X

Panier

Article(s) ajouté(s) au panier

PSSI

Politique de Sécurité des Systèmes d’Information

DIAGONAL

1. Contexte et objectifs

1.1 Contexte et définitions

Diagonal est une société d’éditions de logiciels. Son activité principale est concentrée sur les logiciels linguistiques.

Ces logiciels linguistiques sont commercialisés sous différentes formes :

  • Installation de logiciels autonomes sur les ordinateurs des clients. Nommés « logiciels autonomes ».
  • Installation sur un serveur de fichiers, appartenant à l’entreprise cliente et sous sa responsabilité. Nommés « logiciels réseau ».
  • Via un service en ligne. Diagonal fournit une URL, appelée directement par les entreprises clientes ou par leur intégrateur. Nommés « Correction en ligne » (également « webservice » lorsqu’on se réfère à la méthode d’utilisation).

Quel que soit le contexte d’utilisation de ces outils, Diagonal suit la même Politique de Sécurité des Systèmes d’Information (PSSI) dont l’objectif est de clarifier les actions mises en œuvre pour assurer la sécurité des données concernant ses clients.

1.2 Périmètre

La Sécurité des Systèmes d’Information (SSI) de Diagonal s’applique à l’ensemble des dispositifs de l’entreprise, susceptible d’avoir à traiter ou connaître les données concernant ses clients.

À savoir :

  • La gestion du fichier des clients de la base client ;
  • Le traitement des textes, des clients, à analyser ;
  • Les systèmes de stockage et de sauvegarde ;
  • Les outils utilisés pour les relations commerciales ou techniques avec les clients.

1.3 Besoins de sécurité

La sécurité des systèmes d’information concerne les critères suivants (définit selon les normes ISO 7498-2, ISO90) :

– La confidentialité
– L’intégrité

Ces besoins de sécurité s’appliquent aux ressources du SI (parc informatique, réseaux, applications, etc.) ainsi qu’aux données traitées par ces ressources.

1.4 Menaces et impacts

Pour mettre en place les moyens de sécurité adaptés, les recommandations de la méthode EBIOS (Expression des Besoins et Identifiant des Objectifs de Sécurité) permettent de déterminer les niveaux de menaces et les degrés d’impact correspondants. 

Chez Diagonal ou directement lié :

Seule la liste des clients est présente sur les serveurs de Diagonal, en ses locaux, et une partie copiée de façon dynamique chez un hébergeur européen qui assure le service nécessaire pour permettre le fonctionnement du site et un premier niveau de réponse aux clients qui souhaitent consulter la liste des produits de Diagonal qu’ils détiennent. Ces données externalisées sont réduites au minimum nécessaire.

À l’extérieur de Diagonal :

Il s’agit de l’analyse des textes de nos clients.

  • Concernant les logiciels autonomes : L’utilisateur détient sur son propre ordinateur la totalité des textes qu’il analyse et corrige. Diagonal n’en détient aucun.
  • Concernant les logiciels réseau : Le client détient sur son propre serveur la totalité des textes que ses utilisateurs analysent et corrigent. Diagonal n’en détient aucun.
  • Concernant les services de correction en ligne : Les serveurs peuvent se trouver chez le client et dans ce cas Diagonal n’en détient aucun ou les serveurs sont loués par Diagonal, pour l’usage des clients, chez des hébergeurs en France.
    Les risques propres des sociétés d’hébergement et les Politique de Sécurité de leurs propres Systèmes d’information sont décrits dans les PSSI de ces hébergeurs et ce sont elles qui doivent être prises en compte. Les références sont indiquées plus loin dans ce document.

2. Organisation et mise en œuvre

Les équipes de Diagonal s’engagent à innover de façon permanente pour répondre aux besoins en constante évolution des clients, en termes de technologie, de fonctionnalités et de performances.

La sécurité de Diagonal est confortée par la responsabilité de chaque employé en contact avec des données clients. Nos personnels techniques et administratifs sont choisis pour leur expertise technologique. D’autre part, le renouvellement des employés est très faible.

2.1 Organisation de la sécurité des systèmes d’information

Chaque acteur impliqué dans la sécurité des informations est informé de ses responsabilités dans ce domaine, il est soumis à un devoir de réserve, des obligations de confidentialité ou au secret professionnel, selon son activité.

2.1.1 Responsabilité de la sécurité des systèmes d’information

Le directeur général de Diagonal est responsable de l’organisation de la sécurité des systèmes d’information.

