CONDITIONS D’UTILISATION
APERÇU
Déclaration de sécurité
Documents justificatifs de mise en conformité avec la nouvelle règlementation européenne pour la gestion des données personnelles
- ID-Stat
La société ID-Stat avec les solutions d’enquêtes Le Sphinx Développement propose la réalisation d’enquêtes et de sondages depuis 2010. Un ensemble d’applications est ainsi accessible directement via Internet pour permettre de paramétrer les questionnaires, diffuser les enquêtes, héberger l’ensemble des données collectées et partager des résultats sous forme de rapports interactifs. Dès lors, sécuriser l’accès à ces données est devenu une de nos principales préoccupations et nous mettons tout en œuvre pour garantir à nos clients une disponibilité de service maximale et une protection totale de leurs enquêtes. Ce document a pour objectif de lister et décrire l’ensemble des mesures prises et les dispositifs mis en place pour répondre à cet objectif.
ID-Stat
25 rue Hyacinthe Rigaud
66680 Canohès
Siret : 534 498 15900027
Téléphone : 06 14 17 52 64
Email : florian@id-stat.com
2 Infrastructure
2.1 Hébergement
Les serveurs sont hébergés dans le Datacenter de la société OVH qui en assure la sécurité physique. Les données sont stockées à Roubaix et Strasbourg en France. La fourniture et l’exploitation des infrastructures (Datacenter, serveurs, réseaux) assurée par OVH est certifiée ISO 27001:20013 (Roubaix) et ISO 270001 :2005 (Strasbourg). L’infogérance des serveurs est assurée par nos services. Notre hébergeur n’a pas accès aux données stockées sur nos serveurs.
2.2 Réseau et protocoles de communications
Les serveurs de productions sont isolés dans une DMZ et sont protégés contre les intrusions par un pare-feu réseau. La zone DMZ n’est accessible que sur le protocole TCP sur les ports 80 et 443. Les flux arrivant sur le port 80 (http) sont automatiquement redirigé vers le port 443 (https).
OVH intègre une solution de mitigation qui protège l’infrastructure d’une attaque massive en déni de service sans bloquer les flux légitimes.
Toutes les données échangées entre les logiciel client (navigateur internet ou Sphinx IQ/IQ2) et le serveur sont cryptées via le protocole TLS.
SSL est désactivé. Les versions TLS 1.1 et supérieur sont présentées prioritairement, et la version TLS 1.0 peut être acceptée si le navigateur de l’utilisateur ne supporte pas les versions supérieures.
Les certificats sont générés à partir de clé 2048bits et signés avec l’algorithme sha256.
2.3 Sécurité des systèmes
L’accès aux serveurs est réservé aux personnels du service exploitation (<8 personnes) et se fait aux travers d’une connexion VPN (tunnel IPsec ou SSL avec authentification à double facteur)
Les accès administrateur des domaines, administrateur de machine physique et administrateur de machine virtuelles sont distincts.
Les mots de passes de ces administrateurs respectent la politique suivante et doivent : – comporter au moins un chiffre, une minuscule, une majuscule, un caractère spécial – être différents des 24 mots de passe précédents – être changés tous les 6 mois
Au bout de 5 tentatives d’accès infructueuses, l’authentification au compte est impossible durant 60 minutes. Les mots de passes des administrateur locaux de chaque machine sont changés pour des mots de passes distincts de 22 caractères minimum comportant au moins un chiffre, une minuscule, une majuscule et un caractère spécial.
2.4 Protection anti-virus
Une protection antivirus logicielle est installée sur tous les serveurs. L’administration de celle-ci est centralisée. Les alertes sont remontées en temps réel et la protection vérifiée quotidiennement. Les stratégies en places incluent notamment : – une analyse complète chaque semaine – la protection en temps réel – une mise à jour quotidienne de la base de signature
2.5 Sécurité des postes de travails sensibles
Les postes de travail sensibles (développeurs, administrateurs, service support, …) sont protégés par mot de passe et le verrouillage de l’ordinateur est automatique après 10 minutes d’inactivité.
