Sécurité

​

En tant que société de logiciels, la sécurité est la base de tout ce que nous faisons. Nous investissons massivement dans la sécurisation de nos produits logiciels et de nos systèmes internes. Notre modèle de sécurité et nos contrôles sont basés sur des normes internationales et des pratiques exemplaires de l'industrie, telles que ISO 27001, ISO 27018 et OWASP Top 10.

​​​

Sécurité de l'infrastructure

​

• Nous hébergeons nos systèmes sur plusieurs zones de disponibilité chez Amazon Web Services (AWS), ce qui nous permet de fournir un service fiable et de garder vos données disponibles à tout moment. Une autre région AWS est configurée comme site de reprise après sinistre.

• Les centres de données AWS mettent en œuvre des mesures de sécurité physique et environnementale pour assurer une infrastructure hautement résiliente. Pour plus d'informations sur ses pratiques de sécurité, consultez la sécurité AWS.

• Notre infrastructure utilise un Cloud Privé Virtuel (VPC) pour isoler et segmenter les environnements des clients, et des Listes de Contrôle d'Accès au Réseau (NACL) / Groupes de Sécurité pour contrôler le trafic entrant et sortant au niveau des sous-réseaux et des instances.

• Notre site Web est protégé et surveillé par la solution sucuri.net contre les suppressions de logiciels malveillants et de piratage, le pare-feu d'application Web (WAF), la surveillance et la suppression des listes noires, le support et la surveillance SSL, la protection contre les attaques DDoS de niveau 3, 4, 7, la protection par pare-feu, la haute disponibilité et l'équilibrage de charge.

​​

​

Contrôle d'accès

​

• Tous les accès aux serveurs sont authentifiés contre notre fournisseur d'identité (IdP), entièrement audités et avec un mécanisme d'authentification multi-facteurs (MFA).

• Un modèle de Contrôle d'Accès Basé sur les Rôles (RBAC) est utilisé pour garantir des autorisations appropriées, basées sur le principe du moindre privilège.

• L'accès aux ressources de production est accordé en fonction du rôle et conformément aux principes du besoin de savoir et du moindre privilège.

​​

Sécurité des applications

​

• Une architecture de microservices est utilisée et nos applications sont entièrement conteneurisées, avec Kubernetes utilisé pour l'orchestration, offrant une grande évolutivité et fiabilité.

• L'infrastructure en tant que code est largement utilisée pour garantir la traçabilité et la maintenabilité des ressources d'infrastructure.

• Nos applications sont développées selon le cadre OWASP Top 10, et tout le code est examiné par des pairs avant le déploiement en production.

• Nos processus de développement et CI/CD incluent la gestion des licences, les vérifications avant/après commit, les analyses de secrets, l'analyse statique du code, les analyses de vulnérabilité des dépendances tierces, les tests de bout en bout, les tests unitaires et la recherche de code malveillant.

• Les vulnérabilités sont classées en fonction de leur niveau de risque et atténuées selon des délais prédéfinis.

• Une formation périodique à la sécurité est effectuée pour maintenir nos équipes de R&D à jour avec les meilleures pratiques et outils de développement sécurisé.

​

​

Assurance qualité

​

• Assurance qualité

  • Valider que toutes les authentifications, les rôles des utilisateurs et les contrôles d'accès fonctionnent de manière sécurisée.

• Tests de gestion des sessions

  • Vérifier les problèmes tels que la fixation de session, le détournement, l'expiration et la terminaison.

• Tests de validation des données

  • Test des champs de saisie pour prévenir les attaques par injection telles que l'injection SQL, l'injection XML et l'injection de commandes. Valider les données saisies pour s'assurer qu'elles respectent les formats et normes attendus.

• Tests de chiffrement

  • Test des algorithmes et protocoles de chiffrement utilisés pour protéger les données sensibles en transit et au repos. o Vérifier que les clés de chiffrement sont gérées et stockées de manière sécurisée.

• Tests de gestion des erreurs et des journaux

  • Évaluer comment l'application gère les erreurs et les exceptions pour prévenir les fuites d'informations. o Vérifier que les informations sensibles ne sont pas enregistrées ou affichées dans les messages d'erreur.

• Tests de configuration de la sécurité

  • Revoir les configurations des serveurs et des applications pour les meilleures pratiques de sécurité. o S'assurer que les paramètres par défaut sont modifiés, que les services non nécessaires sont désactivés et que les correctifs de sécurité sont à jour.

• Tests de sécurité des API

  • Tester les API pour des vulnérabilités telles que les références directes non sécurisées, l'authentification insuffisante et l'exposition excessive des données. o Vérifier que les API appliquent une autorisation et des contrôles d'accès appropriés.

