Politique de sécurité du système d’information (PSSI)

Introduction – La politique de sécurité de Novelis :

Novelis est un acteur technologique français créé en 2017, à la pointe de la recherche sur l’IA, spécialisé dans les architectures innovantes et l’efficacité opérationnelle des processus métiers.

Notre expertise se nourrit des travaux de notre laboratoire de recherche interne, créé en commun avec l’école polytechnique, dans lequel des docteurs travaillent au quotidien sur la recherche fondamentale et expérimentale autour de l’IA et du NLP.

La sécurité est au cœur de notre activité. Nous consacrons beaucoup de ressources et d’énergie pour :

• Sécuriser notre système d’information ;
• Construire pour nos clients des solutions web sécurisées dès la phase de design ;
• Définir, mettre en œuvre, opérer et améliorer tous les moyens humains, organisationnels, techniques et légaux permettant de protéger les services et systèmes d’information de Novelis.

La construction d’une relation durable et de confiance avec nos clients est primordiale pour nous. Avec l’exposition de plus en plus forte des plateformes web aux menaces de sécurité informatique, nous prenons très au sérieux notre rôle pour protéger nos infrastructures et travaillons quotidiennement à consolider nos services.

C’est pourquoi Novelis a mis en place une démarche de sécurité avec pour objectif l’obtention de labels et certifications de référence sur le marché, qui sont pour vous un gage de qualité et de confiance.

Nos collaborateurs adhèrent à cette démarche et y contribuent activement au quotidien. Responsables, ils veillent à ce que les règles de sécurité soient connues, comprises et appliquées, sur leur périmètre d’intervention et au sein de leur mission. Vigilants, ils sont en alerte constante lors de leurs différents usages et utilisations des systèmes d’information, afin de détecter d’éventuels incidents et d’adopter le comportement adéquat lors d’une situation à risque.

La présente Politique de Sécurité des Systèmes d’Information est applicable dans le cadre des relations de sous-traitance entre Novelis et ses Clients, pour les solutions webs que développent Novelis pour ses clients et pour les données que le Client transmet à Novelis en sous-traitance.

• La Sécurité et nos collaborateurs

Chez Novelis, l’apprentissage et l’application des mesures de sécurité commencent dès l’embauche des collaborateurs, afin que la culture de la sécurité soit diffusée à travers toute l’entreprise. Chaque collaborateur est conscient des menaces qui pèsent sur les systèmes d’information et connaît donc ses responsabilités vis-à-vis de ceux-ci. Cela lui permet d’endosser un rôle d’acteur permanent.

Pour cela une formation au bon usage des moyens informatiques est dispensée à chaque collaborateur dès son arrivée chez Novelis et est complétée régulièrement par des formations complémentaires.

Les collaborateurs de Novelis qui développent et construisent les solutions de nos clients sont sensibilisés régulièrement aux bonnes pratiques du métier en matière de sécurité web notamment au Top ten OWASP.

• Gestion des biens et des actifs

Garantir de manière effective la sécurité de nos systèmes d’information requiert la connaissance des besoins en matière de sécurité. C’est la raison pour laquelle chaque actif – matériel, poste de travail, serveur… – fait l’objet d’un inventaire détaillé pour être ensuite classifié avec un propriétaire qui leur est associé.

Une procédure de mise au rebut est formalisée et mise en œuvre lors de la sortie ou du rebut d’un actif du système d’information.

• Gestion des accès

L’un des facteurs essentiels de la sécurité du Système d’Information est la gestion des accès physiques et logiques : celle-ci s’appuie sur des processus efficaces permettant une bonne gestion des identités, leur mise à jour permanente et des mécanismes d’authentification robustes.

Ainsi, chaque utilisateur accédant au Système d’Information de Novelis est dûment identifié et authentifié. Tout compte est rattaché à une personne physique unique afin de garantir la traçabilité des accès et des actions.

Les droits et habilitations délivrés aux utilisateurs sont définis selon leur profil métier et dans le respect des principes de moindre privilège et de séparation des pouvoirs afin de garantir la confidentialité des données. Une revue des comptes est effectuée tous les 6 mois afin de s’assurer de la légitimité de tous les comptes.

• Documentation

Documenter les méthodologies, les processus et les actions est un élément essentiel à leur bonne application.

La documentation est donc régulièrement mise à jour. Elle uniformise les pratiques au sein de Novelis et est utilisée et réalisée à tous les niveaux de l’entreprise.

