FAQ's
Politiques
Avez-vous une politique de sécurité formelle ?
Oui. Nos politiques comprennent une politique de sécurité générale, une description technique des mesures de sécurité, un rapport sur les incidents de sécurité, la cause première et la mise en œuvre de mesures correctives.
Avez-vous un plan de réponse aux incidents de sécurité?
Oui.
Avez-vous une politique de gestion des risques ?
Notre approche consiste à construire un plan de gestion des risques pour chaque client et projet interne majeur. Les risques sont classés dans une matrice montrant leur impact potentiel et leur probabilité d’occurrence. Le plan formalisé de gestion des risques est examiné par le chef de projet, le client et la direction de Mondeca.
Comment s’organise la gestion du changement ?
Nous utilisons Backlog pour la gestion du changement. Nous pouvons fournir plus de détails sur la mise en place de Backlog sur demande
Rôles et Responsabilités
Comment les clients interagissent-ils avec Mondeca ?
Un responsable exécutif est toujours désigné comme sponsor du projet client.
Le contact opérationnel est assumé par un consultant senior désigné (directeur du projet pendant la phase de mise en œuvre).
Les tickets de support sont enregistrés, attribués aux ressources concernées, suivis et remontés au responsable de la relation client/direction générale si nécessaire.
Les autres fonctions incluent les chefs de produits, les consultants fonctionnels, le DevOps, les ventes et avant-ventes et la direction générale.
La vérification des antécédents des employés est-elle obligatoire ?
Oui, dans la mesure permise par les lois françaises et européennes. Les contrôles comprennent la vérification de l’identité, du diplôme/qualification, de l’emploi antérieur et, pour les citoyens étrangers, de leur statut juridique dans notre pays d’origine.
Les employés sont-ils tenus de signer un accord de confidentialité lors de leur embauche ?
Oui. Cela fait partie du contrat de travail (en France tous les salariés doivent avoir un contrat écrit)
Installations
Où sont stockées les données clients ?
Les données seront stockées dans des centres de données AWS sécurisés. Nous ne stockons aucune donnée client dans les bureaux de MONDECA.
Quels sont les contrôles de sécurité du data center ?
Veuillez vous référer à https://aws.amazon.com/compliance/data-center/controls/
Dans quelle mesure votre espace de bureau est-il sécurisé ?
L’accès au bureau est contrôlé. Nous effectuons des exercices d’incendie et d’évacuation. Nous n’avons aucun élément d’infrastructure au bureau. Les documents techniques et commerciaux sont dématérialisés. Aucune donnée client n’est stockée au bureau. Nos bureaux constituent un environnement à faible risque et ne sont pas essentiels aux opérations commerciales.
Le bureau de MONDECA utilise-t-il des points d’accès sans fil pour les communications ?
Nous utilisons des points d’accès Wi-Fi avec cryptage WPA2-AES.
Architecture
VPC |
Isole le réseau du client des serveurs et composants AWS externes et d’Internet |
Pare-feu | Pare-feu réseau intégré au VPC Amazon, avec capacités de pare-feu d’applications Web (créer des réseaux privés, contrôler l’accès aux instances et aux applications) |
Sous-réseau public | Restreint l’accès depuis Internet (Mondeca autorise uniquement les accès HTTPS et SSH via une passerelle Internet). L’accès SSH est limité aux adresses IP sources définies. Pour augmenter la sécurité, utilisez un VPN pour les accès SSH/HTTPS. |
Groupe de sécurité | Attaché au VPC (par défaut, nous choisissons d’interdire tout et de n’autoriser que ce qui est décrit dans les règles du groupe de sécurité). |
Accès SSH | L’accès SSH à partir d’une adresse IP source définie est le seul accès externe autorisé. Tous les autres ports de nos EC2 sont fermés. |
IAM (gestion des données d’accès) | Basé sur KeyCloak (RedHat SSO) – s’intègre à Pingfederate, prend en charge l’authentification unique et la déconnexion unique pour les applications de navigateur, la synchronisation des utilisateurs à partir des serveurs LDAP et Active Directory. |
Sécurité
Quelles sont les procédures d’autorisation et de licenciement des employés de Mondeca ?
