Politique de sécurité

Chez Finance Active, la sécurité est prise très au sérieux. Nous sommes fiers de nous impliquer au maximum quand l’enjeu est de protéger les données que nos clients nous confient. Nous tenons donc à être les plus clairs et transparents possibles quant à notre approche de la sécurité.



Au sommaire :


  • Comment notre démarche sécurité est-elle encadrée ?

  • Comment la confidentialité des données utilisateurs est-elle assurée ?

  • Comment le niveau de sécurité de notre système d’information est-il contrôlé ?

  • Comment les collaborateurs sont-ils sensibilisés à notre politique de sécurité ?

  • Quels sont nos engagements concernant la disponibilité de nos applications ?

  • Quels moyens sont mis en place pour sécuriser les accès à nos applications ?

  • Quelles technologies utilisons-nous concernant le chiffrement des données ?

  • Comment nous prémunissons-nous des logiciels malveillants et des vulnérabilité ?

  • Quels moyens sont mis en place pour protéger notre réseau informatique ?

  • Comment est garantie la sécurité physique de nos infrastructures ?



Comment notre démarche sécurité est-elle encadrée ?


Nous avons défini une Politique de Sécurité du Système d’Information et un système de management de la sécurité de l’information s’alignant sur la norme ISO/CEI 27001. De plus, une classification de l’information se basant sur son niveau de confidentialité a été mise en place. Avec l’objectif de définir une réponse adaptée et mesurée aux risques portant sur les informations qui sont manipulées, l’ensemble des documents que nous produisons est classé suivant cette échelle et, pour chacun des niveaux de confidentialité définis, un ensemble de mesures de sécurité est appliqué tout au long du cycle de vie du support de l’information. Nous nous assurons aussi que la sécurité de notre système d’information est prise en compte dans toutes les phases de nos projets, de la conception et de la spécification du système jusqu’à son retrait du service.


Comment la confidentialité des données utilisateurs est-elle assurée ?


Nous nous imposons des contrôles stricts sur l’accès par nos employés aux données que vous nous confiez. Nous nous assurons que ces données ne sont pas consultées par quiconque n’y ayant pas légitimement accès. Le fonctionnement de nos services nécessite cependant que certains employés aient accès aux systèmes qui stockent et traitent les données client. Par exemple, pour pouvoir diagnostiquer un problème que vous rencontrez, nous pouvons nous trouver dans l’obligation d’accéder à vos données. L’ensemble de nos collaborateurs est tenu de se conformer à nos règles de sécurité et notre société traite ces problèmes avec la plus grande attention : l’utilisation de compte générique est proscrite et une revue des droits d’accès des collaborateurs est effectuée régulièrement pour nous assurer que les processus de modifications des droits en cas de changement de situation de notre personnel ont correctement fonctionné.


Comment le niveau de sécurité de notre système d’information est-il contrôlé ?


Pour vous garantir le meilleur niveau de sécurité, nous faisons régulièrement appel à des prestataires qualifiés pour réaliser des missions d’audit sur son système d’information. De façon non exhaustive, ces missions sont menées pour contrôler la conformité à la norme ISO/CEI 27001 sur notre périmètre certifié, ou pour réaliser des tests d’intrusion en boîte noire et en boîte grise sur nos systèmes SaaS.


Le périmètre certifié ISO/CEI 27001 de Finance Active


La norme ISO/CEI 27001 définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). Le SMSI recense les mesures de sécurité afin de garantir la protection des actifs de FINANCE ACTIVE. L’objectif est de protéger les fonctions et informations de tout vol, perte, ou altération, et les systèmes informatiques de tout intrusion ou sinistre informatiques.

Finance Active a fait certifier suivant la norme ISO/CEI 27001:2013 le périmètre suivant :


Édition, intégration, support et fourniture en mode SaaS des solutions Fairways de gestion de la dette, des garanties et du risque de change


Finance Active s’engage à protéger votre vie privée. Pour la protection des données à caractère personnel, Finance Active dispose d’un Data Protection Officer (DPO) qui doit s’assurer de la sécurité des données personnelles et veiller à ce que les traitements soient conformes aux lois européennes (notamment GDPR). Les données d’application que nous collectons sont principalement utilisées par les services Finance Active et en aucun cas elles ne sont transférées à un tiers, sauf pour les stricts besoins de l’exécution du contrat. Tous les fournisseurs sélectionnés par Finance Active s’engagent à respecter la réglementation en matière de protection des données à caractère personnel.



Fournisseur

Objet

Localisation

Equinix

Hébergement physique

France

Auth0

Authentification utilisateur

EU

Zendesk

Gestion des demandes au support

EU

Salesforce

Gestion de la relation client

EU

Microsoft (Office 365)

Outils bureautiques collaboratifs

EU

Amazon Web Services

Conservation des sauvegardes

EU



Comment les collaborateurs sont-ils sensibilisés à notre politique de sécurité ?


