Pour votre première connexion au portail, utilisez le nom d’utilisateur et le mot de passe que vous avez reçus de la part de la gestion des risques fournisseurs Zoom :

Vous devez modifier votre mot de passe lors de la première connexion Vous aurez la possibilité de changer de nom d’utilisateur après votre première connexion. Remarque : votre nom d’utilisateur initial est généré automatiquement et ne correspond pas forcément à votre adresse e-mail. Saisissez votre nom d’utilisateur et/ou votre mot de passe au clavier plutôt que de les copier-coller pour éviter de copier une espace superflue qui ferait échouer la connexion. Remarque : l’authentification multifacteur (MFA) est obligatoire.

Comment l’équipe TPRM communiquera-t-elle les actions requises à mon entreprise ?

Par e-mail Par le biais de notifications sur le portail des fournisseurs

Quelles sont les étapes d’une mission TPRM ?

Préparation Réunion de lancement Travail d’évaluation Réunions et analyses Clôture de la mission Surveillance continue

Que considérez-vous comme des données sensibles ?

Données des contenus client Données des clients Données des employés Données prospectives des employés Journaux des événements Données de configuration Métadonnées de réunion

Quelles évaluations des risques seront réalisées ?

Questionnaire sur les risques inhérents Ces évaluations entrant dans le cadre de la diligence raisonnable doivent être réalisées par des experts de différents domaines comme la gestion des risques tiers, la confidentialité, la conformité, l’informatique, l’architecture de sécurité, la sécurité offensive ou la sécurité Open Source.

À quelle fréquence les évaluations des risques doivent-elles être effectuées ?

L’IRQ est imposé à tous les nouveaux fournisseurs souhaitant signer un contrat. Les exigences d’évaluation des risques sont basées sur le niveau de risque inhérent. Vous trouverez ci-dessous le calendrier général de la surveillance continue : Critique : évaluation annuelle Élevé : évaluation annuelle à biennale Moyen : évaluation biennale à triennale Faible : évaluation ponctuelle

Que se passe-t-il si des risques ou des problèmes sont identifiés ?

Si des problèmes de sécurité sont identifiés, le responsable Zoom de l’activité concernée doit s’assurer que le fournisseur met en place un plan de réponse et veiller à incorporer ce plan dans les clauses du contrat associé si nécessaire. Les plans de réponse peuvent inclure la prise en compte des problèmes identifiés ou la mise en place de mesures correctives.

Que doit faire mon entreprise si un incident lié à la confidentialité ou à la sécurité se produit ?

Vous pouvez signaler les incidents directement à votre contact Zoom ou par e-mail à l’équipe TPRM ( tprm@zoom.us ). N’oubliez pas d’inclure les éléments suivants : Date de l’incident Nom du fournisseur Nom du produit ou de l’application (le cas échéant) Contacts Zoom notifiés Bon de commande associé (si disponible) Résumé de l’incident

Relations avec les fournisseurs tiers

Intégration des fournisseurs

Zoom fait appel à des fournisseurs tiers pour répondre à ses besoins professionnels et à ceux de ses clients. Ces entreprises tierces peuvent être qualifiées de fournisseurs ou de fournisseurs tiers. Le programme de gestion des risques tiers (TPRM, Third Party Risk Management) prévoit des activités de conseil et d’évaluation portant sur un grand nombre de ces fournisseurs tiers. L’équipe TPRM collabore avec le service juridique, avec les achats, avec les services chargés de la conformité informatique, de la confidentialité et des technologies de l’information, et avec les unités commerciales afin d’assurer une gouvernance et une gestion exhaustives de l’ensemble des fournisseurs de Zoom.

Le programme TPRM a été mis en place pour garantir que les fournisseurs de technologies ou de services qui travaillent pour Zoom, ou qui accèdent à des données sensibles de Zoom, appliquent des principes de sécurité essentiels, et respectent diverses exigences en matière de conformité et de réglementation. Des évaluations des risques seront réalisées dans le cadre de ce programme.

Le programme TPRM garantit la conformité à ces exigences par le biais d’un cycle d’évaluation des risques. Aucun nouveau fournisseur ne peut travailler avec nous tant que ce processus d’évaluation n’est pas terminé.

