Présentation du système d'information & Politique de sécurité - Version 1.0 Décembre 2018 - Onbrane
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Présentation du système d’information &
Politique de sécurité
Version 1.0 Décembre 2018
Présentation du système d’information & Politique de sécurité
Table des matières
Contexte et objectifs du document 4
Présentation générale du service Onbrane 4
Les intervenants du marché 4
Les flux de transaction 5
Conception de plateforme et gestion des releases 6
Conception de la plateforme 6
Project Management 6
La démarche projet se fait quant à elle en 3 étapes: 7
Gestion des releases 8
Les 5 types d’environnement de travail : 8
Les tests automatisés 9
Le HelpDesk d’Onbrane 10
Architecture technique de l’infrastructure de Onbrane 10
Présentation générale 11
Langages et compatibilité 11
Architecture des micros services 12
Architecture des régions 12
Inter-opérabilité et interactions 14
Lien par API REST - Mode Pull 14
Dépôt de fichiers à plat 14
API STP FIX - Mode Pull 15
Divers Exports 15
Présentation des données sur la plateforme 15
Gestion des utilisateurs 15
Inscription des utilisateurs 15
Accès utilisateurs 16
Accès Administrateur 17
Traçabilité des données 17
Mesures de protection des données 17
Présentation de la gouvernance de la Sécurité Informatique 18
Evaluation de la vulnérabilité de la plateforme 19
Evaluation de la montée en charge de la plateforme 19
Plan de reprise d’activité 19
Sauvegarde 19
Définition du PRA 20
Test du PRA 20
V 1.0 Décembre 2018 1
Présentation du système d’information & Politique de sécurité Redondance des lieux de travail des équipes de développement et opérationnelle 20 Gestion de crise 20 Réversibilité des données 21 RGPD 21 Recensement et registre des traitements 21 Analyse de la conformité 21 Information et sensibilisation des salariés 21 V 1.0 Décembre 2018 2
Présentation du système d’information & Politique de sécurité 1. Contexte et objectifs du document Ce document présente avec précision toute la gestion de la sécurité informatique de la plateforme. Il sera mis à jour à chaque évolution et demande complémentaire des utilisateurs de la Plateforme. Spécifiquement, sont détaillées ci-dessous l’organisation du système d’information et la politique de sécurité mises en place par Onbrane. Dès la conception de la plateforme, Onbrane a maximisé : - la sécurité des données et du système, - la fiabilité de la plateforme, - le déploiement rapide de nouvelles fonctionnalités. 2. Présentation générale du service Onbrane La société Onbrane, Fintech Française, développe une plateforme de négociation et d’émission de titres financiers courts-termes avec et pour les acteurs du marché Primary Debt Market (émetteurs, investisseurs, dealers, brokers, domiciliataire, clearer). Onbrane favorise aujourd’hui les négociations autour des besoins et investissements de liquidités des entreprises au travers du NEU CP. Le NEU CP est un produit financier à court terme (moins d’un an), créé en 2016, et qui recouvre sous cette dénomination les anciens billets de trésorerie, et les certificats de dépôts. Il est régi par le code monétaire et financier, sous l’autorité de la Banque de France. La plateforme s’appuie sur des principes d’efficience (simplification, fluidité et agilité des processus), d’accès aux données (outils d’aide à la décision d’investissement, pricing, gestion des risques grâce à des technologies d’exploitation de données), et de liquidité (volume de transactions important favorisant l’accès à la liquidité du marché). La plateforme ne prend aucune décision d’investissement: c’est toujours à l’initiative des acteurs que ces décisions sont prises. La plateforme ne fait que transmettre les informations d’un acteur à l’autre d’une façon transparente. Elle est accessible 24h/24, 7j/7. 2.1. Les intervenants du marché Les intervenants d’Onbrane sont multiples. En premier lieu, il convient de bien déterminer les différents acteurs qui interviennent sur/autour de la plateforme: ● les émetteurs (tels que définis par l’article L. 213-3 du Code monétaire et financier): ils émettent un papier pour obtenir des fonds pour leur trésorerie. ● les dealers/brokers: ils mettent en lien l’émetteur avec un acheteur. Dans le cas des Neu CP, les dealers sont très souvent des banques. Elles peuvent donc soit acheter le papier directement pour le revendre tout de suite, soit pour le garder. Dans ce second cas, elles sont considérées comme des investisseurs. ● les investisseurs (OPCVM, trésoreries d’entreprises, banques etc): Ils achètent un papier pour placer leur surplus de trésorerie. V 1.0 Décembre 2018 3
