Chez Finance Active, la sécurité n’est pas une réflexion préliminaire. Depuis toujours, l’ensemble du système d’information a été construit à partir des principes fondamentaux de la sécurité de l’information, également connue sous le nom de DICT:

Confidentialité : Empêcher la divulgation d’informations à des personnes ou à des systèmes non autorisés.

Intégrité : Maintenir et assurer la précision et la cohérence des données sur tout leur cycle de vie.

Disponibilité : Assurer que les informations sont disponibles au besoin.

Traçabilité : Surveiller et journaliser les accès à l’information. Par la mise en place d’un SMSI (Système de Management de Sécurité de l’Information), Finance Active s’engage à respecter et à maintenir ces principes et la confiance de ses clients.

Certification et audits de contrôle

  • Les data centers, bureaux et les solutions Finance Active sont certifiés conforme à la norme ISO 27001:2013
  • La gestion de la sécurité des systèmes d’Information au sein de Finance Active s’aligne sur la norme ISO 27001.
  • Cette norme, reconnue, vise à l’établissement, la mise en œuvre, le maintien en condition opérationnelle et l’amélioration du système de management de la sécurité des systèmes d’information [SMSI].
  • Cet alignement avec la norme ISO 27001 se traduit par la mise en œuvre d’un ensemble de processus pour gérer la sécurité au sein de Finance Active.

Pour renforcer et mettre à jour en permanence son système de sécurité, Finance Active fait l’objet d’audits réguliers par des sociétés spécialisées. Ces audits concernent les infrastructures, les tests d’intrusions, de protection et de vulnérabilité et les audits de surveillance SMSI conformément à la norme ISO 27001.

Architecture

L’infrastructure Finance Active est hébergée dans des installations tierces (Data centers), de premier rang européen, confidentiels, non repérables de l’extérieur, blindés et surveillés par caméras. Outre les services publics tels que l’installation électrique, l’éclairage, climatisation, systèmes de détection d’incendie, etc., l’infrastructure hébergeant les données (développement, recette, pré production et production) est totalement détenue, contrôlée, gérée et maintenue par Finance Active. Les serveurs de Finance Active sont hébergés sur le territoire français et sur des plateformes ne relevant pas de l’USA PATRIOT ACT.

Data centers

  • Les sociétés sélectionnées par Finance Active pour l’hébergement de ses applications et de ses données sont certifiées ISO 27001. La certificat ISO/IEC 27001 a été délivré par Lloyd’s Register Quality Assurance. La norme ISO 27001 est une norme internationale qui certifie les pratiques de sécurité au sein du système d’information. Elle couvre un large périmètre : politique de sécurité, gestion de la continuité de l’activité, sécurité physique, gestion des accès et systèmes de sauvegarde. La norme ISO 27001 oblige une réévaluation régulière des risques et permet une amélioration continue.
  • Chaque Data center est complétement protégé 24x7x365 par des gardes de sécurité et garantie d’un point de vue physique :
    • Existence de systèmes anti-incendie
    • Redondance à 3 niveaux de l’alimentation électrique
    • Contrôle des accès par badge et identification biométrique offrant une sécurité maximale
    • Surveillance physique lors des interventions sur place

Redondance

L’infrastructure de Finance Active utilise un design « Actif/Actif » redondant pour permettre un basculement opérationnel complet. Une défaillance d’un seul composant(serveur/disque/switch/firewall) ne doit pas entraîner une interruption du service à la clientèle ou une perte de données clients. En cas d’échec primaire, l’architecture redondante permettra le basculement complet sur les serveurs secondaires.

Sécurité de l’infrastructure

Chaque installation est protégée par une cascade de firewall, d’IDS (In-Trusion Detection Systems), IPS(InTrusion Detection Systems), et de protection anti-virus / anti-logiciels malveillants.

Infrastructure réseau

L’architecture réseau interne est segmentée en toute sécurité en plusieurs niveaux de sécurité (DMZ interne et réseau interne), réseaux virtuels (VLANS) et de listes de contrôle d’accès (ACL), ce qui limite l’accès et la communication entre les systèmes. Aucun système ou personne ne peut accéder à un autre système, sauf autorisation explicite de ce fait. Finance Active a pris des mesures en termes de firewalls et de matériels réseau pour garantir que ses infrastructures ne puissent pas être victimes de déni de service, vol d’information, vol d’identité ou compromission.

