Non. Selon la définition de l’UE, Microlise Group Ltd n’est pas une PME (Petite ou Moyenne Entreprise) car elle emploie plus de 250 personnes.

Microlise Group Ltd st inscrite au registre des sociétés britanniques (Companies House) sous le numéro 1670983.

Oui, le groupe de sociétés Microlise est implanté au Royaume-Uni, en Australie, en Nouvelle-Zélande, en France et en Inde.

Microlise Ltd ne transfère pas les données des clients entre les différents sites, sauf si cela est spécifié/convenu dans le contrat spécifique et/ou l’accord de traitement des données.

Les données sont conservées dans des centres de données au Royaume-Uni, toutefois l’assistance est fournie à partir de Pune en Inde.

Le service d’assistance technique de Microlise Inde aura accès aux informations pertinentes pour fournir l’assistance requise aux clients, le cas échéant.

Oui. Numéro d’enregistrement : ZB240179.

Oui. Elle est certifiée Tick IT Plus, ISO 9001, ISO 20000 et ISO 27001. Les preuves de certification sont disponibles auprès de l’UKAS (https://certcheck.ukas.com/) ou sur demande.

Le groupe Microlise utilise l’Intelligence Artificielle (IA) et l’apprentissage automatique (Machine Learning ou ML) afin d’accompagner nos clients dans leurs opérations. Certains de nos produits, tels que le dispositive de détection des distractions par IA ClearVison ou notre système de Surveillance des performances de freinage des remorques (Trailer Brake Performance Monitoring Systems ou TMPMS), utilisent déjà l’Intelligence Artificielle. Nous nous engageons à élargir cette technologie de manière éthique à nos solutions dédiées à la conformité, aux performances et à la sécurité de la flotte, à la gestion de flotte (TMS), à Planning & Optimisation (P&O), à la gestion des trajets (Journey Management) et aux services d’appareils connectés des conducteurs.

Nous avons conscience de l’importance d’une intégration responsables de l’IA à nos solutions. C’est pourquoi nous suivons les directives du gouvernement britannique [1] et de la Commission Européenne [2]. C’est de cette façon que nous nous assurons que des normes sont appliquées à l’ensemble de nos solutions. Par le biais d’évaluations constantes, nous garantissons impartialité et équité pour l’ensemble de nos offres ayant recours à l’Intelligence Artificielle. Nous évitons ainsi les préjugés, la discrimination et nous nous assurons la confiance du public dans la fiabilité et la sécurité de tous les produits utilisant l’IA développés par le groupe Microlise.

Le moteur d’optimisation qui alimente la solution Planning & Optimisation (P&O) utilise des méthodes mathématiques, des méthodologies d’optimisation et des algorithmes heuristiques. Cela en fait une solution transparente et explicable capable de surmonter les défis complexes liés à la planification d’itinéraires, de collectes et de livraisons des véhicules, tout en recalculant constamment les contraintes opérationnelles en fonction des données des utilisateurs. P&O permet aux utilisateurs de modifier et d’améliorer à leur guise les itinéraires proposés, leur offrant ainsi une complète autonomie.

[1]UK Government : Navigating Artificial Intelligence Ethics and Safety : https://www.gov.uk/guidance/understanding-artificial-intelligence-ethics-and-safety

[2] Commission Européenne : Lignes directrices en matière d’éthique pour une IA digne de confiance : https://digital-strategy.ec.europa.eu/fr/library/ethics-guidelines-trustworthy-a

Non. Les utilisateurs et leurs droits d’accès sont administrés localement dans l’application Microlise. Vous pouvez éventuellement configure l’application Microlise de manière à mettre en place une identification unique en intégrant votre fournisseur d’identité au service en ligne du fournisseur d’identité Microlise. Avec cette configuration, les nouveaux utilisateurs sont créés lorsqu’ils accèdent à l’application Microlise. La gestion des droits d’accès s’effectuera toujours au sein de l’application elle-même.

