Politique de sécurité de l’information

Version : 1.1

Date : 2024-12-04

Email : [email protected]

Introduction

Chez GearTracker.net, nous nous engageons à maintenir la confidentialité, l’intégrité et la disponibilité de notre plateforme SaaS, qui permet la gestion et l’inspection de vos équipements. Cette politique de cybersécurité décrit les mesures techniques et organisationnelles que nous mettons en place pour sécuriser nos systèmes et les données qui nous sont confiées par nos clients.

Champ d’application

Cette politique s’applique à :

  • La plateforme SaaS GearTracker.net et son infrastructure.
  • Toutes les données traitées, y compris les données de comptes clients et les inventaires importés.
  • Les employés, sous-traitants et systèmes impliqués dans le développement et l’exploitation de la plateforme.

Sécurité de l’infrastructure et de l’hébergement

Hébergement Cloud

Notre infrastructure est hébergée sur Heroku, situé dans l’Union Européenne. Elle est conforme au Règlement Général sur la Protection des Données (RGPD), garantissant la confidentialité et la protection des données personnelles des clients de l’UE.

Ce fournisseur d’hébergement est conforme aux normes ISO 27001, SOC 2 et RGPD.

Sécurité Réseau

Tout le trafic réseau est protégé en amont par Cloudflare, qui assure :

  • Une protection DDoS
  • Un filtrage intelligent des requêtes via son pare-feu applicatif Web (WAF)
  • Un chiffrement de bout en bout avec TLS 1.2+ ou supérieur

Cloudflare est certifié ISO 27001:2013 et conforme à SOC 2 Type II.

Nos environnements de production sont hébergés sur Heroku (Salesforce Platform).

L’infrastructure physique de Heroku est hébergée et gérée au sein des centres de données sécurisés d’Amazon, et repose sur la technologie Amazon Web Services (AWS). Amazon gère en permanence les risques et effectue des évaluations régulières afin de garantir la conformité aux normes de l’industrie. Les opérations des centres de données d’Amazon ont obtenu les certifications suivantes :

  • ISO 27001
  • SOC 1 et SOC 2 / SSAE 16 / ISAE 3402 (anciennement SAS 70 Type II)
  • PCI Niveau 1
  • FISMA Modéré
  • Sarbanes-Oxley (SOX)

L’accès aux systèmes de production est strictement contrôlé :

  • Uniquement via des connexions chiffrées
  • Limité aux comptes autorisés utilisant une authentification multi-facteurs (MFA)
  • Basé sur le principe du moindre privilège

Sauvegarde et Restauration

Nous mettons en œuvre les mesures de sauvegarde et de restauration suivantes :

  • Sauvegardes quotidiennes de tous les systèmes et bases de données critiques.
  • Sauvegardes chiffrées et stockées dans des emplacements géographiquement redondants.
  • Tests de restauration réguliers pour garantir l’intégrité des sauvegardes.

Sécurité des Applications

Exigences de Sécurité générales

Nous appliquons les exigences de sécurité de l’OWASP ASVS niveau 2 (https://owasp.org/www-project-application-security-verification-standard/) pour le développement de nos applications.

Bonnes Pratiques de Développement

Développée en TypeScript (mode strict) avec une stack moderne : React (frontend), NestJS (backend), Prisma ORM.
Les revues de code sont obligatoires pour toute fusion vers la production.
Tout le code est stocké dans un dépôt GitHub privé.
Tests automatisés (unitaires et d’intégration) pour toutes les fonctionnalités critiques.
Les dépendances sont régulièrement analysées pour détecter les vulnérabilités via npm audit.

Bonnes Pratiques de Développement Sécurisé

Respect des directives OWASP Top Ten et du niveau 2.
Validation et nettoyage des entrées pour toutes les données saisies par les utilisateurs.
Utilisation de requêtes préparées et d’un ORM pour prévenir les injections SQL.
Mise en place de protections contre les attaques XSS (Cross-Site Scripting) et CSRF (Cross-Site Request Forgery).

