Collaborateurs, RSSI et CISO

Garantissez la sécurité, la disponibilité et l'intégrité de vos SI et de données

Garanties cybersécurité de verifcv en résumé

Une priorité absolue donnée à la cyber sécurité


  • Conseil cysécurité constitué d’experts internationaux

Un monitoring cyber sécurité de toutes nos équipes


  • Examen de tout collaborateur interne et externe
  • Programme continu de formation et mise à niveau
  • Screening de la sécurité des systèmes d’information

Une sécurisation de tous les accès


  • Stratégie de mots de passe complexes à durée limitée
  • Validation à deux niveaux pour chacune des sessions
  • Accès aux documents cryptés (diplôme, pièce d’identité…)
  • Compartimentation du réseau
  • Audit régulier des accès et des logs

Une protection permanente de toutes les données


  • Serveurs dédiés sécurisés basés en France (Scaleway)
  • Certificats SSL des échanges de données
  • Transmission via protocole https
  • Mots de passe à segmentation
  • Back-up quotidiens et audités
  • Sauvegardes dupliquées sur serveurs multiples
  • Programmation d’exercices d’intrusion

Une maîtrise de la sécurité de toutes les opérations


  • Etablissement d’un plan de continuité des activités
  • Planification d’un plan de réversibilité
  • Monitoring qualité assuré par l’équipe Quality Assurance

Un management de tout incident de sécurité d’information


  • Définition des responsabilités et affectation des rôles
  • Constitution d’un comité de gestion des incidents
  • Définition de procédures de signalement et d’alerte
  • Planification d’un plan de continuité testé régulièrement

Une philosophie verifdiplomagroup d’amélioration continue


  • Planification d’audits internes et externes réguliers

Engagements cybersécurité de verifcv en détail

De manière générale


  • Mettre en oeuvre les compétences et les mesures techniques et organisationnelles nécessaires et au minimum conformes à l’état de l’art, de nature à assurer la sécurité des données et du système d’information du client dans toutes ses composantes (disponibilité, intégrité - en les protégeant de toute atteinte notamment modification ou destruction, confidentialité vis-à-vis des tiers non autorisés, traçabilité de tous les traitements effectués et authentification de toutes les personnes les ayant effectuées)
  • Maintenir un niveau de compétences en matière de sécurité des systèmes d’information parfaitement conforme à l’état de l’art et au minimum suffisant à l’exécution des services
  • Justifier à première demande de ce niveau de compétences et de maîtrise organisationnelle et technologique par la production de toute qualification, habilitation ou certification reconnues
  • Informer le client de l’évolution de ce niveau de compétences et de maîtrise organisationnelle et technologique
  • Désigner un responsable de la sécurité en charge de garantir le niveau de sécurité

Sécurité des infrastructures et des services


  • Garantir un niveau de sécurité des infrastructures et des services parfaitement conforme à l’état de l’art technique notamment les normes ISO 27001 et en découlant et au minimum suffisant à l’exécution des services, le niveau de sécurité apporté devra ainsi être conforme à sa politique de sécurité des systèmes d’information (« PSSI ») et à ses documents d’application
  • Fournir au client toutes les informations nécessaires concernant la sécurité des traitements qu’il met en oeuvre et/ou des infrastructures qu’il fournit afin que le client puisse évaluer la robustesse de l’architecture et des procédures opérationnelles en regard de ses objectifs de sécurité, les faiblesses connues ainsi que les risques résiduels, et identifier les dispositifs additionnels à mettre en place
  • Informer le client de tout changement dans son contexte de sécurité (ex : changement de lieu de stockage des serveurs et des serveurs de secours, changement de technologie, changement d’actionnariat, etc.)
  • Installer des logiciels de sécurité (anti-virus, etc.) sur tous les systèmes permettant la fourniture des services et à les maintenir à jour par application des dernières signatures publiées par les éditeurs afin de prémunir le client contre toute introduction de programme malveillant dans le système d’information du client ou dans les données du client. Si, malgré ces précautions, un programme malveillant était introduit dans les systèmes d’information ou les données du client, les frais de diagnostic et de remise en état seraient imputables au prestataire, sauf à ce qu’il démontre son absence totale de responsabilité dans cette introduction Malgré ces précautions, en cas d’introduction d’un tel programme malveillant, dans le système d’information du client ou dans les données du client, ce dernier et verifcv s’engagent à collaborer afin d’en déterminer l’origine, les conséquences, ainsi que les possibilités de remédiation S’il s’avérait que l’introduction du programme malveillant est imputable au seul client, celui-ci prendra à sa charge les frais de diagnostic et de remise en état S’il s’avérait que l’introduction du programme malveillant est imputable au prestataire, celui-ci prendra à sa charge les frais de diagnostic et de remise en état
  • Réaliser régulièrement tous les tests adéquats et à contrôler préalablement les éléments informatiques mis à disposition du client ou utilisés par verifcv
  • Mettre en oeuvre l’ensemble des dispositifs techniques et organisationnels de sécurité physique en prévention, en détection et réaction à tout risque de sécurité (ex. intrusion) pouvant impacter les bâtiments, les salles serveurs, les locaux techniques, les lieux de stockages utilisés par le service utilisé par le client
  • Fournir un état régulier des risques couverts et des actions de remédiations engagées
  • Organiser un comité de sécurité périodique en présence d’un représentant du client durant lequel le responsable sécurité du prestataire fera notamment un état des lieux des risques de sécurité identifiés et des mesures de sécurité associées engagées