Le contrôle est sous la responsabilité du Délégué à la Protection des Données (DPD – DPO en anglais).

Leurs rôles consistent notamment à :

  • Contribuer et maintenir à jour la politique de sécurité et vérifier sa mise en œuvre par l’ensemble des intervenants ;
  • Surveiller la mise en place des différents projets, et notamment l’application des règles de la PSSI ;
  • Relayer, si nécessaire, les informations relatives à la sécurité en provenance des autres acteurs (hébergeurs, prestataires, etc.) ;
  • Proposer et mettre en œuvre des actions de sensibilisation, d’informations et de formation.

2.1.2 Accès aux ressources informatiques

La mise à disposition de moyens informatiques pour un utilisateur est organisée, à l’arrivée, au changement de fonction, ou au départ de ce dernier. L’accès aux ressources est contrôlé (identifiant et authentification) et adaptée au rôle de l’utilisateur. Les accès aux données sont strictement réservées au personnel devant l’utiliser.

Avant toute cession ou mise en décharge de matériel ayant servi dans l’entreprise, les supports (disques…) sont systématiquement reformatés ou physiquement détruits.

2.1.3 Services externes utilisés par Diagonal

L’entreprise Diagonal s’assure des mesures liées à la sécurité des systèmes d’information mises en place par ses prestataires listés ci-dessous : 

Prestataire Type Mesure de sécurité
OVH Serveurs de type VPS https://docs.ovh.com/fr/securite/pssi/
Microsoft Azure Serveurs https://docs.microsoft.com/fr-fr/azure/security/
Infomaniak Hébergement site Web et courriel https://www.infomaniak.com/documents/politique_SI_EE_fr.pdf
Stripe Service de règlement par cartes bancaires https://stripe.com/fr/legal/consumer

2.2 Protection des données

2.2.1 Confidentialité et intégrité de la base des clients

La base des clients est détenue sur un serveur interne à Diagonal. Les sauvegardes sont effectuées quotidiennement sur des machines de type NAS organisées en RAID. Les sauvegardes sont cryptées et les échanges entre espace de travail et sauvegarde sont également cryptés.

De façon que les clients puissent consulter la liste des produits de Diagonal qu’ils possèdent, une petite partie de la base client est recopiée chez notre hébergeur. La mise à jour de ces éléments se fait dynamiquement. L’échange de données est codé. La consultation et les achats se font sur notre site Web www.prolexis.com

Ce mécanisme permet également la vente en ligne de nos logiciels.

Notre hébergeur est la société Infomaniak située en Suisse en région genevoise.

Sa propre politique de sécurité est décrite ici : www.infomaniak.com/documents/politique_SI_EE_fr.pdf

2.2.2 Paiements en ligne

Les paiements en ligne sont effectués directement auprès de la société Stripe. À aucun moment Diagonal ne détient des informations bancaires concernant nos clients qui achètent et paient en ligne.

La politique de sécurité de Stripe est décrite ici :

https://stripe.com/privacy

2.2.3 Confidentialité et intégrité des données analysées

Les clients de Diagonal ne nous confient pas les textes qu’ils analysent et corrigent. Si, par exception des clients sont amenés à nous transmettre des parties de texte pour analyse technique ou linguistique et en vue de résoudre une difficulté ponctuelle, nous leur demandons de les anonymiser préalablement.

Cas particulier de la correction en ligne :

Concernant la correction en ligne, les textes analysés sont en général conservés pour servir de corpus au travail de R&D de notre équipe de linguistes. Mais aussi pour permettre une analyse fine et répondre à nos clients qui souhaitent savoir, a posteriori, pourquoi une faute n’a pas été trouvée ou pourquoi la détection était fautive.

Les textes sont conservés en l’état initial pendant 24 heures aux fins de correction ou de recherche de debug. Ensuite ils sont anonymisés automatiquement par suppression des données identifiantes présentes dans les textes et conservées.

Si des clients, parmi ceux qui ont souscrit à un abonnement avec un serveur dédié, souhaitent que leurs textes soient détruits immédiatement après correction, nous le faisons automatiquement. Diagonal s’y engage contractuellement.

La majorité des textes soumis aux analystes linguistiques sont des textes publiés dans la presse. S’il s’agit d’autres provenances, une anonymisation est effectuée (adresse de courriel par exemple).