Foire aux questions

Vendor Risk Management Portal

Vous devez modifier votre mot de passe lors de la première connexion
Vous aurez la possibilité de changer de nom d’utilisateur après votre première connexion.
Remarque : votre nom d’utilisateur initial est généré automatiquement et ne correspond pas forcément à votre adresse e-mail. Saisissez votre nom d’utilisateur et/ou votre mot de passe au clavier plutôt que de les copier-coller pour éviter de copier une espace superflue qui ferait échouer la connexion.
Remarque : l’authentification multifacteur (MFA) est obligatoire.

Vous pouvez le réinitialiser vous-même avec la fonctionnalité « Mot de passe oublié » du portail, ou nous contacter à l’adresse TPRM@zoom.us ou TPRM_Assessments@zoom.us. Nous vous renverrons alors un lien contenant un nouveau mot de passe temporaire.

Le contact fournisseur principal de votre entreprise peut ajouter des contacts sur le portail fournisseur, si nécessaire.

Par e-mail
Par le biais de notifications sur le portail des fournisseurs

Program Scope

Le questionnaire sur les risques inhérents (IRQ, Inherent Risk Questionnaire) sera soumis à tous les fournisseurs. Nous procéderons à des évaluations complémentaires des risques chez certains fournisseurs, en fonction des résultats de l’IRQ. Les services qui présentent un risque faible ne nécessiteront pas une évaluation détaillée.

L’équipe TPRM programmera une réunion de lancement avec vous au début d’une nouvelle mission. Le calendrier des évaluations et les activités associées vous seront communiqués à ce moment-là. Le processus ne devrait pas durer plus de 90 jours calendaires.

Préparation
Réunion de lancement
Travail d’évaluation
Réunions et analyses
Clôture de la mission
Surveillance continue

Données des contenus client
Données des clients
Données des employés
Données prospectives des employés
Journaux des événements
Données de configuration
Métadonnées de réunion

Risk Assessments

Les évaluations des risques consistent en des services de conseil et d’évaluation portant sur la conformité réglementaire ou la sécurité des informations. L’objectif est de conseiller les équipes projet et les dirigeants vis-à-vis de la gestion des risques technologiques introduits par les nouvelles solutions.

Questionnaire sur les risques inhérents
Ces évaluations entrant dans le cadre de la diligence raisonnable doivent être réalisées par des experts de différents domaines comme la gestion des risques tiers, la confidentialité, la conformité, l’informatique, l’architecture de sécurité, la sécurité offensive ou la sécurité Open Source.

L’IRQ est un questionnaire relatif aux prestations d’un fournisseur, qui permet de déterminer le risque auquel Zoom s’expose et le niveau de risque inhérent.

Le niveau de risque inhérent désigne le risque que représente une mission pour Zoom avant que cette mission fasse l’objet de contrôles ou soit prise en compte. Il peut être faible, moyen ou élevé. Le niveau de risque inhérent sert de référence pour déterminer le travail d’évaluation à effectuer.

L’IRQ est imposé à tous les nouveaux fournisseurs souhaitant signer un contrat.
Les exigences d’évaluation des risques sont basées sur le niveau de risque inhérent.
Vous trouverez ci-dessous le calendrier général de la surveillance continue :
- Critique : évaluation annuelle
- Élevé : évaluation annuelle à biennale
- Moyen : évaluation biennale à triennale
- Faible : évaluation ponctuelle

Si des problèmes de sécurité sont identifiés, le responsable Zoom de l’activité concernée doit s’assurer que le fournisseur met en place un plan de réponse et veiller à incorporer ce plan dans les clauses du contrat associé si nécessaire.
Les plans de réponse peuvent inclure la prise en compte des problèmes identifiés ou la mise en place de mesures correctives.

Incident Management

Vous pouvez signaler les incidents directement à votre contact Zoom ou par e-mail à l’équipe TPRM (tprm@zoom.us).
N’oubliez pas d’inclure les éléments suivants :
- Date de l’incident
- Nom du fournisseur
- Nom du produit ou de l’application (le cas échéant)
- Contacts Zoom notifiés
- Bon de commande associé (si disponible)
- Résumé de l’incident