• Sécurité physique

Chez Novelis, nous mettons activement en œuvre des politiques de sécurité physique à la fois dans nos locaux.

Un ensemble de mesures de protection physique est mis en œuvre parmi lesquelles :

• La télésurveillance et des systèmes anti-intrusion dans nos locaux ;
• Un badge d’accès unique pour chaque collaborateur ;
• Une politique de gestion des accès en fonction du type de profil des collaborateurs et intervenants.

Chaque utilisateur du Système d’Information participe également à la sécurité physique en respectant des bonnes pratiques, comme la fermeture des bureaux, la politique du « bureau net », le verrouillage du poste de travail lors des absences, ou encore la protection renforcée de la documentation sensible.

• Sécurité des terminaux

L’accès au poste de travail n’est possible qu’après une phase d’authentification obligatoire (mot de passe ou biométrie). Chaque poste de travail est équipé d’un antivirus mis régulièrement à jour.

• Gestion de la sous-traitance

L’ensemble des contrats avec nos sous-traitants intègre de strictes exigences de sécurité applicables ainsi que des moyens de contrôler le respect de ces exigences.

Les exigences que nous avons envers nos sous-traitants sont au moins équivalentes à nos propres exigences de sécurité internes, afin de respecter nos engagements concernant un haut niveau de sécurité des systèmes d’information.

• Sécurité des réseaux

Une politique de cloisonnement et de confinement des réseaux est mise en place au sein des réseaux de Novelis. Ce cloisonnement s’accompagne d’une politique de filtrage interne et externe afin de lutter contre les codes malveillants.

Nos solutions hébergées au sein des Datacenters de nos partenaires sont protégées (firewall & hardening) et il n’y a pas de connexion directe avec les environnements internes de Novelis.

Les accès distants au système d’information de Novelis se font via un VPN chiffré et 2MFA.

Confidentialité et chiffrement des données

Plusieurs mesures de chiffrement sont mises en œuvre pour assurer la confidentialité des informations et données traitées.

D’abord, l’ensemble des postes de travail, des terminaux sont protégés par mot de passe, afin de garantir l’inaccessibilité des informations aux personnes non autorisées.

Les supports contenant des informations sont protégés contre les accès non autorisés via des protections physiques et matérielles.

Novelis n’accède ou n’exploite jamais vos données en dehors des cas expressément stipulés dans nos contrats, ou sur instruction documentée de votre part. Vos données ne sont également jamais revendues à des tiers.

Sécurité de nos solutions web

Chez Novelis, nous sommes conscients des différentes menaces qui pèsent constamment sur les applications web. C’est pour cette raison que nous avons pris les mesures de sécurité nécessaires pour garantir la protection des données traitées par nos sites.

Nous appliquons systématiquement plusieurs principes pour la sécurité des environnements de nos clients :

• Hardening de nos serveurs : minimum de ports ouverts, minimum d’outils par machines, monitoring & application régulière des patchs de sécurité, no backdoor, etc… ;
• Https only et testing automatique de la qualité SSL. Vérification des configurations quotidiennes par OpenVas ;
• Tests d’intrusion périodiques ;
• Configuration & déploiement automatisé ;
• Journalisation de tous les évènements et remontée des anomalies automatiques aux équipes ;
• Monitoring harware avec levée d’alerte email en cas de dépassement de seuils de tolérance (répétition de l’alerte à intervalle régulier tant qu’elle n’est pas corrigée) ;
• Surveillance des événements sécurité par un Siem, avec levée d’alerte email en cas d’attaque.
• Monitoring applicatif avec levée d’alerte email en cas de non-disponibilité d’un applicatif (répétition de l’alerte à intervalle régulier tant qu’elle n’est pas corrigée) ;
• Backups journaliers de tous les systèmes de production stockés sur bandes dans d’autres data centers ;
• Inscription aux différentes newsletters et flux RSS de sécurité et de remontées CVE.

Dans la construction de nos solutions, nous appliquons aussi systématiquement des principes forts de sécurité :

• Webs Services et api authentifiés par défaut ;
• Gestion des sessions en silo isolé ;
• Chiffrement : Hashage par défaut des mots de passes, utilisation de jetons d’échanges sécurisées ;
• Test d’intrusion automatisé ;
• Formation & sensibilisation régulière au Top Ten OWASP ;
• Monitoring & Patch régulier des librairies et middlewares utilisés ;
• Revue de code croisée ;