Notice SSI LVNET

V1.14 du 24/07/2023

Notice SSI LVNET

V1.14 du 24/07/2023

ZAC EUREKA

302 rue de THOR

34000 MONTPELLIER

Site : www.alx34.com

Email : information@alx34.com

Tel. : 04 67 02 06 11

Notice SSI LVNET

V1.14 du 24/07/2023

Liste des modifications de cette documentation :

Date

Version

Page(s)

Nature de la modification

Intervenant

05/03/2014

1.0

Toutes

Creation du document

S.C

13/10/2016

1.1

Ajout connexion client en HTTPS

E.D

15/09/2017

1.2

Ajout conformite à l’article88 ( TVA)

S.C

03/04/2018

1.3

Prise en compte de la RGPD

S.C

07/06/2018

1.4

Toutes

Remise en forme du document

S.C

16/07/2018

1.5

RGPD : precision sur les donnees utilisateur

S.C

13/09/2018

1.6

RGPD : precision sur les sauvegardes

E.D

13/11/2018

1.7

RGPD : precision sur la gestion des mots de passe

E.D

07/01/2019

1.8

RGPD : Ajout gestion des mots de passe complexe

S.C

02/04/2019

1.9

MCO : nouvelle infrastructure

S.C

07/06/2019

1.10

MCO : precision sur le ticketing support

S.C

07/02/2020

1.11

SECURITE : Ajout filtre de securite applicatif

E.D

18/03/2021

1.12

SECURITE : Ajout des tests intrusifs

S.C

18/08/2022

1.13

Toutes

Remise à jour generale du document

S.C.

24/07/2023

1.14

Toutes

Precision sur les regles à charge de l’hebergeur

S.C

Approbation

Approval

FGA 14/07/2023

Revision

Overhaul

SC 24/07/2023

Creation

CS 05/03/2014

Services et lieux de diffusion :

❑ Clients ALX

❑ Direction & Management ALX

❑ Personnel ALX Technologies

Notice SSI LVNET

V1.14 du 24/07/2023

TABLE DES MATIERES

1. AVANT PROPOS ...................................................................................................................................... 1

2. PROTECTION DES DONNEES (RGPD) .................................................................................................. 1

3. MAINTIEN DES CONDITIONS OPERATIONNELLES ............................................................................ 4

4. SECURITE ................................................................................................................................................ 5

5. AUDITS ..................................................................................................................................................... 7

6. ANNEXES ................................................................................................................................................. 7

1 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

1. AVANT PROPOS

Cette documentation a pour but d’informer sur les dispositions mise en œuvre pour les solutions d’ALX technologies

en matiere de :

• Protection des donnees personnelles (RGPD selon Reglement (UE) 2016/679 du Parlement europeen et du

Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'egard du traitement des donnees

à caractere personnel et à la libre circulation de ces donnees),

• Maintien operationnel de la solution (MCO),

• Securite.

La solution proposee peut être hebergee par ALX Technologies ou par le client. De fait dans les tableaux ci-dessous

la colonne « n° » sera avec un fond en couleur des lors que la realisation de la regle est à la charge de l’hebergeur.

2. PROTECTION DES DONNEES (RGPD)

N°

Regle

Mise en œuvre

Type de donnees personnelles.

Par conception, la solution recueille uniquement les donnees

necessaires à son strict fonctionnement.

Saisie des donnees personnelles.

L’utilisateur est libre de saisir les donnees qui lui semblent

necessaires pour la bonne exploitation de sa solution.

Par conception la solution ne met pas en œuvre de systeme malicieux

de collecte de donnees du poste de travail du client (cookies,….)

Acces à l’application.

L’acces à l’application se fait via un navigateur web, ou par

application, pointant sur un domaine.

Les echanges entre les postes clients et les serveurs sont securises

HTTPS en TLS1.2 via certificat de domaine SSL approuve par une

autorite de confiance web.

Aucuns droits administrateurs ne sont necessaires sur le poste client

pour acceder à l’application.

Tracabilite.

Les actions utilisateurs sont enregistrees dans un journal avec des

conditions de stockage et de retention similaires aux donnees de

l’application et conformement aux exigences RGPD.

Utilisateurs de l’application.

Chaque utilisateur de l’application à un identifiant nominatif, un mot de

passe associe et des droits utilisateurs. Les droits utilisateurs sont

definis dans des groupes avec des niveaux hierarchiques.

Utilisation de l’application.

En cas d’inactivite sur l’application, un delai de deconnexion est

parametrable.