Le référentiel d’authentification se trouve dans une base de données.
Le schéma n’est pas disponible.
Les connexions JDBC et ODBC ne sont pas autorisées.
Les procédures stockées ne sont pas disponibles.
Les API (interfaces de programmation d’applications) d’administration des utilisateurs ne sont pas disponibles.
L’accès à l’API (interface de programmation d’application) est enregistré dans une instance centrale de type  » flexible « .

Oui. Le protocole d’intégration que nous utilisons avec le fournisseur d’identité d’un client pour notre tableau d’exécution est SAML 2.0.

Nous exécutons régulièrement les outils de tests de sécurité des applications (SAST/DAST/IAST) sur le code source de la plateforme. SAST via les scanners WAS (Web App Scanning) de SonarQube et Tenable.io.

Oui. Tous les employés et sous-traitants ont à leur disposition une politique et des directives claires décrivant le processus de notification des infractions aux politiques de sécurité des informations et d’autres formes d’infractions et d’incidents.

Oui, le client doit être notifié dans les 72 heures suivant la détection initiale et être tenu informé tout au long du processus de gestion de l’incident.

Une copie de la politique et du processus de gestion des incidents est disponible sur demande.

Non.

Oui. Microlise dispose d’une politique documentée et mise à jour. Celle-ci indique ce qui se passe en cas de suspicion ou d’identification d’un incident de sécurité, la manière dont l’incident est signalé par Microlise et la manière dont le risque est isolé jusqu’à ce que le problème soit résolu.

Oui. Microlise dispose d’un ensemble complet de politiques et de procédures permettant de gérer et de planifier entièrement les réponses aux incidents. Une copie des documents pertinents est disponible sur demande.

Oui. Nous disposons de politiques et de procédures efficaces pour l’enregistrement, la surveillance, la détection, l’analyse et le signalement des événements et des incidents de sécurité, ainsi que pour les activités de gestion des incidents qui s’y rapportent. Le produit TMC est doté d’une fonction d’enregistrement et de pistes d’audit intégrées permettant de vérifier l’accès. Une copie des documents pertinents est disponible sur demande.

Oui, ces procédures font partie de nos politiques et procédures plus générales relatives à la gestion des incidents. Des copies des documents pertinents sont disponibles sur demande.

Oui, ces procédures font partie de nos politiques et procédures plus générales relatives à la gestion des incidents. Des copies des documents pertinents sont disponibles sur demande.

Oui. Microlise utilise divers outils de surveillance et analyse et enregistre les événements qu’ils génèrent.

Oui, Microlise dispose d’un plan de continuité des activités et d’un plan de reprise après sinistre.

Ces deux plans disposent d’un calendrier de tests complet.

Nous disposons de systèmes de sauvegarde hors ligne planifiés, stockés en toute sécurité et testés régulièrement.
Les fichiers vidéo sont enregistrés quotidiennement et conservés pendant 12 mois.

Oui. Microlise dispose d’une politique qui définit les informations susceptibles d’être divulguées et met en œuvre des contrôles et une surveillance pour contrôler le flux de données au sein du réseau et détecter la divulgation non autorisée d’informations sensibles.

• ISO/IEC 27001:2013 (SYTÈMES DE GESTION DE LA SÉCURITÉ DE L’INFORMATION)
• ISO/IEC 20000-1:2011 (TECHNOLOGIES DE L’INFORMATION – GESTION DES SERVICES)
• ISO 9001:2015 (SYSTÈMES DE GESTION DE LA QUALITÉ)
• TICKITPLUS FOUNDATION LEVEL

Oui. La conformité de tous les contrôles et domaines est vérifiée au moins une fois par an. Les résultats de ces audits, ainsi que les audits externes, les rapports d’incidents, les tests et les commentaires des parties intéressées sont consignés afin de contribuer à l’amélioration continue de nos processus et procédures.

Oui. Nous accordons aux clients le droit de procéder à des audits dans le cadre du Master Service Agreement (MSA).

Non. Microlise possède et exploite tous les équipements dans les centres de données sécurisés – qui sont couverts par le certificat ISO27001. Les fournisseurs de centres de données disposent d’un rapport SOC disponible sur demande.

Oui, des dispositions formelles de reporting régulier sont en place au niveau du conseil d’administration ou d’un responsable de haut niveau équivalent.

