POLITIQUE DE SÉCURITÉ

En vigueur : 7 janvier 2025

Nous suivons les meilleures pratiques du secteur en matière de sécurité et de conformité en utilisant des cadres et des lignes directrices tels que OWASP, NIST, CIS et CSA, tout en respectant les exigences réglementaires dans les juridictions de nos clients.

Nos principes

  • Nous mettons en œuvre plusieurs couches et types de contrôles de sorte que si un contrôle échoue, d'autres contrôles limitent l'impact d'une atteinte à la sécurité de l'information, ce que nous appelons le principe de la "défense en profondeur".

  • Nous veillons à ce que l'accès et la configuration des actifs informationnels soient limités au minimum requis pour atteindre les objectifs de l'entreprise. C'est ce qu'on appelle le principe du "moindre privilège", qui vise à réduire le nombre de vecteurs d'attaque susceptibles d'être utilisés pour compromettre la sécurité de nos informations.

  • Nous veillons à ce que les incidents liés à la sécurité de l'information soient détectés à temps. Cela permet de minimiser l'impact d'une atteinte à la sécurité de l'information.

  • Nous veillons à ce que la sécurité de l'information soit intégrée dans la conception de nos systèmes d'information, ce que nous appelons "secure by design" (sécurité dès la conception).

  • Nous veillons à ce que l'utilisation et l'accès aux actifs informationnels soient attribués à une personne, à un matériel ou à un logiciel, et à ce que les activités soient enregistrées et contrôlées.

  • Nous veillons à ce que le traitement des erreurs soit conçu de manière à ce que les erreurs ne permettent pas un accès non autorisé aux actifs informationnels ou d'autres compromissions de la sécurité de l'information.

  • Nous supposons que les actifs informationnels ont un niveau inconnu et éventuellement réduit de contrôle de la sécurité de l'information, ce que nous appelons le principe "ne jamais faire confiance, toujours identifier".

  • Nous appliquons la séparation des tâches par une répartition appropriée des rôles et des responsabilités, ce qui réduit le risque que les actions d'une seule personne compromettent la sécurité de nos informations.

  • Nous concevons des contrôles qui assurent le respect de notre cadre stratégique en matière de sécurité de l'information, réduisant ainsi la dépendance à l'égard des individus.

  • Nous concevons des contrôles de détection et de réaction en partant du principe que les contrôles préventifs ont échoué. Ce principe est généralement appelé "violation présumée".

Sensibilisation

  • Nous avons mis en place un programme de formation et de sensibilisation à la sécurité de l'information afin de communiquer aux membres de l'équipe les pratiques, politiques et autres attentes en matière de sécurité de l'information.

  • Nous assurons le suivi des formations suivies et testons la compréhension des politiques de sécurité de l'information pertinentes au moment de l'entrée en fonction et périodiquement.

  • Nous informons nos utilisateurs sur a) l'utilisation personnelle ou professionnelle des actifs informationnels ; b) l'utilisation du courrier électronique, l'utilisation d'Internet (y compris les réseaux sociaux) et la protection contre les logiciels malveillants ; c) la protection physique, l'informatique à distance et l'utilisation d'appareils mobiles ; d) la sensibilisation aux techniques d'attaque courantes ciblant le personnel et les actifs (par ex. e) les contrôles d'accès, y compris les normes relatives aux mots de passe et autres exigences d'authentification ; f) les responsabilités relatives à tout logiciel développé/configuré par l'utilisateur final (y compris les feuilles de calcul, les bases de données et la bureautique) ; g) les attentes du personnel lorsqu'il est possible d'apporter son propre appareil ; h) le traitement des données sensibles ; et i) le signalement des incidents et des préoccupations en matière de sécurité de l'information.

Identité et accès

  • Nous adoptons des contrôles de gestion des identités et des accès afin de garantir que l'accès aux ressources d'information n'est accordé que lorsqu'il existe un besoin commercial valable, et seulement pour la durée nécessaire à l'accès.

