Politique de sécurité

Les vulnérabilités des applications Web représentent la plus grande partie des vecteurs d’attaque en dehors des logiciels malveillants. Il est crucial que toute application Web soit évaluée pour les vulnérabilités et que toute vulnérabilité, soit corrigée avant le déploiement en production.
Le but de cette politique est de définir les évaluations de sécurité des applications Web au sein de KIPFUL. Les évaluations des applications Web sont effectuées pour identifier les faiblesses potentielles ou réalisées suite à une mauvaise configuration par inadvertance, une authentification faible, une gestion d’erreur insuffisante, une fuite d’information sensible, etc. La découverte et l’atténuation subséquente de ces problèmes limitera la surface d’attaque des services de KIPFUL disponible à l’interne et à l’externe ainsi que de satisfaire la conformité avec toutes les politiques pertinentes en place.

PORTÉE
Cette politique couvre toutes les évaluations de sécurité des applications Web demandées par tout individu, groupe ou département dans le but de maintenir la posture de sécurité, la conformité, la gestion des risques et le contrôle des changements des technologies utilisées à KIPFUL.
Toutes les évaluations de sécurité des applications Web seront effectuées par le personnel de sécurité délégué soit employé ou contracté par KIPFUL. Tous les résultats sont considérés comme confidentiels et doivent être distribués aux personnes sur une base de “besoin de savoir”. La distribution de n’importe quelles conclusions en dehors de KIPFUL est strictement interdite à moins qu’approuvée par le chef de la technologie.
Toute relation au sein des applications à plusieurs niveaux trouvée pendant la phase de cadrage sera incluse dans l’évaluation, à moins qu’elle ne soit explicitement limitée. Les limitations et les justifications ultérieures seront documentées avant le début de l’évaluation.

POLITIQUE DE SÉCURITÉ

Les applications web sont soumises à des évaluations de sécurité selon les critères suivants : Nouvelle version ou version majeure de l’application – elle sera soumise à une évaluation complète avant l’approbation des documents de contrôle des modifications et/ou sa mise en service dans l’environnement de production. Application web tierce ou acquise – elle subira une évaluation complète, après quoi elle sera liée aux exigences de la politique.

Sorties ponctuelles – elles seront soumises à un niveau d’évaluation approprié en fonction du risque de modification de la fonctionnalité et/ou de l’architecture de l’application. Versions de correctif – elles seront soumises à une évaluation appropriée en fonction du risque de modification de la fonctionnalité et/ou de l’architecture de l’application. Sorties d’urgence – Une sortie d’urgence pourra se passer des évaluations de sécurité et assumer le risque présumé jusqu’à ce qu’une évaluation appropriée puisse être effectuée.

Les sorties d’urgence seront désignées comme telles par le Directeur de l’Information ou un gestionnaire approprié à qui ce pouvoir a été délégué.

Tous les problèmes de sécurité découverts lors des évaluations doivent être atténués en fonction des niveaux de risque suivants. Les niveaux de risque sont basés sur la méthode d’évaluation des risques PEMA. Des tests de validation des mesures correctives seront nécessaires pour valider les stratégies de correction et/ou d’atténuation de tout problème de niveau de risque moyen ou supérieur découvert.

• Haut – Tout problème à haut risque doit être corrigé immédiatement, ou d’autres stratégies d’atténuation doivent être mises en place pour limiter l’exposition avant le déploiement.

Les applications présentant des problèmes à haut risque peuvent être mises hors ligne ou leur déploiement dans l’environnement de production peut être refusé.

• Moyen – Les problèmes à risque moyen doivent être examinés pour déterminer ce qui est nécessaire pour les atténuer et être planifiés en conséquence. Les applications présentant des risques moyens peuvent être mises hors ligne ou refusées dans l’environnement de production en fonction du nombre de problèmes et si plusieurs problèmes augmentent le risque à un niveau inacceptable. Les problèmes devraient être résolus dans un correctif ou une sortie ponctuelle, à moins que d’autres stratégies d’atténuation limitent l’exposition.

• Faible – Le problème doit être examiné pour déterminer ce qui est nécessaire pour le corriger et être planifié en conséquence.

Les niveaux d’évaluation de la sécurité suivants doivent être établis par l’organisation ON-X ou toute autre organisation désignée qui effectuera les évaluations.

• Complet – Une évaluation complète comprend des tests pour toutes les vulnérabilités connues des applications web en utilisant des outils automatiques et manuels basés sur le Guide de Test PSTAO. Une évaluation complète utilisera des techniques de test d’intrusion manuelles pour valider les vulnérabilités découvertes afin de déterminer le risque global de toute vulnérabilité découverte.

• Rapide – Une évaluation rapide consistera en une analyse (généralement) automatique d’une application pour les dix principaux risques de sécurité des applications web OWASP, au minimum.

• Ciblée – Une évaluation ciblée est effectuée pour vérifier les changements dans la correction des vulnérabilités ou les nouvelles fonctionnalités de l’application. Les outils actuellement approuvés pour les tests d’évaluation de la sécurité des applications web qui seront utilisés sont les suivants :

OWASP ZED ATTACK PROXY
SECURITY GUARDIAN
NMAP
NESSUS
CORE IMPACT

Des outils et/ou des techniques supplémentaires peuvent être utilisés en fonction de ce qui est trouvé dans l’évaluation des défauts et la nécessité de déterminer la validité et le risque sont à la discrétion de l’équipe d’ingénierie de sécurité.

Mesures de sécurité physique : nous avons mis en place des contrôles d’accès, une surveillance continue, un stockage sécurisé et une gestion rigoureuse des équipements pour protéger physiquement les données. Mesures de sécurité logique : nous avons mis en place une authentification à deux facteurs (2FA), des sauvegardes régulières, un pare-feu de serveur, des mises à jour et une maintenance régulières, et une surveillance constante des activités pour protéger les données logiquement.

Les données sont stockées sur un serveur cloud avec AWS et sont régulièrement sauvegardées en ligne. Nous avons également mis en place des mesures de traçabilité, telles que des journaux d’activité et des points de sécurité pour garantir la sécurité et la traçabilité des données.

Notre personnel est formé à la protection des données personnelles pour garantir la confidentialité et la sécurité des données des utilisateurs. En cas de violation de données, nous avons mis en place des mesures de notification de violation, d’évaluation de l’impact sur la protection des données, de communication aux personnes concernées et de mesures correctives.

Politique de notification en cas de fuite de données

En cas de violation de données qui affecte vos informations personnelles, nous nous engageons à fournir une communication rapide et transparente conformément aux lois et réglementations applicables.

Procédures de notification : Si nous prenons connaissance d’une violation de données qui pourrait avoir compromis vos informations personnelles, nous prendrons rapidement toutes les mesures nécessaires pour atténuer la violation et prévenir tout autre accès non autorisé. Nous vous informerons sans retard injustifié, et en tout cas, dans les 72 heures suivant la prise de conscience de la violation.

Informations incluses dans la notification : La notification inclura, dans la mesure du possible, des détails tels que la nature de la violation, le type de données concernées, les mesures que nous avons prises pour faire face à la violation, ce que vous pouvez faire pour vous protéger, et comment vous pouvez obtenir plus d’informations.

Méthode de notification : La notification sera fournie par e-mail. Si nous ne pouvons pas vous joindre directement, ou si la violation est à grande échelle, nous pourrions utiliser des annonces publiques ou notre site web pour fournir la notification.