertes ou dommages indirects ou imprévisibles de l’autre Partie, incluant notamment tout gain manqué, inexactitude ou corruption de fichiers ou de Données, préjudice commercial, perte de chiffre d'affaires ou de bénéfice, perte de clientèle, perte d'une chance, coût de l’obtention d’un produit ou d’un service ou de technologie de substitution, quel que soit le fondement de la
responsabilité : contractuelle, délictuelle, fait des produits ou tout autre fondement.
La responsabilité de TEHTRIS ne pourra en aucun cas être engagée sur les fondements suivants : (i) utilisation par l’Utilisateur ou un tiers, de tout ou partie du Service TEHTRIS, non conforme à sa destination ou à sa documentation ; (ii) modification non autorisée ou mauvaise utilisation du Service TEHTRIS par l’Utilisateur ou un tiers ; (iii) manquement du de l’Utilisateur à ses obligations au titre du Contrat ; (iv) refus de l’Utilisateur d’effectuer les mises à jour nécessaires demandés par TEHTRIS ; (v) implantation de progiciel, logiciel, système d'exploitation ou autres éléments non compatibles avec les Prérequis techniques; (vi) perte de Données et/ou interruption et/ou baisse de service de l’opérateur de télécommunications, de l’opérateur d’hébergement de Données, du fournisseur d’électricité ; (vii) défaillance des réseaux de communication électronique ou des réseaux de transport Internet ou des plateformes informatiques associées (hardware et software), en particulier de son/ses fournisseurs d’accès et hébergeurs de Données ; (viii) acte volontaire de dégradation, malveillance, sabotage ; (ix) perte, divulgation ou utilisation illicite ou frauduleuse des Identifiants du fait de l’Utilisateur ou de tiers ; (x) cas de force majeure.
10.4 Indemnisation
Quels que soient la nature, le fondement et les modalités d’une action engagée contre TEHTRIS, en cas de faute prouvée de la part de celui-ci, l’indemnité due à l’Utilisateur en réparation du préjudice éventuellement subi, et dont l’Utilisateur apportera la preuve pleine et entière ainsi que celle du lien de causalité, ne pourra dépasser un montant égal ou équivalent à cent (100) pour cent des sommes perçues par TEHTRIS dans le cadre du présent Contrat, au titre des douze (12) derniers mois qui précèdent la survenance du dommage.
L’Utilisateur renonce à engager la responsabilité de TEHTRIS par appel en garantie du fait de préjudice subi par des tiers ayant utilisé, directement ou indirectement, les Services TEHTRIS.
10.5 Prestataire Tiers
L’Utilisateur peut faire appel à un Prestataire Tiers pour accéder, utiliser et/ou exploiter le Service TEHTRIS. Une telle activité devra être effectuée au nom de l’Utilisateur et dans le seul but de fournir des services à l’Utilisateur. L’Utilisateur est responsable du respect des termes du Contrat par le Prestataire Tiers. Toute violation du Contrat par le Prestataire Tiers sera considérée comme étant celle de l’Utilisateur Chaque Prestataire Tiers ayant besoin d’accéder au Service TEHTRIS devra être annoncé par écrit à TEHTRIS avec un délai de préavis de quinze (15) jours et être approuvé par écrit par TEHTRIS. TEHTRIS pourra refuser l’accès à un Prestataire Tiers, notamment s’il s’agit d’une entité concurrente ou affiliée à une activité concurrente de TEHTRIS ou de toute entité non formée à l’utilisation du Service TEHTRIS. Tout manquement de la part de l’Utilisateur, concernant ces types d’accès, sera considéré comme une violation à une obligation essentielle du Contrat. TEHTRIS décline toute responsabilité au regard des activités fournies par le Prestataire Tiers (notamment en cas de défaillance de ce dernier) et, sauf disposition contraire, ne prend aucun engagement de compatibilité entre les Solutions TEHTRIS et une quelconque solution développée par un Prestataire Tiers.
11. Beta-test / Early users
Les opérations de beta test ou d’early users visent principalement à tester les Services TEHTRIS concernés. Ces opérations sont soumises au présent Contrat et à la seule discrétion de TEHTRIS quant à leur durée, objet, organisation et portée.
Si l’Utilisateur accepte de participer à une opération de beta test ou d’early users, ce dernier reconnait que : les Services concernés peuvent contenir des erreurs, des bogues et/ou d'autres défauts ; TEHTRIS ne prend aucun engagement de performance, de garantie, de sauvegarde des Données et/ou de maintenance concernant lesdits Services ; la responsabilité de TEHTRIS ne pourra en aucun cas être engagée concernant les opérations de beta test. Il est recommandé à l’Utilisateur de réaliser les opérations de beta test dans un environnement numérique dédié.
Pendant la durée du présent Contrat, l’Utilisateur s’engage à fournir ses meilleurs efforts afin de transmettre à TEHTRIS un retour d'information concernant les Services objet du beta test ou early user, y compris les rapports d'erreurs ou de bogues. L’Utilisateur cède par les présentes à TEHTRIS tous les droits relatifs à ce retour d'information. Aucune rémunération ne pourra être demandée à ce titre par l’Utilisateur.
L’Utilisateur cessera d'utiliser et détruira toutes les copies de tous les Services objets du beta test ou early user à la première des trois dates suivantes : (i) à première demande de TEHTRIS ; (ii) quinze (15) jours après commercialisation par TEHTRIS du Services remplaçant les Services de bêta test ou early user, ou (iii) à la date d'expiration prévue de l’opération de beta test ou early user.
L’Utilisateur ne pourra mettre à la disposition d’un tiers, distribuer ou revendre les Services objet du beta-test ou early user, ni utiliser lesdits Services comme base de développement d'une solution concurrentielle (ou passer un contrat avec un tiers pour le faire).
12. Force majeure
Aucune des Parties n’est tenue responsable à l’égard de l'autre Partie de l’inexécution ou des retards dans l'exécution d'une obligation au titre du présent Contrat, dus au fait de l'autre Partie ou à un tiers ou à la survenance d'un cas de force majeure, au sens de l’article 1218 du code civil et de la jurisprudence.
La Partie constatant le cas de force majeure devra sans délai informer l’autre partie de son impossibilité à exécuter son obligation. Dans tous les cas, la Partie empêchée devra faire tout ce qui est en son pouvoir pour limiter les effets et la durée de la force majeure.
En cas de prolongation de l’évènement au-delà d’une période de trente (30) jours consécutifs, le présent Contrat pourra être résilié de plein droit par lettre recommandée avec accusé de réception par l’une ou l’autre des Parties. Par ailleurs, dans ce cas, l’Utilisateur paiera l’intégralité des Prestations réalisées jusqu’au jour de la résiliation.
13. Garantie d’éviction
TEHTRIS déclare et garantit : (i) disposer de tous les Droits de Propriété Intellectuelle permettant de conclure le Contrat ; (ii) que le Service TEHTRIS, ainsi que les éléments nécessaires à leurs fonctionnement fournis en exécution du Contrat ne portent pas atteinte aux droits des tiers et ne constituent pas une contrefaçon d’une œuvre préexistante ni même des contrefaçons de tout autre logiciel ou autre création intellectuelle appartenant à un tiers ; (iii) que les Solutions TEHTRIS développées sont originales au sens du code français de la Propriété Intellectuelle et ne sont constitutives en tout ou partie ni de contrefaçon ni de concurrence déloyale ; et (iv) que rien ne peut faire obstacle à la libre exploitation par l’Utilisateur des éléments résultants des prestations pour la durée du Contrat.
Dans le cadre d’une action en justice intentée par un tiers contre l’Utilisateur et relative à une prétendue violation de la Propriété Intellectuelle garantie par TEHTRIS, TEHTRIS s’engage à assister l’Utilisateur dans sa défense et dans le respect dans les conditions suivantes :
- L’Utilisateur a avisé TEHTRIS de cette action par lettre recommandée avec accusé de réception dès que l’Utilisateur a été mis au courant d’une telle action ;
- Que la prétendue violation ne porte pas sur des modifications apportées directement par l’Utilisateur sans l’autorisation préalable de TEHTRIS ou de toute autre manquement de l’Utilisateur au présent Contrat.
En conséquence, si tout ou partie des Solutions sont reconnues par une décision de justice définitive comme constituant une violation de Droit de Propriété Intellectuelle imputable à TEHTRIS, TEHTRIS s’engage à rembourser les frais de défense à l’Utilisateur.
TEHTRIS s’engage à obtenir le droit pour l’Utilisateur de continuer à utiliser les Solutions ou à défaut résilier le présent Contrat par courrier recommandé avec accusé de réception, prenant effet à sa réception.
L’Utilisateur s'engage quant à lui à signaler immédiatement à TEHTRIS, toute contrefaçon des Solutions dont il aurait connaissance, TEHTRIS étant alors libre de prendre les mesures qu'il jugera appropriées.
14. Confidentialité
Sont notamment considérées comme des Informations Confidentielles : tout devis ou proposition commerciale émanant de TEHTRIS et toute demande émanant de l’Utilisateur ; par défaut, toute information concernant les Solutions TEHTRIS et le Service TEHTRIS de façon générale qui ne sont pas du domaine public ; toute information désignée par écrit comme confidentielle par l’une des Parties ; toute information portant sur des livrables, prestations, organisations ou activité de l’autre Partie ou d’un tiers et plus généralement toute information de nature financière, technique et commerciale.
Nonobstant ce qui précède, aucune des Parties n’aura d’obligation quelconque à l’égard d’Informations Confidentielles qui : seraient tombées ou tomberaient dans le domaine public indépendamment d’une faute par la Partie les recevant ; seraient développées à titre indépendant par la Partie les recevant ; seraient légitimement connues de la Partie les recevant avant que l’autre Partie ne les lui divulgue ; seraient légitimement reçues d’un tiers non soumis à une obligation de confidentialité ; devraient être divulguées en vertu de la loi ou sur ordre d’une autorité juridictionnelle ou administrative légalement habilitée à exiger une telle communication, sous réserve, cependant, que la Partie obligée de divulguer les informations ait préalablement averti l’autre Partie.
Chacune des Parties s’oblige à : garder strictement confidentielle toute Information Confidentielle qui a été portée à sa connaissance dans le cadre de l’exécution du Contrat ; ne pas divulguer les Informations Confidentielles de l’autre Partie à un tiers ou à un Prestataire de Service, autre que des employés ou agents ayant besoin de les connaître ; n’utiliser les Informations Confidentielles de l’autre Partie qu’à l’effet d’exercer ses droits et de remplir ses obligations aux termes du Contrat ; informer l’autre Partie dans les plus brefs délais en cas de non-respect de l’obligation de confidentialité découlant de ce Contrat et à assister l’autre Partie à déterminer les causes et responsables de cette infraction ; restituer toutes les copies des documents et supports contenant des Informations Confidentielles de l’autre Partie, dès la fin du Contrat, quelle qu’en soit la cause, ou s’engager à les détruire, à l’exception du Contrat et des devis associés ; faire respecter ces obligations par son personnel, et par tout préposé ou tiers qui pourrait intervenir à quelque titre que ce soit dans le cadre du Contrat
Les obligations des Parties à l’égard des Informations Confidentielles demeureront en vigueur pendant toute la durée du Contrat et aussi longtemps, après sa résiliation, que les informations concernées demeureront confidentielles pour la Partie les divulguant et, en toute hypothèse, pendant une période de cinq (5) ans après le terme ou la résiliation du Contrat.
L’Utilisateur et ses éventuels Prestataires Tiers ne sont pas autorisés pendant l’exécution du Contrat et pour une période de deux (2) ans à l’issu du Contrat, à publier ou distribuer à des tiers des résultats de tests ou d’utilisations des Solutions TEHTRIS, des analyses comparatives ou concurrentielles impliquant le Service TEHTRIS, sauf après avoir obtenu l’accord écrit de TEHTRIS.
TEHTRIS se réserve le droit d'utiliser des résultats ou des rapports obtenus par le Service TEHTRIS pour ses propres publications et usage interne ou externe, sous réserve du respect du présent Contrat.