3. Règles de sécurité

3.1 Sécurité physique

3.1.1 Locaux

La sécurité physique des bureaux de Diagonal est assurée par un système d’alarme relié à la société de télésurveillance VIDI qui assure cette prestation (http://www.vidi-surveillance.com/). Si nécessaire celle-ci contacte les responsables et peut déclencher une intervention rapide.

Le bâtiment est lui-même protégé par code durant les périodes normales d’activité réduite ou nulle. 20 heures à 8 heures le matin.

Diagonal respecte les règlements de protection contre l’incendie (Extincteurs, vérification périodique, plans).

3.1.2 Postes de travail

Les règles suivantes s’appliquent à tous les postes de travail :

  • Utiliser un mot de passe fort pour accéder à son ordinateur
  • Ne pas laisser d’ordinateur portable sans surveillance dans un lieu public
  • Verrouillage automatique du poste de travail en cas d’inactivité prolongée ;
  • Connexions Internet uniquement par câble Ethernet, utilisation du Wifi interdite et réseau Wifi verrouillé ;
  • Signaler toute anomalie de comportement des liaisons.

3.1.3 Disques durs externes et dépôt FTP

Les disques durs externes sont utilisés pour effectuer les sauvegardes TimeMachine.

Leur contenu n’est accessible que depuis le poste de travail auquel ils sont raccordés.

Diagonal utilise un serveur FTP pour échanger ponctuellement et manuellement des logiciels avec certains clients. Ce serveur, indépendant, est hébergé dans le même centre de données que celui du site Web et bénéficie des mêmes sécurités et sauvegardes. Aucune information appartenant à nos clients ne s’y trouve. Ni textes ni données personnelles.

Les mots de passe sont changés périodiquement.

3.2 Sécurité des réseaux

3.2.1 Accès à la console d’administration

Les accès aux consoles d’administrations des serveurs sont restreints en fonction de l’IP du lieu où est lancée la connexion.

3.2.2 Réseau Wi-Fi

L’accès au réseau local Wi-Fi est condamné.

3.3 Sécurité lors du développement des logiciels

Les étapes de développement des modules de nos logiciels sont déposées sur un serveur utilisant le logiciel de gestion de développement SVN. Ce serveur est entièrement crypté. Les sauvegardes le sont également.

3.4 Sécurité lors des accès à la base client.

Les accès à la base de données contenant les informations nominatives des clients ne se font jamais directement depuis l’extérieur mais uniquement par l’intermédiaire du serveur Web qui détient les informations nécessaires à l’identification des clients.

Lorsque des modifications techniques doivent être faites sur la base clients, c’est au travers d’un protocole d’échange codé et limité au strict nécessaire.

Aucune connexion technique ne peut être établie depuis un poste de travail itinérant.

3.5 Sécurité des serveurs

3.5.1 Restriction d’accès

L’accès à la base de données utilisée pour les fiches clients est restreint au technicien chargé de sa maintenance et au DPO.

Les accès aux serveurs hébergés chez OVH et Azure sont limités aux développeurs qui y travaillent.

3.5.2 Maintenance et correctifs de sécurité

La maintenance des serveurs eux-mêmes incombe aux sociétés OVH, Azure, Infomaniak et Verifone selon leurs propres PSSI.

4. Sensibilisation et formation

4.1 Sensibilisation aux sujets de sécurité

Les salariés de l’entreprise Diagonal sont régulièrement sensibilisés à la sécurité des systèmes d’information, lors de réunions et notamment sur les points suivants :

  • Bonnes pratiques élémentaires,
  • Virus, cheval de Troie, rançons (Malware, ransomware), etc.
  • Hameçonnage (Phishing).
  • Complexité et gestion des mots de passe.

Les salariés doivent prendre connaissance de la présente politique de sécurité lors de leur arrivée dans l’entreprise, quel que soit le poste occupé. De même pour l’ensemble des prestataires avec lesquels l’entreprise serait amenée à collaborer.

L’OS dominant dans notre société est MacOS. Les OS Windows ne sont pas en permanence connectés sur le réseau interne et leur usage vers l’Internet est interdit sauf cas de tests de nos propres outils logiciels.

Un tiers, n’a pas le droit de venir brancher son ordinateur sur le réseau de Diagonal, même momentanément.

4.2 Contrôles de sécurité

L’ensemble des employés peuvent être soumis à des contrôles de sécurité sans en être avisés au préalable, ceci dans un but de sensibilisation aux sujets et consignes de sécurité.