Sécurité de nos systèmes d’information

1 - Complexité et vulnérabilité

Les systèmes d’information modernes sont constitués d’un grand nombre de couches matérielles et logicielles. N’importe laquelle de ces couches matérielles ou logicielles peut comporter une vulnérabilité et devenir la source d’une faille de sécurité.

La sécurité doit donc être envisagée de façon globale et passe, en premier lieu, par la simplification des systèmes d’information. Notre système d’information est donc le résultat de multiples choix de simplification ayant tous pour objectifs de réduire sa surface d’attaque et donc sa vulnérabilité.

Pour autant, un système d’information ne peut, par nature, jamais être considéré comme complètement sécurisé. Nous ne pouvons donc vous garantir une sécurité absolue de notre système d’information. Des vulnérabilités apparaîtront toujours de façon aléatoire et nous ne serons jamais à l’abri de l’éventuelle exploitation de l’une d’entre elles. Pour autant, nous pouvons vous garantir une très bonne sécurité relative avec la mise à disposition de solutions webs sécurisées de façon professionnelle.

2 - Transparence et vulnérabilité

Nous avons choisi de lister ci-dessous une partie des éléments de sécurité de nos systèmes d’information.

Cela peut sembler risqué puisque cela fournit des informations à un attaquant éventuel. C’est d’ailleurs souvent une raison évoquée pour ne pas avoir à justifier des mesures de sécurité mises en place.

Pour nous, c’est un risque qui vaut la peine d’être pris. La transparence est source de dialogue avec nos clients qui sont les premiers intéressés par la sécurité de nos systèmes d’information. Cette transparence devient alors une source d’améliorations.

3 - Ordinateurs personnels

Nos ordinateurs personnels sont des Apple MacBook Pro. Les mises à jour de sécurité de macOS et des autres logicels installés sont appliquées immédiatement. Les autres mises à jour de macOS et des logiciels utilisés sur ces machines sont recherchées et appliquées une fois par semaine.

Ces mises à jour sont détectées grâce à l’App Store, grâce à la solution CleanMyMac X et de façon manuelle.

Nos machines sont protégées par la solution de sécurité Sophos qui assure, entre autres, une protection anti-virus en temps réel et tient à jour une liste noire des sites webs à ne pas visiter.

Les connexions Internet des logiciels installés sur nos ordinateurs personnels sont monitorées grâce à la solution Little Snitch.

Nos ordinateurs personnels sont utilisés pour le développement et stockent toutes nos données, en même temps, en local et à distance. En local, Les données sont cryptées par macOS et protégées par le pare-feu de macOS. A distance, ces données sont hébergées par Tresorit. Cette solution suisse permet le cryptage des fichiers de bout en bout et la gestion de leurs versions. Le cryptage des fichiers de bout en bout assure un stockage crypté des fichiers dans le cloud. La gestion des versions des fichiers est une meilleure réponse aux rançongiciels que les seules sauvegardes.

4 - Téléphones portables

Nos téléphones portables sont des Apple iPhone. Les mises à jour de sécurité d’iOS sont appliquées immédiatement. L’intégration matérielle et logicielle des Apple iPhone garantit la mise à jour régulière du système d’exploitation iOS tout au long de l’utilisation de ces téléphones portables.

Nous limitons au strict nécessaire les applications à but professionnel utilisées sur ces téléphones portables. Ces applications sont G Suite, Skype, LinkedIn et AirBnB. Aucune autre application professionnelle et aucune application personelle de type facebook ou Candy Crush n’est installée afin de diminuer la surface d’attaque de ces machines.

Notre gestionnaire de mots de passe (voir article 8 ci-dessous) n’est pas installé sur nos téléphones portables. Nous n’accédons pas au système d’administration de notre système d’information depuis nos Apple iPhone.

5 - Serveurs d'applications webs

Nos serveurs d’applications webs sont hébergés au sein de la société finlandaise UpCloud. Ils utilisent le système d’exploitation open source Ubuntu Server 18.04 LTS au support garanti jusqu’en avril 2023. Ces systèmes d’exploitation Ubuntu sont mis à jour une fois par semaine après sauvegarde complète des serveurs concernés.