L’intégralités des postes bénéficient d’une protection anti-virus.
2.6 Disponibilité
Un taux de disponibilité des serveurs Sphinx est garanti à hauteur de 99.9% sur 365 jours. Ce taux ne tient pas compte des interruptions liées à des maintenances programmées. Ces dernières ont lieu 1 à 2 fois par mois en moyenne entre 3h00 et 4h00 du matin (UTC +1). Si elles doivent être effectuées en dehors de ce créneau horaire, les détails de l’intervention sont communiqués aux propriétaires des comptes ou au responsable de l’administration de ceux- ci dans un délai préalable de deux semaines.
2.7 Continuité des services :
Les dispositifs de continuité de service sont décrits dans le plan de continuité de service. Ce document est confidentiel mais il couvre les points suivants : Contexte et infrastructure Aide au diagnostic et seuils de déclenchement des interventions Scénarios de panne
La Perte de Connectivité réseau : Vrack, configuration VLAN , … – Défaillance matériel serveur physique : Host, contrôleur de domaine, serveur de backup – La défaillance de la machine virtuelle remplissant le rôle de pare-feu ou la perte la configuration de celle-ci En cas de défaillance du serveur, le service sera rétabli sur une autre machine dans un délai maximum de 8 heures suivant la notification de la panne.
La perte de données maximale est de 24 heures.
Les serveurs étant actuellement hébergés par la société OVH (https://www.ovh.com), la continuité des services ID-Stat est donc assujettie à celle de l’accès internet fourni par OVH. En cas d’interruption de ce service, pour quelque cause que ce soit, la société ID-Stat s’engage à faire tout son possible pour trouver un nouveau fournisseur.
Les données sont stockées sur des regroupement de disques en RAID 5 ou Raid 50. Un système de monitoring permet d’alerter nos équipes en cas de défaillance d’un disque
2.8 Surveillance
Les applications, les systèmes et le réseau sont monitorés 24h sur 24 et 7 jours sur 7. Des tests d’accès distants aux applications, à l’international sont réalisés de façon récurrentes par la société INTERNETVISTA (www.internetvista.com). Nos équipes interviennent de 8h à 23h, 7 jours sur 7 en cas d’alerte remontée par les différents outils de monitoring.
2.9 Gestion des Sauvegardes
Les données sont sauvegardées quotidiennement et sont conservées pendant une durée maximale de 6 mois. Elles peuvent être récupérées sur demande, et ce jusqu’à 2 mois après l’expiration de l’abonnement. Ces sauvegardes sont chiffrées via l’algorithme AES (256 bits).
Les données de sauvegardes sont répliquées entre les infocentre de Roubaix et Strasourg.
2.10 Gestion des Mise à jours
Les mises à jours des systèmes d’exploitations sont effectuées dans un délai maximum de 7 jours après la mise à disposition des correctifs. L’approbation des mises à jours est effectuée manuellement (fonctionnalités WSUS).
3 Solution ID-Stat
3.1 Protection des accès :
La sécurité des comptes utilisateurs est assurée par login/mot de passe. Les mots de passe sont stockés sur les serveurs de manière chiffrée non réversible (HASH PBKDF2 HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 itérations). Les mots de passe doivent respecter certaines contraintes de complexité minimales (8 caractères alphanumériques et caractère spéciaux) et doivent être changés à minima tous les 6 mois. Les 5 derniers mot de passe ne peuvent pas être réutilisés. Après 5 tentatives infructueuses d’accès, la connexion au compte est bloquée pendant 5 minutes.
Une authentification à double facteur est disponible. Celle-ci permet à l’utilisateur de protéger l’accès au compte avec un deuxième code à usage unique généré par une application tierce.
L’accès aux enquêtes et/ou modules complémentaires peut également être protégé par mot de passe.