L’autorisation comprend la vérification de l’identité, du curriculum, de l’emploi antérieur et du statut d’étranger (le cas échéant). La vérification d’identité est effectuée par Mondeca, en charge de notre paie et par les autorités françaises (sécurité sociale et administration fiscale). La procédure de résiliation comprend un entretien de sortie, l’annulation des droits d’accès à tous nos systèmes, le réacheminement des emails professionnels (dans la mesure permise par la loi française), la restitution du matériel et des clés d’accès. Si nous permettons à l’employé de partir avec son ordinateur portable, le système de stockage est remis à zéro.
Comment les clients sont-ils informés d’une faille de sécurité ?
Le responsable de la relation client informe le client, évalue l’impact et convient des mesures immédiates. Nous publions ensuite un rapport détaillé (exemples disponibles sur demande), expliquons la cause profonde et décrivons les mesures à prendre pour l’éviter à l’avenir.
Comment les appareils sont-ils protégés contre les virus et les malwares ?
Des solutions antivirus et anti-malware autorisées sont déployées sur tous les environnements (y compris les VM), lorsque cela est techniquement possible. Les fichiers de signatures sont automatiquement mis à jour. Veuillez noter que Mondeca n’est pas responsable de la sécurité des postes de travail du personnel des clients.
Comment Mondeca se débarrasse-t-elle des équipements obsolètes ?
Effacement de toutes les données avant destruction.
Quels sont les contrôles en cas de perte ou de vol d’équipement personnel ?
Annulation immédiate de la carte SIM. Effacement à distance si possible. Les mots de passe forts sont toujours activés.
Quels sont les contrôles concernant l’utilisation des supports amovibles ?
Notre politique de sécurité ne permet pas le stockage d’informations sensibles sur des périphériques amovibles.
Comment votre système est-il protégé contre les accès Internet non autorisés ?
L’application est protégée par un pare-feu implémenté avec un groupe de sécurité AWS. Seul le personnel autorisé de Mondeca peut accéder à la configuration du pare-feu. Par défaut, nous mettons en place des infrastructures avec des serveurs disposant de pare-feux, avec un minimum de ports ouverts et avec des filtres IP.
En option, une couche DMZ peut être ajoutée à l’infrastructure.
Les protocoles de connexion utilisent SSH et HTTPS. La détection des intrusions est effectuée avec Prometheus pour surveiller les accès réseau anormaux. Des IPS et HIPS plus avancés peuvent être mis en place avec l’infrastructure cloud AWS, moyennant des frais.
Comment l’accès à distance est-il sécurisé ?
L’accès à distance est autorisé uniquement via le VPN de MONDECA. Le point d’accès VPN se trouve dans un centre de données sécurisé. Seuls les employés affectés au projet y ont accès. Les droits d’accès sont revus mensuellement. L’accès à partir d’actifs extérieurs à l’entreprise n’est pas autorisé.
Les connexions entre les serveurs Web, les serveurs d’applications et les serveurs de bases de données sont-elles chiffrées ?
Non, sauf demande expresse du client, les connexions internes ne sont pas cryptées.
Toutes les connexions se font via SSH. Les attaques par force brute sont limitées par des politiques de mot de passe strictes et des limites de tentatives de connexion infructueuses. Ils sont détectés grâce à des règles spécifiques mises en place sur l’application IDS. L’accès SSH n’est autorisé qu’au sein du VPN de MONDECA. Tous les ports et protocoles sont fermés par défaut, seules les IP autorisées peuvent accéder à des ports et protocoles spécifiques.
Comment la sécurité des applications est-elle testée ?
Nous utilisons les outils fournis dans le guide de test OWASP. Les tests sont exécutés lors de la compilation pour garantir que les vulnérabilités de sécurité sont évaluées :
- Zed Attack Proxy pour détecter l’exposition de données sensibles
- Vérification des dépendances OWASP pour la détection des dépendances vulnérables
Comment corriger les vulnérabilités ?
Lorsque des vulnérabilités sont détectées, elles sont corrigées et les correctifs sont appliqués. Des niveaux de priorité spécifiques et des délais de réponse correspondants peuvent être inclus dans le contrat.
