DEMANDE DE DÉMO
DEMANDE DE DÉMO

Comment BASSETTI assure la sécurité des données de ses clients ?

Developing programmer Team Development Website design and coding technologies working in software company office
« On ne vend pas le fait que TEEXMA® soit sécurisé, on le doit à nos clients ». C’est par ces mots que présente notre Directeur Informatique et membre de notre Security Team, la sécurité mise en place au sein de BASSETTI. Mais comment la sécurité est-elle pensée ?

LA SÉCURITÉ INFORMATIQUE EST PENSÉE DÈS LE DÉBUT

La sécurité informatique est au cœur des problématiques de nos clients. Pour cette raison, BASSETTI applique les principes de « Security by design ». En d’autres termes, la sécurité est pensée, réfléchie, et anticipée dès le début de la conception de l’outil et est intégrée dans le coeur de la solution. L’idée est simple : réduire la surface d’attaque dès la spécification, et refuser certains accès.

BASSETTI se base pour cela sur plusieurs outils et études sur le thème de la sécurité, dont notamment le Top 10 de l’OWASP. L’OWASP (pour Open Web Application Security Project) est une communauté en ligne travaillant sur la sécurité des applications web. Chaque année, elle édite son célèbre « OWASP Top 10 », fournissant non seulement des bonnes pratiques mais également un état des lieux de la sécurité dans le développement web, mobile, IoT (Internet Of Things ou Internet des Objets), etc. ce Top 10 est donc devenu un outil incontournable pour l’ensemble des développeurs chez BASSETTI, servant ainsi de référence regroupant l’ensemble des attaques courantes mais néanmoins critiques, auxquels une application doit faire face.

TEAM SÉCURITÉ

Dans un souci constant de l’amélioration de la sécurité, BASSETTI a créé sa Team Sécurité qui regroupe des personnes de plusieurs services et qui est en charge de tous les aspects sécurité de l’entreprise, que ce soit de ses locaux, de la sécurisation des outils par rapport aux différentes attaques possible, mais aussi de la sécurité des TEEXMA® chez nos clients.

Elle est également en charge de la formation constante des employés de BASSETTI, sur les meilleures pratiques en matière de sécurité, et organise régulièrement des formations conçues en fonction de leur profil professionnel.

DES AUDITS RÉGULIERS
Afin de s’assurer de la solidité de ses solutions, et en plus des audits menés en interne, la société BASSETTI est régulièrement auditée que ce soit par ses propres clients ou par des experts. L’outil est soumis à différents tests de piratage selon plusieurs degrés technique :
  • Les tests dits en « boîtes noire » : l’URL est communiquée aux testeurs qui vont ensuite tenter de s’introduire dans la solution.
  • Les tests dits en « boîtes grise » : en plus de l’URL, on communique aux testeurs certaines informations dont notamment un compte utilisateur.
  • Les tests dits en « boîtes blanche » : ils sont en général réalisés en interne chez BASSETTI afin de pouvoir examiner le fonctionnement des solutions ainsi que leurs structures internes.

DES FORMATIONS CLIENTS

AAfin de pouvoir assurer une sécurité maximale de ses outils, BASSETTI propose des “Packs Sécurités”, et accompagne ainsi ses clients dans une démarche sécurité la plus globale possible vis-à-vis des différents périmètres couverts par la solution TEEXMA®. Nos experts sécurités prennent par exemple contact avec les SOC (Security Operation Center) lorsqu’il en existe, ou avec la DSI, de façon à les conseiller sur la meilleur façon de surveiller les fichiers de logs (fichiers regroupant l’intégralité des événements exécutés dans la solution, et classés par ordre chronologique) propre à notre application, mais également sur la gestion des droits ou encore l’authentification par exemple. Ainsi, le client est autonome et à même de détecter des éventuelles tentatives d’intrusion ou requêtes non habituels dans leur(s) application(s) TEEXMA®.

UN SERVICE DE MAINTENANCE
La phase d’analyse des impacts des obsolescences est fondamentale. Il est très utile d’avoir des informations chiffrées sur l’état de santé de l’entreprise en cas d’obsolescence de substance, d’arrêt de production, d’embargo… Ces risques potentiels peuvent impacter sensiblement les processus de production, les fournisseurs, les clients, le chiffre d’affaires, les produits finis. Lorsque l’ampleur du risque d’obsolescence est définie et que les impacts sont identifiés, il est nécessaire d’établir de plans d’action (préventifs ou curatifs). Toutes les données de gestion (planning, intervenants, opérations, suivi des étapes) sont regroupées dans un référentiel unique et structurées grâce à des outils modulables (diagramme de GANTT, arbres de décision, workflow…). Lorsqu’un projet est mené à son terme, les résultats sont analysés grâce à des courbes de tendances et des statistiques. De plus, il est important de réfléchir au traitement des matériaux et équipements obsolètes, notamment en termes de recyclage, de réutilisation…
Avoir à disposition une base de données complète qui référencie toutes les propriétés des matériaux et des substances chimiques, toutes les évolutions des législations et qui propose des alternatives aux produits utilisés en cas d’obsolescence est un atout stratégique de centralisation des outils et de maîtrise des risques.

ANALYSER ET AGIR
Via la Security Team, BASSETTI a mis en place un département maintenance dédié à la sécurité logicielle. Celui-ci est séparé en deux services :
  • Le service dit « réactif » : composé d’une équipe d’intervention qui va couvrir un éventuel incident afin de fournir une assistance téléphonique ou même d’assister physiquement les équipes opérationnelles. Celle-ci est responsable de la détection, de l’isolement et de l’atténuation de la menace.
  • Service dit « proactif » : celui-ci a pour rôle d’assurer une prise de conscience des éventuelles vulnérabilités et réalise une veille que ce soit au niveau de l’infrastructures, des technologies utilisées, des audits de sécurité et des tests intrusion, des contrôles de vulnérabilité, ou même des commentaires divers des utilisateurs par exemple.
Demander une démonstration faites par nos équipes techniques :  
Demander une démonstration
Ou contacter nos équipes techniques :  
Nous contacter