Nos serveurs sont protégés par un pare-feu et monitorés par un logiciel de supervision. Le pare-feu permet notamment d’ouvrir uniquement les ports nécessaires et peut restreindre l’accès de ces ports à des adresses IP fixes autorisées. Le logiciel de supervision permet, entre autres, de détecter les activités anormales de nos serveurs et de nous en informer en temps réel.

Chaque serveur virtuel est dédié à un seul client et à une seule application. La ou les bases de données nécessaires à cette application sont également dédiées à ce seul et même client. Ainsi, un client ne peut jamais avoir accès aux données d’un autre client.

Nos serveurs peuvent être localisées, au choix des clients, à :

  • Londres (Royaume-Uni),
  • Amsterdam (Pays-Bas),
  • Francfort (Allemagne),
  • Helsinki (Finlande),
  • San José (Etats-Unis),
  • Chicago (Etats-Unis),
  • ou Singapour.

Nos serveurs sont intégralement sauvegardés une fois par jour.

Nos serveurs sont intégralement sauvegardés avant la mise à jour de leur système d’exploitation.

Ces sauvegardes complètent les sauvegardes exécutées au niveau des applications webs (voir articles 6 et 7).

6 - Sites webs - WordPress

WordPress est notre seul outil pour concevoir nos sites webs et ceux de nos clients. WordPress est une solution Open Source soutenue par une très large communauté de développeurs et d’utilisateurs. C’est l’un des Content Management Systems les plus utilisés aujourd’hui.

Les mises à jour de sécurité de WordPress sont appliquées immédiatement et automatiquement. Les autres mises à jour de WordPress ainsi que les mises à jour des thèmes et des extensions sont effectuées une fois par semaine.

Nos sites WordPress sont protégés par une solution de sécurité.

Les accès en tant qu’administrateurs sont immédiatement signalés et vérifiés. Les utilisateurs, internes ou clients, n’ont accès qu’aux fonctions dont ils ont strictement besoin. Toutes les actions des administrateurs et des utilisateurs sont enregistrées, en temps réel, dans un journal.

Nos sites WordPress sont sauvegardés, au niveau de l’application, une fois par jour. Les sauvegardes sont transmises cryptées et archivées au sein de deux centres de données distincts, l’un en France, l’autre en Hollande. La bonne exécution de ces sauvegardes est vérifiée une fois par semaine. La capacité opérationnelle de ces sauvegardes est testée une fois par mois.

Nos sites WordPress sont également sauvegardés, au niveau du serveur, en même temps que l’intégralité du serveur, une fois par jour (voir article 5).

Nous n’utilisons, sur l’ensemble de nos sites WordPress, qu’une vingtaine d’extensions que nous connaissons et utilisons depuis de nombreuses années.

Nos formulaires sont protégés par la solution Google reCaptcha V3.

7 - Applications webs - Laravel

Laravel est notre seul outil pour concevoir nos applications webs. Laravel est une solution Open Source soutenue par une très large communauté de développeurs. C’est l’un des frameworks PHP les plus utilisés aujourd’hui.

Les mises à jour de sécurité de Laravel sont appliquées immédiatement. Les autres mises à jour de Laravel ainsi que les mises à jour de ses composants additionnels sont effectuées une fois par semaine.

La gestion du déploiement, des accès, des rôles, des sauvegardes et des composants utilisés suit actuellement un processus de sélection, de test, de déploiement, de développement et de stabilisation qui est en cours de réalisation. Nous communiquerons plus d’informations de sécurité concernant ces applications webs basées sur Laravel quand leur développement sera plus avancé.

8 - Gestionnaire de mots de passe

Nous utilisons le gestionnaire de mots de passe Open Source KeePass XC. La conformité du code téléchargé par rapport au code originel est vérifié avant chaque mise à jour. Nous mettons à jour KeePass XC dès la sortie de chaque nouvelle version.