  • Nous prenons en compte les facteurs suivants pour autoriser l'accès aux actifs informationnels : rôle professionnel, emplacement physique, accès à distance, heure et durée de l'accès, état des correctifs et des logiciels anti-malveillants, logiciel, système d'exploitation, appareil et méthode de connectivité.

  • La fourniture d'un accès à nos utilisateurs implique les étapes suivantes : a) l'identification - déterminer qui ou quoi demande l'accès ; b) l'authentification - confirmer la prétendue identité ; et c) l'autorisation - évaluer si le demandeur est autorisé à accéder à un bien d'information sur la base des besoins de l'entreprise et du niveau de sécurité de l'information (confiance) requis.

  • Nous mettons en place des processus pour garantir que les identités et les références sont émises, gérées, vérifiées, révoquées et contrôlées pour les appareils, les utilisateurs et les logiciels/processus autorisés.

  • La force de l'identification et de l'authentification est proportionnelle à l'impact en cas de falsification de l'identité. Les techniques courantes pour accroître la force de l'identification et de l'authentification comprennent l'utilisation de techniques de mots de passe forts (longueur, complexité, limites de réutilisation et fréquence de changement), l'utilisation de techniques cryptographiques et l'augmentation du nombre et du type de facteurs d'authentification utilisés. Les facteurs d'authentification comprennent ce qu'une personne : a) connaît - par exemple, les identifiants et les mots de passe ; b) possède - par exemple, un jeton de sécurité ou d'autres dispositifs en sa possession utilisés pour générer des mots de passe à usage unique ; et c) est - par exemple, des scans rétiniens, des scans de la main, des scans de signature, des signatures numériques, des scans de la voix ou d'autres données biométriques.

  • Les exemples suivants illustrent la nécessité de renforcer l'authentification, compte tenu des conséquences qu'aurait la falsification d'une identité : a) l'administration ou d'autres accès privilégiés à des informations sensibles ou critiques ; b) l'accès à distance (c'est-à-dire via des réseaux publics) à des informations sensibles ou critiques ; et c) les activités à haut risque (par exemple, les transferts de fonds à des tiers, la création de nouveaux bénéficiaires).

  • Nous déployons les contrôles d'accès suivants : a) mise en œuvre de processus de diligence raisonnable avant d'accorder l'accès au personnel ; b) mise en œuvre de profils d'accès basés sur les rôles, conçus pour garantir une séparation efficace des tâches ; c) interdiction du partage des comptes et des mots de passe (à l'exception éventuelle des comptes génériques, pour lesquels l'interdiction du partage des comptes et des mots de passe est inévitable en raison de contraintes technologiques) ; d) modification des mots de passe et des noms d'utilisateur par défaut ; e) suppression en temps utile des droits d'accès en cas de changement de rôle ou de responsabilité et en cas de cessation d'emploi ; f) délais d'attente pour les sessions ; g) processus de notification au personnel approprié des ajouts, suppressions et changements de rôle d'utilisateurs g) des processus permettant de notifier au personnel concerné les ajouts et suppressions d'utilisateurs ainsi que les changements de rôle ; h) l'enregistrement des audits et la surveillance de l'accès aux ressources d'information par tous les utilisateurs ; i) des examens réguliers de l'accès des utilisateurs par les propriétaires des ressources d'information afin de garantir le maintien d'un accès approprié ; j) l'authentification multifactorielle pour l'accès privilégié, l'accès à distance et d'autres activités à haut risque ; k) la génération, de préférence au stockage, de mots de passe/numéros d'identification personnels (PIN) lorsqu'ils sont utilisés pour autoriser des activités à haut risque ; et l) la règle des deux personnes appliquée aux ressources d'information dont le niveau de sensibilité est le plus élevé (par exemple, les clés de cryptage, la génération de PIN, etc.clés de cryptage, génération de codes PIN, bases de données financières).

  • À des fins de responsabilisation, nous veillons à ce que les utilisateurs et les actifs informationnels soient identifiés de manière unique et que leurs actions soient enregistrées à un niveau de granularité suffisant pour soutenir les processus de contrôle de la sécurité de l'information.