Contrôle d'accès logique


  • Prendre toutes les mesures de sécurité conformes à l’état de l’art concernant le contrôle d’accès logique.
  • Conserver la trace horodatée des actions réalisées dans son système d’information (notamment flux émis et reçus, nouvelles versions applicatives, tests, erreurs, les dé-doublonnages et les purges etc.) à des fins de contrôle, d’audit et de preuves
  • Tenir à la disposition du client un journal d’événements sécurisés contenant les traces de connexion aux données et des opérations effectuées par les utilisateurs autorisés et verifcv et, le cas échéant, par toute autre personne, et ce pendant une durée de un an à compter de l’enregistrement de chacune de ces traces

Ressources humaines


  • Se porter garant de son personnel et de ses éventuels sous-traitants

Sauvegardes des données


  • Utiliser un système de sauvegarde des données et de continuité de service. En tout état de cause, verifcv assure la sauvegarde des informations qu’il traite dans son système d’information, et permet à tout moment la restauration du service et des données. Les politiques, procédures et mesures prises par verifcv concernant la sauvegarde détaillent en particulier les responsabilités, la fréquence, les conditions de stockage, les processus d’accès et de restauration ainsi que les processus de contrôle. Elles sont précisées et communiquées au client avant la mise en oeuvre des services

Prévention et gestion des vulnérabilités


  • Ce que tous les services fournis ou rendus accessibles au client soient, dès la signature de la convention de services, exempts de toutes vulnérabilités et pouvant porter atteinte à la sécurité des données ou du système d’information du client et dont le client n’aurait pas été préalablement informé de façon spécifique par le biais d’une évaluation des risques
  • Dès qu’une nouvelle vulnérabilité a été identifiée par verifcv, le client, leurs sous-traitants, tout tiers s’adressant à l’un d’eux, ou via une information publique, combler cette vulnérabilité ou mettre en place toute autre solution à cette fin n’impactant ni le prix, ni les performances, ni le fonctionnement des services, ni la sécurité des données et du système d’information du client

Prévention et gestion des évènements de sécurité et des incidents de sécurité


  • Établir et à faire respecter une politique stricte en matière de gestion des évènements de sécurité, de qualification de ces évènements de sécurité, et de gestion des incidents de sécurité tels que définis dans la norme ISO 27001 dans sa version la plus récente ainsi que toute norme de sécurité, actuelle ou à venir qui pourrait être spécifique à l’activité du client
  • Alerter le client immédiatement dès lors qu’un incident de sécurité pouvant concerner les données du client, son système d’information, ses infrastructures, son réseau ou tout autre système pouvant impacter même indirectement les services fournis au client (cloisonnement, accès, intrusion, perte d’intégrité, perte de données, etc.) a été détecté ou a été porté à sa connaissance, ou dès la réception de toute plainte qui lui serait adressée par tout individu concerné par le traitement desdites données
  • Assister le client sans frais dans la mise en oeuvre de toute action permettant de faire face à cet incident de sécurité, y compris par les notifications aux autorités compétentes et aux personnes concernées par les manquements
    Dans ce cadre :
    - Assister le client lors de toute formalité légale, judiciaire ou réglementaire ;
    - Apporter tous les éléments d’informations utiles au client pour apprécier l’ampleur de l’incident de sécurité et lui permettre de communiquer auprès de ses propres clients ;
    préciser sans délai les procédés utilisés de sauvegarde et de remédiation dans le cadre de la gestion de ces Incidents, ainsi que leurs impacts sur la protection du système d’information et de la sécurité des données

Audit de sécurité


  • Autoriser le client, ou tout autre prestataire choisi par le client, sous réserve qu’il ne s’agisse pas d’un concurrent direct du prestataire, à effectuer selon une fréquence mensuelle, des audits d’infrastructure, audits de vulnérabilités applicatives ou encore des tests d’intrusion auprès des systèmes d’informations permettant la fourniture des services, tels que notamment les sociétés hébergeant tout ou partie du système du prestataire
  • Détenir les droits et autorisations nécessaires et suffisants pour la réalisation desdits tests et audits sur les systèmes d’information objets de la présente obligation Si les résultats de ces audits et tests d’intrusion démontrent une quelconque faille dans la sécurité des infrastructures et de tout élément nécessaires à la fourniture des services, verifcv s’engage à prendre toute mesure de correction utile dans les plus brefs délais

Plan de continuité d'activité (PCA)


  • Avoir un PCA que verifcv s’engage à maintenir en place pendant toute la durée du service afin d’assurer la continuité des services
  • Tenir ce PCA à jour et le tester régulièrement à ses frais
  • Fournir une copie de son PCA le plus à jour ainsi que des derniers tests effectués au client sur simple demande de ce dernier

Notre technologie

Verif·IA

Notre technologie propriétaire exclusive pour valoriser tous les candidats et leurs compétences

EN SAVOIR +

Conformité RGPD

Bénéficiez d'une totale et permanente conformité CNIL et RGPD

EN SAVOIR +

API

Nos webservices sur mesure

EN SAVOIR +