TABLE DES MATIÈRES
  1. Certifications
  2. Datacenters
  3. Centre de Supervision
  4. Continuité de service
  5. Echanges de données et chiffrement
  6. Sécurité des systèmes
  7. Mise à jour
  8. Monitoring
  9. Gestion des incidents
  10. Sous-traitants
  11. Gestion des ressources humaines
  12. Authentification
  13. Audit & Tests
  14. Transparence

1. CERTIFICATIONS


(Aucune pour Walky pour le moment)

2. DATACENTERS


Les datacenters utilisés par Walky sont gérés par un sous-traitant.

Certifications Les serveurs walky sont hébergés sur des infrastructures respectant les normes internationales ISO 27001, ISO 27002, ISO 27005, SOC 1 et 2 type II ainsi que PCI-DSS niveau 1.
Redondance Tous les serveurs sont alimentés avec 2 accès réseaux indépendants. Des générateurs de secours assurent l’alimentation en cas de coupure électrique. Les datacenters sont eux même alimentés avec au moins 2 accès réseaux et 2 lignes électriques.
Sécurité sur site Accès par badge, vidéosurveillance 24/7, détection de fumée et présence de personnel technique 24/7.
Localisation Les datacenters sont localisés en France et sont gérés par OVH.
Type d’hébergement Les serveurs, IP et stockages utilisés pour l’hébergement sont dédiés à Walky. Nous utilisons des solutions de virtualisation.
Service Level Agreement (SLA) Notre contrat avec notre hébergeur inclus des SLA qui s’appliquent dès 10 minutes d’indisponibilité. Un système de monitoring automatique est également en place pour détecter les incidents et déclencher le remplacement des ressources en panne.

3. CENTRE DE SUPERVISION


Un centre de supervision est utilisé pour la supervision des requêtes envoyées au service. Ce centre est géré par un sous-traitant.

Ressources dédiées Les ressources suivantes sont dédiées à Walky : salle, postes de travail, équipements réseau (y compris firewall), équipes.
Accès physique L’accès à la salle dédiée requiert un accès biométrique. De la vidéosurveillance est en place 24/7.
Restrictions logiques Les accès sont limités aux stricts besoins de supervision (pas de compte administrateur sur les postes, désactivation des ports USB, filtrage des accès internet externes, accès uniquement aux requêtes de rendez-vous en cours d’organisation). L’accès aux applications Walky requiert l’utilisation d’un VPN site-to-site accessible uniquement depuis la salle dédiée.

4. CONTINUITÉ DE SERVICE


Redondance Les services sont répartis sur plusieurs serveurs et stockages physiques présents dans des salles différentes. Une solution de haute-disponibilité est en place pour garantir la continuité de service en cas de défaillance d’un élément.
Sauvegardes Les données du service sont sauvegardées tous les jours, semaine et mois. La durée maximum de rétention des sauvegardes est de 1 mois.
Plan de continuité Un plan de continuité a été élaboré pour limiter le temps de reprise d’activité en cas d’incident de disponibilité majeur.
Recovery Point Objective (RPO) 24 h
Recovery Time Objective (RTO) 24 h

5. ÉCHANGES DE DONNÉES ET CHIFFREMENT


Echanges inter-serveurs Le système est réparti entre plusieurs services et serveurs. Les échanges de données inter-serveurs sont chiffrés et utilisent, en fonction des cas, les protocoles SSH, SSL ou HTTPS.
Stockage Les données du service sont chiffrées en utilisant le protocole AES-256. Des salt et initialisation vector sont générés aléatoirement et différents pour chaque entrée stockée en base de données.
Supervision humaine Les accès de supervision humaine requièrent un accès VPN et l’utilisation de HTTPS.

6. SÉCURITÉ DES SYSTÈMES


Architecture Le service repose sur une architecture multi-tiers et multi-zones de sécurité. Chaque serveur est dédié à une tâche précise. Les communications inter-zone sont filtrées par des firewall.
Antivirus Un antivirus est déployé sur l’infrastructure.
Protection DDoS Un système de mitigation des attaques DDoS est en place.