Présentation du système d’information & Politique de sécurité ● l’agence de notation: elle évalue le risque de non remboursement des émetteurs afin d’aider à la négociation du taux. Le rapport de l’agence de notation se trouve sur le programme envoyé à la Banque de France. Une entreprise peut ne pas être notée, avoir une notation pour son entreprise et une pour son programme. ● le garant: il intervient quand un émetteur n’est pas noté par une agence de notation. Moins de 10% des transactions sont effectuées par des émetteurs avec garant ● l’arrangeur: il va accompagner et aider le futur émetteur dans ses démarches. L’arrangeur est un établissement de crédit disposant d’une expertise spécialisée sur ce type de programme. ● l’agent domiciliataire: il s’assure de la régularité des conditions d’émission, est responsable de l’exactitude du montant de l’émission en regard des instructions de l’émetteur, et assure également le service financier de l’émission. ● Euroclear: c’est le dépositaire central des titres. Son rôle est divisé en 2 parties: enregistrer toutes les transactions et gérer les règlements – Livraison via son système ESES ● la Banque de France: elle surveille le marché, publie les statistiques, donne l’accord aux entreprises pour émettre. Les acteurs qui interviennent directement sur la plateforme Onbrane sont les suivants: ● les émetteurs ● les dealers ● les investisseurs D’autres acteurs interviennent de façon indirecte sur la plateforme: ● le domiciliataire: Il est chargé de veiller à l'exactitude du montant de l'émission conformément aux conditions prévues dans le programme. Il est également l'agent financier de l'émission, chargé de payer les porteurs des titres lors des versements d'intérêts et des remboursements. Ils sont chargés de demander le code ISIN auprès d’Euroclear. Sur la plateforme, le code ISIN sera demandé via API. Enfin il remplit les obligations statistiques vis-à-vis de la Banque de France. ● Euroclear: toutes les informations sur le titre sont envoyées à Euroclear via une API pour la récupération du code ISIN, après la création du titre par l’émetteur. 2.2. Les flux de transaction Le processus est défini comme suit: V 1.0 Décembre 2018 4
Présentation du système d’information & Politique de sécurité
3. Conception de plateforme et gestion des releases
3.1. Conception de la plateforme
S'appuyant sur l’expériences de ses employés et un an de R&D, Onbrane a conçu la
plateforme en interne.
L’équipe d’Onbrane se compose de 5 experts techniques :
● 1 CTO avec 15 ans d'expérience dans la gestion de projet, le développement de
plateforme et dans l’UX/ UI
● 1 product manager pour la mise en place d’une méthodologie de travail adaptée
● 1 technical back-end leader
● 1 technical front-end leader
● 1 testeur
3.2. Project Management
Onbrane utilise la méthode agile afin de maximiser une livraison rapide de nouvelles
fonctionnalités à forte valeur ajoutée. Un long travail de modélisation de la méthode a été
réalisé afin de s’adapter aux besoins de Onbrane et de former l’ensemble des personnes
participant au projet.
a. les acteurs
Dans un premier temps, il est essentiel de définir les rôles des acteurs du projet:
● Le CTO
Sa fonction consiste à étudier l’ensemble des possibilités de développement technique du
projet. Il se charge de définir une stratégie de déploiement de technologies innovantes. Il
s’assure que la plateforme est conforme aux lois.
● Le product manager: il porte la vision du projet.
