Exigences de sécurité pour les fournisseurs de Nooco

Chez Nooco, la protection de nos données, de nos systèmes et de la confidentialité de nos informations, ainsi que des données de nos clients, est une priorité absolue. Nous estimons qu’une relation solide et de confiance avec nos partenaires est essentielle pour garantir cette sécurité. C’est pourquoi nous exigeons de tous les fournisseurs qui traitent, stockent ou accèdent à nos données, ainsi que de ceux qui fournissent des services susceptibles d’avoir un impact sur notre sécurité, qu’ils respectent des normes de sécurité rigoureuses.

Ces exigences sont une condition préalable indispensable à toute relation commerciale avec Nooco et doivent être strictement respectées tout au long de notre collaboration. 

La portée et la pertinence de ces  exigences dépendront de la nature et de l’étendue des services fournis, du degré d’accès aux données ou aux systèmes de Nooco, et des risques associés. 

En travaillant avec Nooco, nos fournisseurs acceptent de se conformer à ces normes et conviennent qu’elles font partie intégrante du contrat qui nous lie. Le non-respect de ces exigences constitue une violation contractuelle importante et peut entraîner la résiliation de nos accords.

1. Gouvernance et gestion de la sécurité

  • Politiques et procédures de sécurité : le fournisseur doit disposer de politiques et de procédures documentées et à jour en matière de sécurité de l’information, couvrant tous les aspects pertinents de ses opérations.
  • Personnel et sensibilisation : le personnel du fournisseur ayant accès aux données ou aux systèmes de Nooco doit recevoir une formation régulière et être sensibilisé aux meilleures pratiques en matière de sécurité. Le fournisseur s’engage également à veiller à ce que son propre personnel respecte toutes les obligations de sécurité stipulées dans le présent document.
  • Conformité et certification : le fournisseur doit se conformer à toutes les lois et réglementations applicables en matière de protection des données, notamment le règlement général sur la protection des données (RGPD). Nooco encourage vivement ses fournisseurs à obtenir et à maintenir la certification ISO 27001 ou une certification équivalente.

2. Accès aux données et protection des données

  • Accès aux données : l’accès aux données et aux environnements de Nooco est strictement limité aux données nécessaires à la mission et doit respecter le principe du moindre privilège.
  • Authentification forte : l’authentification multifactorielle (MFA) est obligatoire pour tout accès à nos environnements ou à nos données. Le Fournisseur s’engage à activer l’authentification à deux facteurs (2FA) sur tous les comptes privilégiés utilisés dans le cadre des services fournis à Nooco.
  • Authentification unique (SSO) : le fournisseur doit fournir une solution SSO compatible avec Okta pour les services utilisés par Nooco. 
  • Responsabilité des actions : le fournisseur doit à tout moment garantir la responsabilité des actions effectuées par son personnel et ses systèmes, en permettant de retracer qui a fait quoi, quand et où.
  • Chiffrement des données : toutes les données échangées avec le Fournisseur (« Données Nooco ») doivent être chiffrées en transit (TLS 1.2 ou supérieur) dans tous les cas et au repos (AES 256 ou équivalent) lorsque cela est techniquement possible.
  • Hébergement des données : toutes les données Nooco doivent être hébergées exclusivement au sein de l’Union européenne (UE), sauf accord préalable écrit et spécifique de Nooco.
  • Interdiction d’utilisation des données (IA) : les données Nooco ne doivent en aucun cas être utilisées, directement ou indirectement, pour la formation, le développement ou l’amélioration de modèles d’intelligence artificielle, d’algorithmes d’apprentissage automatique ou de toute autre technologie similaire.
  • Réutilisation et transfert des données : les données Nooco ne doivent pas être réutilisées ou transférées sans l’autorisation écrite préalable de Nooco.
  • Gestion des actifs : le fournisseur doit disposer d’une politique de gestion des actifs conforme aux meilleures pratiques et doit traiter les données Nooco comme des données confidentielles ou équivalentes.
  • Réversibilité des données : les données fournies par Nooco au fournisseur doivent rester récupérables à tout moment, dans un format standard, dans un délai maximum d’un mois.
  • Suppression des données : à l’issue des services, les données Nooco doivent être supprimées de manière sécurisée et irréversible dans un délai de deux (2) mois à compter de la fin de la relation contractuelle entre les parties.
  • Sous-traitance : le fournisseur s’engage à veiller à ce que tous ses sous-traitants et co-contractants respectent ces exigences de sécurité. Tout recours à un sous-traitant impliquant les données Nooco ou les services est soumis à l’accord écrit préalable de Nooco. Le fournisseur doit nous informer de tout changement ou ajout de sous-traitants. Nooco se réserve le droit de s’opposer à toute sous-traitance si celle-ci présente un risque pour la sécurité ou la confidentialité. Dans le cas où le Fournisseur insisterait pour maintenir la désignation d’un sous-traitant contestable, Nooco aura le droit de résilier son contrat avec le Fournisseur sans que celui-ci puisse exercer aucun recours à l’encontre de Nooco. Le Fournisseur reste entièrement responsable du respect de ses obligations et de celles de ses sous-traitants.

