Politique de sécurité

Version 2.1 – mai 2025

Historique des révisions :

  • Version 2.0 - Octobre 2024 (Publication initiale de la politique combinée)
  • Version 2.1 - Mai 2025 (Mise à jour pour inclure la prise en compte de TLS 1.3, la gestion spécifique des secrets Kubernetes, la clarification de la fréquence des tests de pénétration internes et l'ajout d'une mention relative à la politique de conservation des données.)

Portée

La présente politique de sécurité s'applique à tous les systèmes Credenti, y compris les déploiements SaaS et sur site, les applications mobiles, les API et l'infrastructure de soutien. Elle régit les actions des employés, des sous-traitants et des partenaires tiers impliqués dans la fourniture, la maintenance ou le soutien des services de gestion des identités et des accès.

Propriété de la politique

Cette politique est révisée et mise à jour au moins une fois par an ou en réponse à des changements architecturaux ou réglementaires importants. Le responsable de la sécurité des systèmes d'information (RSSI) est chargé de la mise en œuvre, de la supervision et du maintien de cette politique.

Credenti des solutions d'identité sans mot de passe et résistantes au phishing, soutenues par des pratiques de sécurité de pointe. Notre programme de sécurité s'articule autour de contrôles physiques, techniques et administratifs visant à protéger l'identité des utilisateurs, l'intégrité de la plateforme et les données des clients.

Mesures techniques de sécurité

Cryptage et protection des données

  • Chiffrement AES-256 pour les données au repos via AWS KMS
  • TLS 1.2/1.3 avec certificat de sécurisation pour les données en transit
  • Isolation des clés par locataire à l'aide d'un KMS basé sur HSM
  • Rotation automatisée des clés et gestion du cycle de vie

Gestion des secrets

  • Aucun secret codé en dur dans le code ou la configuration
  • Secrets gérés à l'aide de contrôleurs Kubernetes (par exemple, External Secrets Operator) et AWS KMS
  • Contrôles secrets du cycle de vie pour la création, la rotation et la révocation
  • Pistes d'audit et détection des anomalies via AWS CloudTrail

Sécurité des plateformes et des applications

  • Hébergé sur AWS avec WAF, Shield et Firewall Manager
  • Limitation du débit et atténuation des attaques DDoS à plusieurs niveaux
  • Séparation logique des données au niveau des locataires
  • Les données de production et les clés de chiffrement ne sont pas accessibles aux équipes internes.

Développement sécurisé et DevOps

  • Pipelines CI/CD avec analyses SCA sur les dépendances
  • Infrastructure en tant que code avec analyse de sécurité (par exemple, Amazon Inspector)
  • Accès administrateur sécurisé via des boîtes de saut et une liste blanche d'adresses IP
  • Tests de pénétration internes (trimestriels) et externes (annuels)

Surveillance et observabilité

  • Surveillance continue de l'état et des performances du système
  • Alertes en temps réel pour les anomalies et les erreurs
  • Pistes d'audit complètes pour les connexions et les actions administratives
  • Journalisation compatible SIEM pour l'intégration d'entreprise

Gestion des vulnérabilités

  • Analyse continue à l'aide d'Amazon Inspector et analyse CI/CD intégrée
  • Remédiation rapide basée sur les scores CVSS, l'exploitabilité et l'impact commercial
  • Dépendances tierces et open source suivies et examinées
  • Tests de pénétration internes mensuels et tests de pénétration annuels réalisés par des tiers

Contrôles de sécurité sur site

  • Toutes les données clients restent au sein du réseau client, garantissant ainsi la souveraineté des données.
  • Les clients conservent la pleine propriété des données et des journaux d'audit.
  • Option permettant de configurer des clusters Kubernetes (K8s) distincts pour les sous-organisations ou les unités commerciales
  • Meilleures pratiques pour sécuriser l'accès à Kubernetes :
    • Authentification à partir d'appareils gérés par l'entreprise
    • Intégration avec des fournisseurs d'identité (par exemple, Entra, Okta) pour l'authentification unique (SSO)
    • Appliquez l'authentification multifactorielle à l'aide de jetons matériels (par exemple, YubiKey).
    • Gérer l'accès via des solutions PAM
    • Exiger des serveurs relais renforcés ou des hôtes bastion
    • Faire tourner les identifiants SSH (automatisé via un accès basé sur des certificats) et enregistrer toutes les tentatives d'accès.

Mesures administratives de sécurité

Conformité et gouvernance

  • SOC 2 Type II, SOC 1 Type II
  • GDPR, PCI , CFR Partie 11
  • Certifié ISO 27001
  • Conçu pour être conforme aux normes HIPAA, GDPR et NIST SP 800-63
  • Options d'hébergement régional pour la résidence des données

Politiques et contrôle d'accès

  • Contrôles d'accès basés sur les rôles (RBAC)
  • Cycle de vie sécurisé du développement logiciel (SSDLC)
  • Gestion du changement et examens trimestriels des accès

Sensibilisation et formation à la sécurité

  • Formation obligatoire pour tous les employés
  • Application des accès basés sur les rôles
  • Simulations régulières d'hameçonnage
  • Vérification des antécédents des employés occupant des postes sensibles

Réponse aux incidents

  • Opérations de sécurité 24 heures sur 24, 7 jours sur 7
  • Plan d'intervention en cas d'incident (IRP) documenté et testé
  • SLA pour la détection, la réponse et la communication

Continuité des services et reprise après sinistre

  • Infrastructure AWS multi-régions et multi-AZ
  • Plan de reprise après sinistre avec RTO/RPO définis
  • Sauvegardes cryptées et tests de basculement
  • DR validé par les audits SOC 2 et ISO

Audits et mesures correctives

  • Journaux d'audit pour les événements d'authentification et d'administration
  • Traçabilité complète des modifications apportées au système
  • Audits internes avec mesures correctives
  • Intégration SIEM et assistance à l'audit
  • Politiques définies en matière de conservation des données clients et des journaux d'audit

Gestion des risques liés aux fournisseurs

  • Vérification préalable en matière de sécurité et conformité pour tous les fournisseurs
  • Accords sur la protection des données (DPA)
  • Examens trimestriels de l'accès des fournisseurs
  • Conformité AWS avec FedRAMP, ISO 27001, SOC 2

Mesures de sécurité physique

Sécurité des centres de données et des infrastructures

  • Hébergé sur le cloud AWS
  • Surveillance 24 heures sur 24, 7 jours sur 7, accès biométrique et contrôles environnementaux
  • Conformité : SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Régis par le modèle de responsabilité partagée AWS

Protection des terminaux et des appareils

  • Chiffrement des disques durs sur tous les ordinateurs portables de l'entreprise
  • MFA pour les systèmes internes
  • Gestion des appareils mobiles (MDM) et contrôles de santé

Contrôles des bureaux et des actifs

  • Accès aux installations à l'aide d'un badge
  • Wi-Fi segmenté pour les entreprises et les invités
  • Élimination sécurisée du matériel informatique et des supports de données

Transparence et contact

Credenti à ses clients une visibilité en temps réel sur les événements de la plateforme, les actions administratives et les journaux d'accès.

Pour demander des documents ou signaler un problème :

📧credenti