Une sécurité sans compromis pour vos besoins de conformité

Sécurité

Stockage des données

Stockage physique

AWS (Amazon Web Services) est responsable de la gestion de la sécurité physique de l'infrastructure. AWS est conçu non seulement pour permettre des solutions Cloud véritablement évolutives, mais également pour répondre aux attentes les plus élevées en matière de sécurité.

Les données sont stockées sur des serveurs d'une installation qui est certifiée ISO 27001, ISO 27017, ISO 27018 et SOC 1, SOC 2 et SOC 3 , Pour obtenir une vue d'ensemble des programmes de conformité, Cliquez ici

Emplacement

Toutes les données et sauvegardes sont stockées chez AWS à Francfort. Les sauvegardes sont stockées dans différentes zones de disponibilité pour garantir la disponibilité des données.

Obtenez une compréhension de la couche périphérique, de la couche d'infrastructure, de la couche de données et de la couche environnementale des centres de données, Cliquez ici

Cryptage

Toutes les données sont cryptées lorsqu'elles sont en transit et au repos. Cela garantit l'intégrité des données car elles ne peuvent être corrompues ou modifiées pendant le transfert, la confidentialité car les données ne peuvent être interceptées par des tiers et l'authentification car le client final peut être sûr que le site auquel il se connecte est bien le nôtre.

En transit

Les données en transit sont chiffrées à l'aide du protocole TLS (Transport layer security). Seules les versions TLS égales ou supérieures à 1.2 sont prises en charge, toutes les autres versions sont bloquées.

Au repos

Chaque fois que des données sont stockées sur un disque dur, par exemple des données stockées dans une base de données, elles sont cryptées à l'aide de l'AES (256 bits). Cela empêche la lecture des données en cas de vol d'un disque dur physique dans un centre de données.

Gestion des correctifs

Chez Formalize, nous donnons la priorité à la sécurité et à la haute disponibilité en utilisant des services gérés par AWS dans la mesure du possible. Ces services font l'objet de correctifs et d'une maintenance continus de la part d'AWS. Cependant, pour certains services non gérés par AWS, nous mettons en œuvre des processus stricts de gestion des correctifs afin de garantir que la sécurité reste intacte.

Sauvegarde des données

Fréquence des sauvegardes

Des sauvegardes périodiques sont effectuées pour s'assurer que les données des clients ne sont pas perdues. Les sauvegardes sont effectuées à intervalles quotidiens (les sauvegardes expirent après 35 jours) et hebdomadaires (les sauvegardes expirent après 85 jours).

Pour les services non gérés par AWS, comme notre Jump Box, les correctifs sont recherchés et appliqués quotidiennement. En outre, notre Jump Box est sécurisé sur un réseau privé qui exige une authentification à deux facteurs pour l'accès et enregistre toutes les connexions pour une meilleure surveillance.

Certains services, comme nos services Web, sont gérés conjointement par AWS et Formalize. Ils sont analysés et corrigés en permanence afin de maintenir la sécurité et les performances.

Sécurité des sauvegardes

Toutes les sauvegardes sont stockées dans différentes zones de disponibilité afin d'éviter toute perte de données. Une zone de disponibilité est un ou plusieurs centres de données distincts dotés d'une alimentation, d'un réseau et d'une connectivité redondants. Toutes les sauvegardes sont protégées selon les mêmes normes que l'environnement de production.

Journalisation

Formalize prend la journalisation au sérieux et dispose d'une journalisation complète dans toute notre application. Nous améliorons continuellement notre journalisation. La journalisation est effectuée à quatre niveaux différents : événements de connexion, etc., erreurs de validation, journalisation des erreurs, journaux de flux DNS, etc.

Surveillance du système et détection des intrusions

Nous tirons parti d’AWS GuardDuty, un service intelligent de détection des menaces qui surveille en permanence les activités malveillantes ou non autorisées sur notre réseau. Il agit comme notre principal système de détection d’intrusion sur le réseau (NIDS). L’activité de l’administrateur et les journaux de requêtes DNS sont également enregistrés et analysés pour détecter une utilisation abusive potentielle. En savoir plus sur GuardDuty,. ici.