Sécurité des logiciels

  • Nous prenons en compte la sécurité de l'information tout au long du cycle de livraison des logiciels, y compris lorsque des techniques agiles sont utilisées. Les activités typiques du cycle de livraison des logiciels comprennent la détermination des besoins, la sélection et la configuration (pour les logiciels fournis par les fournisseurs, y compris les logiciels en tant que service), la conception et la programmation (pour les logiciels développés en interne), les tests et la mise en œuvre.

  • La sécurité permanente des logiciels existants est prise en compte dans le cadre de la gestion du changement et lorsque de nouvelles vulnérabilités sont identifiées. Les facteurs typiques que nous prenons en compte sont les suivants a) les exigences - les exigences en matière de sécurité de l'information sont explicitement identifiées dans le cadre de la définition des exigences du logiciel et portent sur les menaces potentielles ; b) la conception - les éléments à prendre en compte lors de la conception d'un logiciel sécurisé comprennent la modularisation du logiciel ; l'emplacement du logiciel sur le réseau ; les privilèges sous lesquels le logiciel s'exécute ; l'inclusion de caractéristiques de sécurité de l'information dans les spécifications techniques ; et les normes et lignes directrices en matière de sécurité de l'information auxquelles les spécifications du logiciel sont conformes ; c) la sélection et la configuration - les éléments à prendre en compte lors de la sélection et de la configuration d'un logiciel fourni par un fournisseur comprennent la diligence raisonnable quant aux tests de sécurité effectués pour identifier les vulnérabilités (intentionnelles ou non) ; les capacités de gestion de l'accès des utilisateurs (par ex.les capacités de gestion de l'accès des utilisateurs (par exemple, en fonction des rôles, la prise en charge de la séparation des tâches) ; les vulnérabilités de l'interface ; les capacités de surveillance ; les capacités de cryptage pour protéger les données sensibles ; la capacité d'obtenir et de mettre en œuvre des mises à jour de la sécurité de l'information en temps opportun ; la conformité avec le cadre de la politique de sécurité ; et la configuration/mise en œuvre du logiciel qui minimise le risque de compromission de la sécurité ; d) normes et lignes directrices - l'ensemble des connaissances pour le développement de logiciels sécurisés sont incorporées dans un ensemble de normes et de lignes directrices. Des normes existent pour chaque langage de programmation, compte tenu des vulnérabilités connues et de ce qui est considéré comme une bonne pratique.

  • Nous tenons un registre des outils de développement de logiciels approuvés et de l'utilisation qui en est faite. Nous veillons au respect de ce registre à des fins de contrôle de la qualité, en évitant de compromettre l'environnement de production et en réduisant le risque d'introduire des vulnérabilités inattendues. Cela n'exclut pas l'utilisation d'autres outils dans un environnement hors production à des fins d'évaluation et d'expérimentation.

  • Nous mettons en place des rôles, des responsabilités et des outils pour gérer l'enregistrement et le déploiement du code source afin de garantir que les exigences en matière de sécurité de l'information ne sont pas compromises.

Techniques cryptographiques

  • Les techniques cryptographiques désignent les méthodes utilisées pour crypter les données, confirmer leur authenticité ou vérifier leur intégrité. Les techniques cryptographiques sont utilisées dans les cas suivants, compte tenu des risques encourus : a) transmission et stockage de données critiques et/ou sensibles dans un environnement "non fiable" ou lorsqu'un degré de sécurité plus élevé est requis ; b) détection de toute modification non autorisée des données ; c) vérification de l'authenticité des transactions ou des données ; et d) protection des codes PIN des partenaires et des utilisateurs finaux, qui sont généralement utilisés pour l'autorisation des transactions financières.

  • Nous sélectionnons les techniques cryptographiques en fonction de la nature de l'activité et de la sensibilité et de la criticité des données. Ces techniques sont généralement réexaminées régulièrement pour s'assurer qu'elles restent adaptées aux vulnérabilités et aux menaces.