Les contrôles de sécurité

  • Les plateformes Finance Active supportent une variété de protocoles d’authentification SSO (SAML2/ ADFS/Active Directory / LDAP) permettant aux clients d’utiliser leur propre système d’authentification et de gérer de manière centralisée l’accès des utilisateurs. Cela inclut notamment :
    • Compléxité des mots de passe
    • Protection contre les brut-forces
    • Stockage sécurisé des mots de passe
  • Les accès internes sont soumis à la politique suivante :
    • Les accès distants ne sont autorisés que via VPN
    • Les accès sont basé le principe privilège minimal
    • L’accès aux données des clients est strictement restreint aux personnes (Administrateurs système/Architectes et expert Finance Active/RSSI/Support) compétentes et nominativement identifiées
    • Tout accès est surveillé et enregistré

Gestion des logs

  • Les accès à l’infrastructure(par exemple, les pare-feux, les routeurs, les serveurs) sont enregistrés dans des journaux sur des serveurs syslog centralisés.
  • Tous les accès aux données par le client et collaborateurs sont surveillés et enregistrés.
  • Tous les changements de données par le client et les collaborateurs sont surveillés et enregistrés dans des systèmes dédiés (mongodb).
  • Les enregistrements sont conservés selon la politique de sauvegarde.
  • Les enregistrements sont conservés dans une zone sécurisée pour éviter les falsifications et ne sont accessibles que par les administrateurs système.

Cryptage des données

  • Tous les échanges entre les solutions Finance Active et les clients sont cryptés en SHA-256 avec chiffrement RSA en utilisant des clés RSA publiques de 2048bits Certifiés Thawte.
  • Modèle de données sécurisé utilisant des sessions ids uniques par organisation.
  • Forte étanchéité des applications : aucun client n’a accès aux données des autres clients.

Sauvegarde

La stratégie de Finance Active pour la sauvegarde des données s’appuie sur :

  • La réplication des données sur des disques durs de backup (disques RAID)
  • La duplication des données sur plusieurs Data-Centers
  • La fréquence des sauvegardes (quotidiennes, hebdomadaires, mensuelles et annuelles)
  • La rétention des backups sur bandes magnétiques :
    • Sauvegarde quotidienne conservée pendant 2 mois
    • Sauvegarde hebdomadaire conservée pendant 2 mois
    • Sauvegarde mensuelle conservée pendant 2 ans
    • Sauvegarde annuelle conservée pendant 10 ans
  • Le stockage des sauvegardes dans des coffres forts bancaires
  • Les sauvegardes sont encryptées en AES-256
  • Test des restaurations de façon planifiée et régulière.

Plan de reprise d’activité

En cas de perte des serveurs principaux de production, un système de bascule sur des serveurs de secours est mis en place en moins d’1 heure. Ce process, opérationnel en permanence, est testé quotidiennement. La bascule est transparente pour l’utilisateur (pas de changement d’adresse de connexion, …). En cas de sinistre majeur sur le site principal impliquant à la fois les serveurs principaux et les serveurs de secours, Finance Active dispose d’un plan de reprise d’activité sur un 2ème data center. Ce plan est testé régulièrement et opérationnel en moins de 2 heures. La bascule sur ce site de secours est également transparente pour l’utilisateur avec des performances identiques.

Protection des données à caractère personnel

Finance Active s’engage à protéger votre vie privée. Nous sommes certifiés ISO 27001 :2013 par Bureau Veritas, ce qui signifie que notre politique et nos pratiques de confidentialité ont été revues et validées par un tiers indépendant. Pour la protection des données à caractère personnel, Finance Active dispose d’un CIL (Correspondant informatique et liberté) qui doit s’assurer de la sécurité des données personnelles et veiller à ce que les traitements soient conformes aux lois européennes (GDPR). Les données d’application que nous collectons sont principalement utilisées par les services Finance Active et en aucun cas elles ne sont transférées à un tier. Tous les fournisseurs sélectionnés par Finance Active, s’engagent à respecter les lois européennes en matiére de protection des données à caractère personnel (Privacy Shield et GDPR).