Sécurité de l'information

Gestion globale de la sécurité de l'information et de la qualité

La sécurité et la qualité sont d'une importance capitale pour Projektron GmbH. En effet, un développement logiciel sûr et des processus commerciaux performants sont au cœur de notre solution de gestion de projet basée sur le web et de notre entreprise. C'est pourquoi nous accordons une grande importance à une gestion globale de la sécurité de l'information et de la qualité. Vous découvrirez ici les mesures que nous avons mises en œuvre pour créer un environnement sûr et ce que nous prévoyons pour l'avenir.


Mesures organisationnelles

Nous visons un niveau élevé de sécurité de l'information dans l'entreprise. Les objectifs généraux de la sécurité de l'information s'appliquent à tous les secteurs de l'entreprise :

 Confidentialité             Intégrité              Disponibilité

Nous mettons en œuvre ces mesures organisationnelles

Contrôle de sécurité

Projektron BCS est régulièrement testé pour détecter les failles de sécurité selon des modèles de procédure reconnus tels que le guide de test OWASP.
 
 

Projektron BCS

Pour la mise en œuvre de l'ISMS, le logiciel interne Projektron BCS a été développé en conséquence dans le cadre d'un projet.

ISMS

L'introduction d'un système de gestion de la sécurité de l'information (ISMS) a permis d'ancrer la sécurité de l'information dans l'organisation de l'entreprise et d'établir des processus importants de sécurité de l'information tels que la gestion des risques.
 
 

Formation des collaborateurs

Tous les collaborateurs sont sensibilisés et formés au thème de la sécurité de l'information. Ces formations ont lieu régulièrement pour rafraîchir les connaissances ou pour aborder des sujets d'actualité, et les nouveaux collaborateurs sont également formés directement lors de leur intégration.

Équipe d'experts

Une équipe d'experts pour la sécurité dans le développement a été constituée au sein de l'entreprise pour traiter des thèmes actuels de la sécurité informatique.
 
 

Manuels d'urgence

Afin de réagir rapidement aux incidents de sécurité et de limiter les dommages éventuels, des concepts de prise en charge d'urgence ont été développés et consignés dans des manuels d'urgence.

Formations continues

Les collaborateurs bénéficient de formations continues adaptées à leurs besoins pour les sensibiliser aux objectifs et aux risques en matière de sécurité de l'information.
 
 

DSMS

Nous utilisons un système de gestion de la protection des données (DSMS) conforme au règlement général de l'UE sur la protection des données (RGPD).

Responsables ISMS et équipe

Chez Projektron, on travaille activement sur la sécurité de l'information et les processus qui y sont liés. Une équipe veille en permanence au respect des objectifs de sécurité.
 
 

ISO 27001

Les principaux processus clés tels que le développement de produits, l'assistance, les services informatiques et l'administration informatique ont été certifiés conformes à la norme ISO 27001 par le TÜV Süd.

Audits de systèmes

Examen structuré de la sécurité de tous les services informatiques à l'aide d'audits annuels des systèmes, en se concentrant sur l'examen des risques, les droits d'accès et le cryptage.
   

  

Développement de produits

La prise en compte de la sécurité de l'information dans le processus de développement de Projektron BCS est fondamentale pour atteindre les objectifs de sécurité de l'information de Projektron GmbH.

Nous mettons en œuvre ces mesures de sécurité de l'information dans le développement de nos produits

Concept de rôles et de droits

Un concept de rôles et de droits adaptable aux besoins du client offre la condition préalable à la limitation de l'accès aux données ou aux informations à la personne autorisée.
 
 

Coffre-fort de mots de passe

Les mots de passe nécessaires pour les systèmes tiers peuvent être déposés de manière cryptographique et sécurisée dans un coffre-fort de mots de passe.

Connexions cryptées

Pour une transmission sécurisée des données entre Projektron BCS et les utilisateurs ou les systèmes tiers, une communication cryptée est possible (https, imaps, smtps).
 
 

Injection SQL, Cross Site Scripting & Cross Site Request Forgery

Projektron BCS est protégé contre ces techniques d'attaque.

Mots de passe sécurisés

Les mots de passe sont sécurisés dans Projektron BCS via l'algorithme PBKDF2 avec Salt et Pepper.
 
 

Directives pour les mots de passe

Projektron BCS prend en charge les directives relatives aux mots de passe en ce qui concerne leur complexité et leur fréquence de modification.

Connexion unique

Prise en charge d'une authentification via l'Active Directory (LDAP/KERBEROS) ou OAuth 2.0 avec OpenID Connect.
 
