fbpx

Politique de sécurisation et de traitement des données

Article 1 –  Introduction

La mise en application du Règlement Général sur la Protection des Données en mai 2018 a amené de nouvelles obligations imposables aux entreprises et aux sous-traitants.
Afin de répondre à ses obligations réglementaires, d’améliorer ses processus pour y intégrer en permanence l’aspect sécurité de l’information, et ainsi améliorer les pratiques de l’ensemble des équipes techniques, Axelor a mis en place la présente La Politique de Sécurisation et de Traitement des Données (notés PSTD dans la suite de ce document), qui est révisée régulièrement.
La PSTD est diffusée à l’ensemble des personnes concernées, et Axelor met en œuvre les formations et informations nécessaires à sa compréhension, sa bonne mise en œuvre et son respect.
La PSTD permet de décrire les engagements pris par Axelor en termes de sécurité des données et applications hébergées sur ses serveurs chez OVH.
La PSTD s’applique à tous les services fournis aux clients.
Les documents de référence sont les suivants :

  • Politique de Confidentialité
  • Les règlementations relatives à la Protection des Données Personnelles :
  • Loi n°78- 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la Loi n° 2018-493 du 20 juin 2018.
  • Le Règlement Général sur la Protection des Données (RGPD)

Article 2 –  Enjeux et objectifs

La sécurité de la plateforme d’hébergement et des applications Axelor représente un enjeu majeur pour Axelor afin de garantir la protection des intérêts propres de la société, ainsi que celle de ses clients.

La PSTD est donc mise en œuvre pour prendre en compte les principaux risques encourus et identifiés :

  • Risque d’indisponibilité des informations et applications, et des systèmes les traitant.
  • Risque de divulgation, ou perte de confidentialité des informations fournies par nos clients et pour lesquelles nous agissons en tant que sous-traitant.
  • Risque d’altération, ou perte d’intégrité, qui pourrait amener à une perte d’information pour nos clients.

Les objectifs de mise en œuvre de la PSTD sont :

  • Améliorer et formaliser la gestion de la sécurité des applications et de leur hébergement.
  • Etendre les bonnes pratiques à tous les services proposés par Axelor.
  • S’assurer du respect par Axelor de ses obligations légales en ce qui concerne la gestion des Données Personnelles (Loi Informatique et Libertés, RGPD) en tant que sous-traitant.
  • Créer une culture de la sécurité auprès des équipes d’Axelor, et de ses clients.

Article 3 –  Organisation de la sécurité de l’information

Chaque salarié possède une fiche de poste qui décrit ses missions, son positionnement au sein de l’organisation d’Axelor, ses principales activités, et les savoir-faire et savoir-être qu’il doit maîtriser pour mener à bien ses missions.

La sécurité est pilotée :

  • Au niveau stratégique au minimum une fois par an lors d’une revue de direction dédiée à la sécurité.
  • Au niveau opérationnel lors d’une revue mensuelle.

Les chefs de service sont les responsables du respect par leurs équipes de la PSTD mise en place.

Article 4 –  La sécurité des ressources humaines

4.1 Embauche

Un processus d’intégration structuré est mis en place pour chaque nouveau salarié. Les droits d’accès aux informations et aux applications peuvent évoluer selon le statut de l’intégration (durée minimale de présence, période d’essai terminée, …).

4.2 Confidentialité

Tout collaborateur d’Axelor a signé une clause de confidentialité dans son contrat de travail et a pris connaissance de la PSSI et de la Charte Informatique interne d’Axelor et s’est engagé à la respecter et à la faire respecter.

Axelor mettra ainsi tout en œuvre pour respecter la confidentialité des données et des documents qui lui seront transmis.

4.3 Sensibilisation à la sécurité

Le processus d’accompagnement d’un nouveau collaborateur prévoit une sensibilisation à la sécurité. Des sessions de sensibilisation sont également organisées de façon annuelle.

4.4 Compétence et formation

La gestion des compétences permet à Axelor d’identifier les besoins de formation.
Les chefs de services définissent les besoins de formation pour leurs équipes, et les transmettent au service RH pour consolidation et validation d’un plan de formation annuel.

4.5 Départ

Un processus formalisé permet de structurer les actions à mener au départ de tout collaborateur, et en particulier la fermeture de ses comptes d’accès aux différentes ressources auxquelles il avait droit.

Article 5 –  Authentification – Contrôle d’accès

5.1 Politique de mot de passe

Chaque utilisateur est identifié par un identifiant unique et un mot de passe fort. Les employés disposent d’un gestionnaire de mots de passe permettant la création, le stockage et le partage de mots de passe de manière sécurisée. Il est formellement interdit de partager des mots de passe professionnels entre employés Axelor en dehors de cette plateforme.

La politique de mot de passe pour les utilisateurs des services hébergés est la suivante :

  • Personnalisation par l’utilisateur lors de sa 1ère connexion sur l’environnement de production.
  • Taille minimale : 12 caractères.
  • Complexité : au moins 3 types de caractères différents parmi : minuscules, majuscules, chiffres et caractères spéciaux.

