Actualité

Comment BASSETTI assure la sécurité des données de ses clients ?

By 28 juin 2019 No Comments

« On ne vend pas le fait que TEEXMA® soit sécurisé, on le doit à nos clients ». C’est par ces mots que présente notre Directeur Informatique et membre de notre Security Team, la sécurité mise en place au sein de BASSETTI. Mais comment la sécurité est-elle pensée ?

La sécurité informatique est pensée dès le début

La sécurité informatique est au cœur des problématiques de nos clients. Pour cette raison, BASSETTI applique les principes de « Security by design ». En d’autres termes, la sécurité est pensée, réfléchie, et anticipée dès le début de la conception de l’outil et est intégrée dans le coeur de la solution. L’idée est simple : réduire la surface d’attaque dès la spécification, et refuser certains accès.
BASSETTI se base pour cela sur plusieurs outils et études sur le thème de la sécurité, dont notamment le Top 10 de l’OWASP. L’OWASP (pour Open Web Application Security Project) est une communauté en ligne travaillant sur la sécurité des applications web. Chaque année, elle édite son célèbre « OWASP Top 10 », fournissant non seulement des bonnes pratiques mais également un état des lieux de la sécurité dans le développement web, mobile, IoT (Internet Of Things ou Internet des Objets), etc. ce Top 10 est donc devenu un outil incontournable pour l’ensemble des développeurs chez BASSETTI, servant ainsi de référence regroupant l’ensemble des attaques courantes mais néanmoins critiques, auxquels une application doit faire face.

Team Sécurité

Dans un souci constant de l’amélioration de la sécurité, BASSETTI a créé sa Team Sécurité qui regroupe des personnes de plusieurs services et qui est en charge de tous les aspects sécurité de l’entreprise, que ce soit de ses locaux, de la sécurisation des outils par rapport aux différentes attaques possible, mais aussi de la sécurité des TEEXMA® chez nos clients.

Elle est également en charge de la formation constante des employés de BASSETTI, sur les meilleures pratiques en matière de sécurité, et organise régulièrement des formations conçues en fonction de leur profil professionnel.

Des audits réguliers

Afin de s’assurer de la solidité de ses solutions, et en plus des audits menés en interne, la société BASSETTI est régulièrement auditée que ce soit par ses propres clients ou par des experts. L’outil est soumis à différents tests de piratage selon plusieurs degrés technique :

  • Les tests dits en « boîtes noire » : l’URL est communiquée aux testeurs qui vont ensuite tenter de s’introduire dans la solution.
  • Les tests dits en « boîtes grise » : en plus de l’URL, on communique aux testeurs certaines informations dont notamment un compte utilisateur.
  • Les tests dits en « boîtes blanche » : ils sont en général réalisés en interne chez BASSETTI afin de pouvoir examiner le fonctionnement des solutions ainsi que leurs structures internes.

Des formations clients

Afin de pouvoir assurer une sécurité maximale de ses outils, BASSETTI propose des “Packs Sécurités”, et accompagne ainsi ses clients dans une démarche sécurité la plus globale possible vis-à-vis des différents périmètres couverts par la solution TEEXMA®. Nos experts sécurités prennent par exemple contact avec les SOC (Security Operation Center) lorsqu’il en existe, ou avec la DSI, de façon à les conseiller sur la meilleur façon de surveiller les fichiers de logs (fichiers regroupant l’intégralité des événements exécutés dans la solution, et classés par ordre chronologique) propre à notre application, mais également sur la gestion des droits ou encore l’authentification par exemple. Ainsi, le client est autonome et à même de détecter des éventuelles tentatives d’intrusion ou requêtes non habituels dans leur(s) application(s) TEEXMA®.

Un service de maintenance

Via la Security Team, BASSETTI a mis en place un département maintenance dédié à la sécurité logicielle. Celui-ci est séparé en deux services :

  • Le service dit « réactif » : composé d’une équipe d’intervention qui va couvrir un éventuel incident afin de fournir une assistance téléphonique ou même d’assister physiquement les équipes opérationnelles. Celle-ci est responsable de la détection, de l’isolement et de l’atténuation de la menace.
  • Service dit « proactif » : celui-ci a pour rôle d’assurer une prise de conscience des éventuelles vulnérabilités et réalise une veille que ce soit au niveau de l’infrastructures, des technologies utilisées, des audits de sécurité et des tests intrusion, des contrôles de vulnérabilité, ou même des commentaires divers des utilisateurs par exemple.

Pour en savoir plus sur nos solutions, demandez votre démonstration personnalisée ou contactez-nous.

Leave a Reply