Sécurité

"La sécurité est un métier. C'est notre métier."

La sécurité de l’information est notre priorité N°1

La sécurité de vos données est cruciale pour la pérennité de votre organisation. Le vol ou la perte de données, la non-conformité avec les procédures légales telles que le RGPD, ou encore le coût engendré par la perte de temps due à une interruption de service peuvent infliger des dommages considérables à toute entreprise.

La sécurité de vos données est vitale pour vous ; elle l’est encore plus pour nous.

Qu’il s’agisse de se protéger contre les piratages externes, les failles de sécurité internes, la divulgation d’information ou l’erreur humaine, la sécurité est essentielle pour nos clients et celle-ci fait partie intégrante de notre service. Notre organisation toute entière est concentrée sur cet objectif : vous offrir le plus haut niveau de sécurité possible.

UNE CULTURE DE SÉCURITÉ

DiliTrust est certifié ISO 27001. Cette certification inclut tous les aspects de notre service, comprenant même le support clients et les opérations. ISO 27001 fournit des recommandations en termes de bonnes pratiques sur la gestion de la sécurité de l’information. Sa portée est délibérément très large, couvrant bien plus que simplement la protection, la confidentialité ou encore les enjeux techniques ou de sécurité. Tous nos employés sont formés au respect de la norme ISO 27001, dès leur arrivée dans la société mais aussi tout au long de leur carrière. Une formation continue permet de s’assurer que nos équipes suivent l’évolution permanente de la sécurité informatique. De plus, nos collaborateurs signent tous un engagement de confidentialité.

Dans le cadre de notre stratégie d’intégration, nous sensibilisons également nos clients aux normes et enjeux de sécurité : politique de mot de passe ou gestion des tablettes par exemple.

infrastructure

EMPLACEMENTS DES SERVEURS

Nos serveurs sont certifiés conformes aux plus hauts standards en matière de sécurité et sont situés en région parisienne, en France.
Les données hébergées ne sont pas partagées dans le cloud et ne sont soumises en aucun cas au Cloud Act (et Patriot Act) américain, procurant ainsi à nos clients un contrôle permanent de leurs données sensibles.

SÉCURITÉ PHYSIQUE

Un autre aspect important de la sécurité des données est la sécurité physique. L’accès physique au centre de données est contrôlé par un système de badge, de surveillance vidéo et de personnel sur place 24/7.
Les locaux sont équipés de systèmes de détection de fumée et d’un système de double alimentation systématique avec des génératrices de secours ayant une autonomie initiale de 48 heures. De plus, les locaux sont équipés de deux connexions réseau redondantes afin d’éviter la dépendance à un seul fournisseur internet.
De plus, toutes les installations sont protégées contre les inondations, les incendies et autres risques environnementaux.

HÉBERGEMENT ULTRA SÉCURISÉ

Pour améliorer en permanence la protection des données et garantir la confidentialité de toutes les informations, tous les systèmes et données de DiliTrust sont hébergés sur des serveurs qui ont obtenu les plus hautes certifications internationales dans le domaine de la sécurité informatique.
L’hébergement est aussi certifié par la norme
ISO/IEC 27001:2013. Cette norme garantit la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) pour la sécurité des données. ISO 27001 définit également des mesures de contrôle pour assurer la capacité des systèmes à fournir à nos clients le plus haut niveau de sécurité.

CONTRÔLE ET SURVEILLANCE 24/7

Nos systèmes sont sous surveillance 24/7 notamment par rapport à toute tentative d’attaque ou la survenance d’un événement technique :

  • Surveillance du matériel (taux d’utilisation de la mémoire RAM, des CPUs et du stockage), surveillance des performances applicatives ;
  • Déclenchement automatique d’alertes en cas de détection d’activités suspectes ;
  • Firewall, IDS (Intrusion Detection System), système anti-flood (DDoS) et protection contre les attaques en force brute.

Tous les serveurs ont des disques et des accès réseau redondants, ainsi qu’un système de sauvegardes quotidiennes.

SAUVEGARDES (BACKUPS)

Les sauvegardes de l’ensemble du système sont effectuées chaque jour et stockées dans un emplacement secondaire géographiquement distant sous les mêmes conditions de sécurité que les serveurs de production et dans le même pays (donc sous la même juridiction).
Les sauvegardes sont conservées pendant sept jours glissants, puis détruites définitivement sans possibilité de récupération. Exemple : le fichier de sauvegarde du lundi efface automatiquement le fichier du lundi précédent.
Une installation secondaire opérationnelle est à disposition, en cas de force majeure, pour redémarrer le service (moyennant le temps de propagation DNS).

CHIFFREMENT

« DATA-AT-REST » : AES 256

Toutes les données confidentielles au repos sont chiffrées en AES (Advanced Encryption Standard, Rijndael) avec une clé 256 bits, le plus haut standard de chiffrement actuel.
À la fois sur les serveurs et sur les appareils mobiles (pour les données stockées localement).

« DATA-IN-MOTION » : HTTPS 256 BITS

Notre standard pour tout le trafic (données en mouvement) dans ou hors de nos serveurs est un chiffrement systématique par TLS (protocoles TLS 1.2 et supérieurs) avec les plus hauts niveaux de chiffrement (256 bits). Aucun trafic non chiffré n’est autorisé.
Seuls les navigateurs modernes et sécurisés sont utilisés (IE11, Edge, Firefox, Chrome, Safari) ainsi que les applications mobiles natives DiliTrust. L’accès est refusé aux navigateurs obsolètes et non sécurisés (tels que IE8).