Regle de mots de passe

utilisateur pour l’acces à

l’application.

Par conception l’application peut exiger une demande de

renouvellement du mot de passe utilisateur (Nb de jours configurable)

ainsi qu’une activation du mode « Mot de passe complexe obligatoire

».

Le mot de passe utilisateur de l’application est stocke crypte.

L’utilisateur est libre de changer son mot de passe à tout moment.

Liaisons externes pour echanges

automatiques des donnees.

Pour un besoin metier client un lien exterieur peut être etabli. Dans ce

cas, une analyse technique conjointe est realisee au prealable en

conformite avec les exigences securitaires liees à l’hebergement.

Dans le cas de l’hebergement par ALX Technologies, des serveurs

2 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

sont dedies à cette tache pour assurer un cloisonnement physique

avec le reste de l’infrastructure d’hebergement.

Duree de conservation des

donnees.

La conservation des donnees est definie par l’exploitant en fonction de

ses besoins metiers et en conformite avec les exigences de la RGPD

Parametrable dans la solution :

-Temps avant archivages des journaux

-Temps avant suppression des journaux (suppression logique avec

methode conforme aux exigences securitaires).

Utilisation des donnees.

Conformement à la « Charte informatique ALX technologies », les

donnees du systeme sont à usage strict de l’exploitant. Le fournisseur

de la solution ne fait aucun usage de ces donnees ni ne les

communique à quelques tiers que ce soit.

Personnels intervenants.

Seuls les personnels habilites à realiser les operations de support client

et de maintenance sont autorises à acceder aux donnees.

Les personnels sont signataire de la « Charte informatique ALX

Technologies » qui concerne le bon usage des materiels, d’internet, des

supports de stockage, des liens reseaux, des mots de passe, de la

messagerie.

Les habilitations definies dans le registre « Acces ressources logiques

et physiques ».

Les personnels sont sensibilite à la securite informatique via les IT :

-Livret premiers pas en securite,

-Livret d’accueil securite physique et logique.

Maitrise des sous-traitants.

La maitrise des sous-traitants est regie par :

-Habilitations definies dans le registre « Acces ressources logiques et

physiques »,

-Une « Charte informatique à l’usage des prestataires »,

-Une certification est exigee concernant le domaine d’intervention

technique.

Telemaintenance.

Les personnels du support technique sont amenes apres accord du

client à utiliser le logiciel de telemaintenance TeamViewer lors des

interventions à distance. Ils doivent, dans ce cas, limiter leurs actions

aux seuls besoins de l’intervention avec les mêmes obligations de

gestion de la securite des donnees qu’en interne. En fin d’intervention

le technicien s’engage à supprimer les donnees. (Suppression logique

avec methode conforme aux exigences securitaires).

Politique de sauvegarde des

donnees.

Selon « IT de Management des sauvegardes » et « IT de management

AZURE » avec sauvegarde et controle d’integrite :

-journaliere et retentions 7 jours,

-hebdomadaire et retention 4 semaines,

-Mensuelle et retention 12 mois,

-Annuelle et retention 10 ans.

Les sauvegardes sont physiquement placees sur une infrastructure

geographiquement distincte de l’infrastructure de production.

Gestion de la restauration des

donnees.

Selon « IT de Management des donnees » et « IT de management

AZURE » avec restauration au dernier point de donnees integre.

Securisation des donnees et des

sauvegardes.

Selon « Politique Securite ALX Technologies » definissant les :

-roles et responsabilites,

-la securite physique,

-la securite logique,

-la securite en production,

-la gestion des risques,

-le controle interne,

-les revues de direction,

3 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

-les procedures d’alerte.

Cloisonnement des donnees

clients.

Selon « IT de management AZURE », les donnees sont separees par

client sans lien logique possible.

Localisation des donnees.

Selon « IT de management AZURE » les donnees sont stockees en

France metropolitaine et les sauvegardes dans un pays de l’Union

europeenne.

Donnees comptables et fiscales

La solution est conforme aux exigences de la loi de finance n° 2015-

1785 du 29 decembre 2015 de finances pour 2016 et notamment

l’article 88 concernant les logiciels de comptabilite ou de caisse. Si votre

application inclut les aspects facturation/encaissement à des clients une

attestation individuelle est editable par l’exploitant depuis la solution.

Compromission et fuite de

donnees.

Selon « IT Maitrise des compromissions » le client est informe en cas

d’incident sur la portee de la compromission. Le nom de l’interlocuteur

chez le client est defini à la signature du contrat.

Fin d’exploitation de la solution.

