Fonctions de sécurité

Alteia s'engage à obtenir et à maintenir la confiance de ses clients.

Notre solide programme de sécurité pour Aether est basé sur les normes de sécurité internationales conformément au règlement général sur la protection des données (« RGPD »).

Tout ce que nous faisons est régi par un ensemble strict de politiques, de procédures et de contrôles :

  • Les données sont cryptées en transit et au sein de la plateforme.
  • Les processus de sécurité sont pris en compte dans notre cycle de vie de développement de logiciels sécurisés.
  • Des contrôles d'accès granulaires basés sur les rôles vous permettent d'ajuster l'accès des membres de votre équipe aux données, aux ensembles d'outils et aux privilèges d'édition.
  • Les outils d'audit fournissent un enregistrement détaillé des actions de chaque utilisateur au sein de la plateforme Aether et de l'application Alteia.

L'approche standard ISO 27001

Notre programme de sécurité robuste est basé sur la norme ISO 27001.

  • Évaluation des menaces et vulnérabilités par un tiers indépendant
  • Évaluation des risques informatiques
  • Émission d'une "Politique de sécurité de l'information"
  • Mise en place d'un "Plan de Gestion des Evénements de Sécurité"

Fonctionnalités de sécurité de l'infrastructure

Contrôles d'audit. La plateforme Aether est auditée chaque année. Cet audit évalue la conformité de la sécurité de l'architecture de la plateforme Aether selon les stratégies de l'entreprise.

Rôles et autorisations granulaires. Au niveau de la plateforme Aether, Alteia permet des autorisations granulaires qui permettent d'accorder des privilèges à des rôles spécifiques et d'empêcher les administrateurs système d'accéder aux données des utilisateurs. Seul un petit groupe d'administrateurs de la plateforme peut accéder à ces données.

Cryptage des données. Aether est hébergé sur AWS - Toutes les données Alteia et les données personnelles des clients sont systématiquement cryptées au niveau S3 via KMS (Key Management Service). Les avantages des services AWS :

  • Conformité SOC2 – garantit la sécurité et la disponibilité des données hébergées
  • Certifié ISO 27001, ISO 27017, ISO 27018, ISO 9001
  • Certificat FIPS 140-2 – garantit la confidentialité et l'intégrité des clés de chiffrement

Fonctionnalités de sécurité des applications

Cycle de vie du développement logiciel sécurisé

Alteia a mis en place un cycle de vie de développement logiciel sécurisé (S-SDLC) :

Essais de pénétration

Alteia réalise des tests d'intrusion tous les trois mois afin d'identifier les menaces et vulnérabilités potentielles, permettant ainsi de réaliser une évaluation complète des risques. Des stratégies d'atténuation sont ensuite établies et des actions correctives sont mises en œuvre.

Un test d'intrusion est une cyberattaque simulée autorisée qui permet d'évaluer la sécurité d'un système afin d'identifier les faiblesses ou les vulnérabilités permettant à des parties non autorisées d'accéder aux fonctionnalités et aux données du système.

Deux tests différents sont effectués :

  • Black-box testing : Un testeur d'intrusion joue le rôle d'un hacker. L'objectif de ce test est d'essayer d'accéder à la base de données d'Aether sans rien connaître de la structure de l'architecture.
  • Test en boîte grise : le testeur a les niveaux d'accès et de connaissance d'un utilisateur du système et même une connaissance avancée des rouages du réseau, y compris sa conception et son architecture. L'objectif est de tester la sécurité à l'intérieur du périmètre protégé et de simuler une attaque avec un accès de longue durée au réseau.

Suivi des dépendances : Alteia effectue un audit de tous les composants tiers dans le code source d'Aether pour assurer la continuité de l'application.
Alteia garantit également que les tiers respectent tous les droits légaux d'utilisation des données.

Rôles et autorisations granulaires : Au niveau de l'application, les profils utilisateur Aether sont basés sur des rôles avec des autorisations définies pour effectuer des tâches spécifiques. Il existe deux notions d'"utilisateurs", l'une liée à un compte (comme une entreprise ou une organisation) et l'autre liée à un projet. Cela permet une flexibilité dans la gestion de vos actifs.

Cet article a-t-il répondu à vos questions ?

Cet article a-t-il répondu à vos questions ?


Knowledge Base Software powered by Helpjuice