Oui. Microlise effectue régulièrement des analyses de vulnérabilité des actifs internes et externes à l’aide de divers outils.

Oui. Les données fournies par le client, en combinaison avec les données accessibles au public, sont utilisées pour le processus télématique. Les données pertinentes pour la sauvegarde/la récupération en cas de catastrophe et toute

analyse statistique pertinente sont stockées conformément à notre politique de traitement des données et au contrat conclu avec le client concerné.

Microlise utilise des données publiques et internes. Les définitions sont énumérées ci-dessous :

• Données publiques: Ce type de données est librement accessible au public (c’est-à-dire à tous les employés/personnel de l’entreprise). Elles peuvent être librement utilisées, réutilisées et redistribuées sans répercussions. Il peut s’agir, par exemple, de noms et prénoms, de descriptions de postes ou de communiqués de presse.
• Données internes: Ce type de données est strictement accessible au personnel interne de l’entreprise ou aux employés internes auxquels l’accès est autorisé. Il peut s’agir de notes de service ou d’autres communications réservées à l’interne, de plans d’entreprise, etc.
• Confidentielles: Les données ne peuvent être partagées, détenues et traitées que par les parties auxquelles le propriétaire des données a donné accès.
• Secret: les données sont conservées sur la base du besoin de savoir, du besoin de détenir. La violation de ces données peut avoir un impact négatif sur la réputation de l’entreprise, entraîner des poursuites judiciaires ou des pertes financières.

Non. Toutefois, le personnel DBA et TechOps de Microlise à Pune aura accès à l’assistance du service.

Non. Microlise dispose de deux centres de données basés au Royaume-Uni. Tous les équipements sont détenus et exploités par Microlise Ltd.

Oui. Microlise utilise des technologies de cryptage conformes aux normes régissant le secteur, afin de protéger la confidentialité des informations sensibles à la fois au repos et pendant la transmission.

Les données au repos sont cryptées à l’aide du cryptage AES256.

Les données en transit sont cryptées à l’aide de SIP (HTTPS, SFTP, etc.).

Toutes les bases de données de Microlise n’utilisent que des connexions sécurisées et leurs fichiers journaux associés sont cryptés avec une clé.

Les séquences vidéo sont stockées en toute sécurité sur les serveurs DVR, sur des SAN de niveau entreprise situés dans nos centres de données de Londres.

Les fichiers vidéo sont cryptés au repos. Le contrôle d’accès aux serveurs DVR et l’authentification basée sur les rôles dans le portail Web Microlise empêchent tout accès non autorisé aux vidéos.

Oui, ce service est assuré par un fournisseur tiers. Tous les détails des politiques et des procédures sont disponibles sur demande.

Oui. Microlise dispose d’une politique et a désigné des rôles au sein de l’organisation qui guident les responsables, les utilisateurs et les prestataires de services sur les responsabilités individuelles et les procédures spécifiques à suivre.

Tout transfert de données en masse est soumis à une approbation formelle au préalable et n’est effectué qu’à l’aide de canaux de communication sécurisés et approuvés.

Les seules données saisies sont celles qui permettent de configurer les profils des utilisateurs et des conducteurs, et les données de suivi proviennent de l’équipement du client. Le nom et les performances du conducteur peuvent être utilisés pour le prix du conducteur Microlise de l’année (le client peut choisir de ne pas y participer).

Oui. Tous les détails concernant ces politiques et procédures sont disponibles sur demande.

Oui, un responsable de la protection des données a été nommé au sein du département de la sécurité de l’information. Le DPO est fourni par un tiers.

Vous pouvez contacter les personnes chargées de l’information et de la protection des données par e-mail à l’adresse informationsecurity@microlise.com.

Oui. En fonction du contrat conclu avec le client et des services fournis, les PII (informations personnelles identifiables) concernées peuvent inclure les éléments suivants:

• Nom du conducteur/ID (tel que fourni par le client)
• Géolocalisation du conducteur, et/ou
• Géolocalisation et informations relatives à d’autres personnes (si elles sont fournies par le client).
• Coordonnées du conducteur (numéro de téléphone, adresse électronique).
• Coordonnées du client (nom/identification, adresse, numéro de téléphone, adresse électronique).