3.2 Gestion des Incidents
Le service de support technique est accessible au 06 14 17 52 64 du lundi au jeudi de 8h30 à 12h30 et de 14h à 18h et le vendredi de 8h30 à 12h30 et de 14h à 17h (heure de Paris).
Les délais d’intervention pour effectuer une mise à jour corrective dépendent du type d’anomalie :
Type d’anomalie Définition Délais de correction
Bloquante
Désigne toute anomalie rendant impossible l’utilisation d’une fonctionnalité, sans solution de contournement.
Sous 8 heures ouvrées
Majeure
Désigne toute anomalie impliquant un fonctionnement en mode dégradé d’au moins une fonctionnalité.
Sous 72 heures ouvrées
Mineure
Désigne toute anomalie disposant d’une solution de contournement, sans dégradation du fonctionnement global.
Mise à disposition lors des mises-à-jour mineures
Le délai de correction courre à compter de la découverte du problème.
3.3 Sécurité des échanges
Lors de la publication ou de l’importation d’une enquête à partir du logiciel Sphinx IQ/IQ2, les fichiers échangés entre le serveur et le logiciel sont stockés dans une archive chiffrée (algorithme AES 128 bits). L’échange de fichier n’est effectué qu’après vérification du couple login/mot de passe de l’utilisateur.
3.4 Portabilité des données :
Il est possible d’exporter les données d’enquêtes, campagnes d’emailing ou SMS dans différents formats standards comme .csv ou .xls.
3.5 Traçabilité
Les requêtes et les connexions sont consignées dans des journaux d’évènements applicatifs. Ces journaux enregistrent toutes les connexions, enregistrements, modifications, actions de navigation des répondants… Ces journaux sont conservés pendant une période d’un an puis sont automatiquement supprimés.
3.6 Cookies :
La solution SphinxOnline utilise uniquement des cookies techniques nécessaires au bon fonctionnement des applications pour les objectifs suivants : – Garantie de sécurité : authentification, contrôle d’accès, … – Préférences : Choix de langue, répertoire de travail courant, options d’affichages, … Ces cookies ne sont communiqués à aucun tiers et ne font pas l’objet d’une exploitation à des fins publicitaires ou de ciblage.
4 Sécurité administrative et organisationnelle
4.1 Gestion des failles de sécurité
La société ID-Stat est tenue à une obligation de moyen pour assurer l’intégrité du réseau et des systèmes contre tout acte de malveillance extérieur ou toute attaque informatique connue.
En cas de tentative, ou de suspicion d’atteinte à la sécurité de l’information ou de vol de données personnelles. Nous nous engageons à avertir la propriétaire du compte dans les 8 heures ouvrées à compter de la découverte du problème.
Nos équipes suivent quotidiennement les alertes émises par le CERT-FR et, lorsque c’est nécessaire, prennent les mesures adéquates pour se prémunir des vulnérabilités évoquées dans ces alertes, ce qui peut impliquer l’application de correctifs ou la mise en place des recommandations.
4.2 Mesures de contrôles et de suivi
Un audit de configuration et des tests d’intrusion sur les solutions Sphinx sont réalisées chaque année par un cabinet externe spécialisé dans la sécurité informatique. En 2018, le cabinet Oppida a été mandaté ; La synthèse du rapport de contre audit sera disponible dans le courant du mois de Juillet 2018.
Les éventuels failles critique remontées lors de ces audits sont corrigées dans les plus brefs délais.
Un document interne recense toutes les améliorations envisageables en terme de sécurité. Chaque élément de ce document catégorisé en fonction de plusieurs critères (exploitabilité, difficulté de mise en œuvre, criticité, probabilité, …). Une révision mensuelle de ce document est effectuée pour mettre à jour les éléments au regard de l’état de l’art en matière de sécurité et pour définir les actions à venir.
Florian Pilloy
Le 31/05/2018
Pour la société ID-Stat