7. MISE À JOUR


Applications Les applications sont développées en interne et sont mises à jour suivant un processus de déploiement continu (plusieurs fois par jour). Chaque modification est testée (automatiquement et manuellement) sur un environnement différent de la production avant déploiement.
Systèmes Les systèmes sont mis à jour au minimum une fois par mois en condition normale, dès que possible en cas de publication de failles critiques.

8. MONITORING


Détection d’intrusion Les logs de l’infrastructure sont envoyés en temps réel vers un serveur centralisé et un Security Incident Event Manager(SIEM) permettant de corréler les événements et alerter.
Exceptions Les exceptions se produisant lors de l’exécution des applications génèrent des alertes.
Utilisation des ressources Des métriques d’utilisation des ressources sont suivies afin de prévoir la capacité future du système.

9. GESTION DES INCIDENTS


Détection Des alertes et suivi de métriques ont été configurées pour détecter les incidents.
Procédure Une procédure de gestion des incidents a été préparée.
Notifications Les clients concernés sont notifiés dès que possible de la survenance d’un incident de sécurité. La notification des autorités compétentes y compris les autorités de protection des données a été inclus dans la procédure de gestion des incidents.

10. SOUS-TRAITANTS


Vérification des sous-traitants Nous effectuons une due diligence des sous-traitants avec lesquels nous travaillons afin de vérifier qu’ils respectent nos exigences de sécurité. Cela inclut notamment des vérifications de certifications, de conformité aux lois applicables (ex. RGPD européen) et de gestion de la sécurité.
Sous-traitants pour le service Nous utilisons des sous-traitants pour assurer l’hébergement et la supervision humaine du service de prise de rendez-vous. Tout changement de sous-traitant est notifié aux clients.
Autres sous-traitants Nous utilisons d’autres sous-traitants notamment pour la gestion de la relation commerciale avec nos clients (comme CRM, système de ticketting support, emailing) ou la gestion de la sécurité (consultants externes, analyse automatisée, alerting).

11. GESTION DES RESSOURCES HUMAINES


Recrutement Des procédures de vérification des compétences, de l’identité et des références des candidats ont été mis en place dans les processus de recrutement.
Contrats de travail Tous les contrats de travail incluent des clauses de confidentialité.
Charte d’utilisation des systèmes Une charte d’utilisation des systèmes informatique a été mise en place.
Sensibilisation Des procédures de sensibilisation à la sécurité et au traitement des données personnelles ont été mises en place. Sensibilisation initiale à l’arrivée puis sensibilisation hebdomadaire (5-10 min).

12. AUTHENTIFICATION


Accès Les accès utilisateurs sont nominatifs.
Single-sign on (SSO) Un système de SSO a été déployé pour les applications internes.
2-factor Nous utilisons du 2-factor pour l’authentification aux applications et systèmes internes (VPN avec certificat personnel et One Time Password)
Mots de passe Nous n’autorisons pas l’utilisation de mot de passe inférieur à 8 caractères et ne contenant pas au moins 3 des éléments parmi les suivants : chiffre, minuscule, majuscule, caractères spéciaux.
Principle of least privileges Le principle of least privileges est appliqué. Les accès ne sont donnés qu’aux personnes qui en ont besoin et uniquement à celles ci.
Suppression des accès Les accès des employés quittant la société sont supprimés dès leur départ. Lors d’un changement de fonction, les accès qui ne sont plus nécessaires sont révoqués.

13. AUDIT & TESTS


Revue des accès Tous les 3 mois
Test de vulnérabilité Tous les 3 mois ou lors de modifications importantes du système
Test des sauvegardes Tous les 3 mois
Test du plan de continuité Tous les ans
Test du plan de réaction aux incidents Tous les ans

14. TRANSPARENCE


Rapports et documentation Nous pouvons fournir des documents complémentaires sur nos process et notre gestion de la sécurité. Cette communication peut nécessiter la signature d’une clause de confidentialité (NDA).
Contactez nous pour en savoir plus.
Question de sécurité Grands Comptes Nous pouvons remplir des questionnaires de sécurité spécifiques dans le cas d’intégration Grands Comptes. Un interlocuteur dédié à la sécurité est alors mis à disposition.
Contactez nous pour en savoir plus.
Audit Le service est auditable par ses clients.
Contactez nous pour en savoir plus.