Pour améliorer nos défenses, nous utilisons AWS WAF. Ce service permet de surveiller et de contrecarrer les requêtes Web malveillantes, offrant ainsi une couche supplémentaire de protection contre les tentatives de piratage. Pour plus de détails,. Cliquez ici.

Cycle de vie de développement sécurisé

Un cycle de vie de développement sécurisé (SDLC) est un processus qui nous permet de nous assurer que la sécurité est intégrée au logiciel dès le départ. Notre SDLC comprend diverses activités de sécurité qui sont effectuées à chaque étape de notre processus de développement. Ces activités nous aident à trouver et à corriger les vulnérabilités de sécurité potentielles et à empêcher l’introduction de nouvelles vulnérabilités.

Plusieurs activités clés du cycle de vie sont réalisées, notamment la construction et la publication par petits incréments, la dette technique, les politiques relatives aux tiers, l'analyse des fuites de secrets, le contrôle des versions, la vérification des vulnérabilités, les normes de cryptographie, les mesures et la journalisation, la formation des développeurs, les tests et la séparation des environnements.

Gestion des vulnérabilités

Chez Formalize, nous prenons la sécurité au sérieux en employant des pratiques robustes de gestion des vulnérabilités pour protéger notre infrastructure et l'améliorer en permanence.

Lutte contre les vulnérabilités

Pour minimiser notre surface d'attaque, nous maintenons un seul point d'entrée public à notre API, qui est protégé par un pare-feu d'application Web (WAF). Ce pare-feu bloque efficacement les menaces courantes telles que les scripts intersites (XSS) et l'exécution de code à distance (RCE). Notre infrastructure est basée sur Alpine Linux, offrant une empreinte minimale et sécurisée du système d'exploitation. En outre, nos serveurs web sont conçus pour fonctionner comme des conteneurs en lecture seule qui sont rafraîchis toutes les 15 minutes ou pendant les déploiements, ce qui garantit que les logiciels malveillants ne peuvent pas persister dans notre environnement.

En plus de ces mesures préventives, nous faisons appel à des services gérés pour renforcer la sécurité et réduire le risque d'erreurs de configuration. Ces services gérés fournissent des correctifs automatiques, ce qui renforce encore l'intégrité de notre infrastructure. L'accès aux bases de données est étroitement contrôlé, exigeant une authentification à deux facteurs (2FA) et limitant l'accès exclusivement aux utilisateurs approuvés au sein de notre réseau.

Analyse des vulnérabilités

Chez Formalize, nous utilisons des pratiques complètes d'analyse des vulnérabilités afin d'identifier et de traiter de manière proactive les risques de sécurité potentiels dans l'ensemble de nos systèmes. Nos efforts d'analyse englobent les dépendances de code, les conteneurs et les serveurs, ainsi que notre infrastructure et notre réseau au sens large.

Des analyses de vulnérabilité des dépendances du code sont effectuées quotidiennement. Ces analyses sont effectuées à l'aide de quatre outils différents : CVE publics, base de données privée des vulnérabilités, dépendances open source avec XSS (Cross-site scripting), et dépendances open source avec RCS (Remote code execution).

Les analyses des conteneurs et des serveurs sont effectuées en permanence et à chaque fois que du code est introduit. Ces analyses se concentrent sur la détection des vulnérabilités dans les paquets du système d'exploitation au sein de notre environnement basé sur Alpine Linux. Les CVE publics et les bases de données de vulnérabilités privées sont utilisés pour l'analyse. Par exemple, elles peuvent identifier les versions obsolètes d'OpenSSL qui pourraient présenter des risques de débordement de mémoire tampon ou d'exécution de code à distance (RCE).

Nos analyses de l'infrastructure et du réseau ont lieu toutes les 18 heures et respectent des normes rigoureuses, notamment les exigences du CIS (Center of Internet Security), la norme PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) et les meilleures pratiques de sécurité fondamentales de notre fournisseur d'hébergement. Ces analyses sont conçues pour identifier les mauvaises configurations, telles que les files d'attente non cryptées ou l'absence d'authentification à deux facteurs pour les utilisateurs administratifs.