15. Traitement de données à caractère personnel
Les Parties s’engagent à respecter la législation et la réglementation en vigueur applicables au traitement de données à caractère personnel (« DCP »), en particulier le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (RGPD).
Les Parties s’engagent, chacune en ce qui la concerne, à respecter la réglementation applicable en matière de protection des DCP. Chaque Partie est seule responsable du traitement qu’elle met ainsi en œuvre pour son propre compte avec les DCP transmises par l’autre partie. Les DCP transmises dans le cadre du Contrat ne sont pas utilisées à d’autres fins que son exécution ou son suivi ou le suivi des contentieux, sauf autres cas prévus au Contrat.
Chaque Partie informe les personnes concernées du traitement de DCP mis en œuvre et des moyens dont elles disposent pour exercer leurs droits, tels que prévus aux articles 15 à 23 du RGPD. Pour tout renseignement supplémentaire, l’Utilisateur peut contacter le Délégué à la Protection des données (DPO) de TEHTRIS à : privacy(@)xxxxxxx.xxx
Les traitements et engagements des Parties concernant le Service TEHTRIS sont détailles en Appendix 3 – Traitement de données à caractère personnel.
16. Audit
Pendant toute la durée du Contrat, TEHTRIS pourra, suivant un préavis de quinze (15) jours, procéder ou faire procéder par un tiers à des audits des conditions d’utilisation des Services TEHTRIS par l’Utilisateur. Ces audits visent à s’assurer que l’Utilisateur respecte les conditions relatives aux droits d’utilisation et aux droits acquis par ce dernier. L’Utilisateur s’efforcera de collaborer en toute bonne foi avec TEHTRIS et/ou son représentant et de fournir à TEHTRIS l’ensemble des informations, accès et documents qui lui seront nécessaires dans les meilleurs délais.
17. Résiliation
En cas de non-exécution par l’Utilisateur de tout ou partie de l’une quelconque de ses obligations contractuelles, TEHTRIS pourra résilier de plein droit le Contrat dans un délai d’un (1) mois suivant la mise en demeure de l’Utilisateur indiquant ses manquements, notifiée par lettre recommandée avec accusé de réception et restée sans effet.
Le Contrat peut être résilié par TEHTRIS dans le cas où l’Utilisateur a violé une ou plusieurs obligations essentielles au Contrat, notamment les stipulations relatives à la confidentialité, la Propriété Intellectuelle, l’utilisation malveillante du Service TEHTRIS, à réception d’une lettre recommandée avec accusé réception et sans mise en demeure préalable. En cas de faute imputable à l’Utilisateur, l’abonnement annuel sera facturé et l’Utilisateur ne pourra prétendre au remboursement par TEHTRIS des sommes associées.
En cas de résiliation pour quelque cause que ce soit l’Utilisateur cessera d’utiliser tous les Identifiants. Chaque Partie sera déliée envers l’autre de toutes obligations dues au titre de l’exécution du Contrat, à l’exception de celles relatives à la confidentialité, à la responsabilité et la Propriété Intellectuelle. De plus, l’Utilisateur sera tenu, le cas échéant, au paiement immédiat des factures correspondant aux Prestations conformes déjà exécutées.
De plus, en cas de redressement judiciaire ou de liquidation judiciaire de l’Utilisateur, le présent contrat pourra être résilié de plein droit par TEHTRIS, sauf décision contraire de l’administrateur, telle que prévue à l’article L. 622- 13 du code de commerce.
18. Valeurs et Éthique
En application des principes consacrés par la loi n°2016-1691 du 9 décembre 2016 sur la transparence, la lutte contre la corruption et la modernisation de la vie économique et par les Conventions nationales et internationales, TEHTRIS mène une politique éthique exigeante et condamne strictement la fraude, la corruption et le trafic d’influence.
TEHTRIS n’entend contracter qu’avec des partenaires ayant les mêmes objectifs. Par ailleurs TEHTRIS proscrit toute pratique anticoncurrentielle et s’engage dans une démarche de responsabilité sociale et environnementale
En conséquence, l’Utilisateur s’engage à lutter activement contre toutes formes de fraudes, qu’elles soient sociales ou économiques, et toutes formes de corruption et de trafic d’influence, qu’elles soient dans le cadre de relations avec un agent public et/ou privé, au niveau international, national ou local, que ces pratiques soient engagées directement ou indirectement.
A ce titre, l’Utilisateur certifie, qu’il n’a, ni directement ni indirectement, fait ou offert et s’engage à ne faire ou offrir, promettre, donner, autoriser ou accepter aucun paiement, présent, promesse ou tout autre avantage, à l’usage ou au bénéfice de toute autre personne, dès lors qu’un tel paiement, présent, promesse ou avantage a ou aurait pour but :
- d’influencer un acte ou une décision de cette personne ;
- d’inciter cette personne à accomplir ou à s’abstenir d’accomplir un acte en violation des obligations légales ;
- d’obtenir un avantage indu ;
- d’accomplir ou s’abstenir d’accomplir un acte en violation des lois applicables aux activités régies par le Contrat.
L’Utilisateur s’engage à imposer aux membres de son personnel et à ses éventuels sous-traitants les obligations prévues dans le présent article et à obtenir que ses sous-traitants et cocontractants s’engagent de la même façon. En cas de violation des engagements précités par l’Utilisateur, TEHTRIS se réserve le droit de résilier sans préavis le présent Contrat pour manquement de l’Utilisateur.
Le Contrat pourra être résilié immédiatement et de plein droit, par lettre recommandée avec accusé de réception, sans autre formalité en cas de violation par l’Utilisateur, ou l’un de ses actionnaires, d’une réglementation relative aux sanctions (ci-après « Réglementation Sanctions ») ou si ce dernier, ou l’un de ses actionnaires, est directement visé par une Réglementation Sanctions. La résiliation prendra effet le lendemain de la date de réception de cette notification par l’Utilisateur, sauf autre date d’effet de la résiliation qui serait précisée par le TEHTRIS à l’Utilisateur dans ladite notification et sans qu’il soit nécessaire pour TEHTRIS de mettre en demeure
l’Utilisateur. On entend par Réglementations Sanctions : (i) l'ensemble des dispositions légales et réglementaires françaises relatives à la lutte contre la corruption et le trafic d'influence, (ii) les réglementations étrangères relatives à la lutte contre la corruption à portée extraterritoriale, notamment américaine (Foreign Corrupt Practices Act) et britannique (UK Bribery Act) dans la mesure où celles-ci sont applicables, et (iii) les mesures restrictives internationales adoptées à l’encontre de personnes physiques ou morales.
19. Logo – référence Utilisateur
L’Utilisateur octroie à TEHTRIS un droit personnel non exclusif et non cessible d’utilisation de son logo, de sa raison sociale et du lien de son site internet, comprenant la reproduction (numérique ou papier), la copie, la mention à titre de référence client (exemple : dans le cadre réponses à des appels d’offres, de cahier des charges techniques d’un prospect), la communication au public (diffusion en ligne ou lors d’une conférence/forum). Le logo, le nom, le lien internet et tout droit afférent restent la propriété exclusive de l’Utilisateur. Ce droit d’utilisation est accordé géographiquement pour le monde entier et pour toute la durée des droits d’auteur y afférents, dans la limite de la durée du présent Contrat.
20. Divers
20.1 Non-validité partielle
Si l’une ou plusieurs clauses du Contrat venai(en)t à être déclarées non valide(s) en application d’une loi, d’un règlement ou à la suite d’une décision définitive d’une juridiction compétente, les autres dispositions garderaient toute leur force et leur portée, sauf si la ou les clause(s) non valide(s) présentent un caractère substantiel et que leur disparition remettait en cause l’équilibre contractuel. En tout état de cause, les Parties feront leurs meilleurs efforts pour y substituer une clause valide, conforme à l’esprit du texte initial.
20.2 Renonciation
Le fait qu’une des Parties ne se prévale pas à un moment donné de l’une quelconque des présentes stipulations et/ou tolère un manquement par l’autre Partie à l’une quelconque des obligations visées au Contrat, ne peut être interprété comme valant renonciation à se prévaloir ultérieurement de l’une quelconque desdites stipulations.
20.3 Droit applicable et langue du contrat
Les litiges découlant de l’interprétation et/ou de l’application du Contrat sont soumis à la loi française. Il en est ainsi pour les règles de fond comme pour les règles de forme. En cas de litige, les lois des pays où se trouvent les serveurs virtuels ne s’appliquent pas et le Contrat reste soumis au droit français.
En cas de rédaction du Contrat en plusieurs langues ou de traduction, la version française prévaut.
Pour l'exécution des présentes, les Parties font respectivement élection de domicile en leurs sièges sociaux indiqués en première page. Toute modification du siège social ou de l'adresse de l'une des Parties ne sera opposable à l'autre Partie que huit (8) jours calendaires après le lui avoir été dûment notifiée.
20.4 Règlement des conflits et attribution de compétence
Sauf stipulation contraire du Contrat, les Parties conviennent de considérer les messages électroniques et plus généralement les documents électroniques échangés entre elles sous forme électroniques au sens de l’article 1366 du code civil, comme des écrits d’origine. Chaque Partie s’interdit de modifier le contenu des messages électroniques qu’elle a reçus ou émis.
Chacune des Parties informera l’autre Partie de tout manquement aux obligations contractuelles commis par cette dernière, dès que ce manquement aura été découvert.
En cas de difficulté pour l'interprétation et/ou à l'exécution du présent Contrat ou l’un de ses avenants, les Parties s’engagent, dans un premier temps, à coopérer avec diligence et bonne foi en vue de trouver une solution amiable à leur différend. A cet effet, dès qu’une Partie identifiera un différend avec l’autre Partie, elle demandera la convocation d’une réunion ad hoc des responsables de chaque Partie, afin de discuter du règlement de la question objet du différend. Cette convocation sera effectuée par courrier recommandé avec accusé-réception. Cette réunion se tiendra dans un délai maximal de quinze (15) jours à compter de la date d’envoi de la demande.
FAUTE D’UN TEL REGLEMENT AMIABLE, TOUT LITIGE EVENTUEL QUI N’AURAIT PAS ETE REGLE DANS UN DELAI DE TRENTE (30) JOURS A COMPTER DE LA DATE D’ENVOI DE LA DEMANDE DE REUNION AD HOC, SERA PORTE PAR LA PARTIE LA PLUS DILIGENTE DEVANT LE TRIBUNAL DE COMMERCE DE PARIS AUQUEL LES PARTIES ATTRIBUENT COMPETENCE EXCLUSIVE, NONOBSTANT PLURALITE DES DEFENDEURS OU APPEL EN GARANTIE.
20.5 Intégralité du contrat
Le Contrat constitue l’intégralité des engagements actuels entre les Parties dans la limite de son objet. Il annule et remplace tout engagement ou accord
écrit ou oral qui aurait pu être conclu entre les Parties dans le cadre du même objet.
Le présent Contrat ne peut être amendé ou modifié que par un avenant écrit et signé entre les Parties. Jusqu’à la signature de l’avenant, TEHTRIS continuera à exécuter les prestations selon les conditions initialement convenues.
Il est expressément stipulé que les clauses contraires au Contrat et contenues dans les conditions générales d’achat de l’Utilisateur ou dans tout autre document de la sorte, sont inapplicables au champ des présentes.
Appendix 1 : Convention de services
PREAMBULE
Les XDR Dédiées à l’Utilisateur et XDR Mutualisées entre plusieurs Utilisateurs constituent les deux types d’offres proposées par TEHTRIS. Les clauses suivantes s’appliquent selon l’offre souscrite par l’Utilisateur.
Si l’Utilisateur dispose d’une XDR dédiée, les lignes « XDR dédiée » lui sont applicables et s’ajoutent aux dispositions applicables à toutes les offres. Si l’Utilisateur a souscrit à des Solutions en mode On Premise, les lignes « Solutions On Premise » lui sont applicables et s’ajoutent aux dispositions de l’offre qui le concerne.
Si l’Utilisateur souhaite des engagements supplémentaires, des conditions particulières seront convenues entre les Parties.