3. Gestion des incidents de sécurité

  • Notification des incidents : Le Fournisseur est tenu de signaler tout incident de sécurité réel ou suspecté impliquant les données ou les systèmes de Nooco dans les 48 heures suivant sa détection initiale.
  • Détails de l’incident : la notification doit inclure les détails connus de l’impact, les mesures immédiates prises et un plan de remédiation.
  • Coopération : le Fournisseur s’engage à coopérer pleinement avec Nooco pendant l’enquête et la résolution de tout incident.
  • Contact en cas d’incident : toutes les notifications d’incident doivent être envoyées à soc@deepki.com.

4. Sécurité du système et révision périodique

  • Mesures de sécurité du système : Le Fournisseur s’engage à mettre en œuvre des mesures de sécurité suffisantes pour protéger ses systèmes d’information et les services fournis à Nooco. Cela comprend l’installation et la maintenance de toutes les ressources matérielles et logicielles (solutions antivirus, dispositifs anti-malware, EPP, EDR, etc.) dans les versions prises en charge par leurs fournisseurs ou fabricants et l’intégration des dernières mises à jour de sécurité.
  • Gestion des vulnérabilités et correctifs : Le Fournisseur doit disposer d’un processus rigoureux pour identifier et corriger les vulnérabilités. Les correctifs de sécurité critiques doivent être appliqués dans les 14 jours suivant leur publication. Pour les vulnérabilités présentant un risque « élevé » ou « critique » (selon CVSS v3.1), ce délai est réduit à 7 jours. S’il est impossible de respecter ces délais, Nooco doit en être informé sans délai et des mesures d’atténuation temporaires acceptables doivent être proposées.
  • Configuration des équipements clients : lorsque les équipements informatiques de Nooco sont confiés au Fournisseur dans le cadre des services, il est interdit au Fournisseur de modifier les configurations matérielles et logicielles, ainsi que les éléments de sécurité en place sur le poste de travail ou tout autre équipement.
  • Tests d’intrusion : des tests d’intrusion réguliers réalisés par des tiers indépendants sont fortement recommandés pour les services critiques.
  • Continuité des activités et sauvegardes : le fournisseur doit avoir testé des plans de continuité des activités (PCA) et des plans de reprise après sinistre (PRA). Le Fournisseur s’engage à mettre en œuvre des sauvegardes pertinentes pour assurer la continuité du service, avec un RPO (Recovery Point Objective) minimum de 24 heures et un RTO (Recovery Time Objective) minimum de 48 heures, sauf indication contraire dans le contrat. Ces sauvegardes doivent être régulières, cryptées et testées pour les données de Nooco.
  • Développement sécurisé : Le Fournisseur doit disposer d’une politique de développement sécurisé conforme à l’état de l’art, qu’il applique dès les phases de conception et tout au long du cycle de vie du service. Les données de test doivent être soigneusement sélectionnées, protégées et contrôlées, en évitant l’utilisation de données réelles et sensibles lorsque cela n’est pas strictement nécessaire.
  • Révision des pratiques : Nooco se réserve le droit de demander une révision annuelle des pratiques de sécurité du Fournisseur et de mener des audits ou d’envoyer des questionnaires de contrôle afin de vérifier le respect de ces exigences.

Référence : le présent document s’applique par défaut à toute relation contractuelle avec Nooco, sauf mention contraire expresse dans le contrat.

Version : v1.0 – Publié le 3 novembre 2025 – https://www.nooco.com/vendors-security-requirements/