Il définit la vision produit, et le scope du projet. Il arbitre, veille à la qualité du produit,
valide les démonstrations, initie et priorise les user stories avec l’équipe.
● Les developpeurs
Ils déposent leur travail tous les jours dans le gestionnaire de suivi , développent les user
stories et écrivent les tests.
● Le leader technique Back-end
Il est responsable de la logique de l'application web côté serveur et de l'intégration du
travail des développeurs front-end.
● Le leader technique Front-end a deux role
○ Front- end :
Il est responsable de la mise en œuvre des éléments visuels et interactifs sur la plateforme
V 1.0 Décembre 2018 5
Présentation du système d’information & Politique de sécurité
○ Scrum master:
En étroite collaboration avec le Product Manager, il vérifie que les stories et bugs sont
gérés par ordre de priorité. Il suit la progression des sprints dans JIRA, communique sur
l’avancement et les obstacles rencontrés, sur les choix effectués. Il suit et partage les
reportings.
● Le testeur:
Il rédige les cas de tests à partir des critères d’acceptation des user stories, exécute les tests
et capture les bugs.
b. la méthode de gestion de projet
La gestion de projet s’articule autour de 4 valeurs:
● la collaboration avec les clients
● l’adaptation au changement
● des logiciels opérationnels
● les individus et leurs interactions
c. La démarche projet
La démarche projet se fait quant à elle en 3 étapes:
● le cadrage
● la réalisation
● la mise en production
Les différents étapes sont détaillées sous ce schéma synthétique:
V 1.0 Décembre 2018 6
Présentation du système d’information & Politique de sécurité ● Étape de CADRAGE, pour la constitution du dossier de conception et architecture, la définition de l’ergonomie globale et rédaction des User Story. L’objectif est de cartographier les fonctionnalités (Story Mapping), les workflows et rédiger les User Story pour les deux premiers sprints, de définir les critères et la stratégie de validation (données de référence, environnements etc..), de définir l’ergonomie générale des applicatifs. ● Etape de RÉALISATION, en utilisant des pratiques agiles, pour la réalisation des travaux et la livraison, au fil de l’eau, de développements intermédiaires. L’objectif est de réaliser les fonctionnalités par ordre de priorité, fournir un environnement testable aux utilisateurs, prendre en compte les changements et les ajustements utilisateurs. ● Etape de MISE EN PRODUCTION, qui consiste à la conduite des tests techniques et utilisateurs ainsi qu’au déploiement à la mise en production ❖ la phase de tests UAT (User Acceptance Testing) ou tests fonctionnels réalisés à la toute fin du processus de tests: L’objectif est de revoir l’intégralité des fonctionnalités réalisées, confronter le produit à des cas d’utilisation, faire les derniers ajustements. ❖ la mise en production: l’objectif est de déployer le produit en production, d’avoir une équipe d’administrateurs opérationnels sur le produit, de réaliser le transfert de compétences éventuel. 3.3. Gestion des releases La gestion des releases Onbrane a été créée pour pouvoir gérer un fort volume de nouvelles fonctionnalités qui seront mises en production à une fréquence importante. Les méthodes d’intégration continue sont donc utilisées pour réaliser une plateforme “Time to market” 3.3.1. Les 5 types d’environnement de travail : ● Un environnement de développement en local ● Un environnement de tests utilisé par l’équipe de gestion de projet, pour réaliser les tests unitaires et intégrés, et vérifier que les développements sont conformes aux V 1.0 Décembre 2018 7
Présentation du système d’information & Politique de sécurité spécifications de l’équipe fonctionnelle. Les améliorations détectées sont enregistrées sur le système JIRA ; ● Un environnement de recette, pour l’acceptation de la release en cours avant de passer en préproduction ● Des environnements “sandbox” accessibles aux clients dans le cadre de la prise en main de la Plateforme et de leurs tests ● Un environnement de production accessible aux clients. 3.3.2. Les tests automatisés Les tests automatisés seront un ensemble de scenarii écrits par l’équipe fonctionnelle dont la bonne exécution sera vérifiée automatiquement à chaque modification du code. Ces scenarii seront basés sur une ensemble d’inputs et d’outputs attendus. Un script de vérifications sera ensuite créé par les équipes techniques. 4. Rôle des équipes de support technique de Onbrane V 1.0 Décembre 2018 8