Article 1. SERVICE TEHTRIS
1.1. Hébergement des Données et Xxxxxxx
Dispositions applicables à | Description |
Toutes les offres | L’hébergement des Données et Xxxxxxx est assuré via des abonnements auprès d’un hébergeur de données situé dans l'Union Européenne. TEHTRIS choisit l’hébergeur de données et traite de façon autonome avec ce dernier. Dans le cadre d’une obligation de moyens, TEHTRIS sauvegarde le contenu des Appliances cloud dans les conditions suivantes : - Récurrence de la sauvegarde : quotidienne - Contenu de la sauvegarde: systèmes d’exploitation complets, Données et Alertes collectées la veille du jour de sauvegarde : o Données : TEHTRIS conserve les Données dans les Appliances cloud à hauteur de la capacité de stockage des Appliances et pour une durée maximale de trois (3) ou six (6) mois selon l’offre souscrite ; o Alertes: TEHTRIS conserve les Alertes contenues dans la TEHTRIS XDR Platform à hauteur de la capacité de stockage des Appliances et pour une durée maximale de trois (3) ou six (6) mois selon l’offre souscrite ; o Pour les offres OPTIMUS : la conservation des Données et Alertes est systématiquement pour une durée maximale de trois (3) mois. - Conservation de la sauvegarde : quatorze (14) jours TEHTRIS se réserve le droit d’effacer automatiquement les Données et/ou les Alertes les plus anciennes pour ne pas encombrer le disque et assurer la disponibilité de l’Appliance. Si l’Utilisateur souhaite la conservation de ses Données et Alertes pour une période supplémentaire, TEHTRIS facturera le stockage nécessaire. |
On Premise | Lorsque les Appliances TEHTRIS sont installées chez l’Utilisateur en mode On Premise, les sauvegardes des Appliances et des Données sont à la charge et sous la responsabilité exclusive de l’Utilisateur. |
1.2. Accès à la TEHTRIS XDR Platform
Dispositions applicables à | Description |
XDR dédiée | Pour la durée du Contrat, l’Utilisateur bénéficie de la TEHTRIS XDR Platform, sécurisée dès la conception (security by design) et située dans le datacenter TEHTRIS. Elle est rendue accessible à distance par le biais du réseau en mode SaaS. TEHTRIS fournit à l’Utilisateur un droit d’accès à la TEHTRIS XDR Platform pour un nombre d’accès délimité. L’Utilisateur pourra s’y connecter en 365/7/24, y compris les dimanches et jours fériés, à l’exception des périodes de maintenance. |
1.3. Solutions TEHTRIS
TEHTRIS met à disposition de l’Utilisateur les Solutions TEHTRIS souscrites accessibles à distance (SaaS) depuis leur(s) Appliance(s) par le biais du réseau Internet et dans le réseau Intranet selon l’organisation temporelle expliquée ci-après :
1.3.1. Phase d’installation « Set up »
Dispositions applicables à | Description |
XDR dédiée | TEHTRIS met en place l’infrastructure virtuelle TEHTRIS dédiée à l’Utilisateur. A défaut de dispositions particulières convenues entre les Parties (prévoyant par exemple l’intervention d’un prestataire tiers pour la réalisation de prestations d’intégration), TEHTRIS intègre les Appliances lorsqu’elles sont situées dans le datacenter TEHTRIS. Les jours de support à l’intégration à distance peuvent être nécessaires à l’installation de chaque nouvelle Solution TEHTRIS et/ou nouvelle Appliance. Lorsque TEHTRIS a terminé d’intégrer les Appliances TEHTRIS et/ou transmis les informations à l’Utilisateur, TEHTRIS annonce la fin du « Set up » vers le passage en « Run ». |
On Premise | Pour les Appliances devant être situées chez l’Utilisateur (On Premise), TEHTRIS communique, en fonction des éléments transmis par l’Utilisateur, la configuration exacte de chaque Appliance à installer par l’Utilisateur dans sa propre infrastructure. |
1.3.2. Phase de fonctionnement « Run »
L’Utilisateur peut commencer à déployer les Équipements et bénéficier des fonctionnalités des Solutions TEHTRIS et Services opérationnels TEHTRIS souscrits. TEHTRIS se réserve le droit de communiquer à l’Utilisateur toute Documentation nécessaire à la bonne réalisation du Service TEHTRIS.
Description
Dispositions applicables à
Solution TEHTRIS SIEM : Si applicable, concernant les jours de configuration des sources SIEM, l’Utilisateur configure les sources SIEM en coopération avec TEHTRIS. Tout ajout au Service TEHTRIS initialement convenus sera facturé à l’Utilisateur et pourra donner lieu, le cas échéant, à un avenant.
S’agissant des règles de corrélation SIEM, l’Utilisateur concède à TEHTRIS une licence d’utilisation des règles de corrélation qu’il est amené à développer et intégrer dans les Services TEHTRIS. Cette licence inclut, sur lesdites règles de corrélation, les droits de les reproduire ou de les faire reproduire ; le droit de les représenter ou de les faire représenter ; le droit de les sous licencier, de les adapter, modifier, transformer, faire évoluer, en tout ou en partie ; le droit de les traduire ou de les faire traduire, en tout ou en partie et en toute langue ; le droit de les mettre sur le marché, de les distribuer, commercialiser, diffuser par tous moyens, y compris la location et le prêt, à titre gratuit ou onéreux ; le droit d’en faire tout usage et de les exploiter pour les activités propres de TEHTRIS ou au bénéfice de tiers, à quelque titre que ce soit ; le droit de reproduire, représenter et commercialiser, à titre gratuit ou onéreux, les règles de corrélation modifiées, adaptées, ou dérivées. Ces droits sont cédés à titre non exclusif, pour la durée de protection des droits et pour le monde entier.
Solution TEHTRIS MTD (avec ou Sans MDM-Mobile Device Management), l’enregistrement de chaque utilisateur final requiert :
i. un compte Google pour la version Android1 ou Apple pour la version iOS2 afin de télécharger l’application sur la plateforme d’achat d’application en ligne et bénéficier des mises à jour, et,
ii. l’adresse e-mail professionnelle de l’utilisateur final à enregistrer. Elle sera systématiquement nécessaire sans MDM et sera une simple faculté selon les configurations du MDM le cas échéant.
XDR dédiée
1.3.3. Phase de démantèlement « Exit »
En cas d’arrêt du Contrat pour une des raisons énoncées au présent Contrat, TEHTRIS mettra fin à l’ensemble du Service TEHTRIS. Cette phase entraine la destruction des Appliances et la réversibilité des Données conformément à l’Article – Réversibilité.
1.4. Services opérationnels TEHTRIS
Dispositions applicables à | Description |
XDR dédiée | L’Utilisateur peut souscrire aux Services opérationnels TEHTRIS optionnel(s) suivant(s), pouvant faire l’objet de conditions d’utilisations spécifiques qui seront alors annexées au Contrat et/ou fournies à l’Utilisateur : 1.4.1. Formation Il s’agit d’une prestation de formation destinée aux Utilisateurs et tarifée à la journée. Elles ont lieu par défaut à distance, pendant les jours et heures ouvrés. 1.4.2. Consulting Le Consulting correspond à un service de conseil et expertise dans des domaines divers (cybersécurité, gouvernance, gestion des risques, juridique, protection des données personnelles, communication, etc…). Il est réalisé par les consultants de TEHTRIS situés en France, par téléphone ou par mail pendant les jours et les heures ouvrés, ou également sur place chez l’Utilisateur, dont les frais de déplacement de TEHTRIS seront à la charge de l’Utilisateur. TEHTRIS n’est pas responsable des décisions prises par l’Utilisateur suite aux services de conseil et d’expertise délivrés. S’agissant des services de conseil et expertise, l’Utilisateur s’engage plus particulièrement à : mettre à la disposition de TEHTRIS tous les éléments nécessaires à la réalisation des études ou des travaux, contrôler de manière périodique, l’avancement des services, étudier et contrôler les différents documents que TEHTRIS pourra lui remettre, mettre à la disposition de TEHTRIS tous les éléments qu'il estimera nécessaires à la bonne connaissance du problème et répondre à toute demande d’informations de ce dernier en temps utile. Cependant, si les informations transmises par l’Utilisateur s’avèrent être manifestement erronées, de son fait ou du fait d’un tiers, ou insuffisantes, TEHTRIS pourra augmenter le délai éventuellement imparti pour remettre les résultats du conseil. 1.4.3. Autres services En cas de fourniture de Services opérationnels TEHTRIS, autres que ceux présentés ci-dessus, ces Services opérationnels seront également régis par les dispositions du présent Contrat. |
1 Android est une marque de Google Inc.
2 Apple, le logo Apple et iPhone sont des marques d'Apple Inc., déposées aux États-Unis et dans d'autres pays. App Store est une marque de services d'Apple Inc.
SLA# | Engagements | Taux garanti en % | Pénalités |
DISPONIBILITÉ | |||
1 | Disponibilité par mois de la TEHTRIS XDR PLATFORM*, sauf en cas de maintenance planifiée ou d’urgence critique | 99,5% | Entre 100% - 99,5% : 0%** Entre 99,499% - 95,000% : 5% ** Entre 94,999% - 90,000%: 10%** En dessous de 89,999%: 15%** |
*Le taux d'indisponibilité est calculé comme suit : le nombre total d'heures du mois en question moins le nombre d'heures d'indisponibilité du mois en question, divisé par le nombre total d'heures du mois en question. ** % du coût mensuel des licences de la Solution TEHTRIS concernée du mois en cours | |||
SUPPORT EDITEUR - MAINTENANCE CORRECTIVE | ||||||
2 | Maintenance corrective en cas d’anomalie détectée par le Client | Temps de réponse garantie en heures/jours ouvrés (8h30 à 12h – 13h30 à 17h, France métropolitaine) | Pénalités** | |||
- | Prise en compte du ticket notifiant l’anomalie (***) GTI | Diagnostic à partir de la réception du ticket | Fourniture d’un plan de contournement après le Diagnostic | Correction définitive de l’Anomalie (patch) | - | |
GTR | GTR | |||||
2.1. | Anomalie Bloquante : désigne un dysfonctionnement, répétitif et reproductible qui provoque le blocage de l’intégralité de la ou les Solutions, sans contournement possible par l’Utilisateur. Dès lors qu’une solution de contournement existe, l’anomalie est requalifiée en Anomalie Majeure ; | 1 jour ouvré | 1 jour ouvré | 5 jours ouvrés | N/A | 1%** par jour de retard |
2.2. | Anomalie Majeure : désigne un dysfonctionnement, répétitif et reproductible qui empêche l’exécution d’une ou plusieurs fonction(s) essentielle(s) de la ou des Solutions ; | 1 jour ouvré | 2 jours ouvrés | 10 jours ouvrés | 15 jours ouvrés | 1%** par jour de retard |
2.3. | Anomalie Mineure : désigne un dysfonctionnement, répétitif et reproductible qui n’est ni une Anomalie Bloquante, ni Majeure ; | 15 jours ouvrés | Meilleurs efforts | Meilleurs efforts | Selon la Roadmap de TEHTRIS | N/A |
** % du coût mensuel des licences de la Solution TEHTRIS concernée du mois en cours *** le délai court à partir de la réception du ticket d’incident par le service support de TEHTRIS. | ||||||
1.5. Engagements de niveaux de service (« SLA »)
Dispositions applicables à | Description |
XDR dédiée | A partir du passage en phase de RUN, TEHTRIS s’engage à respecter les engagements de niveau de service (Service Level Agreement – « SLA ») suivants : Sous réserve des dispositions de l’Article Pénalité du Contrat, le total des pénalités cumulées ne pourra pas dépasser 15% du montant mensuel des licences du mois en cours. |
Article 2. RECETTE DES PRESTATIONS
Dispositions applicables à | Description |
XDR dédiée | L’Utilisateur disposera d’un délai de cinq (5) jours ouvrés pour procéder à l’examen de la conformité du Service TEHTRIS à ses attentes et pour adresser à TEHTRIS ses éventuelles observations détaillées. A l’expiration de ce délai de cinq (5) jours et dans le silence de l’Utilisateur, le Service TEHTRIS sera considéré comme validé, emportant reconnaissance de sa conformité aux attentes de l’Utilisateur. A compter de la réception des observations de l’Utilisateur, TEHTRIS effectuera les corrections nécessaires dans les meilleurs délais. Une fois les corrections éventuelles effectuées et adressées à l’Utilisateur, ce dernier disposera d’un délai de cinq (5) jours ouvrés pour contrôler ces corrections. Toute nouvelle itération fera l’objet d’une facturation complémentaire. |
Article 3. REVERSIBILITE
Cet article s’applique en fin d’abonnement à une ou plusieurs Solutions TEHTRIS non renouvelée par l’Utilisateur et/ou en cas de résiliation du Contrat pour quelque motif que ce soit sauf en cas de résiliation pour faute de l’Utilisateur.