Dans le cas d’une fin de contrat les donnees sont mises à la disposition

du client au format souhaite et de facon securisee. A l’accuse de

reception de la bonne reception des donnees, ALX s’engage à detruire

les donnees et les sauvegardes associees sous 30 jours (Suppression

logique avec methode conforme aux exigences securitaires).

4 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

3. MAINTIEN DES CONDITIONS OPERATIONNELLES

N°

Regle

Mise en œuvre

Infrastructure, Machines virtuelles,

stockage, service de donnees.

Dans le cas d’un hebergement par ALX, L’infrastructure est fournie par

la plateforme Microsoft AZURE selon les conditions indiquees dans

« Contrat de Niveau de Service pour les Services en Ligne Microsoft1

mai 2022 »

https://azure.microsoft.com/fr-fr/support/legal/sla/summary/

Machine virtuelles

Dans le cas d’un hebergement par ALX, Une solution de surveillance

24h24h des ressources (RAM, espace disque, CPU, instance SQL) et

alerte mail et mise en œuvre.

Continuite d’activite

La continuite d’activite est assuree par le « plan de continuite d’activite

ALX technologies » et est prise en charge selon :

-Une analyse des risques periodique. (Tableau d’analyse des risque)

-Une maitrise des risques (fiche de risque),

-une Gestion des incidents (IT Gestion des incidents),

-Les controle permanents,

-Les controles periodiques.

Une revue annuelle est realisee pour faire un etat des lieux.

Veille securitaire

Selon la liste des moyens mis en œuvre au chapitre securite.

Disfonctionnement

Tout debut ou fin de disfonctionnement pouvant entrainer une gêne

dans l’utilisation de la solution est signale à un interlocuteur designe

chez le client. Le nom de l’interlocuteur chez le client est defini à la

signature du contrat.

Maintenance corrective

Un service de ticketing assure par le support technique est disponible

pour assister ou relever les anomalies de fonctionnement de la solution.

La duree de la resolution de l’anomalie est dependante du niveau de

complexite de l’anomalie.

Evolution du SI

Les evolutions du SI en matiere :

-d’architecture,

-de regle de fonctionnement,

-d’entree sortie de personnel,

-de mise à jour, …

donnent lieu à des rapports geres et enregistres par le Security

Manager.

Formation des personnels

Un plan de formation assure le maintien à niveau des competences et

des connaissances optimum des personnels.

5 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

4. SECURITE

N°

Regle

Mise en œuvre

Personne responsable de la

securite

Un groupe de personnes physiques ayant le titre de « Security

manager » est garant du maintien des conditions optimums de

fonctionnement du SI.

Le responsable tournant du groupe est remplace chaque annee : son

identite est communiquee aux clients.

Risques lies aux secrets

Les secrets du SI (Mots de passe, cles, badges, documents) sont

repartis aux differents personnels selon les besoins et de sorte qu’un

seule personne ne puisse pas proceder à des malversations remettant

en cause la securite du SI..

Administration des systemes

Une authentification forte est mise en place pour l’administration des

systemes. Les flux d’administration sont proteges par un algorithme de

chiffrement securise (HTTPS).

Logiciels informatiques

Seul l’usage des logiciels repertories dans « Liste des logiciels

approuves chez ALX Technologies » est autorise.

Identification des postes de travail

Selon IT « Management Active Directory », la gestion des postes de

travail autorises est realisee via une authentification MAC par active

directory pour sur les VLAN designes comme critiques.

Maitrise des flux

La maitrise des flux est definie dans « procedure de securite logique »

dont les flux sont repertories et pour lesquels un controle permanent est

realise. Cette maitrise des flux inclus une cartographie reseau avec un

decoupage par VLAN selon les services et les besoins de securite.

Materiels informatique

Selon « IT gestion du materiel informatique », les materiels (Serveurs,

poste de travail et support de stockage) sont repertories et leur cycle de

vie est suivi jusqu’à la mise hors service. Pour les materiels disposant

de donnees sensibles, les supports de stockages sont cryptes et en fin

de vie, une procedure de neutralisation est definie avec fourniture d’un

PV par un organisme specialise.

Malware

Tous les systemes d’exploitation disposent d’une solution de detection

de code malveillant maintenue à jour selon « IT de management

AZURE ».

Monitoring de la securite

Un controle permanent est realise sur les logs des systemes du SI selon

« Procedure de securite logique ».

Un logiciel centralise les journaux/logs des systemes et alerte le

« security manager ».