Selon des besoins spécifiques, d’autres sécurités comme celles listées ci-dessous pourrait éventuellement être mises en place :

  • Fréquence de changement : tous les 4 mois.
  • Pas de réutilisation des 5 derniers mots de passe.
  • Verrouillage après 5 tentatives infructueuses

Les mots de passe sont personnels et confidentiels, ils ne sont donc pas stockés par les équipes techniques.
Si pour quelque raison que ce soit un intervenant technique a besoin de connaître le mot de passe d’un utilisateur, il sera demandé à ce dernier de le changer avant de le communiquer au technicien, et il sera obligé de le réinitialiser lors de sa connexion suivante.
Les comptes d’administration suivent les mêmes règles que celles des utilisateurs. Ces mots de passe sont stockés dans une base sécurisée et chiffrée.

5.2 Gestion des droits d’accès

L’administration courante des environnements hébergés est réalisée l’équipe technique d’Axelor par l’intermédiaire de comptes d’administration aux droits limités. L’accès par les autres personnels techniques n’est autorisé que pour la durée d’affectation ou d’intervention prévue.

5.3 Revue des droits d’accès

Les droits d’accès d’administration à l’ensemble du Système d’Information d’Axelor sont revus au minimum une fois par an.

Article 6 – Sécurité physique et environnementale

6.1 Hébergement et localisation

L’hébergement de notre solution est réalisé auprès des Hébergeur OVH et AWS.

AWS
L’ensemble des services sont hébergés en Europe et intégralement gérés par les équipes Axelor.
L’ensemble des services sont répliqués. Dans le cas de la base de données, une base de données primaire est répliquée de manière synchrone vers une autre instance permettant en cas d’échec de basculer automatiquement vers une instance de secours sans intervention manuelle.

OVH
Nos serveurs OVH sont des serveurs dédiés offrant des configurations et des performances supplémentaires comparées au Cloud. Les serveurs sont intégralement gérés par les équipes d’Axelor.
Les données (stockées sur les serveurs) sont hébergées en France sur les sites de Gravelines, Roubaix ou Strasbourg.
La bande passante des serveurs est à 1 Gbps (BP sortante et entrantes).

6.2 Sécurité des datacenters

AWS
Notre partenaire AWS met en œuvre des mesures rigoureuses pour assurer la sécurité, la disponibilité et la conformité de ses services d’hébergement, fournissant ainsi un environnement fiable pour les données de ses clients.
La sécurité est une préoccupation majeure, avec des mesures strictes pour contrôler l’accès physique aux centres de données. L’accès est limité aux employés et aux tiers autorisés, accordé selon le principe du moindre privilège. Toutes les entrées sont surveillées, enregistrées et les personnes sont escortées. De plus, AWS met en place une surveillance constante des centres de données, une détection d’intrusion électronique et une gestion rigoureuse des équipements.
La gestion des équipements et de l’environnement est également cruciale, avec une maintenance préventive, un contrôle des conditions climatiques pour éviter la surchauffe, et des systèmes de détection et d’extinction automatiques des incendies.
En ce qui concerne la gouvernance et les risques, AWS effectue des évaluations régulières des menaces et des vulnérabilités, et se conforme à diverses normes de qualité et de sécurité. Des audits tiers sont réalisés pour garantir la conformité aux règles établies pour obtenir des certifications de sécurité.
Plus d’informations sur leur programme de conformité sont disponibles sur leur site web (https://aws.amazon.com/fr/compliance/data-center/).

OVH 

  • Localisation : centres de données distants de plus de 200 km afin d’assurer redondance et continuité de service. Possibilité de PRA/PCA
  • Sécurité électrique : double alimentation électrique systématique, onduleurs de 250KVA chacun, groupes électrogènes d’une autonomie initiale de 48h, 2 arrivées réseau minimum jusqu’au datacenter ; à l’intérieur, 2 salles réseau jumelles capables de prendre le relai l’une de l’autre.
  • Sécurité physique : présence sur site, accès contrôlés par badge, surveillance vidéo, détection de mouvement et gardiennage 24h /7 ; salles équipées de systèmes de détection de fumée, accès autorisés seulement au personnel d’OVH, avec pour chaque employé un badge RFID nominatif auquel sont associés ses droits d’accès.
  • Sécurité incendie : système de détection et d’extinction d’incendie, portes coupe-feu. Respect de la règle APSAD R4 pour l’installation des extincteurs portatifs et mobiles, et possession du certificat N4 pour tous les centres.
  • Protection anti-DDoS : mise en place de 9 infrastructures anti DDoS d’une capacité de 6x600Gps + 1x 240Gbps + 2x120Gbps dans les centres de données d’OVH.
  • Service 365j x 24h : management, maintenance et supervision des services.
  • Ecoresponsable : 98% des salles d’hébergement dépourvues de climatiseurs, watercooling permettant de dissiper 70% de la chaleur émise par le processeur, l’aircooling permettant d’évacuer les 30% restants. PUE inférieure à 1.2.
  • Conformité aux exigences internationales : OVH est certifié ISO 27001 :2005 pour la fourniture et l’exploitation d’infrastructures dédiées de cloud computing. La société s’appuie sur les normes ISO 27002 et ISO 27005 pour la gestion de la sécurité et l’appréciation des risques et traitements associés, et a reçu les attestations SOC 1 et 2 type II.