Dispositions applicables à | Description |
Toutes les offres | Les dispositions ci-dessous s’appliquent à l’ensemble des Solutions TEHTRIS à l’exception du SIEM. Avant la date de résiliation ou d’expiration des abonnements en cas de non renouvellement, de même qu’avant de procéder à des opérations de suppression, il appartient à l’Utilisateur d’effectuer, sous sa seule responsabilité, toute opération (telle que sauvegarde, transfert vers une solution tiers, etc.) nécessaire à la conservation de ses Données. TEHTRIS rappelle à l'Utilisateur qu'il relève de la responsabilité de ce dernier de conserver toute Donnée pouvant servir à d'éventuelles fins probatoires (traces d'attaques, etc.). TEHTRIS s’engage, à l’exception des cas mentionnés à l’article « Propriété », à détruire à ses frais l’ensemble des Données envoyées par l’Utilisateur dans la TEHTRIS XDR Platform, pour toutes les Solutions TEHTRIS sauf dans le cadre de la solution TEHTRIS SIEM. TEHTRIS s’engage à réaliser la destruction dans un délai de dix (10) jours suivant la date de fin des relations contractuelles entre les Parties. A l’issue de cette destruction, TEHTRIS pourra, à la demande de l’Utilisateur, fournir un procès-verbal de destruction. |
XDR dédiée avec la Solution TEHTRIS SIEM Cloud et/ou On Premise | Ces opérations de réversibilité devront être demandées par l’Utilisateur à TEHTRIS dans un délai minimum de six (6) mois précédant le terme du Contrat ou la date de fin d’abonnement au service TEHTRIS SIEM, par lettre recommandée avec accusé réception. Préalablement aux opérations de réversibilité, TEHTRIS communiquera à l’Utilisateur la taille des journaux et événements bénéficiant de la réversibilité (ci-après « Données récupérables ») et le temps nécessaire pour procéder à la réversibilité. Le maximum de Données correspondra aux six (6) derniers mois d’exécution du Contrat. Il est convenu entre les Parties que TEHTRIS n'aura pas la responsabilité de traduire les Données dans un format différent, notamment pour permettre la lecture de celle-ci par un nouveau système. Dès le lancement de la phase de réversibilité, il sera mis fin aux services TEHTRIS SIEM jusqu’à la date de fin du Contrat ou jusqu’à la date de fin d’abonnement et les niveaux de services et de garantie ne seront plus applicables. Les services TEHTRIS SIEM continueront d’être facturés durant la réversibilité. En revanche, les autres Solutions TEHTRIS continueront d’être actives en application du Contrat et jusqu'à leur date de fin prévue. Préalablement aux opérations de réversibilité, l’Utilisateur s'engage à : - communiquer à TEHTRIS les informations détaillées relatives aux zones de réception des Données récupérables, notamment quant à leur accès; - ne pas faire de manipulations ni de modifications dans lesdites zones pendant toute la phase de réversibilité, sauf accord préalable de TEHTRIS. Toute conséquence sur les opérations de réversibilité liées à des manipulations et/ou modifications réalisées par l’Utilisateur dans les zones de réception des Données récupérables devront être entièrement prises en charge par l’Utilisateur, qui assumera par ailleurs toute responsabilité en cas de défaillance des opérations de réversibilité liée à ces manipulations et/ou modifications. Durant la phase de réversibilité, les engagements de qualité (SLA) et de garantie ne sont plus assurés. TEHTRIS n’effectuera pas de prestation d’assistance technique complémentaire à l’Utilisateur et/ou au Prestataire Tiers, dans le cadre de la réversibilité (migration des Données sur un système tiers par exemple). Ces journaux et événements bénéficiant de la réversibilité, ensemble ci-après « Données récupérables » sont les suivants : - les logs collectées dans les Appliances TEHTRIS SIEM dans un format déterminé par TEHTRIS ; - les logs transmis par les machines de l’Utilisateur qui ont parlé au TEHTRIS SIEM (et si applicable, à travers TEHTRIS forwarders), et transformés dans un format de stockage du choix de TEHTRIS ; - les Données modifiées, qui contiennent tout ou partie des Données brutes envoyées par l’Utilisateur, avec des éléments techniques complémentaires utiles (exemple : horodatage, etc.); Les Données récupérables seront restituées dans un format standard lisible à savoir le format JSON. Elles seront organisées dans des répertoires indiquant les sources ayant émis les Données chez l’Utilisateur, ainsi que les dates des événements concernés. Lorsque les fichiers atteindront une certaine taille, TEHTRIS compressera les Données dans de plus petits fichiers, dans un format de compression choisi par TEHTRIS (LZMA, GZ). L’Utilisateur collaborera activement avec TEHTRIS afin de faciliter les opérations de réversibilité des Données et de garantir le bon déroulement de ces opérations. Durant les opérations de réversibilité et à leur issue, l’Utilisateur reste responsable du processus de téléchargement et des choix techniques et organisationnels en matière de stockage des Données, bande passante et réseau. Pour TEHTRIS SIEM Cloud : Les Données récupérables seront téléchargeables à distance depuis les Appliances. Les Données récupérables seront accessibles par un canal chiffré afin que l’Utilisateur puisse choisir manuellement les Données à recueillir à son rythme. Utilisateur ==(download)==> TEHTRIS SIEM Cloud Appliances (Données récupérables) |
Pour TEHTRIS SIEM On Premise : Les Données récupérables seront exportables depuis la machine virtuelle TEHTRIS de deux manières différentes : - 1ère méthode, en local : les Données récupérables seront copiées sur un disque dur (datastore) ajouté en local temporairement pour la réversibilité à la Machine virtuelle TEHTRIS concernée. - 2ème méthode, à distance : les Données récupérables seront copiées sur un disque dur distant accessible par un compte SSH (SCP et SFTP), via un système de bi-clef SSH sur un compte UNIX qui aura la possibilité de remonter les Données à distance. Dans le cas où une méthode ne fonctionne pas, l’Utilisateur met à disposition de TEHTRIS les moyens pour exécuter l’autre méthode (exemple : réseau de l’Utilisateur trop lent pour supporter la diffusion des Données via une copie à distance dans des délais raisonnables). |
Article 4. PREREQUIS TECHNIQUES
Dispositions applicables à | Description |
XDR dédiée | TEHTRIS se réserve le droit de modifier et mettre à jour à tout moment les prérequis techniques. Ces modifications et mises à jour s’imposent aux Utilisateurs qui doivent en conséquence se référer régulièrement à cette rubrique lors de chaque nouvelle installation. Les Utilisateurs s’engagent à prendre connaissance de l’intégralité de toute nouvelle version prérequis techniques et à les respecter. Chaque Intranet de l’Utilisateur où sont proposées les Solutions TEHTRIS est une zone. Par exemple, une zone va correspondre à un site géographique donné, comme un centre de données, un réseau cloud, une usine industrielle, etc. En cas d’erreur(s) de l’Utilisateur relative(s) aux éléments des prérequis techniques, le temps perdu en conséquence par TEHTRIS sera facturé à l’Utilisateur en journées de prestation complémentaires qui s’ajouteront à l’abonnement initial. PT.1 A propos des interfaces réseaux avec le Service TEHTRIS Une machine hébergeant une Appliance TEHTRIS devra posséder 2 interfaces Ethernet : (i) « Management » : la 1ère interface utilisée pour le management de l’Appliance à distance et la remontée des alertes à distance. (ii) « Service » : La 2ème interface utilisée pour fournir le service, sera positionnée dans l’un des modes suivants : a. VLAN : sur un « Trunk » utilisant le protocole 802.1Q pour les appliances Deceptive Response b. LAN : sur un port classique réseau (Ethernet) pour les appliances SIEM, EDR, EPP, MTD. c. SNIF : sur un port recevant du trafic à analyser (port mirroring / TAP) pour les appliances NTA. PT.2 A propos de l’interface de « management » L’Appliance se déploie en utilisant l’interface de management. Sur cette interface, l’Utilisateur fournira une adresse IPv4 à utiliser, un masque de sous-réseau, ainsi qu’une passerelle. Via cette passerelle, le serveur virtuel ouvrira des sessions réseaux avec plusieurs services présents dans le Datacenter TEHTRIS et hébergés sur Internet en IPv4. Si les flux sortant de cette interface de management sont filtrés/coupés/gênés/proxifiés, alors l’Appliance ne pourra pas être installée convenablement. De même, une fois le service installé, si ces flux sortant de cette interface de management sont filtrés/coupés/gênés/proxifiés, alors le service sera fortement dégradé. Ce problème sera de la responsabilité de l’Utilisateur. Les flux utilisés par le Service TEHTRIS ne sont pas compatibles avec des interceptions réseaux actives, de la proxification transparente ou forcée. Il sera interdit pour l’Utilisateur de mener de telles tentatives. L’adresse IPv4, le sous-réseau, et la passerelle, qui seront fournis lors de l’installation, ne pourront plus être changés dans le futur. Il est de la responsabilité de l’Utilisateur de s’assurer que ces adresses ne seront pas modifiées dans le futur. Sinon, il faudra recommencer l’installation de certains éléments de la Solution TEHTRIS, ce qui sera facturé sur la base du coût initial d’un SETUP complet. En cas idéal, il convient de construire un sous-réseau spécifique à l’Appliance pour son interface de Management. Dans ce sous-réseau, il faudra faire en sorte que l’Appliance puisse communiquer avec le Datacenter TEHTRIS. Dans ce sous-réseau de l’interface de |
management, l’Appliance ne pourra pas délivrer ses services (inventaire, audit, SIEM, honeypots, EDR, NIDS). L’Utilisateur devra positionner l’interface de Management de l’Appliance dans un sous-réseau qui ne sera pas à surveiller. PT.3 A propos des services et des interfaces Dans l’Appliance, la configuration logicielle des 2 interfaces Ethernet sera de la responsabilité de TEHTRIS. En dehors de l’Appliance, la configuration logique et physique des couches réseaux amenant les flux sur les interfaces de Management, et de Service (VLAN, LAN, SNIF) sont de la responsabilité de l’Utilisateur. L’Utilisateur choisira d’utiliser le mode VLAN ou LAN ou SNIF (en fonction du produit à installer, etc.). PT.4 Virtualisation et hardware Pour simplifier et diminuer les coûts liés au hardware, et pour permettre une meilleure gestion de ces derniers chez l’Utilisateur, TEHTRIS propose de faire fonctionner les Solutions TEHTRIS dans des machines virtuelles (Appliance) chez l’Utilisateur. Ces dernières seront hébergées dans des produits de la marque VMware, de type ESXi Vsphere. La gestion et l’état de l’hyperviseur sera alors la responsabilité de l’Utilisateur. Pour des raisons de sécurité informatique, les Appliances n’utiliseront pas les outils propriétaires VMware à l’intérieur, ou équivalent. PT.5 Sauvegardes et intégrité des données Il est conseillé à l’Utilisateur de posséder des solutions hardware adéquates en fonction de ses besoins en termes de sauvegarde et de garantie de l’intégrité des données. Les machines virtuelles hébergées dans des hyperviseurs VMware pourront être ainsi déposées sur du hardware offrant de très bonnes capacités en termes de sûreté (exemple : RAID 10). L’usage de solution de type backup de machines virtuelles est envisageable, néanmoins : les machines virtuelles de TEHTRIS ne sont pas livrées avec des outils de type VMware tools, l’Utilisateur ne peut pas se connecter dessus pour les administrer, l’Utilisateur ne peut pas imposer l’installation de produits pour ses besoins d’intégration, et les disques sont équipés de techniques de chiffrement imposant le