Les PI (informations personnelles) et les PII ne sont collectées, stockées et traitées que lorsqu’elles sont fournies par le client et que ce dernier a expressément demandé l’utilisation de ces informations.

Microlise ne collecte, ne traite ni ne stocke les informations relatives aux cartes de paiement (PCI).

Oui. Chaque client dispose de sa propre instance de base de données sécurisée, ainsi que d’un serveur frontal (Front end) et d’un logiciel intermédiaire (middleware) distincts utilisant la virtualisation pour assurer la séparation.

Oui. Microlise dispose d’une politique conforme à ses obligations légales. Microlise procède à des vérifications DBS (Discloure and Barring Services) pour tous les employés avant leur entrée en fonction, et lorsque les employés se voient accordé un accès privilégié, Microlise établira une fiabilité supplémentaire, par exemple par le biais de l’ancienneté, de l’évaluation des risques ou de l’approbation managériale.

Pour les employés travaillant sur des contrats spécifiques, BPSS (Baseline Personnel Security Standard) est également utilisé, et un certain nombre de ces employés sont également titulaires d’un SC (Security Check).

Oui. Microlise dispose d’un processus formel, qui est régulièrement revu et communiqué aux employés.

Oui. Microlise définit des compétences minimales pour des rôles spécifiques et a mis en place un processus de formation continue pour s’assurer que nos employés répondent à ces exigences, voire les dépassent.

Oui. Tout le personnel est tenu de suivre une formation obligatoire sur la sécurité de l’information et le GDPR/la protection des données tous les deux ans, ainsi qu’un programme de sensibilisation complet administré tout au long de l’année.

Oui. Tous les actifs doivent être restitués et l’employé perd son accès à tous les systèmes de Microlise à la fin de son emploi.

Les données des clients sont stockées dans un lieu sûr au sein des deux centres de données situés au Royaume Uni de Microlise. Ces centres ne sont accessibles qu’au personnel autorisé.

Notre contrat avec notre fournisseur de centres de données inclut un ensemble sécurisé comprenant l’espace de stockage, l’alimentation, le refroidissement, la connectivité IP, DC – connectivité DC et l’assistance à distance ainsi que des précautions contre les incendies et les inondations.
Les fonctionnalités assurant la sécurité physique du centre sont régulièrement testées selon les exigences Tier du centre de données. Microlise possède et opère l’ensemble du matériel actif au sein des centres de données.
Des certificats concernant la conformité des centres de données de Microlise sont disponibles sur demande.

Les installations techniques de Microlise sont tenues aux mêmes standards de sécurité : leur accès est limité aux personnes disposant de cartes d’accès, elles sont sous surveillance constante et des systèmes de refroidissement et de prévention des incendies, des inondations sont en place. Des informations supplémentaires concernant les mesures de sécurités en place dans les locaux de Microlise sont disponibles sur demande.

Oui. Une politique permettant de disposer en toute sécurité des équipements et supports est en place chez Microlise. Celle-ci s’applique aux postes de travail situés dans les locaux ainsi qu’au postes de travail en distanciel.

Microlise détient une assurance de responsabilité civile et des produits.

Oui. Celles-ci sont formalisées conformément à la politique de l’entreprise et font partie intégrante de celle-ci, ainsi que des critères d’évaluation des risques liés à la sécurité des données. Les niveaux de risque acceptables sont également définis et documentés.

Oui. Microlise gère également les risques concernant les anciens systèmes, lorsqu’il est possible d’isoler ces systèmes et/ou de fournir une surveillance et des contrôles supplémentaires pour leur protection jusqu’à ce qu’ils soient mis à jour où remplacés.

Oui. Microlise a une bonne compréhension de la taille et de la topologie de ses réseaux d’entreprise. Nous disposons d’un registre contrôlé régulièrement de tous les actifs.

Oui. Microlise évalue les risques liés à l’utilisation de supports amovibles et gère ces derniers selon une politique documentée et mise à jour.