Présentation du système d’information & Politique de sécurité Le workflow de Onbrane et les nombreuses aides présentes sur la plateforme ont été conçus pour limiter au maximum le recours à une aide extérieure. A l'exception de l’inscription, toutes les opérations peuvent être réalisées sans l’intervention des employés d’Onbrane. Ces derniers ne disposent pas d’accès pour effectuer une action à la place d’un utilisateur mais peuvent seulement le guider. Les clients de Onbrane auront à leur disposition un wiki, ainsi qu’un Service client: Le wiki fonctionne comme un manuel d'instructions dans lequel toutes les fonctionnalités de la plateforme sont décrites. Il est disponible en ligne et aucun login n'est nécessaire pour y accéder. Il est mis à jour à chaque nouvelle fonctionnalité ou après tout nouveau feedback de nos utilisateurs. Vidéos, textes, images et exemples aident les utilisateurs à comprendre le fonctionnement de la plateforme. Une recherche par mots-clés est disponible pour trouver rapidement un article. L'adresse est wiki.onbrane.com. Si l’utilisateur ne trouve pas de réponse dans le wiki, il peut contacter le Service Client. Le rôle du Service Client est d’assister les clients dans l’Onboarding. Il vérifie l’enregistrement des utilisateurs sur la plateforme et les aide à paramétrer leur compte. Le Service Client répond également aux questions sur les fonctionnalités, par téléphone ou via le chat de la plateforme. Les membres de l'équipe du service client répondent à votre demande dans les plus brefs délais. Ils peuvent également organiser des formations privées si nécessaire. Le service est assuré en français, de 8 heures à 16 heures les jours ouvrés. Ce service est assuré en interne. Le HelpDesk d’Onbrane Les clients d’Onbrane ont à leur disposition un Helpdesk basé à Paris. Le Helpdesk gère les problèmes remontés par les utilisateurs et communique sur leur résolution. Il analyse les problèmes dès leur signalement. Il attribuera un niveau de priorité à l'incident, en fonction des conséquences immédiates ou potentielles pour le client. Onbrane s'engage à apporter une première réponse au client. Il détecte également tout mauvais fonctionnement de la plateforme et assure le suivi de la maintenance corrective. Le service est assuré en français, de 8 heures à 16 heures les jours ouvrés. 5. Architecture technique de l’infrastructure de Onbrane L’architecture de Onbrane a été créée pour maximiser la sécurité et la disponibilité de la plateforme. Pour cela, nous avons choisi un hébergement sur Amazon Web Service (AWS). Nous utilisons les micro services proposés nativement par AWS pour pouvoir utiliser les performances et la sécurité développées par les équipes Amazon. Afin de pouvoir utiliser V 1.0 Décembre 2018 9
Présentation du système d’information & Politique de sécurité un maximum de ces micro services, notre infrastructure est basée sur 2 régions : la France et l’Irlande. Les données sont basées dans des datacenters en France. 5.1. Présentation générale Toute l’architecture est basée dans le cloud AWS. L'architecture des centres de données et du réseau AWS est conçue pour les organisations qui doivent satisfaire aux exigences de sécurité et de conformité les plus strictes. La protection des données étant la priorité d'AWS, leur infrastructure mondiale est conçue et gérée conformément aux bonnes pratiques en matière de sécurité et aux diverses normes de conformité. 5.2. Langages et compatibilité Langages utilisés sur la plateforme: ● Symfony 4 : Framework php utilisé pour la génération de l’API de la plateforme. Gestion back de l’application. ● Angular 6 : Framework Javascript pour la mise en place Front de l’application. Application côté client. ● Html5 / CSS3 : langage web utilisé au sein du FrameWork Angular Compatibilité exigée : ● IE 10 et plus ● Chrome 49 et plus ● Firefox 60 et plus ● Safari 10 et plus V 1.0 Décembre 2018 10