Article 7 – Infrastructure Saas, sauvegardes et monitoring

7.1 Sauvegardes

AWS
Le système de base de données AWS Aurora sauvegarde automatiquement le volume de cluster et conserve les données de restauration pendant la totalité de la période de rétention des sauvegardes. Les sauvegardes Aurora sont continues et incrémentielles, elles peuvent rapidement être restaurées à un point quelconque de la période de rétention des sauvegardes. Aucun impact sur les performances ou interruption du service de base de données ne se produit lors de l’écriture des données de sauvegarde.
La période de rétention de ces données est de 14 jours.
En complément de la sauvegarde automatique du cluster, nous réalisons les sauvegardes suivantes avec l’outils AWS Backup :
• deux quotidiennes, conservées 7 jours
• hebdomadaire, conservée 31 jours
• mensuelle, conservée 12 mois.
Le RPO est de 14 heures.

OVH
Les applications et leurs données sont sauvegardées quotidiennement par notre outil interne Backuppc. 2 sauvegardes journalières à 03h00 et à 13h00 sont réalisées.
Les données sauvegardées sont les suivantes : base de données / pièces jointes / application.
Ces données sont stockées sur un serveur dédié isolé des serveurs de production et dans un data center différent.
De plus, chaque semaine, les containers LXC sont sauvegardés dans leur intégralité. En cas de problème sur le host, les containers peuvent être déplacés sur un autre hyperviseur.
Le RPO (Recovery Point Objective) est de 14 heures 

7.2 Monitoring

Les serveurs et applications sont monitorés 24h/24, 7j/7 par notre monitoring interne Nagios.
Les composants suivants sont surveillés : PING / CPU / RAM / Espace Disque / Temps de réponse de la page de connexion / Nombre de connexions à la base de données.
En cas de défaillance, des alertes par emails/Chat sont émis aux équipes pour une intervention (en cas de défaillance critique) ou pour surveillance (dans le cas de simple warning).

Article 8 – Respect des exigences européennes

8.1 Droit d’accès à vos données personnelles

Conformément à la règlementation européenne, vous détenez un droit d’accès, de rectification, de suppression, et de limitation du traitement de vos données personnelles. Vous avez également le droit de vous opposer au traitement de vos information sou d’exporter ces dernières vers un autre service. Il vous suffit de contacter Axelor pour exercer votre droit (comment ?).

8.2 Responsable de traitement

Axelor est le responsable de traitement de vos données personnelles, c’est-à-dire qu’Axelor est chargée de traiter vos informations et de respecter les lois applicables en matière de respect de la vie privée.

8.3 Finalités et fondements juridiques

Axelor traite vos données personnelles aux finalités décrites dans la Politique de Confidentialité des données.
Votre consentement est recueilli pour le traitement de vos données personnelles, et vous êtes libre de revenir sur votre consentement à tout moment :

  • En modifiant vos paramètres dans la Déclaration des cookies sur notre site internet
  • En contactant rgpd@axelor.com

Axelor traite vos données personnelles conformément à ses intérêts légitimes, ainsi qu’à ceux de tiers, tout en appliquant les mesures de protection décrites dans la présente PSTD, et notamment pour effectuer les opérations suivantes :

  • Proposer ses services, en assurer le fonctionnement et les améliorer pour répondre aux besoins de nos utilisateurs;
  • Développer de nouveaux produits et de nouvelles fonctionnalités;
  • Comprendre la façon dont ses services sont utilisés afin d’en assurer et d’en améliorer les performances;
  • Personnaliser ses services afin d’offrir une meilleure expérience utilisateur
  • Mener des actions de marketing en vue de faire connaître ses services auprès des utilisateurs;
  • Déceler, éviter ou traiter des activités frauduleuses, des abus, des atteintes à la sécurité ou tout problème d’ordre technique rencontré par ses services;
  • Se prémunir contre toute atteinte aux droits, aux biens ou à la sécurité de ses applications, ainsi qu’à ceux de ses utilisateurs, en application et dans le respect de la loi;
  • Faire respecter des décisions de justice, y compris pour constater d’éventuels cas de non-respect des conditions d’utilisation applicables.

Axelor traite également vos données tout simplement afin de vous fournir un accès à ses applications, ou bien un service auquel vous avez souscrit, un contrat étant conclu entre vous et Axelor dans les deux cas.
Enfin, Axelor traite vos données personnelles pour répondre à une obligation légale de le faire, par exemple pour se conformer à des obligations judiciaires ou administratives.

Article 9 – Traitement des données en tant que Sous-traitant

Lorsque vous décidez d’utiliser une application Axelor et que vous faites appel à nos services pour son intégration dans votre SI, nous pouvons être amenés à traiter les données personnelles que vous collectez en tant que sous-traitant. Dans ce cadre un Data Processing Agreement (DPA) est signé entre vous et Axelor pour garantir le respect de la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le RGPD »).