mode copie de blocs aux backups, sans pouvoir accéder à des données. Pour ne citer qu’une solution de ce type : le produit Veeam est compatible avec ces besoins. Il est rappelé que le backup des Appliances TEHTRIS présentes chez l’Utilisateur (mode On Premise) est non inclus dans les offres proposées, et qu’il devra être étudié en fonction de l’infrastructure. Des journées de consulting TEHTRIS peuvent être nécessaires pour étudier la mise en place des éléments de cet ordre (exemple : utilisation d’un serveur NAS sur l’Intranet). PT.6 Installation des VM TEHTRIS chez l’Utilisateur Par installation des « VM », on parle de l’installation des Machines Virtuelles (Appliances). Pour mener à bien ce type d’installations, il suffira de suivre les conseils et documentations fournies par TEHTRIS au moment nécessaire. En particulier il faudra créer une machine virtuelle (avec un hyperviseur VMware Vsphere ESXi) : - Un boot BIOS (pas de support UEFI) - De la mémoire et du CPU en quantité suffisante par rapport à l’utilisation envisagée de la Solution TEHTRIS. Certaines fonctionnalités pourront être extrêmement gourmandes en ressources, comme le SIEM, si par exemple de très nombreuses données sont à étudier. - Un premier disque dur de 16 Go pour héberger la zone système. - Un second disque dur d’une taille suffisante, pour conserver en local chez l’Utilisateur l’ensemble des données collectées utilisées ainsi que l’ensemble des données nécessaires pour des traitements locaux spécifiques. o Lorsque TEHTRIS constate qu’un risque existe en ce qui concerne la disponibilité des Solutions TEHTRIS, TEHTRIS pourra effacer immédiatement les anciennes Données qui encombreraient le disque. - Accès au fichier CDROM ISO qui aura été transmis par TEHTRIS, afin de pouvoir booter dessus. Cette partie est sous la responsabilité l’Utilisateur. PT.7 Informations à fournir par l’Utilisateur à TEHTRIS Pour chaque Appliance qui sera installée en dehors de l'infrastructure TEHTRIS, par exemple on-premise sur l'infrastructure de l’Utilisateur, ce dernier partagera les informations suivantes : |
− Nom unique à attribuer à l’Appliance pour l’identifier (par exemple, le nom du site de déploiement et/ou une zone bien connue en interne, et/ou un site géographique, et/ou des activités, etc.) − Description : courte phrase présentant cette Appliance et/ou ce site − [Optionnel] Diagramme du réseau où l’Appliance sera intégrée − [Optionnel] Code interne associé à ce site (si un tel code existe en interne chez l’Utilisateur) − [Optionnel] Ville du site de déploiement + Pays + Continent − [Optionnel] Coordonnées GPS associées à utiliser dans l’interface présentant la carte du monde des Équipements déployés − [Optionnel] Fuseau horaire au niveau international, notamment par rapport à UTC − Adresse IPv4 pour l’interface de Management − Adresse IPv4 de la passerelle sur le sous-réseau de Management − Masque de réseau à utiliser sur l’interface de Management − Adresse IPv4 qui sera visible comme adresses IP sources lorsque l’Appliance sortira de chez l’Utilisateur, pour parler au Datacenter TEHTRIS (nécessaire pour laisser rentrer les flux dans le Datacenter TEHTRIS) après du NAT ou du filtrage − Adresses email des contacts techniques sur le site de déploiement, notamment en cas de panne et/ou de soucis techniques − Adresses email des contacts de sécurité informatique sur le site de déploiement, notamment en cas d’alertes de sécurité PT.8 Endpoint Detection and Response (EDR) Pour chaque famille de machines où l’Utilisateur déploiera TEHTRIS EDR, il sera précisé le système d’exploitation, les droits systèmes à connaître, les droits utilisables en local (exemple pour Windows, par défaut : « Local System »), les procédures de déploiement envisagées, la configuration du niveau d’armement défensif, les solutions antivirus et antimalware actuellement en place, et la stratégie à suivre lors de la découverte d’éléments inconnus. Une Appliance TEHTRIS EDR chez l’Utilisateur, peut monter en moyenne de 1000 à 5000 machines clientes utilisant TEHTRIS EDR, quand le serveur virtuel possède autour de 4 cœurs (CPU) et 16Go de RAM. Ces chiffres ne sont qu’une moyenne car tout dépend de nombreux paramètres (le nombre d'événements générés par les machines de l’Utilisateur, et collectés par les EDR ; vitesse réseau ; performances réelles de la machine qui héberge l’Appliance ; nombre de CPU ; vitesse des CPU ; taille de la RAM ; vitesse du disque dur, etc.). Dans le cas où, l’Utilisateur souhaite déployer beaucoup d’agents TEHTRIS EDR, il est conseillé d’avoir plusieurs Appliance TEHTRIS EDR, afin de découper la charge de travail sur différents serveurs. TEHTRIS, après l’en avoir averti, pourra imposer à l’Utilisateur l’ajout d’Appliance supplémentaire en cas d’un nombre important d’ajouts d’agents TEHTRIS EDR ou lorsque TEHTRIS évalue un risque pour la disponibilité et la performance de l’Appliance concernée. Il ne sera pas possible de traiter des agents TEHTRIS EDR de manière nominale, si les performances du réseau de l’Utilisateur, entre les agents et l’Appliance, sont dégradées (débit, latence). TEHTRIS déconseille de connecter des agents dans des plaques géographiques éloignées, et il conviendra d’ajouter des Appliances TEHTRIS dans chaque grande zone (soucis de connectivité entre les agents et l’Appliance). PT.9 SIEM Si l’Utilisateur souhaite optimiser les interprétations et services manuels proposés par TEHTRIS, alors pour chaque Appliance TEHTRIS SIEM, il faudra décrire pour chaque source de logs : - L’adresse IP - Le numéro de VLAN - Le nom de la source / le FQDN utilisé pour échanger avec l’Appliance - Le système d’exploitation, les applications - Le nom du produit - La version du produit - Le type du produit - Le type ou le format de logs o La syntaxe du log si elle a été configurée manuellement o La documentation technique du produit fournie par le constructeur o Agent ou Agent-less et éventuels détails associés. Dans le cadre des agents Windows sous NXLog, un contrat spécifique est organisé par TEHTRIS entre l’Utilisateur et la société NXLog (inclus dans le Contrat). - Le protocole utilisé pour transférer des logs - Un commentaire sur cette source de logs - Des TAGS à appliquer sur cette source de logs (exemples : Prod, Test, Scada) - Des scores de criticité (0=bas, 1=moyen, 2=important, 3=critique) à appliquer pour cette source sur : o La confidentialité ; o L’intégrité ; o La disponibilité ; o La traçabilité. PT.10 TEHTRIS EPP Pour chaque famille de machines où l’Utilisateur déploiera TEHTRIS EPP, il sera précisé le système d’exploitation, les droits systèmes à connaître, les droits utilisables en local (exemple pour Windows, par défaut : « Local System »), les procédures de déploiement envisagées, la configuration du niveau d’armement défensif, les solutions antivirus et antimalware actuellement en place, et la stratégie sur la découverte de choses inconnues. Une Appliance TEHTRIS EPP chez l’Utilisateur peut monter en moyenne de 1000 à 5000 machines clientes utilisant TEHTRIS EPP quand le serveur virtuel possède autour de 4 cœurs (CPU) et 16Go de RAM. Ces chiffres ne sont qu’une moyenne car tout dépend de nombreux paramètres (vitesse réseau, performances réelles de la machine qui héberge l’Appliance, nombre de CPU, vitesse des CPU, taille de la RAM, vitesse du disque dur, etc.). Dans le cas où, l’Utilisateur souhaite déployer beaucoup d’agents TEHTRIS EPP, il est conseillé d’avoir |
plusieurs Appliance TEHTRIS EPP, afin de découper la charge de travail sur différents serveurs. TEHTRIS, après l’en avoir averti, pourra imposer à l’Utilisateur l’ajout d’Appliance supplémentaire en cas d’un nombre important d’ajouts d’agents TEHTRIS EPP ou lorsque TEHTRIS évalue un risque pour la disponibilité et la performance de l’Appliance concernée. Il ne sera pas possible de traiter des agents TEHTRIS EPP de manière nominale, si les performances du réseau de l’Utilisateur, entre les agents et l’Appliance, sont dégradées (débit, latence). TEHTRIS déconseille de connecter des agents dans des plaques géographiques éloignées, et il conviendra d’ajouter des Appliances TEHTRIS dans chaque grande zone (soucis de connectivité entre les agents et l’Appliance). PT.11 TEHTRIS MTD TEHTRIS MTD est une solution managée, en SaaS. Elle est ainsi directement intégrée dans l’infrastructure TEHTRIS de l’Utilisateur, accessible depuis la TEHTRIS XDR Platform. L’application TEHTRIS MTD est compatible à partir des versions : Google Android (à partir de Android 6.0 pour les téléphones, tablettes, télévisions...) et Apple (côté iPhone à partir d’iOS 11, iOS 12, iOS 13, iOS 14 et côté iPad : iOS 11, iOS 12, iPadOS 13, iPadOS 14). Le déploiement peut être réalisé automatiquement à travers le MDM de l’Utilisateur. TEHTRIS préconise d’utiliser les versions les plus récentes pour obtenir les meilleurs résultats. Les évolutions de version de systèmes d’exploitation prennent en compte dans la mesure du possible les nouvelles fonctionnalités selon les ajouts ou retraits des fonctionnalités de la part des OS. Les prérequis pour l’installation et la configuration seront transmis directement de l’Utilisateur lors de sa souscription à la Solution MTD. PT.12 Deceptive Response PT.12.1. Adresses IP dans chaque VLAN Dans chaque VLAN où l’Utilisateur souhaite qu’un Équipement donné soit présent et actif, il indiquera à TEHTRIS (sous la forme d’un document type CSV) : - Le numéro du VLAN - Un nom ou commentaire à attribuer à ce VLAN afin de le reconnaître - Des tags à appliquer à ce VLAN (exemples : Prod, Test, Scada, Office, Wifi…) - L’adresse IP libre à utiliser pour cet Équipement dans ce VLAN o Utilisée pour le SIEM, EDR, les Honeypots, etc. - Le masque de sous-réseau associé - Les sous-réseaux IP éventuels (blocs) présents sur ce VLAN - Optionnellement une Gateway si le VLAN en propose une - Les FQDN utilisés usuellement voire les FQDN tolérés dans cette zone (machines reconnues de visiteurs, etc.) PT.12.2. A propos des numéros de VLANs Un même Équipement dans une zone donnée ne pourra pas être dans deux VLANs distincts physiquement mais ayant le même numéro de VLAN ; dans ce cas, l’Utilisateur devra soit renuméroter ses VLANs, soit faire de la translation de numéro de VLANs si ses technologies le supportent. Par défaut, certains services présents dans le VLAN natif (potentiellement non tagués au niveau 802.1Q sur l’interface Trunk, suivant la situation locale voire le matériel) peuvent ne pas fonctionner ou ne pas fonctionner de manière nominale. Il est déconseillé d’utiliser le VLAN natif pour des besoins autres que ceux proposés par les constructeurs dans leurs propositions de réseaux sécurisés. PT.12.3. A propos des sous-réseaux Un même Équipement dans une zone donnée ne pourra pas avoir de collision dans la définition des sous-réseaux gérés. Par exemple, il ne pourra pas y avoir deux VLANs qui se partagent deux sous-réseaux pour un même Équipement. Exemple : on ne peut pas avoir le VLAN 10 en 000.000.0.0/00 et le VLAN 11 qui serait en 000.000.0.0/00 puisque des collisions d’adresses IP existeraient entre ces réseaux. PT.12.4. A propos des adresses IP dans le parc de l’Utilisateur A l’échelle de tout un parc informatique, notamment dans le cas où une Appliance serait déployée dans plusieurs zones, il est fortement déconseillé d’avoir des plages d’adresses IP qui soient en collision dans plusieurs zones distinctes. Exemple : une entité utilise la plage 000.000.0.0/00 sur Paris, et la plage 000.000.0.0/00 sur Los Angeles, ce qui empêchera d’interpréter convenablement et sans erreur les événements qui seraient depuis ou vers cette plage d’adresse, en cas d’analyse globale multi solutions. PT.13 Progiciels tiers Les Services TEHTRIS peuvent inclure des Progiciels Tiers appartenant à d’autres éditeurs (ci-après « Progiciels Tiers »). Les droits concédés sur ces Progiciels Tiers sont soumis au respect de différents droits et obligations qui s’imposent à l’Utilisateur et qu’il reconnait accepter en utilisant les Services TEHTRIS. A défaut de respect de ces droits et obligations, TEHTRIS s’autorise à prendre toute mesure nécessaire pour faire cesser les troubles observés. Ces Progiciels Tiers sont notamment : - Bitdefender pour TEHTRIS EPP : xxxxx://xxx.xxxxxxxxxxx.xxx/xxxx/xxxx/xxxx-xxxxxxxx-xxxxxxxxx.xxxx. - NXLog pour TEHTRIS SIEM - Twilio pour option Alerting / double authentification à TEHTRIS XDR Platform: xxxxx://xxx.xxxxxx.xxx/xxxxx/xxx les conditions d’utilisation de ces Progiciels Tiers sont disponibles sur les sites Internet de leurs éditeurs). Les risques découlant de l'utilisation des Progiciels Tiers restent de la responsabilité de l’Utilisateur. Il appartient à ce dernier de vérifier que les Progiciels Tiers fonctionnent en adéquation avec ses besoins et son parc informatique. |
