Sécurité

"La sécurité est un métier. C'est notre métier."

La sécurité de l’information est notre priorité N°1

Nos clients nous confient leurs informations les plus stratégiques : nous leur devons le plus haut niveau de sécurité

Nos serveurs sont localisés en France, au Canada, ainsi qu’aux Émirats Arabes Unis. Les données ne sont ni partagées sur le cloud ni accessibles à la loi du Patriot Act américain. Les données sont chiffrées lors de leur transmission et durant leur stockage. DiliTrust Exec est certifié ISO 27001.

 

Trois niveaux différents de protection sont mis en œuvre pour garantir la protection de vos données :

1 – sur l’infrastructure physique :

Notre hébergement est certifié ISO 27001

Dans un but d’amélioration permanente de la protection des données et pour assurer une confidentialité accrue de l’information, les applications DiliTrust sont hébergées sur des serveurs ayant obtenu les plus hautes certifications dans le domaine de la sécurité informatique.

L’hébergement est certifié par la norme internationale ISO/IEC 27001:2013. Cette certification garantit la mise en place d’un Système de Management de la Sécurité de l’Information pour assurer la protection des données. La norme ISO 27001 définit également un ensemble de mesures de contrôle pour assurer la pertinence du SMSI et apporte à nos clients un niveau d’exigences très élevé en matière de sécurité.

Toutes les données confidentielles au repos sont chiffrées en utilisant le standard de chiffrement avancé : AES (Advanced Encryption Standard, Rijndael) avec une clé de 256 bits. À la fois sur les serveurs et sur les appareils mobiles (pour les données stockées localement).

Notre standard pour tout le trafic (données en mouvement) est un chiffrement systématique par TLS (protocoles TLS 1.0, 1.1 et 1.2 seulement) avec les plus hauts niveaux de chiffrement (256 bits). Aucun trafic non chiffré n’est autorisé. Seuls les navigateurs modernes et sécurisés sont supportés (IE9+, Firefox, Chrome, Safari) et les applications mobiles sont natives. L’accès est refusé avec les navigateurs obsolètes et non sécurisés (tels que IE6).

2 – sur l’application côté serveur

Trois niveaux de contrôles de sécurité redondants sont en place : des audits internes, des audits automatisés quotidiens et des audits externes humains périodiques. En cas de découverte d’une faille de sécurité, elle est corrigée dans le plus bref délai. Les recommandations et bonnes pratiques sont appliquées systématiquement dans la mesure du possible :

  • Audits internes

DiliTrust applique des procédures internes strictes pour faire appliquer les meilleures pratiques de sécurité :

  • Procédures internes de « revue de code » et tests de sécurité avant chaque mise en production de nouvelle fonctionnalité.
  • Tests internes de sécurité et utilisation d’outils divers d’audit de sécurité.
  • Tests d’intrusions automatisés et quotidiens

Notre système est sécurisé par Qualys. Il est soumis à un balayage intensif quotidien de sécurité niveau serveur (config firewall, ports, versions software à jour, config SSL… etc.) mais aussi niveau applicatif (XSS, injection SQL, session hijacking… etc.)

Les tests d’intrusions de Qualys assurent que la sécurité de l’application est conforme avec l’ensemble des prérequis de sécurité du standard PCI (Payment Card Industry Data Security Standard) et des recommandations d’audit externe de vulnérabilités des organismes suivants :

  • National Infrastructure Protection Center (NIPC)
  • Department of Homeland Security
  • La liste Top 10 OWASP
  • Les exigences de vérification de vulnérabilité du PAIC Visa
  • AIS, SDP MasterCard, American Express DSS
  • Ainsi que les normes de sécurité Discover Card DISC
  • Discover Card’s DISC security standards
  • Audits externes par des experts indépendants

Une à deux fois par an minimum, nous procédons à un audit de sécurité complet par une entreprise externe spécialisée dans la sécurité informatique (tests d’intrusion « humains » non-automatisés).

3 – sur l’application côté client

Cryptage SSL, clé 256 bits

Chaque utilisateur est identifié par un nom d’utilisateur et un mot de passe. La sécurité des mots de passe est garantie par une politique stricte de robustesse des mots de passe. Les mots de passe sont enregistrés sous forme de hash, après un cryptage unidirectionnel (injectif).

Chaque demande faite à nos serveurs est authentifiée pour vérifier l’identité de l’utilisateur, et si l’utilisateur possède les autorisations appropriées pour exécuter l’action demandée. La demande est transmise pour exécution si et seulement si ces contrôles sont validés avec succès.

Une option d’authentification forte par SMS (TFA = Two factor authentication) : suite à l’entrée de son login et mot de passe, l’utilisateur reçoit un SMS avec un code à rentrer pour finaliser son authentification. Chaque code est à usage unique et correspond à une tentative de connexion spécifique.