Aller au contenu
Home » Sécurité et protection des données

Sécurité et protection des données

L’OPEN SOURCE AU SERVICE DE LA SÉCURITÉ

Nous considérons qu’il est stratégique de s’appuyer sur des composants logiciels Open Source largement maintenus et établis, en évitant autant que possible les solutions personnalisées qui sont difficiles à maintenir et qui n’ont pas été testées de manière approfondie. Les approches du type“pas inventé ici” et“sécurité par l’obscurité” ne font pas partie de notre culture, même avant nos systèmes.

LES MEILLEURES PRATIQUES EN MATIÈRE D’INFRASTRUCTURES ET D’APPLICATIONS

La fiabilité, l’évolutivité et la sécurité sont les motivations qui nous ont poussés à choisir le fournisseur de cloud leader du marché comme partenaire de choix pour nos systèmes de cloud. La sécurité des applications mises en service sur AWS est garantie par l’adoption des meilleures pratiques recommandées par le fournisseur de cloud lui-même, depuis le chiffrement des données (avant tout au niveau de la base de données, ainsi que sur le stockage d’objets et dans tout autre support de données” au repos“) jusqu’à la communication entre les services (toujours sur des VPC internes, et strictement sur un canal SSL sécurisé), en passant par l’authentification des utilisateurs (via la norme OAuth 2.0 pour les utilisateurs du système, et l’authentification unique avec authentification multifactorielle pour l’employé qui travaille sur l’infrastructure).

INFRASTRUCTURE-AS-CODE ET RÉSILIENCE

L’ensemble de l’infrastructure est géré par une “approche déclarative” dans la définition des ressources et leur configuration : cela permet d’appliquer des procédures robustes et automatiques de“reprise après sinistre” qui minimisent l’objectif de temps de récupération (RTO) et l’objectif de point de récupération (RPO) en cas de défaillance distribuée. Nous avons tendance à tester périodiquement ces procédures pour nous assurer qu’elles sont à jour et correctes, en commandant des évaluations périodiques à des consultants en cybersécurité extérieurs à l’organisation pour valider les choix technologiques et les mesures mises en place pour défendre le périmètre de la plate-forme.

PROTECTION DU PÉRIMÈTRE DE L’ENTREPRISE

La sécurité des ordinateurs et des appareils de l’entreprise est assurée par le cryptage des disques, l’identification biométrique des employés et la gestion à distance complète du parc d’appareils. L’authentification du personnel pour l’accès aux services internes et externes de l’entreprise se fait, lorsque cela est techniquement possible, par le biais d’un système d’authentification unique (SSO) via Google Suite Business : cela nous garantit un point d’accès unique aux communications et aux systèmes de l’entreprise, avec des politiques strictes en matière de renouvellement des mots de passe et d’identification multifactorielle. Les clés d’accès aux systèmes qui ne prennent pas en charge l’intégration avec notre fournisseur SSO sont partagées via un service de gestion des secrets dédié, qui à son tour ne peut être consulté que via le SSO de l’entreprise.

PARTITIONNEMENT DES DONNÉES ET GESTION DES SECRETS

Les environnements de production et de développement sont physiquement et logiquement indépendants, ce qui nous permet de limiter strictement l’accès aux données réelles des utilisateurs au personnel strictement autorisé pour les activités de maintenance des applications et des infrastructures. Le code d’application et les secrets nécessaires à l’accès aux systèmes sont toujours gérés de manière indépendante, en utilisant des procédures automatiques pour réconcilier les références aux secrets pendant les phases de publication des logiciels dans les environnements respectifs. L’utilisation d’un service de gestion des secrets fiable (basé sur une architecture“zero knowledge”) et centralisé permet d’automatiser la gestion des clés d’accès et leur rotation périodique.

AUDIT ET JOURNALISATION DISTRIBUÉS

Toute activité de l’utilisateur dans le système est suivie via les journaux de l’application et du système : d’une part, le suivi de l’activité peut aider au dépannage en fournissant un historique précis des activités effectuées et des responsabilités respectives des développeurs, des administrateurs système et/ou des utilisateurs finaux ; d’autre part, en assurant la conformité de notre plateforme avec les dernières réglementations imposées par le GDPR.

AUTRES CONSIDÉRATIONS SUR LE GDPR

Toutes les activités décrites jusqu’à présent visent à garantir les normes de sécurité requises par le règlement général sur la protection des données (RGPD) à n’importe quel stade du développement et de la mise en œuvre du système. Outre les choix techniques visant à minimiser les risques, le traitement des données est garanti dans le respect des principes de licéité énoncés dans le règlement, notamment :

  • Limitation de la finalité: lors de la connexion, l’utilisateur accepte les conditions d’utilisation des données et consent au traitement ; en cas de mises à jour ultérieures concernant la finalité du traitement, il est possible de demander à l’utilisateur de soumettre à nouveau le formulaire d’approbation ; le formulaire est spécifique à l’usine, car le client de Sofia est configuré en tant que contrôleur des données et choisit Sofia en tant que responsable du traitement des données ;
  • Minimisation des données: nous ne collectons que les données pertinentes de l’utilisateur (c’est-à-dire le prénom, le nom de famille, l’adresse électronique) ;
  • Exactitude: les processus d’audit et de journalisation décrits garantissent une visibilité totale de la manière dont les données sont modifiées, et par qui ;
  • Intégrité et confidentialité: elles sont assurées par les activités abordées dans la section Partitionnement des données et gestion des secrets ;
  • Limitation du stockage: Afin de garantir le ” droit à l’oubli ” de l’utilisateur, ce dernier peut demander à tout moment la suppression des données personnelles qu’il possède sur la plateforme. Toutes les données qui en découlent (par exemple, les journaux d’accès, les journaux d’activité et les événements connexes) seront “pseudonymisées”, c’est-à-dire qu’elles n’auront plus de référence valable permettant de remonter à l’identité de la personne. Les journaux d’application sont supprimés dans un délai de 90 jours (période de “rotation des journaux”), tout comme les sauvegardes : cela garantit la suppression complète de ces données, même dans les systèmes de stockage “dérivés de la production”, dans le délai légal ;
  • Loyauté et transparence: le client de Sofia reste le propriétaire des données, tandis que les conditions d’utilisation garantissent la transparence sur la finalité du traitement, selon les modalités décrites au premier point de la présente liste.

DÉCLARATION DE CONFORMITÉ DU PSTI DU ROYAUME-UNI

À Sofia, ISEO, nous accordons la priorité à votre confiance en nous engageant à respecter la confidentialité, la sécurité, la transparence et l’intégrité (PSTI).

  • Vie privée: Nous protégeons vos données personnelles par des pratiques claires et responsables, en adhérant à des réglementations strictes pour garantir votre vie privée.
  • Sécurité: la sécurité de vos données est primordiale. Nous utilisons des mesures avancées pour les protéger contre les accès non autorisés et les menaces.
  • Transparence: Nous communiquons ouvertement sur nos pratiques de gestion des données, afin que vous soyez pleinement informé et confiant dans nos processus.
  • Intégrité: nos normes éthiques nous poussent à agir de manière responsable et équitable, en donnant toujours la priorité à vos intérêts.
Traduction automatique

Le contenu de cette page a été traduit automatiquement et peut contenir quelques erreurs ou inexactitudes. Pour plus d'informations sur nos solutions, veuillez contacter notre équipe de vente pour votre pays ici.