Politique de sécurité

Cette liste pourra être amendée par Koncile à tout moment sous réserve que ces modifications ne réduisent pas substantiellement le niveau de sécurité prévu dans ce document. Toute modification fera l’objet d’une information des clients et testeurs du service.

I. Mesures de sécurité techniques

Authentification

Identifiant unique par utilisateur de mots de passe (notamment : authentification forte, limitation du nombre à 5 tentatives d’accès puis blocage, renouvellement périodique des mots de passe, stockage sécurisé des mots de passe)

Option de double authentification (2FA)

Journalisation des accès, des anomalies et des évènements liés à la sécurité

Enregistrement des accès et gestion des incidents

Protection des équipements de journalisation contre les accès non autorisés

Conservation des logs pendant 9 mois

Examen périodique des journaux d’évènements

Élaboration d’un plan de réponse aux incidents détaillé, incluant des procédures pour divers scénarios

Formation régulière du personnel sur les procédures de réponse aux incidents

Accès aux données personnelles par le personnel autorisé, tel que strictement nécessaire pour le développement ou la maintenance, en interne via une authentification 2FA

Accès aux données personnelles réservé au CTO et au Tech Lead avec justification appropriée

Enregistrement des accès et gestion des incidents

Réplication des données sur deux nœuds pour les bases de données et deux nœuds pour le stockage AWS

Hébergement des nœuds sur un datacenter spécifique

Capacité de basculement (failover) automatique des serveurs

Sauvegardes effectuées toutes les semaines

Processus de récupération vérifié toutes les semaines

Cryptage HTTPS des sauvegardes lors de leur transfert

Réplication des sauvegardes avec protection des accès par le système de gestion des droits AWS

Hébergement & Réseau

Hébergement assuré par Amazon Web Services dans des serveurs localisés en UE, certifiés ISO 27001 et SOC 2

Transmission entre le serveur et des tiers cryptés en HTTPS de bout en bout

Division fonctionnelle du réseau Koncile en sous réseaux en vue d'assurer la sécurité : séparation des environnements de test et de production

Back-office Koncile isolé d'Internet à l'exception d'un seul point d'entrée proxy

Synchronisation des serveurs par un serveur AWS

Cloisonnement des sites web et réseaux wifi (HTTPS,TLS)

Accès limités aux outils et interfaces d’administration

Réalisation des mises à jour critiques sans délai

Sécurité des données et des flux

Outil de détection des pièces jointes malveillantes

Chiffrement des données (hachage, protection des clés secrètes…)

Encryptage des données hébergées

Transfert de données en TLS/SSL avec HSTS et en mode de confidentialité de transmission parfaite

Sécurité physique des locaux et lieux de stockage des données

Alarme anti-intrusion

Vidéosurveillance 24/7

Contrôle des accès (badges, portes et armoire fermées à clé, conservation des accès physiques pendant 45 jours)

Supervision des visiteurs

II. Sécurité organisationnelle

Personnel

Vérification du background des candidats en application de la réglementation

Obligations de confidentialité et charte informatique

Formations sécurité obligatoires pour les salariés

Gestion des habilitations

Définition des profils d’habilitation

Suppression des habilitations non pertinentes

Sensibilisation du personnel et confidentialité des données

Sensibilisation du personnel aux risques liés aux libertés et à la vie privée

Engagement de confidentialité du personnel

Cartographie des traitement et suivi de la conformité

Désignation d’un délégué à la protection des données (DPO)

Sous-traitance uniquement à des sous-traitants ultérieurs présentant des garanties suffisantes au regard de la réglementation

Accord sur la protection des données conclu avec les sous-traitants ultérieurs (article 28 du RGPD)

Vérification de la conformité réglementaire et de sécurité du fournisseur lors de la fourniture d'un nouvel équipement du système d'information

Mention dans chaque contrat des exigences en matière de risques liés à la sécurité des données définissant le cadre des interventions en cas de faille

Continuité des Services

Procédure pour les événements de sécurité

Transmission des événements de sécurité à une personne dédiée (CTO), et à une seconde personne (« techlead ») en cas de carence du CTO

Analyse de l'événement par un membre de l'équipe d'urgence

Examen approfondi par l'équipe de maintenance, les services concernés et notamment le service juridique et communication

Automatisation des mises à jour de sécurité pour garantir l’application rapide des correctifs

Tests de restauration à partir de sauvegardes pour s’assurer de leur efficacité en cas de sinistre

Ressources numériques

Politique de sécurité des appareils centralisée (inventaire, verrouillage automatique, complexité des mots de passe, pare-feu, restrictions d'installation, mise à jour automatique)

Politique centralisée d'outils autorisés à traiter les données par type et classification

Accès au code-source contrôlé

Vérification des modifications par les pairs

Droits d'accès centralisés sur tous les logiciels SaaS

En cas de sous-traitance : vérification de la sécurité et de la conformité

Audits

Audits par AWS Cloudtrail pour évaluer la sécurité de l'application Koncile et de ses infrastructures

Mise en place d’un comité de conformité pour surveiller en permanence les obligations réglementaires

Préparation de l’audit par un organisme tiers indépendant pour l’obtention de la certification ISO 27001 pour le deuxième trimestre 2024

‍