Filtrage applicatif

Un filtre securite applicatif est deploye pour securiser le service (WAF :

Web application Firewall). Il est maintenu à jour en temps reel.

Autorisations des personnels liees

au SI

Les autorisations logiques et physiques sont definies dans un registre

« Acces ressources logiques et physiques ».

Un controle periodique des droits d’acces physiques et logique des

personnels assure la conformite des autorisations delivrees sur le SI et

sur les locaux.

6 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

La « procedure de securite logique » et la « procedure de securite

physique » prennent en charge les entrees sorties de personnels avec

signature d’une lettre d’engagement desengagement des secrets lies à

l’entreprise.

Veille technique sur l’infrastructure

Les mise à jours des elements du SI ( routeurs, switch, pare-feu, OS

des serveurs, OS des postes de travail,…) sont regis par un controle

periodique incluant une veille technique fournie par les fabricants des

solutions hardware et software mis en œuvre ainsi qu’une analyse des

publications faites par les specialistes en securite du secteur

informatique. (ex : www.cert.ssi.gouv.fr)

Veille technique sur les

composants logiciels

Les mise à jours des composants logiciels ( Moteur de base de

donnees, Framework) sont regis par un controle periodique incluant une

veille technique fournie par les editeurs ainsi qu’une analyse des

publications faites par les specialistes en securite du secteur

informatique. (ex : www.cert.ssi.gouv.fr)

Droits utilisateurs dans

l’application

Par conception l’application offre une notion de groupe utilisateur avec

differents niveaux d’autorisation parametrables.

Tentative de connexion

frauduleuse à l’application

Par conception l’application peut desactiver un compte utilisateur au

bout de 3 tentatives d’acces.

Attaque force brute

Ce type d’attaque est anticipe dans le « tableau d’analyse des risques »

avec un plan de reprise d’activite afin de limiter l’indisponibilite du

systeme.

Communication avec les materiels

stations

Les equipements stations (Automates, pupitres) n’acceptent aucune

communication entrante. Les connexions sont etablies dans le sens

station->serveur avec un niveau de cryptage eleve. SSL, 3DES,… selon

les materiels.

Entrees sur l’application

Par conception l’application limite les caracteres d’entree pour eviter les

attaques de type HTML/ injection SQL.

Test intrusif

La « procedure de securite logique » inclut un test d’intrusion à realiser

à minima une fois par an par une societe specialisee mandatee par

ALX.

Controle d’acces physique

Selon la « procedure de securite physique », les bâtiments disposent

d’un systeme anti-intrusion, de controles d’acces, de video surveillance.

Les acces sont journalises en conformite avec les exigences de la

RGPD.

Cloisonnement des applications

clients.

Selon « IT de management AZURE », les applications sont separees

par client sans lien logique possible.

7 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

5. AUDITS

N°

Regle

Mise en œuvre

Maintien de la qualite de service

ALX Technologies s’engage à realiser un audit annuel selon son SMQ.

Le rapport d’audit donne lieu à une revue de direction decidant des

actions futures à mener.

Appel telephoniques

Une analyse du taux de reponse et des temps de reponse moyen est

realisee chaque annee.

Le rapport d’audit donne lieu à une revue de direction decidant des

actions futures à mener.

Bugs applicatifs

Une analyse du ratio nombre d’evolutions / nombre de regressions est

realisee chaque annee.

Le rapport d’audit donne lieu à une revue de direction decidant des

actions futures à mener.

6. ANNEXES

Le tableau ci-dessous liste les documents utilises en support et leur niveau de communication.

Document

Diffusion

Groupe

Security

manager

Autres

Managers

Salaries

Clients

Charte informatique ALX technologies.

Livret premiers pas en securite.

Livret d’accueil securite physique et logique.

Contrat de Niveau de Service pour les

Services en Ligne Microsoft1 mai 2022

Charte informatique à l’usage des

prestataires.

Liste des logiciels approuves chez ALX

Technologies

IT Gestion du materiel informatique

Fiches de risque

IT gestion des incidents

8 / 8 Notice SSI LVNET

V1.14 du 24/07/2023

IT de management azure.

IT de management des sauvegardes.

IT Maitrise des compromissions.

Procedure de securite physique

Procedure de securite logique

Politique de securite ALX technologies.

Plan de continuite d’activite

Tableau d’analyse des risques

Revue annuelle

Acces ressources logiques et physiques.

ZAC EUREKA

302 rue de THOR

34000 MONTPELLIER

Site : www.alx34.com

Email : information@alx34.com

Tel. : 04 67 02 06 11