 

Attaques par force brute

Protection des comptes d'utilisateurs par un délai d'attente en cas d'échec de plusieurs tentatives de connexion. Le cas échéant, l'accès à des comptes individuels peut être autorisé uniquement pour certaines adresses IP et plages IP.

Authentification à 2 facteurs

Sécurisation supplémentaire de la connexion via un deuxième facteur généré selon le procédé TOTP.
 
 

Directive interne "Développement de logiciels en toute sécurité"

L'objectif est de minimiser les déficits de sécurité et les points faibles dans le développement de Projektron BCS et de réagir de manière appropriée à ces derniers, notamment en s'appuyant sur le Top 10 de l'OWASP et SANS 25.

Pentests

Des pentests sont régulièrement effectués en collaboration avec nos clients. Les résultats de ces tests sont continuellement pris en compte dans le développement et la protection de Projektron BCS.
 
 

SANS 25

La SANS 25 répertorie les 25 vulnérabilités les plus dangereuses (et les plus pertinentes) dans les logiciels. Les considérations sont donc plus globales que le regard spécifique de l'OWASP Top 10 sur les applications Web.

Tests automatisés

Projektron BCS est testé tant au niveau des fonctions que de la convivialité. Les modèles d'attaque courants peuvent être testés de manière automatisée.
 
 

Top 10 de l'OWASP

Le Top 10 OWASP (Open Web Application Security Project) répertorie les dix erreurs ou vulnérabilités les plus répandues et les plus importantes pour les applications web.

   

Hébergement / SAAS

Nous savons qu'un système sûr est important pour vous, surtout si vous hébergez Projektron BCS chez nous ou chez notre prestataire de services. C'est pourquoi nous avons pris différentes mesures pour rendre notre hébergement encore plus sûr.

Voici les mesures que nous prenons pour un hébergement sûr

Pentest

Notre hébergement est soumis chaque année à un pentest.
 
 

SSL

Lors de l'hébergement, vous accédez à Projektron BCS via un accès crypté avec un certificat SSL.

Fenêtres de maintenance

Il existe des fenêtres de maintenance régulières et planifiées pour l'installation de mises à jour et de correctifs. En cas de faille de sécurité aiguë, des mises à jour non programmées sont effectuées et annoncées deux heures à l'avance.
 
 

Pare-feu

Un pare-feu centralisé avec des règles de filtrage strictes individuellement par client vous protège contre les attaques de l'extérieur. Un pare-feu pour les applications web peut être mis à disposition sur demande.

Serveurs de base de données séparés

Les données des clients se trouvent sur des serveurs de base de données séparés. Cela permet d'améliorer les performances et de mettre en place des interfaces individuelles.
 
 

Mises à jour automatisées

Les machines virtuelles ainsi que Projektron BCS sont mises à jour automatiquement afin que vous soyez toujours à la pointe de la sécurité.

SVC

Nos clients sont automatiquement connectés au service de versionnement des configurations (SVC). Cela signifie que leurs configurations sont gérées au sein d'un référentiel SVN.
 
 

HTTPS/SFTP/SSH & SCP

En règle générale, vous accédez à votre machine virtuelle uniquement via des connexions sécurisées (via HTTPS/SFTP/SSH) et créez ainsi par exemple des sauvegardes ou des copies de données (via SCP).

Tunnel VPN

Les machines virtuelles ne sont pas accessibles via Internet. Projektron n'y accède que via des tunnels VPN.
 
 

Sauvegarde et restauration

L'hébergement offre des sauvegardes et, si nécessaire, une restauration rapide.

Disponibilité

Nous garantissons la disponibilité convenue, qui est surveillée en permanence.
 
 

Protection par gardiennage

Le centre de données est surveillé 24h/24 et 7j/7 par un service de gardiennage sur place.

Site en Allemagne

Le centre de données est situé en Allemagne et est soumis à des niveaux de sécurité élevés. Il appartient à la classe Tier IV avec des ISP POP redondants.
 
 

Contrôle d'accès

Seules les personnes autorisées chargées de l'exécution des tâches peuvent pénétrer dans le centre de données, moyennant une inscription préalable.

Certifié

Notre centre de données et les secteurs de Projektron liés à la sécurité sont certifiés ISO 27001. Le centre informatique possède également d'autres certificats : VdS ISO 9001 NSL et IS, DIN 14675 pour BMA et DIN EN 50518.
   

  

Carsten Münch

First Business Partner & Team Coordinator Application Management, TÜV Rheinland Service GmbH

"Nous avons mis en œuvre l'authentification unique, de sorte que nos collaborateurs n'ont pas à saisir de mot de passe et peuvent utiliser une procédure de connexion sûre et moderne".