Comment les données des clients sont-elles stockées ?
Les données des clients sont stockées dans une base de données dédiée et une partie peut être temporairement stockée dans des fichiers sur le serveur dédié. Les données de configuration client sont stockées dans des fichiers sur le serveur dédié.
Les données des clients sont-elles cryptées ?
Les données au repos sont chiffrées dans les différents composants de stockage de l’infrastructure (EBS, bucket S3, RDS) avec un chiffrement utilisant l’algorithme AES-256.
Les données en transit (HTTPS) sont chiffrées par TLS, avec des certificats RSA par défaut.
Comment gérez-vous la sécurité https ?
Les en-têtes de sécurité sont définis avec une sécurité maximale possible. Ils sont testés à l’aide de https://securityheaders.com en visant le grade A.
Comment la journalisation au niveau de l’application est-elle organisée ?
Les logs sont conservés à plusieurs niveaux :
- Base de données
- Serveur d’application
- Serveur HTTP frontal/répartiteur de charge
Lorsque le contrat le prévoit, les logs peuvent être envoyés à une application de surveillance des logs qui offre des interfaces conviviales d’exploration des logs.
Quelles sont les normes de renforcement de votre système ?
Renforcement du réseau
- Tous les ports sont fermés par défaut
- Le filtrage IP est activé par défaut
Renforcement du serveur
- Les droits accordés aux utilisateurs sont établis sur la base de la politique du moindre privilège
Renforcement du système d’exploitation
- Les mises à jour du système d’exploitation sont surveillées et appliquées
- Les stockages sont cryptés
Les postes de travail stockent-ils les données des clients ?
Non. Les données sont toujours dans des centres de données sécurisés.
Gestion des Identités et des Accès
Les informations d’identification peuvent être gérées dans nos applications ou par le système de gestion des identités et des accès de nos clients à l’aide du protocole OpenID Connect (construit au-dessus de OAuth2).
Tous les utilisateurs sont-ils identifiés de manière unique ?
Oui.
Comment les utilisateurs sont-ils créés et supprimés ?
Les comptes sont créés et supprimés du système de gestion des identités et des accès par l’administrateur. Nous ne proposons pas de processus de création automatique d’utilisateurs.
Comment les informations de connexion sont-elles fournies aux nouveaux utilisateurs ?
En envoyant des identifiants « hors bande » : login par email, mot de passe par SMS ou par application de chat.
Comment les identifiants sont-ils protégés ?
Par l’utilisation d’AWS Secret Manager.
Les informations d’identification par défaut sont-elles immédiatement modifiées ?
Oui.
Quels événements liés à l’accès/à l’identité sont enregistrés ?
Nous enregistrons les éléments suivants :
- Créations, suppressions, désactivations de comptes
- Dates de modification du compte
- Tentatives de connexion
Supportez-vous l’emprunt d’identité d’utilisateur ?
Oui. L’administrateur peut se connecter en tant qu’autre personne pour vérifier les rôles. Le serveur de gestion des identités et des accès permet à l’administrateur de se faire passer pour un autre utilisateur.
Comment l’accès à Internet est-il sécurisé ?
L’accès à toutes les interfaces Internet est protégé par une application de gestion des identités et des accès, qui autorise l’authentification multi facteur.
Pouvez-vous utiliser une liste d’approbation pour accéder aux applications ?
Les connexions peuvent être définies par adresse IP dans une liste d’approbation.
Outre l’accès au interfaces frontales, d’autres méthodes d’accès sont-elles prises en charge ?
Oui. Les services Web sont également accessibles via HTTPS. Cet accès est également protégé par l’application de gestion de identités et des accès.
Comment l’accès à votre API est-il sécurisé ?
L’utilisateur s’authentifie au travers de notre application de gestion des identités et des accès, puis reçoit un jeton d’accès à durée limitée.
Les mots de passe des applications peuvent-ils être personnalisés selon les exigences des clients ?