Article 5. ACCES A LA TEHTRIS XDR PLATFORM
Dispositions applicables à | Description |
XDR dédiée | Toutes les Solutions TEHTRIS seront visualisables à partir de la TEHTRIS XDR Platform. Cette interface sera visible uniquement depuis les adresses IP de l’Utilisateur, avec mot de passe et certificat Web. A cet effet, l’Utilisateur fournira : - Un NOM_DE_SITE que TEHTRIS doit positionner dans le l’URL d’accès au service xxxx://XXX_XX_XXXX.xxxxxxx.xxx/ o Le nom de l’entreprise de l’Utilisateur ou trigramme est inscrit par TEHTRIS qui avertira l’Utilisateur en cas de changement de la dénomination si besoin. - La liste de toutes les adresses IPv4 fixes que l’Utilisateur utilisera lorsqu’il souhaite accéder à la TEHTRIS XDR Platform. L’Utilisateur devra pouvoir justifier que ces adresses lui appartiennent. Si nécessaire, TEHTRIS validera les adresses IPv4 autorisées ou non dans les propositions de l’Utilisateur pour laisser les flux Web en TCP/HTTPS sur le port 443. a. Droits et Rôles des utilisateurs de la TEHTRIS XDR Platform Pour chaque Utilisateur à activer, il conviendra de préciser : − Son organisation ou entité − Son rôle dans l’organisation (pour des contacts futurs) − Sa localisation standard (si applicable) − La liste des Appliances TEHTRIS visibles pour cet Utilisateur, les autres n’apparaitront pas dans son interface − La liste des rôles autorisés, à savoir la liste des modules que l’utilisateur aura le droit de manipuler comme : Par défaut, aucun droit et aucun rôle n’est activé pour un nouvel Utilisateur. b. Informations à préparer pour les Utilisateurs Les Utilisateurs qui seront connectés à la TEHTRIS XDR Platform devront préparer les informations suivantes pour la création de leurs Identifiants fournis par TEHTRIS et l’activation de leur compte : - Nom et prénom - Adresse email professionnelle, qui sera utilisée pour les échanges dans le cadre des Solutions TEHTRIS - Un numéro de téléphone mobile L'identification de l’Utilisateur lors de son accès à TEHTRIS XDR Platform se fait au moyen : - D’un Identifiant unique attribué à chaque Utilisateur : - D’un mot de passe établi lors de la création de chaque Utilisateur, - D’un certificat numérique fourni par TEHTRIS nécessaire afin d’être reconnu, - D’une adresse Internet (IPv4) valable, à savoir qu’elle fait partie de la liste des adresses Internet appartenant à l’Utilisateur qui ont été validées par TEHTRIS comme étant acceptées pour se connecter aux Solutions. Sauf mention explicite de TEHTRIS, le client Web supporté sera Firefox de Mozilla, à jour et sans module (plugins…) ou composant intermédiaire (proxy…) compromettant le fonctionnement nominal. Ensuite, pour chaque Utilisateur, il suffira de rejoindre un service proposé d’auto-enrôlement et de renseigner les champs à l’aide des informations précédentes. Ceci déclenchera une opération manuelle de validation du côté des opérateurs de TEHTRIS qui prendront en compte la demande dans les meilleurs délais dans les horaires définis par le Contrat. Une fois le compte validé, les opérations par mail et SMS permettront de compléter l’accès au service. En particulier, un certificat sera installé dans le client Web de l’Utilisateur, afin de pouvoir le reconnaître plus facilement. En cas d’oubli de mot de passe, une procédure avec SMS permettra à l’Utilisateur de débloquer seul son compte. |
Appendix 2 : Charte Qualité
TEHTRIS s’engage à respecter la Charte Qualité, gage de la qualité de sa prestation sur tous les éléments composant le Service TEHTRIS qui ne sont pas fournis de manière gratuite ou offerte.
1. Disponibilité
TEHTRIS s’engage à mettre en place des contrôles internes afin d’assurer que l’Utilisateur puisse accéder et utiliser le Service TEHTRIS selon les modalités énoncées au Contrat. TEHTRIS a notamment mis en place des systèmes redondants permettant un service minimisant les risques d’interruption. TEHTRIS assure des temps de réponse basés sur les éléments indiqués au Contrat, en ce qui concerne les Appliances chez l’Utilisateur, les Utilisateurs et le datacenter TEHTRIS situé en France. En cas de panne, TEHTRIS fournit un rapport de disponibilité permettant de vérifier les paramètres définis à la présente Charte.
En particulier, TEHTRIS utilise notamment les technologies suivantes : doubles alimentations, doubles onduleurs, doubles connexions en réseau au minimum Gigabit, doubles switches, double routage HSRP et doubles liens physiques vers Internet
2. Intégrité
D’un point de vue du développement et des tests menés sur les Solutions TEHTRIS avant leur usage en production, TEHTRIS s’engage à mettre en place des contrôles efficaces de nature à procurer une assurance raisonnable que les applications mises à dispositions de l’Utilisateur traitent les Données qui lui sont confiées sans risques d’omission, d’altération, de déformation ou toutes autres formes d’anomalie susceptibles de nuire à l’intégrité des résultats issus de ces applications.
3. Personnel de TEHTRIS
TEHTRIS fait intervenir uniquement du personnel ayant des relations contractuelles avec TEHTRIS. Le personnel de TEHTRIS est soumis à des obligations de confidentialité et à la signature des chartes éthique et informatique de TEHTRIS. Aucun membre du personnel de TEHTRIS ne fait l’objet d’une inscription au bulletin n°3 du casier judiciaire.
4. Sécurité et confidentialité
TEHTRIS s'emploie à sécuriser l'accès et l'utilisation du Service TEHTRIS, en tenant compte des menaces, conformément aux usages en la matière et à l’état de l’art. TEHTRIS effectue régulièrement des tests d’intrusions contre ses propres installations et outils à la recherche de failles de sécurité. Ces tests sont relancés régulièrement à chaque modification imposant de revalider le cycle complet de la sécurité.
TEHTRIS a mis en place des contrôles efficaces de protection contre l’accès physique et électronique non autorisé aux systèmes d’exploitation et aux applications de TEHTRIS, ainsi qu’aux renseignements confidentiels des Utilisateurs afin de procurer une assurance raisonnable que l’accès aux systèmes et aux données des clients soit limité aux personnes autorisées et que les renseignements confidentiels soient protégés contre toute utilisation non conforme à leur usage.
TEHTRIS a mis en place une sauvegarde des données du datacenter TEHTRIS, à raison d’une sauvegarde quotidienne. Les sauvegardes sont conservées pendant 14 jours consécutifs. Les données sauvegardées sont les suivantes : systèmes d’exploitation complets, ainsi que toutes les données associées, utilisés pour l’Utilisateur dans le datacenter TEHTRIS. Le délai de restauration des sauvegardes sera lié aux performances de l’hébergeur, et à la taille des données à restaurer, et pourra être de plusieurs jours dans les cas les plus complexes. Les sauvegardes des données sont toutes protégées par des moyens cryptographiques. Sur demande optionnelle les supports peuvent être conservés dans deux lieux distincts, ce qui fera office d’un devis complémentaire. TEHTRIS assure, dans le cadre d’une obligation de moyens, un plan de reprise d’activité. Toute demande d’engagement supplémentaire devra faire l’objet d’une facturation et de conditions contractuelles complémentaires.
Les Données de l’Utilisateur sont protégées par des moyens cryptographiques dans les Appliances de TEHTRIS hébergées chez l’Utilisateur, et dans le datacenter TEHTRIS qui centralise les résultats des Solutions TEHTRIS pour l’Utilisateur. Les clefs de chiffrement sont protégées et ne sont pas présentes dans les systèmes d’exploitation qui les utiliseront. Elles sont distribuées de manière sécurisée au moment du démarrage des systèmes d’exploitation hébergeant les Solutions TEHTRIS. Si ces clefs ne sont pas récupérables, pour des raisons de sécurité ou des soucis réseaux, les Données présentes sur le disque dur ne sont pas accessibles par les systèmes d’exploitation. Lors de l’exécution des systèmes d’exploitation, les Données demeurent chiffrées en permanence dans toutes les zones utilisant de la mémoire rémanente.
a. Sécurité physique
Le bâtiment principal de TEHTRIS est équipé d’une sécurité physique avec authentification par empreinte biométrique pour le personnel autorisé.
La salle télécom utilisée pour le lien avec l’opérateur a une sécurité physique renforcée limitant la possibilité d’y rentrer (porte blindée, etc.). En particulier, elle est surveillée électroniquement avec un diffuseur d’alerte temps réel en 24/24 365/365 en cas d’intrusion physique.
Les locaux de TEHTRIS ne contiennent aucune Données rémanente sans cryptographie qui serait liée au Service TEHTRIS ou à l’Utilisateur. Tout vol de disques physiques aboutirait à l’impossibilité de lire les Données associées. Les Données de l’Utilisateur utilisées par le Service TEHTRIS ne sont pas stockées dans les locaux de TEHTRIS. Elles sont dans les datacenters de l’hébergeur du datacenter TEHTRIS. Une intrusion physique dans les locaux de TEHTRIS ne peut pas aboutir à un vol avec possibilité de lire ou d’utiliser les Données de l’Utilisateur présentes dans le datacenter TEHTRIS.
Les locaux de TEHTRIS sont protégés en 24/7/365 par un système de surveillance physique renforcée (capteurs, détections, vidéosurveillance, etc.).
L’accès aux locaux de TEHTRIS est limité aux personnels de TEHTRIS. Les stagiaires ou employés hors CDI travaillent dans des salles physiquement distinctes et sur des réseaux physiquement séparés. Les réunions avec du personnel externe sont effectuées dans des salles annexes de TEHTRIS. Les entreprises externes (maintenance et nettoyage) ne peuvent pas intervenir dans les locaux de TEHTRIS en dehors d’une surveillance physique effectuée en direct et en local par TEHTRIS.
TEHTRIS n’imprime pas de document sensible par mesure de sécurité. Les documents de travail qui sont néanmoins imprimés, sont ensuite détruits lorsqu’ils ne sont plus utilisés, avec une déchiqueteuse (confettis avec coupe croisée garantissant un niveau de sécurité adapté à des documents confidentiels), avant d’être gérés en tant que déchets. Le bâtiment principal de TEHTRIS a été certifié xx xxxxxx xx xx xxxxx XXX 00000.
b. Sécurité logique
Tous les disques durs des Appliances TEHTRIS chez l’Utilisateur ou dans le datacenter TEHTRIS (qui sont utilisées dans les serveurs) sont chiffrés via du FDE (« Full Disk Encryption ») avec des clefs qui sont stockées en dehors dans un espace restreint, protégé et chiffré.