Présentation du système d’information & Politique de sécurité 5.3. Architecture des micros services 5.4. Architecture des régions Architecture réseau sur la région Irlande : Architecture Applicative sur la région Irlande : V 1.0 Décembre 2018 11
Présentation du système d’information & Politique de sécurité Architecture Applicative notifications (présente sur le réseau Irlande uniquement) : Architecture Applicative et réseau sur la région France : V 1.0 Décembre 2018 12
Présentation du système d’information & Politique de sécurité Transfert de fichiers via SFTP: 6. Inter-opérabilité et interactions 6.1. Lien par API REST - Mode Pull La plateforme Onbrane, par son architecture en micro-services, fonctionne nativement sur un Système d’API par fichier JSON. De nombreuses informations sont disponibles par API : - Titres & caractéristiques des titres créés - Négociations & contenu des négociations menées - Intentions & contenu des intentions créées L’API fonctionne en pull. La connexion à l’API en mode pull est gérée par Amazon Cognito. Chaque accès doit être défini dans ce micro service. Onbrane dispose de l’ensemble des logs des API. 6.2. Dépôt de fichiers à plat Il est possible de mettre à la disposition des clients des espaces sur un serveur géré par Onbrane sur lequel seront déposés des fichiers à plat. Seuls les titres créés sont concernés par ce dépôt. Chaque titre créé correspond à un fichier contenant l’ensemble de ses caractéristiques. Ce fichier peut être sous différents formats (Json, XML, CSV). Le dépôt se fait sur un dossier “in”. Une fois traité, il est déplacé par le logiciel de lecture du client vers un dossier “out” ou un dossier “error” si besoin. V 1.0 Décembre 2018 13
Présentation du système d’information & Politique de sécurité 6.3. API STP FIX - Mode Pull Onbrane propose une API sous le format STP FIX pour descendre des informations en temps réel. Le Standard Fix utilisé est la version 4.4 6.4. Divers Exports Il sera possible pour un utilisateur d’exporter les données de la plateforme. Ces informations sont les mêmes que celles disponibles via l’API. L’export se fait en CSV ou XML. 7. Présentation des données sur la plateforme Les informations stockées par la plateforme sont les suivantes: ● information de connexion ● information de contact ● historique des transactions (toutes les informations d’un titre) ● historique des négociations ● contenu public du programme de chaque entreprise à la Banque De France Les données seront stockées dans des bases de données relationnelles. Les données de connexion seront cryptées. Informations concernant les utilisateurs : Les éléments stockés par la plateforme sont les suivants: ● information de contact: rôle (émetteur, acheteur); mot de passe; numéro de transaction; nom du NEU CP; nom; prénom; email; numéro de téléphone ● information du titre: nom de la société; siren; date d’émission et maturité; devise; montant; taux fixe ou variable; taux ou spread; agent payeur ● informations concernant l’historique des transactions: nom du titre, montant, type de taux, taux, taux/spread, date d’émission et maturité du titre, statut 8. Gestion des utilisateurs 8.1. Inscription des utilisateurs Avant toute inscription, l’entreprise cliente doit signer les due diligences (CGV, CGU). Un administrateur de l’entreprise est alors désigné par cette dernière. Le Service Client crée alors le compte d'Administrateur et définit le rôle de l’entreprise (émetteur, intermédiaire, investisseur). L'administrateur reçoit alors un lien par mail pour se connecter et créer son V 1.0 Décembre 2018 14