Oui. Tous les appareils au sein du réseau Microlise sont équipés d’antivirus et de technologies de lutte contre les programmes malveillants (antimalware) ; Ces derniers sont mis à jour et corrigés régulièrement.

Oui. Nous contrôlons régulièrement nos pares-feux à la recherche d’éventuelles activités suspectes afin de limiter un maximum les risques provenant d’une menace extérieure.

Oui. Des modules IPS/IDS sont installés sur les pares-feux de notre entreprise et sur notre WAF externe F5 Silverline, et nous bloquons les comportements suspects détectés sur le réseau et dirigeons l’ensemble du trafic sortant via un serveur proxy authentifié.

Oui. Nous corrigeons régulièrement les postes de travail et les ordinateurs portables ; des correctifs de serveur critiques sont appliqués lorsque nécessaire afin d’être moins vulnérable face aux risques.

Oui. Microlise dispose d’un processus de sauvegarde.

Les sauvegardes sont cryptées, stockées hors site et testées toutes les quatre semaines.

Les clés de cryptage ne changent pas.

Oui. Microlise dispose d’une telle politique, ainsi que d’une liste des logiciels dont l’utilisation est autorisée.

Oui. Chez Microlise, nous avons mis en place des procédures strictes d’accès et de manipulation (stockage, transmission, transportation, rétention et destruction) s’appuyant sur notre programme de classification. Nous disposons également d’une politique documentée et mise à jour.

Oui. Microlise dispose d’une politique de contrôle des accès qui comprend la façon dont nous établissons les droits d’accès des utilisateurs afin de faire en sorte que les utilisateurs n’aient accès qu’aux informations dont ils ont besoin pour remplir leur fonction. Les droits d’accès sont accordés selon le principe du « moindre privilège » et tous les utilisateurs reçoivent un identifiant de connexion unique lorsqu’ils accèdent aux données.

Les accès dépendant des rôles sont appliqués dans les portails https des clients qui sont définis lors de la configuration et gérés par ces clients.

Oui. Microlise identifie ces données et applique un programme de classification stricte en accord avec ses politiques ou les exigences réglementaires. L’ensemble du personnel est tenu informé afin de s’assurer qu’il comprend bien le programme et leur responsabilité, et qu’il mette en place une protection appropriée aux données sensibles.

Oui. Les privilèges d’administrateurs system (SysAdmin) sont contrôlés par le biais d’un VPN IPSec vers le siège, puis via des tunnels sécurisés vers les centres de données.

Oui. Les registres sont conserves pendant 90 jours et nous utilisons un outil de corrélation des registres. Pour l’instant, aucun outil de gestion des informations et des événements de sécurité (SIEM ou Security Information and Event Management) n’est utilisé, mais nous prévoyons d’en mettre un en place en 2023. Les alertes sont surveillées par ServiceDesk, TechOps et SRE, et les alertes critiques sont sous surveillance constante. Aucun autre registre n’est utilisé pour identifier IOC.

Oui. Le VPN ne nécessite pas d’authentification à double facteurs (2FA) mais les appareils, si. Ils nécessitent une 2FA avant d’accéder au VPN.

Oui. Les centres de données n’ont pas d’accès au Wifi. En ce qui concerne les employées des entreprises Microlise, l’accès au Wifi est contrôlé par l’équipe Business Systems.

Oui. Microlise dispose d’une telle politique et exige une confirmation avant d’accorder l’accès à ces actifs.

Oui. Un protocole MFA est en place.

Oui. Microlise contrôle activement les accès des utilisateurs aux comptes via un mécanisme appliqué à l’échelle de l’entreprise. Il peut s’agir, par exemple, d’un algorithme imposant un niveau de complexité des mots de passe tandis que les responsables assignent un compte existant à chaque aux employés. Nous vérifions la conformité aux politiques et aux procédures d’usage à l’aide de contrôle techniques.

Oui. Microlise contrôle l’accès à ses réseaux et systèmes en veillant à ce que les personnes autorisées à se connecter le fassent à l’aide de mécanismes et d’appareils approuvés. Nous confirmons les droits d’accès, vérifions la sécurité des terminaux et l’identification avant que la connexion ne soit terminée.