L’ensemble de notre personnel participe tout au long de son activité pour le compte de l’organisation à des actions de sensibilisation et de formation adaptées à son profil et ses missions, cela nous permet de garantir que les bonnes pratiques de sécurité sont diffusées auprès des différentes équipes.


Quels sont nos engagements concernant la disponibilité de nos applications ?


Notre stratégie pour garantir la disponibilité de nos applications et des données de nos clients s’appuie sur un ensemble d’éléments complémentaires :

  • La répartition des serveurs de production et de secours dans deux centres de données répondant aux bonnes pratiques de gestion du métier ;

  • La duplication des données sur ces deux centres de données ;

  • L’utilisation de stockage tolérant aux pannes matérielles ;

  • Des sauvegardes régulières du système d’information :

    • Sauvegarde quotidienne conservée pendant 2 semaines ;

    • Sauvegarde hebdomadaire conservée pendant 2 mois ;

    • Sauvegarde mensuelle conservée pendant 2 ans ;

    • Sauvegarde annuelle conservée pendant 10 ans.

Sauf cas de force majeure, notre Recovery Point Objective (RPO) est de 24 heures (il s’agit de la perte de données maximale) et notre Recovery Time Objective (RTO) est de 4 heures ouvrées (il s’agit de la durée maximale d’interruption).


Quels moyens sont mis en place pour sécuriser les accès à nos applications ?


L’ensemble des accès aux applications et services proposés par Finance Active est soumis à une authentification de l’utilisateur. Nous déléguons la gestion de l’authentification de nos utilisateurs à des fournisseurs spécialisés implémentant les standards suivants :

  • Délégation d’autorisation : OAuth 2.0 (RFC 6749 et RFC 6750) ;

  • Échange sécurisé de jetons d’autorisation : JSON Web Tokens (RFC 7519).

Au niveau de nos applications, une vérification de l’authentification de l’utilisateur et de ses droits à accéder à la donnée est réalisée à chaque requête. Les accès des utilisateurs sont ainsi limités à leur espace et ils ne peuvent accéder qu’aux données de l’espace auquel leur compte est lié.



Quelles technologies utilisons-nous concernant le chiffrement des données ?


Les échanges entre les postes utilisateurs et nos applications sont entièrement chiffrés depuis votre navigateur jusqu’à nos serveurs avec l’utilisation de HyperText Transfer Protocol Secure (RFC 2818).

Les suites cryptographiques que nous utilisons sont des implémentations cryptographiques reconnues comme des standards du marché, et l’authentification de nos services exposés sur Internet se base sur des certificats signés par une autorité de certification publique reconnue.



Comment nous prémunissons-nous des logiciels malveillants et des vulnérabilités?


Les systèmes d’exploitation et logiciels que nous utilisons font l’objet d’un support valide de la part de leur éditeur, d’une communauté active (dans le cadre de logiciel libre), ou d’un prestataire de service, et seuls les services et applications nécessaires sont installés sur nos serveurs, de façon à réduire la surface d’attaque. De plus, les mises à jour majeures ainsi que les mises à jour de sécurité sont systématiquement déployées.

Nous surveillons aussi l’identification de nouvelles vulnérabilités en suivant les flux de publication de plusieurs CERT, tels que le CERT-FR ou le CERT-US et nous nous assurons que l’ensemble des machines composant notre système d’information est protégé par un système de prévention des logiciels malveillants (antivirus, etc.) correctement maintenu à jour.



Quels moyens sont mis en place pour protéger notre réseau informatique ?


Notre réseau informatique est segmenté selon des zones de sécurité homogène et un filtrage des flux entrants et sortants de chaque zone est effectué. Toute interconnexion entre notre réseau et un réseau externe (réseau d’un tiers, Internet, etc.) est chiffrée et réalisée via les infrastructures dédiées et protégée par des éléments de sécurité (pare-feu, etc.) adaptés.



Comment est garantie la sécurité physique de nos infrastructures ?



Centre de données


Nos serveurs sont hébergés dans des centres de données européens respectant l’état de l’art en matière de sécurité physique et de contrôle d’accès. Nous nous assurons que :

  • Les sociétés sélectionnées pour l’hébergement de ses serveurs sont certifiées ISO/CEI 27001 ;

  • Une organisation en couloirs froids/couloirs chauds est respectée ;

  • Un système de détection et d’extinction incendie autonome est en place ;

  • Une redondance de l’alimentation électrique est présente ;

  • Une surveillance et un filtrage des accès physique sont effectués ;

  • Un contrôle d’accès multifacteurs est utilisé.



Contrôle d’accès physique aux locaux de Finance Active


La délivrance des moyens d’accès physique à nos locaux respecte un processus permettant de s’assurer de l’identité de la personne. Les badges d’accès sont personnels et incessibles et le personnel autre que celui explicitement autorisé et habilité, mais appelé à intervenir dans les zones sensibles (entretien ou réparation des bâtiments, des équipements non informatiques, visiteurs, etc.), intervient systématiquement et impérativement sous surveillance.

Les accès aux locaux font l’objet d’une vidéosurveillance et les locaux font l’objet d’une surveillance en dehors des heures ouvrées.