La politique de mot de passe est entièrement personnalisable dans l’application de gestion des identités et des accès, pour appliquer différents niveaux de complexité requis dans un mot de passe :
- Nombre de chiffres
- Nombre de lettres minuscules
- Nombre de lettres majuscules
- Nombre de caractères spéciaux (ex., !, #, %, $)
- Nombre de jours pendant lesquels le mot de passe reste valide
D’autres critères peuvent être définis. Prière de se référer à :
https://www.keycloak.org/docs/6.0/server_admin/#_password-policies
Quelle est votre politique de mot de passe ?
Longueur minimale de 8 caractères et longueur maximale de 128 caractères.
Le mot de passe doit contenir au minimum les trois des types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux (! @ # $ % ^ & * ( ) _ + – = [ ] { } |).
La politique d’expiration du mot de passe configurée par défaut dans le serveur de gestion de identités et des accès lors de l’initialisation du projet est fixée à 90 jours.
Dans quelle mesure vos mots de passe stockés sont-ils sécurisés ?
Les mots de passe des applications sont stockés et chiffrés par le serveur de gestion des identités et des accès, et hachés à l’aide de PBKDF2.
Suivi des Opérations
Comment surveillez-vous les applications et les composants sous-jacents ?
Les applications de Mondeca sont conçues avec une capacité intégrée de journalisation des événements. Les informations contenues dans les journaux sont présentées de manière interrogeable et conviviale via le module Monitoring App. Les événements d’application et d’infrastructure sont enregistrés et signalés via le Monitoring App.
Comment les alertes sont-elles communiquées ?
Grâce à des notifications automatiques par email au personnel concerné.
Disposez-vous d’outils de sécurité contre les activités malveillantes ?
Oui. Logiciel antivirus sur ordinateurs portables et de bureau. ModSecurity est installé sur les serveurs web.
Les mises à jour des outils de sécurité sont surveillées via le flux de vulnérabilités du NIST et le flux d’alertes du CERT français.
Comment les règles de pare-feu sont-elles révisées ?
Mensuellement, par un administrateur système Mondeca.
L’examen valide les points suivants :
- Justification commerciale de la règle
- Permissivité
- Redondance
- Conformité à la politique de sécurité (aucun accès aux réseaux internes n’est autorisé)
- Utilisation (suppression des règles inutilisées)
- Auteur des règles (seul le personnel autorisé peut ajouter/modifier des règles)
Comment surveiller les intrusions ?
Par la collecte en interne des journaux CloudWatch, qui sont envoyés à Monitoring APP.
Comment surveiller les anomalies ?
Le processus de journalisation des activités est effectué avec Prometheus, en envoyant les journaux à la Monitoring App. Des emails d’alerte peuvent ensuite être envoyés lorsque des anomalies sont détectées par la Monitoring App. Les journaux d’activité sont périodiquement examinés.
Quelle est votre approche de la sécurité des applications ?
L’approche s’appuie sur IaaS.
Les images de conteneur Docker sont fréquemment vérifiées pour les mises à jour au moment de la construction (dans les pipelines CI/CD). Les vulnérabilités des applications Web sont testées au moment du test de build ou d’intégration avec les outils recommandés par le rapport OWASP (OWASP Dependency Check, Retire.js, OWASP Zed Attack Proxy, SSLyze)
Comment sécuriser les logiciels tiers ?
Notre politique consiste à utiliser les versions de logiciels tiers les plus récentes et les plus sûres. Au minimum, nous utilisons les versions du fournisseur ou prises en charge par la communauté.
Comment réagissez-vous aux résultats des tests d’intrusion ?
Les Pentests sont effectués par nos développeurs et les résultats consignés dans un rapport. Des actions sont prises en fonction de la gravité du risque (immédiat ou dans les jours suivants), souvent pour renforcer les règles sur les pare-feux des applications web.
Permettez-vous au client d’effectuer ses propres tests d’intrusion ?
Oui, à condition de cibler la plateforme client.
Continuité de l'activité
Comment le client peut-il poursuivre ses activités si Mondeca fait faillite ?
Le client est propriétaire des données et peut à tout moment les exporter dans un format indépendant du logiciel, sans avoir à justifier sa demande.
Qui est responsable de la sécurité et de la reprise après sinistre ?
