Sécurité et confiance

Une relation de confiance commence par la transparence en matière de sécurité.

Pour votre entreprise, ce sont des défis ennuyeux.
Pour les nôtres, des défis ont été relevés.

Chez GlobalSuite Solutions, nous croyons en la sécurité en tant qu’élément de différenciation dans la recherche de confiance de nos clients. C’est pourquoi nos services et processus sont nés en tenant compte de cette exigence dès sa conception.

Sécurité physique

Nous avons des contrôles dans nos centres de travail qui empêchent l’accès par du personnel non autorisé, à la fois automatisé et en face à face. Cela nous permet de fournir nos services de manière rapprochée sans négliger la sécurité.

L’accès par le personnel extérieur à l’organisation est effectué sous supervision interne, offrant un accès limité par rapport à l’objectif pour lequel ils sont entrés dans nos installations.

Dans tous nos centres, nous avons des contrôles physiques qui permettent de détecter des anomalies (systèmes de vidéosurveillance, alarmes, etc.) et d’y réagir rapidement.

Pour obtenir un bon service, GlobalSuite® utilise trois centres de traitement de données délocalisés qui permettent la fourniture du service face à l’indisponibilité dans l’un d’entre eux.

Ces centres de données sont internationalement reconnus pour la qualité et la sécurité dans la fourniture de leurs services, ayant différentes certifications qui les obligent à avoir des contrôles de premier niveau pour l’accès physique pour le respect de leurs engagements à garantir la sécurité des informations qui y sont hébergées.

Les mesures de sécurité mises en œuvre vont de contrôles d’accès rigoureux uniquement par du personnel autorisé et en tout temps accompagné par le personnel interne de l’organisation, à une gestion optimale des conditions environnementales et d’approvisionnement.

Tous les journaux d’accès, y compris le personnel autorisé, seront disponibles à tout moment et seront traités en interne comme un incident de sécurité au sein de GlobalSuite Solutions afin d’identifier la cause première et d’empêcher qu’il ne se reproduise à l’avenir.

Sécurité de l’infrastructure

Notre stratégie de sécurité dans la fourniture de services suit les principes de défense en profondeur, en appliquant des contrôles dans chacune des couches qui se traduisent par une infrastructure robuste sur laquelle GlobalSuite® est basé.

Suivant ce principe, en premier lieu, en plus des contrôles proposés par les différents fournisseurs de services qui nous connectent à Internet, il existe Pare-feu de périmètre empêcher les accès non autorisés, en permettant également la segmentation des différents composants dans des réseaux indépendants, améliorant ainsi l’efficacité et la sécurité de l’information.

Notre infrastructure est configurée en haute disponibilité, pour assurer la disponibilité du service en cas de pannes d’origine physique ou logique. De la même manière, une surveillance active de tous les éléments du réseau est disponible pour assurer leur bon fonctionnement et alerter d’éventuelles activités suspectes ou anomalies.

Comme mesure de protection supplémentaire, l’architecture dispose de services qui permettent le nettoyage, le routage réseau et le filtrage pour gérer les attaques des couches précédentes.

Notre réseau de communication dispose de systèmes de prévention et de détection des intrusions, avec des sondes au niveau du réseau et de l’hôte (NIDS et HIDS, respectivement). Cette architecture nous permet d’identifier les événements anormaux à la fois sur le réseau et sur les serveurs utilisés pour fournir notre service et d’agir automatiquement en cas d’événements malveillants.

En outre, l’application dispose d’un pare-feu au niveau de l’application, ou WAF, qui lui permet de réagir aux demandes considérées comme malveillantes aux attaques connues ou basées sur le comportement.

L’infrastructure qui prend en charge GlobalSuite® a mis en place des mécanismes de détection et de prévention des intrusions, établis à partir d’une architecture d’IDS dans l’hôte et le réseau (HIDS et HIPS).

Tout cela géré de manière centralisée grâce à notre système de gestion des informations et des événements de sécurité, ou SIEM, qui nous permet de surveiller et de corréler les événements produits par nos agents, de notifier en temps opportun et de visualiser les actions en temps réel.

Sécurité des données

La plate-forme ainsi que toutes les fonctionnalités développées pour GlobalSuite® sont la conséquence d’un processus de développement qui prend en compte la sécurité à la fois dans la conception du produit et dans ses fonctionnalités.

La sécurité est présente à chacune des étapes du cycle de développement et de conception du système, de la définition des exigences aux validations effectuées, en interne et en externe, dans la phase de production.

Un exemple de ceci est l’intégration des recommandations du guide OWASP dans les différentes étapes qui composent le cycle susmentionné, en veillant à ce que le produit final ne contienne pas de vulnérabilités connues.

La ségrégation de notre infrastructure nous permet également de diviser logiquement le stockage des données de nos clients, offrant une mesure supplémentaire de protection dans l’accès à celles-ci.

Ce niveau d’isolement nous permet d’assurer la confidentialité des informations de chacun des clients, en évitant tout accès non autorisé.