MODULE MATÉRIEL DE SÉCURITÉ (HSM)

Un « Hardware Security Module » (HSM) est un coffre-fort numérique. C’est un processeur cryptographique dédié, spécialement conçu pour protéger les clés de chiffrement tout au long de leur cycle de vie.
Le HSM agit comme base de confiance protégeant l’infrastructure cryptographique de nos applications en gérant, traitant et conservant de manière sécurisée les clés de chiffrement à l’intérieur d’un serveur à la sécurité spécialement renforcée et réputée inviolable. La technologie HSM nous aide à fournir à nos clients le meilleur niveau de chiffrement pour leurs données et le plus haut niveau de sécurité actuellement disponible.

APPORTEZ VOTRE PROPRE CLÉ (BYOK)

Nous offrons à nos clients la possibilité d’héberger eux-mêmes leur propre HSM (conforme à PKCS11) pour protéger leur clé de chiffrement. Toutes les données de nos clients seront chiffrées avec leur propre clé. Ces clés sont donc sécurisées dans le HSM client et non au sein du HSM du fournisseur.

AUTRES FONCTIONS DE SÉCURITÉ

MOTS DE PASSE SÉCURISÉS

Chaque utilisateur est identifié par un nom d’utilisateur unique et un mot de passe. Tous les utilisateurs doivent choisir leur propre mot de passe sécurisé. Aucun mot de passe n’est envoyé par mail ou affiché à aucun moment et à qui que ce soit. Les mots de passe sont enregistrés sous forme de hash, après un cryptage unidirectionnel (injectif).
La politique de mot de passe minimum par défaut est la suivante :

  • Contenir au moins trois caractères de différents types (minuscules, majuscules, chiffres ou caractères spéciaux).
  • 10 caractères minimum.

Procédure d’obtention ou de récupération de mot de passe : mail avec lien sécurisé d’accès unique (caduque au bout de 24h et après utilisation).
Chaque requête faite aux serveurs est authentifiée pour vérifier l’identité de l’utilisateur, et si l’utilisateur possède les autorisations appropriées pour exécuter l’action demandée. La demande est transmise pour exécution si et seulement si tous ces contrôles sont validés avec succès.

AUTHENTIFICATION FORTE PAR SMS (TFA)

Le TFA (Two Factor Authentication) ou authentification à deux facteurs peut renforcer davantage la sécurité de l’utilisateur pour accéder à l’application. Suite à l’entrée de son login et mot de passe, l’utilisateur reçoit par SMS un code à saisir pour finaliser son authentification. Chaque code est à usage unique et correspond à une tentative de connexion spécifique.

AUDITS

Dans le but d’assurer le plus haut niveau de sécurité, nous appliquons trois niveaux de contrôles redondants : audits internes, audits automatisés hebdomadaires et audits externes humains annuels à minima.
En cas de découverte d’une faille de sécurité, cette dernière est corrigée dans le plus bref délai. Les recommandations et bonnes pratiques sont appliquées systématiquement.

AUDITS INTERNES

DiliTrust applique des procédures internes strictes en termes de sécurité :

  • « Security by design » : les équipes de développement sont formées aux différentes techniques d’intrusion et au code sécurisé pour s’en prémunir ;
  • Procédures internes de revue de code et tests de sécurité avant chaque mise en production de nouvelle fonctionnalité ;

Tests internes de sécurité et utilisation de divers outils d’audit de sécurité, principalement ceux disponibles dans la distribution Linux Kali.

AUDITS EXTERNES PAR DES EXPERTS INDÉPENDANTS

Une fois par an au minimum, nous procédons à un audit de sécurité complet par une entreprise externe indépendante spécialisée dans la sécurité informatique (tests d’intrusion « humains » non automatisés).
Un rapport de sécurité est généré à la fin de chaque test ; les failles sont corrigées immédiatement et les recommandations d’amélioration sont appliquées dès que possible.

AUDITS AUTOMATISÉS (QUALYS)

Nos systèmes sont sécurisés par Qualys. Le service est soumis à un balayage intensif hebdomadaire de sécurité niveau serveur (configuration firewall, ports, versions software à jour, configuration SSL… etc.) mais aussi niveau applicatif (XSS, injection SQL, session hijacking… etc.)
Il est testé pour passer avec succès toutes les recommandations découlant des audits externes de vulnérabilité des organisations suivantes :

  • Department of Homeland Security’s National Infrastructure Protection Centre (NIPC)
  • OWASP Top 10 Most Critical Web Application Security Risks
  • SANS/FBI Top 20 Internet Security Vulnerabilities list
  • Visa’s CISP and AIS
  • Mastercard’s SDP
  • American Express’ DSS
  • Discover Card’s DISC security standards.

 

DiliTrust est également conforme aux critères de sécurité prescrits dans des règlements et lois tels que :

  • Health Insurance Portability & Accountability Act (HIPAA)
  • Gramm-Leach-Bliley Act (GLBA)
  • Sarbanes-Oxley Act (SOA)
  • Government Information Security Reform Act (GISRA)
  • Canada’s Personal Information Protection and Electronic Documents Act.