Tous les disques durs des stations de travail TEHTRIS (qui sont utilisées pour télé-administrer le Service TEHTRIS) sont chiffrés via du FDE. Les postes de travail utilisant des privilèges élevés sont protégés physiquement et inaccessibles en dehors des heures et jours ouvrés.
Toutes les authentifications systèmes sont effectuées par l’utilisation d’un crypto-processeur dans une carte à puce de marque française, avec code PIN tapé sur un lecteur externe de marque française et/ou par une clef externe certifiée par l'ANSSI .
Tous les systèmes d’exploitation utilisés dans les Appliances TEHTRIS chez l’Utilisateur ou dans le Datacenter TEHTRIS, sont protégés par des noyaux
Linux sécurisés, modifiés et compilés par TEHTRIS, avec utilisation de technologies avancées au niveau sécurité, dont par exemple : intégration de RBAC dans le noyau avec attribution de rôle et de politiques de sécurité pour tous les processus ; technologies contre les attaques type Overflow ; protections spéciales contre les fuites de Données dans la mémoire
Les applications hébergées dans les Appliances TEHTRIS chez l’Utilisateur ou dans le Datacenter TEHTRIS, construites par TEHTRIS afin de proposer le Service TEHTRIS, peuvent utiliser des technologies comme l’obfuscation, le chiffrement et l’anti-reverse engineering, afin de limiter et freiner les tentatives de récupération des fonctionnalités.
Toutes les communications liées au Service TEHTRIS sont chiffrées entre les stations de travail de TEHTRIS, et le Datacenter TEHTRIS. Toutes les communications entre les Appliances TEHTRIS sont chiffrées y compris dans le Datacenter TEHTRIS. Toutes les communications entre les employés de TEHTRIS concernant le Contrat sont chiffrées (messagerie électronique, messagerie instantanée).
La sécurité des accès au réseau interne de TEHTRIS contient des modules évolutifs pour lutter contre les menaces d’intrusions physiques et logiques, par exemples : authentification sur le réseau avec 802.1X ; technologies contre les attaques réseaux, comme par exemple, les attaques DHCP, attaques ARP spoofing, attaques IP spoofing, etc. ; cloisonnement des activités avec zonage réseau pour séparer les Utilisateurs et respecter des notions d’étanchéité ; présence de deux firewalls de marques distinctes entre le réseau internet et le réseau de l’opérateur Internet ; les employés de TEHTRIS ne disposent d’aucun accès entrant vers le réseau interne de TEHTRIS à distance, ce dernier se comportant comme une diode vis à vis de Internet.
Les accès vers les infrastructures du Datacenter TEHTRIS sont protégés par :
(i) restrictions sur les identités : authentification forte dédiée à chaque employé sur la base de tokens physiques avec crypto-processeurs de marque française et protection physique ; (ii) restrictions temporelles : avec limitation sur les horaires et les journées en fonction des rôles ; (iii) restrictions géographiques : avec limitation à des zones connues et définies comme source de travail ; (iv) restrictions réseaux : avec des firewalls qui sont conçus, installés, maitrisé et maintenu uniquement par TEHTRIS de bout en bout ; (v) restrictions DDOS : avec utilisation de technologies anti-DDOS à l’entrée du Datacenter TEHTRIS ; (vi) restrictions applicatives : avec utilisation de certificats pour accéder à des zones applicatives comme la Console TEHTRIS.
Toutes les Données de TEHTRIS en local ou dans les zones de type cloud sont sur des supports chiffrés.
5. Hébergement du Datacenter TEHTRIS
Le fournisseur d’accès et prestataire de l’hébergement cloud utilisé par TEHTRIS est la société « OVH ». Les garanties proposées par OVH pour le Datacenter TEHTRIS sont appliquées au Contrat. Les certifications obtenues par OVH, relative à la sécurité informatique et la sûreté de fonctionnement des normes de sécurité pour l’hébergement du Datacenter TEHTRIS sont les suivantes : PCI-DSS level 1 ; ISO/IEC 27001:2005 ; SOC 1 type II (SSAE x 2 type II).
a. Sécurité physique des datacenters qui hébergent le Datacenter TEHTRIS
L’accès à l’enceinte est strictement surveillé avec des clôtures et des barbelés. Un système de vidéo-surveillance et de détection de mouvements fonctionne également en continu. L’activité dans les centres de Données et à l’extérieur des bâtiments est surveillée puis enregistrée sur des serveurs sécurisés, tandis que des équipes de surveillance se relaient 24h/24, 7j/7. Afin de contrôler et de surveiller l’accès à l’enceinte, des procédures de sécurité strictes sont en place. Chaque membre du personnel est équipé d’un badge RFID nominatif auquel sont associés ses droits d’accès. Ceux-ci sont régulièrement reconsidérés, en fonction des attributions de chacun. Pour accéder aux locaux, chaque employé doit tout d’abord soumettre son badge à une vérification, puis traverser un sas sécurisé.
A l’intérieur, les datacenters bénéficient d’une protection encore plus élevée, puisque seul le personnel autorisé peut y pénétrer. L’hébergeur est l’unique exploitant de ses installations. Chaque salle de chaque datacenters est équipée d’un système de détection et d'extinction d’incendie ainsi que de portes coupe-feu. L’hébergeur respecte la règle APSAD R4 pour l’installation des extincteurs portatifs et mobiles, et possède le certificat de conformité N4 pour tous ses datacenters.
b. Sécurité logique des datacenters qui hébergent le Datacenter TEHTRIS
L’hébergeur déploie son réseau en fibre optique à travers le monde. Le matériel est choisi pour ses performances, puis installé et maintenu par les équipes d’ingénieurs de l’hébergeur. L’hébergeur a également fait le choix de construire son réseau de manière totalement redondée : plusieurs boucles de sécurisation ont été mises en place, afin d’éliminer tout risque d'indisponibilité. Cette multiplicité des liens permet aux Données d'emprunter le chemin le plus court et donc d'afficher des temps de latences minimums.
Ce réseau en propre permet de délivrer une haute qualité de service avec une bande passante de 3Tbps en Europe, autour de 8000Gbps en Amérique du Nord, et une connexion sur 33 points de peering sur 3 continents.
Une présence humaine est assurée 24/7/365 dans les centres de Données par les équipes de l’hébergeur, afin d’assurer une maintenance permanente. Dans le cas d’un incident technique, leur réaction est immédiate pour que les serveurs soient rétablis dans les meilleurs délais.
Les serveurs utilisés par TEHTRIS sont par ailleurs équipés d’une double alimentation et d’une double carte réseau : l'infrastructure est ainsi redondée de bout en bout. Les centres de Données sont alimentés par deux arrivées électriques indépendantes l’une de l’autre et sont également équipés d’onduleurs avec groupes électrogènes d’une autonomie de 48 heures en cas de panne du réseau de fourniture d’électricité. L’hébergeur intègre une protection contre tous les types d’attaques DDoS et il a mis en place trois infrastructures anti-DDoS de 160 Gbps chacune dans les centres de données utilisés par TEHTRIS, pour être capable de mitiger jusqu’à 480 Gbps, 24h/24 et 7j/7.
Un processus de double authentification sécurise la connexion aux outils d’administration de l’hébergeur, avec des options de type OTP (One Time Password) qui s’ajoutent à la traditionnelle combinaison identifiant – mot de passe. Cet OTP est un mot de passe à usage unique généré de manière aléatoire. À chaque tentative de connexion, il est envoyé par SMS ou généré dans des tokens physiques séparés, et il est nécessaire à la finalisation des authentifications.
Dans la présente annexe :
Appendix 3 : Traitements de données à caractère personnel
4. Communication des données à caractère personnel à des tiers
− les termes donnée à caractère personnel (ci-avant et après « DCP) et responsable de traitement ont la même définition que dans l’article 4 du RGPD ;
− TEHTRIS est sous-traitant au sens dudit article 4 ;
− Le responsable de traitement est l’Utilisateur du Service TEHTRIS.
1. Obligations de TEHTRIS vis à vis du responsable de traitement
TEHTRIS s’engage à cet égard à :
- A coopérer avec le responsable de traitement et à l’assister pour l’aider à remplir ses obligations ;
- Traiter les DCP du responsable de traitement uniquement pour les finalités faisant l’objet des traitements décrits supra, ne les traiter que conformément aux instructions écrites du responsable de traitement et s’abstenir de tout usage personnel ou commerciales.
- Si TEHTRIS considère qu’une instruction constitue une violation de la réglementation applicable en matière de protection des DCP, il en informe immédiatement le responsable de traitement. TEHTRIS se réserve le droit de ne pas appliquer toute instruction illicite du responsable de traitement, sans que sa responsabilité ne puisse être engagée de ce fait. ;
- Garantir la confidentialité des DCP traitées dans le cadre du Contrat ;
- Veiller à ce que les personnes autorisées à traiter les DCP soient soumises à une obligation de confidentialité ;
- Prendre en compte les principes de protection des DCP dès la conception et de protection des données par défaut ;
- Respecter un programme de sécurité interne conforme à la norme ISO/IEC 27001 Standard ou à son équivalent comme convenu entre les Parties incluant les contrôles de la norme ISO/IEC 27002 ;
- Aider le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des DCP et le cas échéant, pour la réalisation de la consultation préalable de l’autorité de contrôle ;
- S’abstenir d’utiliser ou de permettre ou faciliter l’utilisation par des tiers, de la part d’un sous-traitant ou d’une personne agissant sous l’autorité ou pour le compte de TEHTRIS, pour d’autres finalités que l’exécution des prestations, ainsi que de tout usage ou traitement ou toute autre opération ou exploitation sans autorisation préalable du responsable de traitement.
2. Obligations du responsable de traitement vis-à-vis de TEHTRIS
Le responsable de traitement s’engage envers TEHTRIS à :
- Fournir à TEHTRIS les DCP visées au présent Article ;
- Documenter par écrit toute instruction concernant le traitement des DCP réalisé par TEHTRIS ;
- Veiller toute la durée du traitement, au respect des obligations applicables en matière de protection des DCP ;
- Fournir à TEHTRIS les coordonnées de son représentant, ainsi que le cas échéant celles de son Délégué à la Protection des données.
3. Sous-traitant du traitement des données à caractère personnel
XXXXXXX s’engage à informer au préalable le responsable de traitement de toute opération de sous-traitance impliquant un traitement des DCP.
TEHTRIS s’engage à informer le responsable de traitement de la localisation des lieux de traitements de DCP.
TEHTRIS s’engage à mettre à la charge de son sous-traitant toutes obligations nécessaires, au moins équivalentes à celles prévues par la présente Appendix et les dispositions relatives à la sécurité, pour que soient respectées la confidentialité, la sécurité et l’intégrité des DCP, et pour que lesdites données ne puissent être ni cédées ou louées à un tiers à titre gratuit ou non, ni utilisées à d’autres fins que celles définies au Contrat et se porte fort du respect par ledit ou lesdits prestataires ou sous-traitants de leurs obligations.
Les DCP ne pourront faire l’objet d’aucune divulgation à des tiers, et ce y compris au sous-traitant de TEHTRIS, en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale ou réglementaire. TEHTRIS mettra en place des procédures assurant que les tiers, qu’il autorise à accéder aux DCP, respectent et préservent la confidentialité et la sécurité des DCP.
5. Application de la règlementation européenne en matière de transferts de données en dehors de l’Union européenne
TEHTRIS s’engage à recourir exclusivement à des moyens de traitement de DCP situés sur le territoire d’un pays membre de l’Espace Économique Européen (« EEE ») et/ou dans un pays reconnu adéquat par la Commission Européenne. TEHTRIS s’engage à ne pas divulguer ni transférer les DCP, même à des fins de transit ou au moyen d’un accès distant, à un tiers ou un sous-traitant opérant dans un pays situé en dehors de l’EEE. XXXXXXX s’assure qu’aucune DCP du responsable de traitement n’est transférée hors de l’EEE par son propre sous-traitant et par les personnes agissant sous l’autorité ou pour le compte de TEHTRIS. Dans la stricte limite nécessaire à l’exécution du Contrat et sous réserve de l’accord du responsable de traitement, TEHTRIS peut recourir à des moyens de traitement situés dans un pays ne présentant pas un niveau adéquat de protection au sens du RGPD, dans le cas suivant : TEHTRIS, a conclu préalablement avec le responsable de traitement un contrat de transfert de données selon les modalités prévues par les clauses contractuelles types de la Commission Européenne, pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.