L’outil dispose d’un cryptage des données au repos, protégeant les données des clients via des réseaux publics grâce à des protocoles de cryptage qui empêchent leur visualisation.

Toutes les connexions établies à GlobalSuite® sont cryptées à l’aide des protocoles TLS 1.2 et TLS 1.3, offrant un niveau de sécurité plus élevé au niveau de la couche de transport et rendant impossible la négociation d’une version antérieure.

Ce niveau de protection est implémenté sur toutes les connexions, y compris l’accès Web et les api utilisées par l’outil.

La confidentialité de vos données est importante pour nous, et nous savons également à quel point elle est importante pour vous. C’est pourquoi nous considérons que la transparence concernant notre processus de collecte de données, l’utilisation des données et la question de savoir si nous pourrions les partager sont essentielles.

Chez GlobalSUITE® , nous n’accédons pas aux données personnelles et ne les collectons, les stockons ou les traitons à quelque fin que ce soit. Nous les utilisons simplement pour vous offrir le meilleur service et pour pouvoir vous contacter au cas où vous en auriez besoin. Vous pouvez en voir plus dans notre politique de confidentialité.

Les fournisseurs utilisés pour la fourniture du service respectent les mêmes conditions de sécurité que nous, en mettant en œuvre des mesures de sécurité supérieures ou équivalentes à celles requises.

Après la résiliation de la relation contractuelle de l’organisation avec ses clients, le respect des délais de conservation des données ou après une demande du client, une destruction sécurisée des informations sera effectuée.

Sécurité opérationnelle

L’organisation dispose d’un processus de gestion des vulnérabilités qui permet la mise en œuvre des différents changements communiqués par les fabricants, ainsi que des défaillances de configuration qui pourraient entraîner un problème de sécurité.

Ce processus comporte plusieurs activités d’entrée, telles que la détection d’éventuelles vulnérabilités par la partie de notre équipe interne, une équipe externe qui effectue des audits périodiques ou par les fabricants eux-mêmes en utilisant les canaux de communication prévus à cet effet.

Ces examens sont gérés à l’interne, analysant également activement tous les rapports de sécurité externes et les nouvelles ou communications des parties prenantes qui pourraient affecter l’infrastructure ou la fourniture correcte du service.

Toutes les vulnérabilités détectées, quelle que soit leur origine, sont hiérarchisées, leur cause première identifiée, une mesure d’urgence est mise en place le plus rapidement possible pour éviter la possibilité de vulnérabilité, et enfin, résolues.

Toutes les données ont une sauvegarde qui garantit leur disponibilité. Ce processus de support comprend différentes stratégies et politiques qui couvrent l’ensemble du cycle des données, de leur création à leur destruction.

Notre politique de réplication inclut le stockage dans des centres délocalisés, afin d’éviter la perte de disponibilité de ceux-ci en cas d’incident impliquant l’impossibilité de fournir le service à partir du DPC principal. Notre politique de sauvegarde a associé des activités qui visent à assurer la validation et la restauration correcte des informations sur une base régulière, éliminant ainsi les erreurs possibles dans le processus de réplication.

Afin d’éviter la perte de confidentialité des données de sauvegarde, elles sont toutes cryptées à l’aide de normes sécurisées, à la fois à la source et à destination.

L’organisation dispose d’un système de gestion de la continuité des activités, Le par son acronyme, Certifié ISO 22301, audité périodiquement et assurant ainsi la mise à jour complète des différents composants qui le composent, tels que le plan de reprise après sinistre et le plan de continuité des activités.

Chacun des trois DPC qui composent l’infrastructure GlobalSuite® dispose de systèmes de secours pour l’alimentation, le contrôle de la température, la prévention des incendies; avoir différentes certifications qui montrent l’état correct des mesures de sécurité, faisant l’objet d’un audit périodique.

Notre processus de continuité d’activité s’adapte également aux services internes pour le bon fonctionnement de GlobalSUITE®, atteignant une résilience complète du service.

La production d’un serveur pour exécuter des activités au sein de l’organisation a une étape précédente de « Hardering » qui nous permet de réduire les vulnérabilités dérivées des configurations par défaut.

Ce processus de Hardering est en constante évolution, parallèlement aux nouveaux services et vulnérabilités de l’industrie, cependant, toujours guidé par les bonnes pratiques des guides CIS (Center for Internet Security).

Certifications

Notre ferme conviction pour la sécurité et la confiance s’est cristallisée dans le fait d’avoir un système de management intégré qui permet la gouvernance de nos processus et qui est certifié ISO 27001, ISO 22301, ISO 9001, ISO 20000, ISO 37001, UNE 19601, ENS, entre autres. Ce cadre nous fournit les outils nécessaires pour répondre aux objectifs de l’organisation, gérer les risques et définir les contrôles nécessaires.

Conformité au RGPD
Centre de données – Situé dans l’Union européenne
Commençons un nouveau projet ensemble