La sécurité des données et des informations chez Assent
Les clients de différents secteurs, de l’aérospatial à la fabrication, font confiance à Assent pour la protection de leurs données. Assent s’appuie sur les bonnes pratiques du secteur, une infrastructure de sécurité solide et des politiques complètes fondées sur la norme ISO 27001 pour protéger ses informations et ses données, ainsi que celles de ses clients et partenaires.
Nos communications Internet sont chiffrées via HTTPS, SFTP et TLS. Les données clients sont sécurisées à l’aide du chiffrement de base de données standard.
Assent est conforme à la norme SOC 2. Si vous souhaitez lire le rapport SOC 2, type II, veuillez vous rendre dans notre centre de documentation pour en demander un exemplaire.
Assent utilise Amazon Web Services (AWS) pour héberger sa Assent Compliance Platform et ses données.
Sécurité des applications
Chiffrement :
- Données en mouvement : les communications Internet sont chiffrées via Secure Hypertext Transfer Protocol (HTTPS), Secure File Transfer Protocol (SFTP) et Transport Layer Security (TLS).
- Données au repos : les données client sont protégées grâce au chiffrement Advanced Encryption Standard (AES).
Environnements distincts (développement, assurance qualité, pré-production, UAT, production) : les environnements de développement, de test et de pré-production sont séparés de l’environnement de production, aussi bien physiquement que logiquement.
Ségrégation des données : toutes les données client sont compartimentées par des contrôles de sécurité de pointe auxquels seules des personnes désignées disposant de certains identifiants et privilèges peuvent accéder. De plus, des répertoires SFTP distincts sont créés pour chaque client afin de permettre le transfert des données vers Assent.
Test d’intrusion : une entreprise tierce indépendante effectue des tests d’intrusion annuels sur Internet et sur le réseau dans l’environnement de production. Nos équipes internes effectuent également des tests tous les six mois.
Analyse de la vulnérabilité des applications : une analyse de la vulnérabilité des applications est effectuée sur chaque version du code avant d’être envoyée dans les environnements de recette (UAT). Seul le code ayant satisfait l’analyse est envoyé en production.
Sécurité physique et du cloud
Prestataire de services
La plateforme d’Assent, les données et la sécurité des serveurs sont fournis par AWS. La réputation d’Amazon Web Services en matière de sécurité des données n’est plus à faire et des leaders tels que Verizon et Capital One leur font confiance. AWS possède de nombreuses certifications telles que SOC 2 et ISO 27001.
Où nous trouver
Assent propose trois sites d’hébergement à ses clients :
- Environnement commercial d’Amérique du Nord : AWS USA Est – Virginie du Nord.
- Environnement ITAR USA, hébergé par AWS GovCloud – Est des États-Unis.
- L’environnement européen se trouve à Francfort, en Allemagne.
Les données sont hébergées par défaut dans l’environnement commercial d’Amérique du Nord. Les clients peuvent demander une option différente s’ils le souhaitent. Les fonctionnalités et les cadres décrits ici s’appliquent à tous les emplacements.
Sécurité du réseau
Détection et prévention des intrusions : Les systèmes de détection et de prévention des intrusions (IDS et IPS respectivement) sont placés aux points d’entrée et de sortie des applications pour éviter et atténuer tout événement de sécurité potentiel.
Prévention contre la perte de données : Assent utilise une approche à plusieurs niveaux pour prévenir la perte de données au niveau des points de terminaison et dans le cloud en utilisant des outils de sécurité nouvelle génération en plus des approches plus traditionnelles.
Architecture : l’architecture réseau d’Assent respecte les pratiques de haute disponibilité et de topologie pour s’assurer que les données client sont isolées du trafic du réseau périphérique.
Analyse de la vulnérabilité réseau : Assent effectue des analyses régulières et exhaustives des vulnérabilités pour surveiller le niveau de sécurité du réseau et des points de terminaison.