6. Droit des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des DCP. Dans la mesure du possible, TEHTRIS aide le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées par le traitement des DCP réalisé par TEHTRIS pour le compte du responsable de traitement. Toutefois, le traitement réalisé par TEHTRIS étant fondé sur l’intérêt légitime poursuivi par le responsable de traitement, l’exercice de certains droits des personnes concernées est limité par le RGPD.
Si une personne concernée devait contacter directement TEHTRIS pour exercer son droit d’accès, de rectification, de suppression et/ou d’opposition, TEHTRIS devra transmettre la demande directement au responsable de traitement.
7. Notification des violations de données à caractère personnel
XXXXXXX notifie au responsable de traitement, toute violation des DCP dans les plus brefs délais et au moyen d’un email signé. Par exception à ce qui précède, si TEHTRIS ne peut pas fournir toutes les informations dont il dispose en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente dans les soixante-douze (72) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. D’une manière générale, il appartient au responsable de traitement de communiquer directement aux personnes concernées la violation des Données à caractère personnel, lorsqu’elle est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
TEHTRIS s’engage à procéder à toute investigation utile sur les manquements aux règles de protection ci-dessus visées et/ou sur toute
menace afin de remédier auxdits manquements et/ou menaces et éviter qu’ils se reproduisent à l’avenir.
La documentation utile sera fournie au responsable de traitement au moyen d’un rapport écrit par TEHTRIS composé de :
- La nature des manquements constatés aux règles de protection des DCP telles qu’elles sont définies au Contrat ;
- La description des actions correctives prises ou que TEHTRIS propose de prendre pour remédier aux manquements constatés, ou le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;
- Le nom et les coordonnées du Délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
TEHTRIS est conscient que tout manquement aux règles de protection des DCP peut imposer des obligations au responsable de traitement notamment de notification aux personnes concernées ainsi qu’aux autorités.
8. Exploitation des données à caractère personnel
Le responsable de traitement est responsable de l’utilisation du Service TEHTRIS conformément aux prestations du Contrat. Le responsable de traitement garantit TEHTRIS dès la première demande contre tout préjudice qui résulterait de sa mise en cause par un tiers pour une violation de cette garantie.
Le responsable de traitement est seul responsable de la qualité, de la licéité, de la pertinence des DCP et de leur contenu, qu’il transmet aux fins d’utilisation du Service TEHTRIS. Il garantit en outre être titulaire des Droits de Propriété Intellectuelle lui permettant d’utiliser les Données et contenus. En conséquence TEHTRIS dégage toute responsabilité en cas de non- conformité des Données et/ou des contenus aux lois et règlements, à l’ordre public ou encore aux besoins du responsable de traitement.
Plus généralement, le responsable de traitement est seul responsable des contenus et messages diffusés et/ou téléchargés via le Service. Le responsable de traitement demeure le seul propriétaire des Données constituant le contenu des Solutions. Les éléments malveillants ou suspicieux remontés dans les Solutions deviennent l’entière Propriété de TEHTRIS dans les conditions de l’Article - Propriété.
9. Sécurité des Données à caractère personnel
Chacune des Parties s’engagent à mettre en œuvre les moyens techniques appropriés pour assurer la sécurité des DCP.
TEHTRIS s’engage à mettre en œuvre les mesures techniques et organisationnelles visant à empêcher tout accès ou utilisations frauduleuses des DCP et à prévenir toutes pertes, altérations et destructions des DCP, notamment l’ensemble des engagements prévus dans la Charte Qualité TEHTRIS, annexée au présent Contrat.
10. Descriptif des traitements réalisés pour le compte du responsable de traitement
Coordonnées DPO | |
TEHTRIS : Xxxxxxx Xxxxx – xxxxxxx@xxxxxxx.xxx , TEHTRIS - Service DPO – 0, xxxxx xxx xxxxxxxx, Xxxx xx xx xxxxxxxxxx, 00000, XXXXXX, Xxxxxx | |
Finalités | |
Des DCP peuvent être collectées à partir des journaux de sécurité, puis sont enregistrées pour organiser le traitement visant à assurer la supervision d’incidents. Les finalités sont d’assurer la gestion et les performances du système de supervision d’incidents et d’évènements-sécurité ainsi que la gestion des comptes d’authentification à la TEHTRIS XDR Platform et l’amélioration continue des Services TEHTRIS nécessaires pour assurer la sécurité de l’infrastructure informatique et les informations du responsable de traitement. | |
Nature des traitements | |
• Collecte; Xxxxxxxx; Analyse; Suppression | |
Catégorie de personnes concernées | |
• Toute personne ayant accès au SI du responsable de traitement sur lequel est déployé le Service TEHTRIS (salariés, prestataires, clients, visiteurs, etc). • L’équipe IT du responsable de traitement (« Utilisateur ») accédant à la XDR Platform. | |
Catégorie de données | |
Les Solutions TEHTRIS ne permettent pas d’ouvrir, ni d’avoir accès à un fichier client de type .doc, .pdf, .xls. Seules les données techniques de sécurité sont remontées. Pas de données « sensibles » par défaut. | |
Données à caractère personnel (applicable selon les services souscrits) | |
TEHTRIS XDR Platform | Pour l’authentification des comptes Utilisateurs à la XDR Platform : nom, prénom de l’Utilisateur, adresse email et numéro de téléphone professionnels, log de connexion au compte Pour les tickets d’incident de sécurité : nom d’utilisateur de la machine, nom de la machine, adresse IP, log(s) suspectés, |
EDR, EPP, SIEM | Pour les Logs : nom d’utilisateur de la machine, nom de la machine, adresse IP, chemins et programme indiquant le nom d’un dossier ou le nom d’un fichier Pour les Alertes : nom d’utilisateur de la machine, nom de la machine, adresse IP, chemins et programme indiquant le nom d’un dossier ou le nom d’un fichier, |
MTD | Données de l’appareil : fabricant et modèle de l'appareil, Identifiant unique de l'appareil (UID), et le MDM le cas échéant ; date d’enrollement ; date de dernière connexion ; nom de l’Appareil renseigné par l’utilisateur ; nombre de CPU, quantité de RAM, version de l’appareil, quantité de mémoire totale et disponible (la place sur le "disque" du téléphone ; Données de configuration de l'appareil, indiquant par exemple si celui-ci autorise l'accès root ou si ses restrictions matérielles ont été supprimées (jailbreak) ; Données du firmware/système d’exploitation, y compris le nom du fabricant et le modèle de l’appareil, certains paramètres techniques de l’appareil (y compris la taille d’affichage et la version du firmware), le type et la version du système d’exploitation de l’appareil, type et version du système d'exploitation de l'appareil ; |
Données d’applications : y compris les métadonnées de toutes les applications installées sur votre appareil mobile (y compris, sans toutefois s’y limiter, les noms et versions des applications). Les alertes remontées par l’application et leur niveau de criticité. Le nombre d’applications de type malware et présentes sur les appareils. Dans certains cas, nous pouvons également collecter une copie de l’application sans les données utilisateurs ; Données d’analyse : utilisées pour analyser les performances des produits sur votre appareil ; Données d’identification : telles que l’adresse e-mail professionnelle pour l’enregistrement le cas échéant, ou lors d’une analyse d’une éventuelle compromission, c’est-à-dire si l’adresse ne fait pas partie d’une base de données d’identifiants qui ont fuités ; Données de géolocalisation : Géolocalisation uniquement quand celle-ci est activée par l’Utilisateur final et/ou l’Employeur le cas échéant ; dernières localisations connues de l’Appareil. Données de réseaux : Métadonnées relatives aux réseaux auxquels l'appareil se connecte (y compris, sans toutefois s’y limiter, le SSID du réseau ou l'adresse MAC/BSSID unique de l'équipement réseau) et l’adresse IP ; Nom du réseau wifi auquel l’Appareil est connecté pour identifier si le réseau Wi-Fi est à risque Données de contenu Web : URL et noms de domaines associés à des contenus malveillants ou nécessitant une analyse supplémentaire. TEHTRIS MTD collecte uniquement les métadonnées relatives aux applications installées sur l’appareil et/ou l'application elle-même. TEHTRIS MTD ne collecte pas les données utilisateurs saisies dans ces applications et donc ne lit pas ni n’examine les e-mails, SMS, photos ou vidéo. | |
TEHTRIS Academy | Authentification des comptes à la TEHTRIS Academy : nom, prénom, adresse email, log de connexion au compte. |
TEHTRIS CTI | Xxxxxxx suspect envoyé dans la TEHTRIS CTI pour analyse dynamique pouvant éventuellement contenir des données à caractère personnel (par exemple dans le cas d'un script, les propriétés comme l'auteur dudit script) |
Durée de conservation | |
TEHTRIS XDR PLATFORM | Identifiants des Utilisateurs : le temps de la relation contractuelle ou dès le changement / suppression d’un Utilisateur Tickets d’incident : le temps de la relation contractuelle |
EDR, EPP, SIEM | Pour les Logs et les Alertes : à hauteur de la capacité de stockage des Appliances des Solutions souscrites et au maximum pour une durée de six (6) mois, et trois (3) mois maximum dans le cas de l’offre OPTIMUS) |
MTD | Identique à TEHTRIS EDR, EPP, SIEM, excepté si l’Employeur a autorisé la captation des données de géolocalisation, ces données seront conservées uniquement pour 2 mois maximum. |
TEHTRIS Academy | Identifiants : temps de la relation contractuelle ou dès le changement / suppression d’un Utilisateur |
TEHTRIS CERT | Les Données collectées au cours d'une prestation de TEHTRIS CERT sont conservées pour la durée de la prestation TEHTRIS CERT pour une durée maximale de six (6) mois à compter du jour de la collecte. |
TEHTRIS CTI | Les données personnelles pouvant être contenues dans une analyse de la TEHTRIS CTI sont conservées jusqu’à six (6) mois après la dernière apparition sur le parc de l’Utilisateur et/ou après sa dernière consultation sur la TEHTRIS CTI ; |
Lieu de stockage | |
OVH Cloud - 0 xxx Xxxxxxxxxx - 00000 Xxxxxxx - Xxxxxx | Union Européenne Les certifications obtenues par OVH, relative à la sécurité informatique et la sûreté de fonctionnement des normes de sécurité pour l’hébergement du Datacenter TEHTRIS sont: PCI-DSS level 1 ; ISO/IEC 27001:2005, ; SOC 1 type II (SSAE 16 et ISAE 3402), SOC 2 type II. |
Twilio3 – Etats-Unis | Etats-Unis Les certifications obtenues par Twilio sont : XXX/XXX 00000 XXX/XXX 00000 & 27018 SOC 2 Type II ; PCI DSS Level 1 (xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxxx-xxxxxxxx) |
Liste des sous-traitants | |
- OVHCloud, pour l’hébergement du Service TEHTRIS et le stockage des données. OVHCloud n’a pas accès aux données du responsable de traitement - Twilio, uniquement pour les numéros de téléphone professionnels utilisés pour la double authentification sécurisée à la TEHTRIS XDR Platform et l’option Alerting – notification | |
Transfert hors EEE | |
Oui, à Twilio, uniquement pour les numéros de téléphone professionnels utilisés pour la double authentification sécurisée à la TEHTRIS XDR Platform et l’option Alerting – notification. TEHTRIS cessera ce transfert dès lors que Twilio permettra l’hébergement des données en Europe4. Le transfert est encadré par des clauses contractuelles types : xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxx-xxxxxxxxxx-xxxxxxxx. | |
Mesures de sécurité | |
Voir la Charte Qualité TEHTRIS annexée au Contrat. | |
3 xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx
4 xxxxx://xxx.xxxxxx.xxx/xxxx/xxxxxxxx-xxxx-xxxxxxxxxx-xxxxxxx-xx-xxxxxxx-xx