Accès aux locaux de Nextlane France et au Datacenter
- Système de contrôle des accès physiques : Interne : badge, accès renforcé pour certains espaces sensibles (salles serveurs fermées, etc…), caméras vidéo-surveillance, alarmes, etc…
- Datacenter sous responsabilité de l’hébergeur : Sécurisation des accès répondant à la norme iso27001
Accès extérieur au réseau Nextlane France
- Protection par firewall,
- Segmentation du réseau VLAN
- Chiffrement wifi et accès contrôlé par mot de passe
- Filtrage de port des VPN des partenaires externes
- URL et contrôle d’accès nominatif
- IPS outil intégré au firewall – En cours d’implémentation
- Blocage des ports
- Sauvegarde des logs réseaux
- Protection des échanges de données via des flux sécurisés (TLS/SSL, https, sftp,..).
En cours d’implémentation
Gestion des droits d’accès au S.I.
- Procédure de gestion des droits d’accès et désactivation des comptes
- Politique de changement de mots de passe
- Politique de mots de passe (complexité, changement régulier…)
- Sensibilisation des utilisateurs
- Comptes “administrateur” (privilèges forts) séparés des comptes “utilisateur” (usage bureautique)
- Gestion nominative des accès administrateurs
Disponibilité des services
- Haute disponibilité pour offres hébergées : Mise à disposition automatique d’un nouveau host sous 15 mn en cas de défaut
- Redondance des équipements
- Console de supervision CENTREON
- Plan de Continuité d’Activité > En cours d’implémentation
- Dual data center (actif/passif) > En cours d’implémentation
Protection contre les malware
- Politique de veille éditeurs (système + middleware)
- Politique de patching
- Anti-malware (et anti-virus)
- Filtrage url et ports
- Passerelles SMTP
- Sauvegardes et restaurations
- Sensibilisation des utilisateurs (charte des bonnes pratiques)
- Inventaire ponctuel qui permet de détecter des non conformités et vulnérabilités potentielles
Perte ou vol d’un équipement
- Procédure d’authentification
- Chiffrement des postes
- Effacement à distance des disques et des mobiles
- Gestion centralisée des configurations
Politique de sauvegarde d’un équipement physique, d’un composant software ou de données
- Sauvegardes régulières et adaptées au cycle de vie de l’objet concerné
- Sauvegarde des configurations et des procédures de Maintien en Conditions Opérationnelles (MCO) > En cours d’implémentation
Echanges de données
- Politique sur les droits et devoirs en matière de sortie des données (Charte des bonnes pratiques)
- Chiffrement, anonymisation et pseudonymisation > En cours d’implémentation
- Encadrement contractuel avec le partenaire (NDA – clause de confidentialité, clause de suppression des données…)
- Limitation des accès internet
Application des mises à jour de sécurité
- Politique de gestion des patchs
- Projet de normalisation et gestion de l’obsolescence
- Automatisation du patching des équipements auprès du fournisseur
- Sensibilisation des équipes techniques
- Dispositifs de contrôle interne (contrôle ad hoc dans le cadre de contrôle interne de l’entité)
Pilotage d’un sous-traitant / fournisseur (IoT)
- Intégration de clauses contractuelles de rupture en cas de négligence
- Revue opérationnelle régulière avec le sous-traitant
- Gestion des incidents et notification à l’autorité de contrôle et/ou aux personnes concernées
- NDA
- SLA
- Reporting
- Vérifications de précaution sur la santé financière du sous-traitant
- Contrôle des accès VPN partenaire