Chaque mot de passe généré est un mot de passe fort qui n’est utilisé qu’une seule fois au sein de notre système d’information.

La base de données de KeePass XC est cryptée deux fois (dans l’application et lors du transfert) et stockée dans Tresorit.

Des sauvegardes sont effectuées mensuellement et stockées cryptées, sur clés USB, dans deux emplacements physiques différents.

9 - Double authentification

Nous utilisons, le plus souvent, la solution de double authentification Open Source FreeOTP. Cette solution est sponsorisée et publiée par Red Hat. Nous utilisons également des systèmes de double authentification par SMS ou mail quand ils sont seuls disponibles.

Cette double authentification est utilisée pour tous les composants critiques de notre système d’information. C’est le cas notamment pour:

  • G Suite afin de protéger nos messageries,
  • Gandi afin de protéger nos noms de domaines et nos redirections DNS.
  • UpCloud afin de protéger nos serveurs.

10 - Veille et base de connaissances

Nous tenons à jour, quotidiennement, une base très complète de connaissances dédiée à la sécurité, à partir de multiples sources d’information. Nous pouvons ainsi prendre connaissance des vulnérabilités de nos solutions logicielles dès qu’elles sont rendues publiques.

Nous appliquons les mises à jour de sécurité répondant à ces vulnérabilités, très rapidement, généralement dans les heures qui suivent leur publication.

Cette base de connaissances nous sert également à sensibiliser nos clients quant à l’évolution constante des menaces informatiques.

11 - Principes de sélection des solutions

Nous privilégions les solutions Open Source soutenues par de larges communautés. Dans certains cas, nous choisissons des solutions propriétaires quand c’est justifié par leur excellence ou leur spécialisation.

Nous privilégions les solutions européennes car elles présentent souvent plus de garanties de sécurité et de respect de la vie privée que, généralement, les solutions en provenance des Etats-Unis. Dans certains cas, nous utilisons des solutions en provenance d’autres parties du monde quand elles n’ont pas d’équivalents en Europe.

Quand une solution européenne de substitution apparaît et qu’elle offre plus de sécurité que notre solution du moment, nous mettons en place un plan de migration. C’est ce que nous avons fait quand nous avons remplacé la solution américaine Dropbox par la solution suisse Tresorit.

12 - Indépendance financière

La sécurité de vos systèmes d’information dépend aussi de la solidité et de l’indépendance financières de vos sous-traitants et fournisseurs. En cas de rachat de l’entreprise, vos données peuvent être délocalisées, partagées ou compromises. En cas de défaillance de l’entreprise, vos données peuvent être temporairement inaccessibles ou même perdues.

WebZenitude est une société indépendante financièrement:

  • 100% de ses parts sociales sont détenues par son fondateur.
  • Elle se développe par ses seuls moyens sans faire appel au capital-risque, ni à l’endettement.
  • Elle est à jour du paiement de ses impôts et de ses cotisations sociales.
  • Il n’y a aucun litige client en cours.
  • Seules sont comptabilisées les factures émises. Les facturations à venir ne sont pas prises en compte.
  • Les développements de nos solutions ne sont ni immobilisés, ni comptabilisés. Ils ne font pas l’objet de crédits impôts recherche.

WebZenitude ne prévoit pas de changement dans son mode de croissance de type « slow growth » ou quant à son indépendance financière.

Nos clients peuvent ainsi compter sur :

  • notre professionnalisme grâce à notre croissance lente et régulière.
  • notre pérennité grâce à notre indépendance financière.
  • notre résilience en cas de récession économique grâce à un point mort bas et maîtrisé.

13 - Métadonnées

Date de création : 6 août 2019
Date de modification : 12 août 2019
Version : 002

14 - Informations complémentaires

Vous pouvez obtenir ces informations en utilisant notre formulaire de contact.

Nous vous garantissons des réponses rapides.

35 chemin des Bourguignons
88160 - Le Thillot
France

SAS au capital de 5.000 €
RCS Epinal : 813 629 060 00019
N° TVA : FR 47 813 629 060