​

Chiffrement des données

• Les données en transit sont chiffrées en utilisant TLS avec une suite de chiffrement moderne. • Les données au repos sont chiffrées en utilisant AES-256. Les clés de chiffrement sont gérées dans AWS Key Management Service. • Les identifiants sont hachés et salés en utilisant une fonction de hachage sécurisée.

​

​

Protection des terminaux

• La technologie Endpoint Detection and Response (EDR) est déployée sur tous les terminaux pour garantir une détection proactive des menaces et des capacités de réponse rapide. • La solution EDR offre une visibilité en temps réel sur les activités de nos terminaux, permettant une détection rapide et une contention des comportements suspects ou des potentielles violations de sécurité. • La surveillance continue des terminaux par un système de gestion des informations et des événements de sécurité (SIEM) géré, couplé à un centre des opérations de sécurité (SOC), garantit une vigilance constante contre les cybermenaces et assure que les incidents de sécurité sont rapidement identifiés, enquêtés et corrigés pour minimiser l'impact et protéger les données sensibles. • L'intégration de l'EDR avec l'infrastructure SIEM/SOC gérée améliore la corrélation des renseignements sur les menaces, permettant des stratégies avancées de chasse aux menaces et de mitigation. • Grâce aux capacités de surveillance et de réponse 24/7, nous défendons de manière proactive contre les menaces cybernétiques en évolution, offrant une tranquillité d'esprit à nos parties prenantes et clients.

​

​

Audits de sécurité et tests de pénétration

• Les audits de sécurité sont effectués chaque année tant au niveau de l'application qu'au niveau de l'infrastructure. • Les tests de pénétration sont effectués sur la version finale avant le déploiement en production. • Nous subissons des audits externes dans le cadre des certifications ISO et d'autres audits externes.

​

Reprise après sinistre et sauvegardes

• Nous sauvegardons constamment les données des utilisateurs toutes les X minutes.

• Toutes les sauvegardes sont chiffrées et distribuées à divers emplacements.

• Nous maintenons un Plan de Reprise après Sinistre (DRP) pour faire face aux sinistres affectant notre environnement de production, ce qui inclut la restauration des fonctionnalités de base du service depuis notre site de reprise dédié. 

• Les tests de reprise après sinistre sont effectués au moins une fois par an. Le test de reprise après sinistre peut prendre la forme d'une simulation, d'une fausse catastrophe ou d'un test de composants.

​

Réponse aux incidents

• Notre plan de réponse aux incidents (IRP) définit les lignes directrices pour détecter les incidents de sécurité et de confidentialité, les escalader au personnel concerné, la communication (interne et externe), la mitigation et l'analyse post-mortem. 

• Notre équipe de réponse aux incidents (IRT) est composée de représentants de la sécurité, de la R&D, du juridique et, si nécessaire, d'une société tierce de réponse aux incidents.

​

Sensibilisation et formation à la sécurité

• Nos employés suivent une formation approfondie sur la sensibilisation à la sécurité de l'information.

• De plus, des formations à la sécurité sont dispensées périodiquement.

​

Transparence

La transparence est la force motrice derrière nos principes de sécurité et de confidentialité. Nous partageons toutes nos politiques avec nos clients afin que vous sachiez toujours comment nous protégeons vos informations et respectons les lois, normes et réglementations locales et internationales.

• Politique de sécurité de l'information

• Politique de plan de reprise après sinistre

​

Confidentialité

Nous nous engageons pleinement à protéger la vie privée de nos clients ainsi que les données sensibles des employés que nos produits collectent et analysent. Certains aspects clés de notre programme de confidentialité :

• Nous ne collectons que les données minimales nécessaires au bon fonctionnement de notre logiciel.

• Toutes les données des employés sont chiffrées en transit et au repos. Nous utilisons des protocoles et des techniques de chiffrement conformes aux normes de l'industrie.

• L'accès aux données des employés est limité uniquement aux ingénieurs qui en ont besoin pour le développement, les tests et le dépannage.

• Notre politique de confidentialité communique clairement quelles données nous collectons, comment elles sont utilisées, combien de temps elles sont conservées, etc.

​

Conformité et certifications

Le respect des exigences légales, réglementaires et contractuelles est vital pour notre entreprise.

• Nos produits RISK-HR et EmoRisk permettent aux clients de respecter leurs obligations de conformité en matière de dépistage et de surveillance des employés.

• Nous suivons continuellement les lois sur la confidentialité et l'emploi dans toutes nos juridictions d'exploitation. Nos produits et politiques sont conçus pour se conformer.

• Notre programme de conformité comprend des audits, des évaluations des risques et des révisions des politiques. Nous avons une responsabilité claire pour les activités de conformité.

• Logical Commander suit les normes internationales de l'ISO (Organisation Internationale de Normalisation) et gère sa sécurité de l'information, ses services cloud et sa confidentialité en conséquence.

Nous sommes audités chaque année par une tierce partie indépendante et maintenons les certificats suivants :