La sécurité des données et des informations chez Assent

Chiffrement

Données en mouvement : nos communications Internet sont chiffrées via HTTPS, SFTP et TLS.

Données au repos : les données client sont protégées grâce au chiffrement AES.

Environnements distincts (développement, assurance qualité, pré-production, UAT, production) : les environnements de développement, de test et de pré-production sont séparés de l’environnement de production, aussi bien physiquement que logiquement.

Ségrégation des données : toutes les données client sont compartimentées par des contrôles de sécurité de pointe auxquels seules des personnes désignées disposant de certains identifiants et privilèges peuvent accéder. De plus, des répertoires SFTP distincts sont créés pour chaque client afin de permettre le transfert des données vers Assent.

Test d’intrusion : une entreprise tierce indépendante effectue des tests d’intrusion annuels sur Internet et sur le réseau dans l’environnement de production. Nos équipes internes effectuent également des tests tous les six mois.

Analyse de la vulnérabilité des applications : une analyse de la vulnérabilité des applications est effectuée sur chaque version du code avant d’être envoyée dans les environnements de recette (UAT). Seul le code ayant satisfait l’analyse est envoyé en production.

Prestataire de services

L’environnement d’hébergement d’Assent et les services pertinents sont fournis par AWS. Leur réputation en matière de sécurité des données n’est plus à faire et des leaders tels que Verizon et Capital One leur font confiance. AWS possède de nombreuses certifications telles que SOC 2 et ISO 9001:2015.

Où nous trouver

Assent dispose de trois sites d’hébergement :

• Amérique du Nord : AWS USA Est — Virginie du Nord.
• UE : AWS — Francfort, Allemagne

La sécurité et la structure du réseau d’Assent sont des composantes clés de ses mesures permanentes de sécurité des données. Les clients bénéficient des fonctionnalités suivantes :

Détection et prévention des intrusions : les événements de sécurité potentiels sont atténués par des systèmes de détection et de prévention des intrusions (IDS et IPS respectivement). Ils sont placés aux points d’entrée et de sortie du réseau pour éviter toute violation.

Prévention contre la perte de données : Assent utilise une approche à plusieurs niveaux pour prévenir la perte de données, en utilisant des outils nouvelle génération et des processus traditionnels.

Architecture : les données client sont isolées du trafic du réseau périphérique grâce à une architecture spécialement conçue, qui respecte les pratiques de haute disponibilité et de topologie.

Analyse de la vulnérabilité réseau : des analyses régulières et exhaustives des vulnérabilités sont effectuées sur le réseau et les points de terminaison pour en garantir l’efficacité.

Gestion de l’information et des événements de sécurité (SIEM) : les événements de sécurité potentiels sont surveillés, analysés et signalés à l’équipe de sécurité d’Assent via une solution de gestion des incidents de sécurité.

Accès au réseau : seuls les utilisateurs et appareils autorisés peuvent accéder au réseau d’Assent.

Peu importe où se trouvent les données, Assent dispose de mesures solides pour les protéger et les conserver en cas d’urgence. Des sauvegardes complètes sont effectuées chaque semaine, tandis que les sauvegardes des journaux et les sauvegardes différentielles sont effectuées toutes les heures, minimisant ainsi la perte de données lors d’événements imprévus.

De même, Assent a mis en place des procédures de reprise après sinistre (DR) pour protéger les données. Les données client présentes dans l’environnement de production sont synchronisées avec le site de DR en temps quasi réel. En cas de sinistre, la perte de données attendue sera d’environ 1 heure, avec une marge de 30 minutes. Le plan de reprise après sinistre est testé chaque année.

Sauf cas extrême, une fenêtre de quatre heures est prévue pour le retour aux opérations normales, si le recours au site DR est requis.

AWS U.S.-West (Oregon) est le site de reprise après sinistre américain d’Assent, et en UE, il s’agit d’AWS Irlande.

Réponse aux incidents de sécurité : Assent dispose d’un plan de réponse aux incidents documenté, testé chaque année et couvrant tous les aspects d’un incident, depuis la détection jusqu’à l’analyse post-incident.

Gestion des modifications : les modifications apportées à la production sont soumises à des tests, à une validation et à une approbation documentés.

Authentification à deux facteurs : cette méthode est utilisée pour l’administration de l’environnement de production et pour l’accès à distance au réseau Assent.

Surveillance continue : tous les systèmes sont surveillés 24 h/24, 7 j/7 pour leurs performances et leur capacité.

Équipe de sécurité dédiée : tous les membres de l’équipe de sécurité d’Assent détiennent les certifications et autorisations de sécurité appropriées.

Politiques : Assent dispose d’un ensemble complet de politiques de sécurité, fondées sur le cadre ISO 27001, révisées chaque année. Ces politiques sont mises à la disposition de l’ensemble du personnel ayant accès aux ressources d’information d’Assent.

Formation : tous les nouveaux membres du personnel suivent une formation de sensibilisation à la sécurité avant de pouvoir accéder au réseau. Cette formation doit ensuite être renouvelée chaque année. De plus, des tests de simulation d’hameçonnage (phishing) et des formations de sensibilisation sont régulièrement organisés pour former nos collaborateurs aux nouvelles cybermenaces.

Vérification des antécédents : Assent procède à la vérification des antécédents et des casiers judiciaires de tous les nouveaux membres de son personnel.

Accords de confidentialité : tous les nouveaux membres du personnel sont tenus de signer des accords de confidentialité.