Gestion des Vulnérabilités

Les correctifs de sécurité sont appliqués dans les 24 heures pour les vulnérabilités critiques.
Capacité à déployer des correctifs d’urgence (hotfixes) en production en moins de 5 minutes, sans interruption de service.

Authentification & Autorisation

  • Authentification des utilisateurs via Google OAuth 2.0 / authentification stateless par token (JWT).
  • Contrôle d’accès basé sur les rôles (RBAC) pour restreindre l’accès aux fonctionnalités.

Protection des Données & Confidentialité

Chiffrement

Les données sensibles comme les mots de passe sont stockées en utilisant AES-256 et un salt.

Conformité RGPD

Veuillez consulter notre Politique de confidentialité et de protection des données personnelles pour plus d’informations sur le traitement des données personnelles.

Gestion des Accès

Le principe du moindre privilège est appliqué à l’ensemble de l’organisation.

  • Tous les accès administratifs sont enregistrés et surveillés.
  • L’accès aux systèmes de production est limité uniquement au personnel autorisé.
  • Tous les employés et prestataires font l’objet de vérifications d’antécédents avant de se voir accorder l’accès aux systèmes sensibles.

Gestion des appareils

Tous les appareils utilisés pour accéder aux systèmes de production et/ou aux données critiques sont gérés et sécurisés.

  • Ils sont protégés par un mot de passe ou un verrouillage biométrique.
  • L’accès aux systèmes de production nécessite une authentification à deux facteurs (2FA).

Supervision & Réponse aux Incidents

Supervision

Surveillance en temps réel 24/7 des performances de l’infrastructure et de l’application.
Des alertes sont configurées pour détecter toute activité suspecte, anomalie d’utilisation ou dégradation des performances.

Plan de Réponse aux Incidents

Procédure de réponse aux incidents (IRP) définie et testée.
Les clients sont notifiés dans les 24 heures en cas de violation de données les concernant.
Email dédié pour signalement d’incident : [email protected]

Compromission de terminaux clients

Nous ne gérons pas les terminaux des clients qui se connectent à l’application. Nous recommandons à tous nos clients de sécuriser leurs terminaux (PC, smartphones, tablettes) en utilisant un système de verrouillage par mot de passe ou biométrie, ainsi qu’un antivirus à jour.

Nous avons la capacité de désactiver un compte utilisateur en cas de compromission d’un terminal client. Nous recommandons également de changer le mot de passe du compte utilisateur concerné.

Sécurité Physique

Notre principal fournisseur d’infrastructure maintient :

  • Centres de données surveillés 24/7.
  • Contrôles d’accès biométriques.
  • Systèmes anti-incendie et alimentation redondante.

Pour plus d’informations : https://aws.amazon.com/security

Amélioration Continue

Nous révisons et améliorons continuellement notre posture de cybersécurité :

  • Révisions annuelles de cette politique.
  • Les retours clients et les audits sont intégrés à notre feuille de route.

Contact & Divulgation Responsable

Tous les employés de geartracker.net sont formés à la sensibilisation à la sécurité et aux meilleures pratiques.
Nous encourageons la divulgation responsable des vulnérabilités de sécurité, tant en interne qu’en externe.
Nous accueillons favorablement les signalements de vulnérabilités de sécurité : [email protected] .

Gestion des risques

Nous avons mis en place un processus de gestion des risques pour identifier, évaluer et atténuer les risques liés à la sécurité de l’information. Nous réalisons des évaluations de risques régulières pour identifier les menaces potentielles et les vulnérabilités de notre infrastructure et de nos applications. Nous mettons en œuvre des mesures d’atténuation appropriées pour réduire les risques identifiés à un niveau acceptable. Nous maintenons les documents suivants et leurs processus liés :

  • Politique de sécurité de l’information (ce document)
  • Registre des risques (R&O register, interne)
  • Incident Response Plan (IRP, interne)
  • Business Continuity Plan (BCP, interne)