  • Nous sélectionnons des algorithmes de cryptage à partir d'une population de normes internationales bien établies et éprouvées qui ont fait l'objet d'un examen public rigoureux et d'une vérification de leur efficacité. La longueur d'une clé cryptographique est généralement choisie de manière à rendre impraticable une attaque par force brute (c'est-à-dire qu'il faudrait un temps extrêmement long pour la percer en utilisant les capacités informatiques actuelles).

  • La gestion des clés cryptographiques concerne la génération, la distribution, le stockage, le renouvellement, la révocation, la récupération, l'archivage et la destruction des clés de chiffrement. Une gestion efficace des clés cryptographiques garantit que des contrôles sont en place pour réduire le risque de compromettre la sécurité des clés cryptographiques. Toute compromission de la sécurité des clés cryptographiques pourrait, à son tour, entraîner une compromission de la sécurité des informations protégées par la technique cryptographique déployée.

  • Nous déployons, le cas échéant, des contrôles pour limiter l'accès aux clés cryptographiques, y compris a) l'utilisation de dispositifs et d'environnements protégés physiquement et logiquement pour stocker et générer les clés cryptographiques, générer les codes PIN et effectuer le cryptage et le décryptage. Cela implique l'utilisation de modules de sécurité matériels (HSM) ou de dispositifs sécurisés similaires ; b) l'utilisation de techniques cryptographiques pour maintenir la confidentialité des clés cryptographiques ; c) la séparation des tâches, aucune personne n'ayant connaissance de l'ensemble de la clé cryptographique (c'est-à-dire des contrôles à deux personnes) ou n'ayant accès à tous les composants de ces clés ; d) des dates d'activation et de désactivation prédéfinies pour les clés cryptographiques, limitant la période pendant laquelle elles restent valables pour l'utilisation. La durée de validité d'une clé cryptographique est proportionnelle au risque ; e) des processus de révocation des clés cryptographiques clairement définis ; et f) le déploiement de techniques de détection pour identifier tout cas de substitution de clé cryptographique.

Sécurité des partenaires

  • En tant qu'entreprise de plateforme, notre technologie peut introduire des vulnérabilités supplémentaires en matière de sécurité de l'information qui, si elles sont exploitées, pourraient entraîner des incidents de sécurité de l'information potentiellement importants ayant un impact sur nos partenaires et leurs clients bénéficiaires. Nous mettons en œuvre des contrôles de prévention, de détection et de réponse proportionnels à ces risques. Les contrôles courants comprennent : a) des contrôles d'authentification proportionnels à la vulnérabilité et aux menaces associées aux produits et services offerts, qui comprennent l'utilisation d'un deuxième canal de notification/confirmation des événements ; b) des limites pour s'assurer que les pertes restent dans les limites de tolérance au risque (par exemple, limites de transfert, limites de transactions quotidiennes) ; c) la surveillance de l'activité de transaction pour détecter des modèles de comportement inhabituels et l'examen des tendances des événements de perte qui peuvent déclencher la nécessité de contrôles supplémentaires (par exemple, pertes dues à la fraude et au vol) ; d) la surveillance de l'activité de transaction pour détecter des modèles de comportement inhabituels et l'examen des tendances des événements de perte qui peuvent déclencher la nécessité de contrôles supplémentaires (par exemple, pertes dues à la fraude et au vol).d) des procédures documentées et communiquées pour le suivi des incidents et la gestion de la fraude, de la fuite de données et de l'usurpation d'identité ; et e) la réduction au minimum de la collecte d'informations sensibles sur les clients au-delà de ce qui est pertinent pour les activités commerciales entreprises. Cela inclut les informations sur les clients utilisées à des fins d'authentification, telles que les mots de passe et les codes PIN.

Essais

  • Pour limiter l'accès à ce qui a été autorisé sur la base du rôle professionnel et du principe du moindre privilège, nous adoptons la gestion de l'identité et de l'accès (IAM), l'identification et l'authentification des utilisateurs, la sécurité physique, la sensibilisation et la formation des employés. À cet égard, nous déployons (par exemple) des tests d'ingénierie sociale.