L’accès au système des employés Microlise est géré selon le principe de « moindre privilège », c’est-à-dire que les accès sont accordés en fonction du rôle de l’employé dans l’entreprise. Un système de surveillance est en place sur l’ensemble des systèmes Microlise. Les registres sont conservés pendant 12 mois.

Les connexions sont enregistrées dans des tables d’audit et les registres d’accès à la base de données sont disponibles auprès des administrateurs de la base de données. Différents registres permettent de garder une trace des sessions et de l’activité des utilisateurs dans l’application Web. Certains registres de l’activité web sont conserves pendant 60 jours, tandis que d’autre sont conservés selon les délais de stockage de la base de données (en général pendant 90 jours). S’ils datent de plus de 90 jours, ils sont accessibles dans les sauvegardes de la base de données. Notre base de données contient plusieurs tableaux / colonnes concernant les modifications apportées, ils indiquent quand ces modifications ont eu lieu et qui en est à l’origine. Nous n’accordons le droit de modifier les bases de données qu’à un nombre limité d’utilisateurs internes. Ces autorisations sont gérées par directoire actif (Active Directory). Veuillez noter que toutes les données sont stockées dans des centres de données.

Oui. Un processus est en place par le biais de l’application Service Now. Davantage d’informations sur ce processus sont disponibles sur demande.

Oui, Microlise dispose d’une politique documentée et mise à jour qui prend en compte plusieurs domaines tels que : le régime de gestion des risques liés à l’information, la sécurité du réseau, l’éducation et la sensibilisation des utilisateurs sur le sujet, la prévention contre les logiciels malveillants, les contrôles des supports amovibles, la sécurité des configurations, la gestion des privilèges des utilisateurs, la gestion des incidents, la surveillance et la travail à domicile et mobile (ainsi que la sécurité physique)

Oui. Elles sont définies dans les conditions générales des contrats de travail et/ou la politique d’entreprise. (Pour éviter tout doute, cela s’applique à l’ensemble des employés à temps plein, des sous-traitants et du personnel intérimaire).

Oui. Les rôles et les responsabilités ont été assignées et sont formalisés conformément à la politique de l’entreprise dont elles font partie intégrante.

Oui. Davantage d’informations concernant cette politique sont disponible sur demande.

Oui. Microlise dispose d’un inventaire de ses actifs et garantit que tous les actifs relatifs aux informations sont assignés à un propriétaire défini qui s’assure, si nécessaire, que des rèbles régissent l’utilisation de ces actifs.

Oui. Le département de la sécurité des informations est joignable à cette adresse informationsecurity@microlise.com.

Oui. De plus, nous garantissons que les fichiers des mots de passe ne sont accessibles qu’en cas de nécessité par les administrateurs ayant l’autorisation.

Oui. Davantage d’informations concernant cette politique sont disponibles sur demande.

Oui. Les mots de passe des clients sont configurés au sein du portail sécurisé HTTPS.

Pour le personnel de Microlise, une politique et un processus ont été mis en place. Davantage d’informations concernant cette politique sont disponibles sur demande.

TMC peut être configuré et prend en charge l’authentification unique (SSO) fédérée pour permettre aux clients de se connecter à leur fournisseur d’identité

Oui. Cela assure que toutes les « normes cybernétiques » requises par les contrats ou la réglementation sont transmises. Nous transmettons également nos exigences supplémentaires si besoin.

Actuellement, Microlise n’utilise pas de sous-traitants.

L’authentification de l’utilisateur a lieu dans l’application elle-même et non via un stockage d’utilisateurs local.

Si un client se trouve sur la plate-forme Microlise Identity Provider, nous pourrons procéder à l’intégration de l’authentification unique (SSO) avec son fournisseur d’identité.

Le niveau d’accès des utilisateurs du côté des clients est contrôlé par le client. Il existe des options de configuration pour divers niveaux d’accès, en fonction des besoins.

Oui. La plate-forme Microlise Identity Provider prend en charge SAML 2.0

Notre guide d’intégration de gestion d’identité fédérée indique nos capacités actuelles à ce niveau