Thomas Hackenbuchner

Responsable des finances et de l'administration, MicroNova AG

"En matière de sécurité de l'information, BCS nous aide en nous permettant d'attribuer des attributs supplémentaires aux projets. Nous pouvons par exemple classer les projets en fonction de leur besoin de protection ou marquer s'il s'agit d'un projet avec protection de prototype. Sur la base de ces marquages, nous pouvons déduire et initier d'autres étapes du processus".

Kevin Botsch

BCS Technical Product Management, Finanz Informatik Solutions Plus Kevin Botsch

"En tant que prestataire de services de conseil, de développement et d'intégration d'applications professionnelles dans le secteur financier, la sécurité des logiciels et la transparence des processus sont importantes pour nous. En raison de la croissance que nous avons connue jusqu'à présent et de l'augmentation constante du nombre d'utilisateurs, la convivialité et l'utilisation intuitive sont également devenues des facteurs importants. Avec Projektron BCS, nous avons trouvé un système qui répond exactement à ces exigences. En outre, BCS peut également être adapté de manière flexible à nos besoins et nous permet d'apporter de nombreuses améliorations aux processus".

 

Support

Pour l'assistance technique de nos clients, nous travaillons avec notre propre portail d'assistance. Nous veillons toujours à la qualité et surtout à la sécurité du traitement des informations.

Nos mesures pour la sécurité du traitement des informations dans le cadre de l'assistance

Portail d'assistance

Le portail d'assistance pour les clients sert à l'échange sécurisé d'informations et au transfert de données. La communication se fait par le biais de tickets avec un dossier pour l'échange de données.
 
 

SVC

Le service de versionnement des configurations (SVC) est une mémoire centrale des configurations pour les clients et Projektron lui-même. Les configurations sont gérées dans un référentiel SVN.

Autorisation d'accès

Les interlocuteurs du client disposent d'un accès personnalisé au portail d'assistance.
 
 

FAQ

Nous mettons régulièrement à la disposition des clients des informations relatives à la sécurité sur le portail d'assistance.

Cryptage

L'accès au portail d'assistance n'est possible que via un accès crypté.
   

  

Administration informatique

La sécurité de l'information est également une préoccupation majeure de notre administration informatique interne. Nous nous basons sur l'état de la technique pour sécuriser les systèmes et nous continuons à les sécuriser.

Nos mesures pour la sécurisation de nos systèmes dans l'administration informatique

Distribution centrale de logiciels

Les logiciels nécessaires sont déployés de manière centralisée sur les ordinateurs d'exploitation et maintenus à jour.
 
 

Surveillance

Les services internes sont surveillés afin de garantir leur disponibilité et de pouvoir réagir rapidement en cas de problème.

Technique de réseau redondante

La ligne Internet, le pare-feu et les commutateurs centraux sont redondants.
 
 

Cryptographie

Les recommandations des directives techniques du BSI (BSI TR-02102) sont vérifiées chaque année.

Autorité de certification interne

Les services internes sont cryptés par une autorité de certification propre.
 
 

SVN

Les services internes de versionnement sont séparés par thème et l'accès est contrôlé par des groupes de personnes.

Courrier électronique

Le trafic de messagerie entrant est surveillé et, en cas de doute, d'abord mis en quarantaine.
 
 

VPN

Des accès VPN sont mis à la disposition des collaborateurs pour le travail mobile.

Sauvegarde et restauration

Les services internes sont sauvegardés quotidiennement et peuvent être restaurés rapidement à l'état de la dernière sauvegarde. Le processus de restauration est testé tous les six mois.
 

Transfert de données crypté

Si les collaborateurs souhaitent emporter des données validées dans le cadre du travail mobile, ils peuvent utiliser à cet effet des clés USB cryptées avec code numérique.

  

Autres mesures

Bien entendu, nous ne cessons pas ici de travailler sur nous-mêmes, sur nos processus et sur nos systèmes. Afin d'être toujours prêts à faire face aux dangers et aux exigences actuels, nous entretenons un échange actif d'expériences avec nos clients. Nous continuons également à développer notre équipe d'experts et à faire former certains collaborateurs en tant que spécialistes sur le thème de la sécurité. D'autres mesures sont actuellement en cours ou prévues dans un avenir proche :

Certificat de protection des données

Avec le DSMS, nous voulons obtenir un certificat pour la protection des données, d'une part pour notre entreprise et d'autre part pour notre produit Projektron BCS.
 

ITIL

Nous avons déjà mis en œuvre certaines des meilleures pratiques de l'IT Infrastructure Library (ITIL) et prévoyons d'en intégrer d'autres dans notre entreprise.
 

  

Toutes les références Haut de page