Présentation du système d’information & Politique de sécurité mot de passe. Il peut ajouter autant d’utilisateurs qu’il le souhaite et paramétrer leur autorisation. Le service client est en support pour assister dans les paramétrages des comptes. Chaque utilisateur doit, à sa première connexion, et à chaque nouvelle version de la plateforme, valider les CGU et un Privacy policy. Il paramètre son mot de passe. L’accès à la Plateforme 8.1.1. Accès utilisateurs La gestion des utilisateurs est gérée par le micro service Amazon Cognito. Ce dernier gère la création et l’authentification des utilisateurs. Il peut être paramétré pour répondre à de nombreux besoins en sécurité des entreprises : - Authentification double factor - Complexité du Mot de passe - Durée de vie d’un mot de passe - Durée de session - White listage d’IP L’authentification est effectuée avec leur adresse mail et un mot de passe qu’ils définissent. Le mot de passe est crypté selon la méthode AES 256 sur les serveurs de Amazon. Les détails de l’identification sont seulement utilisés lors de la première connexion de l’utilisateur. Ensuite, les demandes d’accès utilisent le standard JWT (JSON Web Token) selon le standard RFC 7519 qui définit une méthode sécurisée pour transmettre de l’information entre des parties. Le mot de passe doit avoir entre 8 and 16 caractères. Il doit être constitué d’au moins une lettre majuscule, une lettre minuscule, un chiffre et d’un caractère spécial. Il a une durée de validité de 60 Jours. L’utilisateur est notifié de la fin de la validité de son mot de passe 7 jours au préalable et à la date d’expiration de celui-ci, et est invité à le modifier. Le compte utilisateur est bloqué 21 jours après la date d’expiration du mot de passe dans le cas où celui-ci n’est pas modifié au préalable. Il est également être bloqué après 5 échecs de tentatives de connexion. Le compte pourra être débloqué soit par l’Administrateur de l’entreprise, soit par le Service Client d’Onbrane. Un utilisateur peut demander à réinitialiser son mot de passe à partir de l’écran de connexion de son profil sur la plateforme. Lorsque l’utilisateur doit configurer son mot de passe, il est informé des points suivants afin de le sensibiliser aux dangers concernant la sécurité de ses informations personnelles : ➔ Il est déconseillé d’enregistrer le mot de passe à l’aide du navigateur (exemple : Google Smart Lock pour Google Chrome) ; ➔ Il est déconseillé de configurer un mot de passe trop facile à deviner (exemples : Onbrane1234, Jean-Dupond2018, Banque&Assurance2018 …) ; V 1.0 Décembre 2018 15
Présentation du système d’information & Politique de sécurité ➔ Le mot de passe ne doit pas être divulgué, et les membres de l’équipe Onbrane ne vous demanderont en aucun cas de leur communiquer vos identifiants ; ➔ Si le mot de passe configuré vient à être divulgué, il doit être changé au plus vite pour éviter de compromettre le compte utilisateur. À tout moment, l’utilisateur peut changer son mot de passe dans la section concernant la configuration du profil d’utilisateur Il sera également possible, pour certains utilisateurs, d'ajouter des systèmes de sécurité supplémentaires comme le whitelist d’adresses IP. Ces développements sur mesure seront gérés par Onbrane et placés en aval de cognito. 8.1.2. Accès Administrateur Le Client Service de Onbrane dispose d’un droit de « Super Administrateur » c’est-à-dire le droit de modifier et de supprimer de l’ensemble des droits des utilisateurs après notification. Cet accès lui permet aussi d’inscrire de nouveaux utilisateurs sur la plateforme et choisir leurs permissions Cet accès ne permet pas d’intervenir sur l’activité des utilisateurs, comme la négociation. Cet accès bénéficie de paramètres de sécurité spécifiques. 8.2. Traçabilité des données Certaines données de la plateforme ne peuvent être modifiées ou éditées, c’est par exemple le cas des offres dans le système de négociation. Si une offre est caduque, on peut en créer une nouvelle mais pas éditer ou supprimer la précédente. Certaines données peuvent être modifiées, comme les besoins, les programmes… dans ce cas, un versionning est mis en place et Onbrane dispose, en base de données, de toutes les modifications ainsi que de leur horodatage. Ce versionning s’étale sur 5 ans glissés. L'hébergement dispose de la solution de log Amazon qui inscrit dans un fichier l'ensemble des appels à l’API gateway. Ces logs sont uniquement accessibles par Onbrane et s’étalent sur 5 ans glissés. 8.3. Mesures de protection des données L’accès aux données est déterminé par les droits d’accès associés au profil de l’utilisateur. Cet accès est géré par l’API Gateway d’Amazon en lien avec le micro service cognito qui n’ouvre ses routes qu’aux utilisateurs disposant des droits correspondants. Les données de la plateforme ne seront exploitées que par Onbrane. Cette mesure est garantie dans les CGV de l’application. V 1.0 Décembre 2018 16
