Politique de sécurité

Portée

La présente politique de sécurité s'applique à tous les systèmes Credenti, y compris les déploiements SaaS et sur site, les applications mobiles, les API et l'infrastructure de soutien. Elle régit les actions des employés, des sous-traitants et des partenaires tiers impliqués dans la fourniture, la maintenance ou le soutien des services de gestion des identités et des accès.

Propriété de la politique

Cette politique est réexaminée et mise à jour au moins une fois par an ou en cas de changements architecturaux ou réglementaires importants. Le responsable de la sécurité des systèmes d'information (RSSI) est chargé de la mise en œuvre, de la supervision et de la mise à jour de cette politique.

Credenti des solutions d'identité sans mot de passe et résistantes au phishing, soutenues par des pratiques de sécurité de pointe. Notre programme de sécurité s'articule autour de contrôles physiques, techniques et administratifs visant à protéger l'identité des utilisateurs, l'intégrité de la plateforme et les données des clients.

Mesures techniques de sécurité

Cryptage et protection des données

  • Chiffrement AES-256 pour les données au repos via AWS KMS
  • TLS 1.2/1.3 avec certificat de sécurisation pour les données en transit
  • Isolation des clés par locataire à l'aide d'un KMS basé sur HSM
  • Rotation automatisée des clés et gestion du cycle de vie

Gestion des secrets

  • Aucun secret codé en dur dans le code ou la configuration
  • Secrets gérés à l'aide des contrôleurs Kubernetes et d'AWS KMS
  • Contrôles secrets du cycle de vie pour la création, la rotation et la révocation
  • Pistes d'audit et détection des anomalies via AWS CloudTrail

Sécurité des plateformes et des applications

  • Hébergé sur AWS avec WAF, Shield et Firewall Manager
  • Limitation du débit et atténuation des attaques DDoS à plusieurs niveaux
  • Séparation logique des données au niveau des locataires
  • Les données de production et les clés de chiffrement ne sont pas accessibles aux équipes internes.

Développement sécurisé et DevOps

  • Pipelines CI/CD avec analyses SCA sur les dépendances
  • Les tests de sécurité statiques (SAST) intégrés aux pipelines de compilation pour détecter précocement les vulnérabilités au niveau du code
  • Tests dynamiques de sécurité des applications (DAST) effectués sur des applications et des API en cours d'exécution
  • Infrastructure en tant que code avec analyse de sécurité (par exemple, Amazon Inspector)
  • Accès administrateur sécurisé via des boîtes de saut et une liste blanche d'adresses IP
  • Tests de pénétration internes et externes

Pratiques de développement sécurisé et de tests de sécurité

  • Cycle de vie formel du développement de logiciels sécurisés (SSDLC) conforme aux meilleures pratiques de l'OWASP et aux directives de l'OWASP Top 10 en matière d'atténuation des risques, avec des contrôles validés en permanence par rapport aux dernières catégories de l'OWASP Top 10
  • Modélisation des menaces réalisée pendant les phases de conception afin d'identifier et d'atténuer les risques liés à l'architecture
  • Des exercices réguliers de « red teaming » visant à simuler des scénarios d'attaque réels et à valider les mesures de défense
  • Des tests de sécurité continus intégrés tout au long des phases de développement, de préproduction et de production
  • Révisions de code par les pairs axées sur la sécurité pour les composants et fonctionnalités à haut risque

Surveillance et observabilité

  • Surveillance continue de l'état et des performances du système
  • Alertes en temps réel pour les anomalies et les erreurs
  • Pistes d'audit complètes pour les connexions et les actions administratives
  • Journalisation compatible SIEM pour l'intégration d'entreprise

Gestion des vulnérabilités

  • Analyse continue à l'aide d'Amazon Inspector et analyse CI/CD intégrée
  • Correction rapide en fonction des scores CVSS et du potentiel d'exploitation
  • Dépendances tierces et open source suivies et examinées
  • Tests de pénétration internes mensuels et tests de pénétration annuels réalisés par des tiers

Contrôles de sécurité sur site

  • Toutes les données clients restent au sein du réseau client, garantissant ainsi la souveraineté des données.
  • Les clients conservent la pleine propriété des données et des journaux d'audit.
  • Option permettant de configurer des clusters Kubernetes (K8s) distincts pour les sous-organisations ou les unités commerciales
  • Meilleures pratiques pour sécuriser l'accès à Kubernetes :
    • Authentification à partir d'appareils gérés par l'entreprise
    • Intégration avec des fournisseurs d'identité (par exemple, Entra, Okta) pour l'authentification unique (SSO)
    • Appliquez l'authentification multifactorielle à l'aide de jetons matériels (par exemple, YubiKey).
    • Gérer l'accès via des solutions PAM
    • Exiger des serveurs relais renforcés ou des hôtes bastion
    • Renouveler régulièrement les identifiants SSH et consigner toutes les tentatives d'accès

Mesures administratives de sécurité

Conformité et gouvernance

  • SOC 2 Type II, SOC 1 Type II
  • GDPR, PCI , CFR Partie 11
  • Certifié ISO 27001
  • Conçu pour être conforme aux normes HIPAA, GDPR et NIST SP 800-63
  • Options d'hébergement régional pour la résidence des données

Politiques et contrôle d'accès

  • Contrôles d'accès basés sur les rôles (RBAC)
  • Cycle de vie sécurisé du développement logiciel (SSDLC)
  • Gestion du changement et examens trimestriels des accès

Sensibilisation et formation à la sécurité

  • Formation obligatoire pour tous les employés
  • Application des accès basés sur les rôles
  • Simulations régulières d'hameçonnage

Réponse aux incidents

  • Opérations de sécurité 24 heures sur 24, 7 jours sur 7
  • Plan d'intervention en cas d'incident (IRP) documenté et testé
  • SLA pour la détection, la réponse et la communication

Continuité des services et reprise après sinistre

  • Infrastructure AWS multi-régions et multi-AZ
  • Plan de reprise après sinistre avec RTO/RPO définis
  • Sauvegardes cryptées et tests de basculement
  • DR validé par les audits SOC 2 et ISO

Audits et mesures correctives

  • Journaux d'audit pour les événements d'authentification et d'administration
  • Traçabilité complète des modifications apportées au système
  • Audits internes avec mesures correctives
  • Intégration SIEM et assistance à l'audit

Gestion des risques liés aux fournisseurs

  • Vérification préalable en matière de sécurité et conformité pour tous les fournisseurs
  • Accords sur la protection des données (DPA)
  • Examens trimestriels de l'accès des fournisseurs
  • Conformité AWS avec FedRAMP, ISO 27001, SOC 2

Mesures de sécurité physique

Sécurité des centres de données et des infrastructures

  • Hébergé sur le cloud AWS
  • Surveillance 24 heures sur 24, 7 jours sur 7, accès biométrique et contrôles environnementaux
  • Conformité : SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Régis par le modèle de responsabilité partagée AWS

Protection des terminaux et des appareils

  • Chiffrement des disques durs sur tous les ordinateurs portables de l'entreprise
  • MFA pour les systèmes internes
  • Gestion des appareils mobiles (MDM) et contrôles de santé

Contrôles des bureaux et des actifs

  • Accès aux installations à l'aide d'un badge
  • Wi-Fi segmenté pour les entreprises et les invités
  • Élimination sécurisée du matériel informatique et des supports de données

Transparence et contact

Credenti à ses clients une visibilité en temps réel sur les événements de la plateforme, les actions administratives et les journaux d'accès.

Pour demander des documents ou signaler un problème :

📧credenti