Gestion de l’information et des événements de sécurité (SIEM) : une solution SIEM surveille, analyse et alerte l’équipe de sécurité en cas d’événements de sécurité potentiels.
Accès au réseau : seuls les utilisateurs et appareils autorisés peuvent accéder au réseau d’Assent.
Sécurité opérationnelle
Réponse aux incidents de sécurité : Assent dispose d’un plan de réponse aux incidents documenté qui couvre tous les aspects d’un incident, depuis la détection jusqu’à l’analyse post-incident.
Reprise après sinistre : AWS U.S.-West (Oregon) est le site de reprise après sinistre américain d’Assent, et en UE, il s’agit d’AWS Irlande. Notre plan de reprise après sinistre est conçu pour limiter au maximum les perturbations en cas de sinistre. L’environnement de production, y compris les données client, est répliqué sur un site secondaire qui est disponible si le site primaire est hors ligne. Le plan de reprise après sinistre est testé chaque année.
Gestion des modifications : les modifications apportées en production sont soumises à des tests, à une validation et à une approbation documentés.
Authentification à deux facteurs : cette méthode est utilisée pour l’administration de l’environnement de production et pour l’accès à distance au réseau Assent.
Sauvegardes : des sauvegardes complètes sont effectuées chaque semaine, tandis que les sauvegardes des journaux et les sauvegardes différentielles sont effectuées toutes les heures.
Surveillance : tous les systèmes sont surveillés 24 h/24, 7 j/7 pour leurs performances et leur capacité.
Disponibilité : Assent garantit une disponibilité de 99,5 % (détails disponibles dans notre contrat cadre d’abonnement).
Protection du serveur:
- Correctifs et maintenance : des correctifs de sécurité du système sont appliqués chaque mois.
- Protection contre les logiciels malveillants : tous les serveurs sont protégés à l’aide d’un logiciel de protection des points de terminaison.
Protection des postes de travail des utilisateurs :
- Chiffrement complet des disques : tous les appareils mobiles appartenant à Assent, y compris les téléphones ou les ordinateurs portables, sont chiffrés.
- Protection contre les logiciels malveillants : tous les postes de travail sont protégés à l’aide d’un logiciel de protection des points de terminaison.
- Gestion centralisée : tous les postes de travail sont gérés de manière centralisée pour l’application de correctifs et la configuration.
Conformité en matière de sécurité
SOC 2 : Assent est conforme à la norme SOC 2, Type II. Un exemplaire de notre certification est à votre disposition, sur demande, dans notre centre de documentation.
Pratiques de sécurité supplémentaires
Équipe de sécurité dédiée : tous les membres de l’équipe de sécurité d’Assent détiennent les certifications et autorisations de sécurité appropriées.
Politiques : Assent dispose d’un ensemble complet de politiques de sécurité, fondées sur le cadre ISO 27001, révisées chaque année. Ces politiques sont mises à la disposition de l’ensemble du personnel ayant accès aux ressources d’information d’Assent.
Formation : tous les nouveaux membres du personnel suivent une formation de sensibilisation à la sécurité avant de pouvoir accéder au réseau. Cette formation doit ensuite être renouvelée chaque année. De plus, des tests de simulation d’hameçonnage (phishing) et des formations de sensibilisation sont régulièrement organisés pour former nos collaborateurs aux nouvelles cybermenaces.
Vérification des antécédents : Assent procède à la vérification des antécédents et des casiers judiciaires de tous les nouveaux membres de son personnel.
Accords de confidentialité : tous les nouveaux membres du personnel sont tenus de signer des accords de confidentialité.
Mise en conformité avec la réglementation ITAR : Assent dispose d’un environnement Assent Compliance Platform conforme à la réglementation ITAR hébergé dans AWS GovCloud. Veuillez vous rapprocher de votre représentant commercial pour obtenir davantage d’informations.
Si vous avez des questions ou si vous souhaitez en savoir plus sur nos politiques et procédures de sécurité des données et de l’information, veuillez nous envoyer un e-mail à l’adresse info@assent.com.