  • Nous mettons en œuvre une politique de mot de passe et des contrôles d'authentification du système afin d'authentifier les utilisateurs avec une force proportionnelle à la sensibilité de l'information à laquelle ils accèdent. Pour tester cet objectif, nous effectuons des audits de l'accès des utilisateurs.

  • Pour protéger les réseaux contre le trafic non autorisé, nous utilisons des pare-feu, des routeurs et une segmentation du réseau, que nous testons au moyen de tests de pénétration.

  • Pour protéger les systèmes contre les attaques malveillantes, nous déployons des logiciels anti-malveillants, un filtrage du web et du courrier électronique, des échantillons de tests de logiciels malveillants et des tests de configuration pour tester cet objectif.

  • Afin de protéger les communications entre systèmes, y compris l'échange de données, d'un accès et d'une utilisation non autorisés, nous utilisons le cryptage et la gestion des clés, avec l'appui d'un examen de la gestion des clés.

  • Pour détecter rapidement les accès et utilisations non autorisés, nous utilisons des journaux, des systèmes de gestion des informations et des événements de sécurité (SIEM), des solutions de détection des changements d'intégrité, des procédures d'analyse et d'escalade des événements, ainsi que des tests de pénétration pour vérifier notre objectif.

  • Afin de mettre en œuvre des logiciels sécurisés, nous adoptons des pratiques de développement, d'acquisition et de déploiement de logiciels sécurisés. Cet objectif est testé par le biais d'examens de la conception, de tests de pénétration, d'examens et d'analyses du code, d'analyses du trafic réseau, de tests de défaillance et de fuzzing.

  • Pour répondre de manière efficace et efficiente aux incidents de sécurité de l'information, nous adoptons des manuels de réponse aux incidents de sécurité de l'information, une gestion de crise et un plan de continuité des activités (PCA). Nous testons cet objectif au moyen d'exercices sur table et de tests de scénario public-privé.

  • Afin d'assurer la résilience des systèmes face à la défaillance de composants individuels, nous adoptons des solutions actives-actives, actives-passives déployées, des solutions en bac à sable et une architecture de confiance zéro. Nous testons cet objectif par le biais de tests de singe du chaos, d'examens de l'architecture, de tests de défaillance et de tests de basculement.

  • Pour assurer la reprise dans tous les scénarios plausibles, nous adoptons des plans de reprise et des contrôles pour protéger les sauvegardes contre toute compromission. Nous effectuons également des tests de récupération technique et des tests de pénétration de l'environnement de sauvegarde.

  • Afin que les contrôles de mise en œuvre minimisent le risque d'apparition de nouvelles vulnérabilités à la suite d'une modification du système, nos systèmes sont sécurisés dès leur conception. Nous adoptons le développement de logiciels sécurisés, les tests non fonctionnels, le contrôle des modifications et le renforcement des systèmes. Nous procédons à des examens de contrôle des modifications, à des analyses de code, à des examens de l'architecture et à des tests d'étanchéité (fuzzing).

  • Afin d'identifier et de remédier rapidement aux nouvelles vulnérabilités, nous appliquons des correctifs et utilisons la gestion de la configuration, soutenue par des analyses de vulnérabilité et des tests de pénétration.

  • Nous utilisons des informations sur les menaces, disposons d'une stratégie de sécurité de l'information et faisons périodiquement appel à des examinateurs indépendants pour nous aider à identifier les nouvelles menaces et à y remédier en temps utile.

Rapports

Général

  • Pour socialiser nos capacités, nous rendons compte de la stratégie de sécurité de l'information, des initiatives clés et des progrès réalisés à ce jour ; de l'analyse de la connaissance de la situation (y compris les renseignements sur les menaces) ; de l'évaluation des capacités (auto-évaluation ou étalonnage) ; et des lacunes identifiées en matière de capacités et de l'état d'avancement des activités de remédiation.