Le PDG et le COO sont chargés d’émettre des politiques de sécurité, de garantir leurs applications et de vérifier leur conformité. Le rôle de CSO est assumé par le PDG. Mondeca dispose d’un délégué à la confidentialité des données (DPO) dédié.
Avez-vous des plans pour la continuité des activités ?
Oui.
Quel est le délai prévu pour la récupération du service ?
En fonction de la configuration AWS (mono ou multizone) nous convenons d’un délai de récupération avec nos clients. Dans tous les cas ce délai est inférieur à 24 heures.
Comment signaler une panne ?
Notre responsable de la relation client notifie le contact client désigné.
La capacité d’un centre de données alternatif est-elle égale à celle d’une installation principale ?
Oui.
Pouvons-nous fonctionner à partir du centre de données alternatif pendant une période prolongée ?
Oui.
Avez-vous un autre espace de travail ?
Oui. Notre organisation de bureau à domicile est testée et opérationnelle.
À quelle fréquence vos plans de continuité sont-ils testés ?
Une fois par an. Les tests impliquent tout le personnel.
Sauvegarde et Restauration
Notre politique standard consiste à sauvegarder séparément l’intégralité du système de fichiers de l’instance client et la base de données contenant les données client. La sauvegarde est cryptée et stockée dans un autre centre de données.
Planification de sauvegarde
Par défaut toutes les 24 heures, avec une période de conservation de 30 jours. Cela peut être adapté aux niveaux de services spécifiques de nos clients.
Cryptage de sauvegarde
Les sauvegardes sont stockées sur des buckets S3, qui sont chiffrés avec l’algorithme AES-256.
Qui peut autoriser la restauration des données ?
Seul le client peut confirmer qu’une restauration de données peut être effectuée.
À quelle fréquence la sauvegarde et la restauration sont-elles testées ?
Les procédures de sauvegarde et de restauration sont testées tous les deux mois.
À quelle fréquence les procédures de sauvegarde et de restauration sont-elles révisées ?
Tous les deux mois.
Protection des données
Avez-vous un délégué à la protection des données ?
Oui. Notre DPO reporte directement au COO.
Effectuez-vous une analyse d’impact sur la protection des données ?
Oui, pour chaque nouveau client ou projet interne.
Disposez-vous de processus pour détecter les incidents ou les violations de confidentialité ?
Oui.
Combien de temps conservez-vous les données du client ?
Aussi longtemps que cela est nécessaire à la fourniture du service à nos clients. Nous ne conservons pas d’informations au-delà de la durée du contrat, sauf demande expresse du client.
Comment garantissez-vous que les données sont utilisées uniquement aux fins prévues ?
Les droits d’accès sont attribués uniquement aux ressources pertinentes. Dans la plupart des cas, l’attribution des droits d’accès incombe à nos clients. La politique de sécurité interdit le téléchargement d’informations et l’accès à celles-ci via des applications non destinées aux opérations. Veuillez noter que l’accès aux systèmes clients est restreint et qu’aucune donnée n’est stockée dans nos bureaux.
Utilisez-vous les données des clients à des fins de tests ?
Non, sauf demande ou autorisation explicite du client. Dans la plupart des cas, nous utilisons des données génériques et publiques.
Pouvons-nous récupérer nos données ?
Oui. Le client est propriétaire de ses données et peut les récupérer à tout moment dans un format indépendant du logiciel, sans avoir à justifier sa demande.
Vendez-vous ou échangez-vous des données avec des tiers ?
Jamais.
Transférez-vous les données des résidents de l’UE en dehors de l’UE ?
Non. Si vous nous le demandez, nous nous appuierons sur l’accord de protection des données AWS qui garantit le même niveau élevé de protection des données personnelles que celui dont bénéficient les données personnelles dans l’Espace Économique Européen.
Avez-vous des accords de sous-traitants avec vos prestataires de services ?
Oui. Notre sous-traitant principal est AWS. Comme tous les clients AWS, nous pouvons nous appuyer sur les termes de l’Accord de Traitement des Données du RGPD de AWS qui s’applique automatiquement lorsque les services AWS sont utilisés pour traiter des données personnelles dans le cadre du RGPD.