Présentation du système d’information & Politique de sécurité 9. Présentation de la gouvernance de la Sécurité Informatique La direction générale assure la responsabilité de la sécurité du système informatique. Cette fonction sera attribuée à un responsable de la Sécurité informatique (RSSI) qui sera recruté dans le courant du deuxième semestre 2018 en fonction de la montée en charge des Clients sur la plateforme. Cette fonction sera rattachée au directeur général. Le RSSI est en charge de la définition et de la mise en œuvre de la politique de sécurité du système informatique. Il veille à maintenir le niveau de sécurité du système d’information, conformément aux objectifs stratégiques de Onbrane et à ses engagements vis-à-vis de ses clients. Onbrane fait appel à des consultants externes pour disposer de l’expertise suffisante et remplir les objectifs de sécurité du système informatique. Des comités Sécurité SI sont organisés régulièrement 2 fois par an, et plus si nécessaire, entre toutes les parties prenantes incluant la direction générale de Onbrane. La sécurité est évaluée de manière régulière, soit par le biais d’audits par Onbrane sur son périmètre, soit dans le cadre d’audits externes (actionnaires, clients). La sécurité informatique est incluse dans les projets, dans les phases d’étude et de lancement. L’ensemble des documents qui formalisent les actions de sécurité est consultable sur place. Les clients seront informés s’il y a un risque de sécurité grave sur la plateforme ou sur l’intégrité des données stockées. AWS backoffice : use : manage and configure the Amazon Web Service offer access : CTO of Onbrane only Security system : Specific ID and Double factor authentication Machine access - integration use : the integration machine is used by the developers to test their codes. access : CTO of Onbrane, technical leader of Onbrane Security system : SSH accès accès machine - recette use : the recette is used by the product manager to test the developper’s work. access : CTO of Onbrane, technical leader of Onbrane Security system : SSH accès Machine access - Production access : CTO of Onbrane, technical leader of Onbrane, and... Security system : SSH accès Git administration access : CTO of Onbrane and technical leader of Onbrane V 1.0 Décembre 2018 17
Présentation du système d’information & Politique de sécurité Security system :Login + password Git as user access : all developers OVH administration use : to manage the domain name of Onbrane.com Access : CTO and product manager Onbrane Security system : ID and double factor authentication wordpress website Onbrane.com Access : Product manager Onbrane Security system : ID and password Google drive use : to stock non critical information and documentation Acces : all people working on the project security system : Email and Password Jira use : manage the project, upload the specification and the exchanges about them. access : all developers of the project, the product manager, product owner et testers of the solution. 10. Evaluation de la vulnérabilité de la plateforme En cours de définition. 11. Evaluation de la montée en charge de la plateforme Un test de montée en charge sera effectué avant la mise en production de la plateforme. L’équipe fonctionnelle définit un nombre palier d’utilisateurs (supérieur au nombre d’utilisateurs du marché). L’équipe technique testera la résistance de la plateforme pour ce nombre d'utilisateurs simultanés. Ce test de montée en charge est effectué une fois par an. Les résultats peuvent être fournis aux clients sur demande. 12. Plan de reprise d’activité 12.1. Sauvegarde 12.1.1. Amazon Elastic Block Store (Amazon EBS) V 1.0 Décembre 2018 18