  • Pour communiquer sur les incidents, nous (a) les rapports post-incidents pour les incidents matériels ; (b) l'analyse des tendances en matière d'incidents (internes et externes) ; et (c) les résultats des tests de réponse aux incidents (y compris les simulations).

  • Pour communiquer sur les contrôles, nous rendons compte : (a) des activités de test des contrôles, y compris le calendrier, la portée, les résultats et les tendances ; (b) des activités d'audit interne, y compris le calendrier, la portée, les résultats et les tendances ; (c) de l'état d'avancement des activités de gestion des risques et de remédiation ; (d) des résultats des évaluations des vulnérabilités et des menaces ; (e) des évaluations des tiers et des parties liées ; et (f) des rapports sur le respect du cadre stratégique de sécurité de l'information.

  • Pour socialiser l'éducation de nos équipes, nous rapportons (a) le matériel d'information et de sensibilisation et (b) les résultats des sessions de formation et de sensibilisation.

Pré-compromis

  • Pour communiquer les événements, nous indiquons (a) le nombre de connexions bloquées par l'analyse externe ; (b) le nombre de nouvelles vulnérabilités par type OWASP ; (c) le nombre de logiciels malveillants arrêtés ; (d) le nombre de sites d'hameçonnage connus ; (e) le nombre de sites d'hameçonnage démantelés et les heures d'ouverture ; (f) le nombre de logiciels malveillants uniques ciblant les banques ; (g) le nombre de vulnérabilités par ligne de code ; (h) le nombre d'applications mises en production avec des vulnérabilités de code ; et (i) le nombre d'événements liés à la sécurité détectés.

  • Pour communiquer nos pratiques, nous rendons compte des éléments suivants : a) tests de pénétration par type, nombre et taux de réussite ; b) systèmes protégés par des systèmes de gestion des identités et des accès - nombre) ; c) systèmes développés en interne qui ne peuvent pas être mis à jour par type et nombre) ; d) systèmes avec des composants d'assistance extérieurs au fournisseur par type, nombre et % de couverture) ; e) systèmes sans solutions anti-malware - nombre ; f) dispositifs non autorisés par type et par nombre) ; g) conformité de la configuration de la sécurité de l'information - % de couverture ; h) exercices de sensibilisation - % de couverture) ; i) personnel répondant aux tests d'hameçonnage par rôle, privilège et effectif total ; j) personnel répondant aux tests d'hameçonnage - % de couverture) ; (g) Conformité de la configuration de la sécurité de l'information - pourcentage de couverture ; (h) Exercices de sensibilisation - pourcentage de couverture et nombre) ; (i) Personnel répondant aux tests d'hameçonnage - pourcentage du personnel total ; (j) Examen de l'accès des utilisateurs par rôle, privilège, ancienneté et pourcentage de couverture) ; (k) Évaluations de la sécurité des fournisseurs sur douze mois - pourcentage de couverture des tiers concernés ; (l) Ancienneté des correctifs par criticité et jours ; et (m) Rapport d'assurance sur la sécurité de l'information - résultats par notation et ancienneté jusqu'à la remédiation.

Sur le compromis

  • Pour communiquer sur nos événements, nous rendons compte (a) des points d'extrémité des logiciels malveillants détectés - nombre ; (b) des logiciels malveillants détectés sur les serveurs - nombre ; (c) des répertoires en ligne contenant des informations sur le personnel/les clients - nombre ; et (d) du type d'incident au cours de la période - par type et nombre.

  • Pour faire connaître nos pratiques, nous rendons compte (a) des plans d'intervention et de reprise élaborés par type, nombre et % de couverture ; et (b) des répétitions d'incidents par type, nombre et % de couverture).

Compromis postal

  • Pour communiquer sur les événements postérieurs à la compromission, nous indiquons : a) le nombre d'APT détectées ; b) le nombre de connexions bloquées vers des sites web malveillants ; c) le nombre de violations de données détectées ; d) le nombre de pertes financières ; et e) le nombre de pertes de partenaires.

  • Pour faire connaître les pratiques post-compromission, nous rendons compte des rapports post-incidents - compter.