Présentation du système d’information & Politique de sécurité La plateforme est hébergée par Amazon AWS, et utilise les services d’Amazon Elastic Block Store. Amazon EBS fournit des volumes de stockage permanent en mode bloc à utiliser avec les instances Amazon EC2 dans le cloud AWS. Chaque volume Amazon EBS est automatiquement répliqué au sein de sa zone de disponibilité sur plusieurs serveurs, afin de se protéger contre toute défaillance de composants, des pannes éventuelles, tout en garantissant une disponibilité et une durabilité élevées. Les politiques de chiffrement et de contrôle d'accès permettent d'élaborer une stratégie de sécurité fiable et détaillée des données. 12.1.2. Amazon (Amazon S3) La plateforme utilise également les services Amazon S3 pour optimiser le stockage et la récupération des données. Amazon S3 offre une solution hautement durable, évolutive et sécurisée pour la sauvegarde et l'archivage des données critiques. La fonction de versioning de S3 offre encore plus de protection des données stockées. Amazon S3 offre les outils et les ressources nécessaires pour créer des solutions de sauvegarde et de restauration évolutives, durables et sécurisées afin d'augmenter ou de remplacer les capacités existantes. Cette solution permet de répondre aux objectifs de Onbrane quant au de temps de reprise (RTO) et point de reprise (RPO), de rétention des données et de conformité. 12.2. Définition du PRA A voir avec Claranet 12.3. Test du PRA A voir avec Claranet 12.4. Redondance des lieux de travail des équipes de développement et opérationnelle En cas de problème physique dans un de leurs bureaux de travail, Onbrane dispose de solutions de Back-up dans le même quartier par l'intermédiaire de prestataire ou de partenaire. 12.5. Gestion de crise En cas de crise majeure et d’impossibilité de travailler dans les conditions normales, les salariés ont : - Les bureaux redondants pour travailler depuis un autre site - Les accès au site primaire ou au site secondaire en cas de PRA - Les numéros de téléphone de chaque personne clef en cas d’impossibilité de se regrouper - De plus, les fichiers de l’entreprise se trouvent dans un cloud sécurisé et accessible depuis n’importe où. V 1.0 Décembre 2018 19
Présentation du système d’information & Politique de sécurité 13. Réversibilité des données Si un établissement Client souhaite arrêter définitivement le service de Onbrane, il pourra récupérer une copie des documents finaux associés aux opérations encore en rétention. 14. RGPD Onbrane veille au respect de ce règlement. En effet, même si Onbrane est à ce stade une petite structure manipulant très peu de données personnelles, mises à part les données classiques pour la gestion des Ressources Humaines, un certain nombre d’actions ont été réalisées afin : - de mettre en place les procédures adaptées pour être conforme - de développer au sein de l’entreprise un comportement responsable vis-à-vis des données personnelles et de leur sécurité - de cultiver la maturité digitale 14.1. Recensement et registre des traitements Afin de pouvoir identifier la sensibilité au RGPD sur l’ensemble de l’entreprise, une cartographie des traitements utilisant des données personnelles a été réalisée sous forme de registre des traitements au format CNIL avec pour chaque traitement : - la finalité - la catégorie des données utilisées (ex : nom, prénom, ..) : sensible ou non - qui a accès aux données - le responsable du traitement - le sous-traitant - la durée de conservation des données Ce registre est placé sous la responsabilité de xxxxxxxx qui a en charge la mission du DPO, en complément de ses autres missions. 14.2. Analyse de la conformité A partir de ce registre, l’écart par rapport au RGPD a été analysé : - licéité du traitement - minimisation des données - accès aux données correctes - mesures de sécurité techniques et organisationnelles adaptées à la criticité des données utilisées et en place notamment pour les sous-traitants 14.3. Information et sensibilisation des salariés V 1.0 Décembre 2018 20
Présentation du système d’information & Politique de sécurité - Une information aux salariés sur l’usage de leurs données personnelles ainsi que leurs droits a été clairement indiquée dans la « charte de bon usage du SI de Onbrane » : accès, rectification, suppression, portabilité avec le contact spécifique pour cela. - Une sensibilisation au RGPD sera réalisée pour tout salarié Onbrane
Vous pouvez aussi lire
