Conforme avec les lois européennes sur les lanceurs d’alerte et le RGPD
Sécurité
La sécurité est au coeur de notre outil de signalement car nous considérons que c’est un aspect essentiel pour assurer la protection des utilisateurs, et nous accordons une grande importance à ce sujet.
Sécurité
Données, Stockage,
Application, Réseaux
Conformité
Respect des lois lanceurs d'alerte
RGPD
Confidentialité
Anonymat &
Chiffrement
Dispositifs spécifiques
Contrôle d'accés &
disponiblité
Sécurité
Sécurité des données
Stockage des données
La sécurité physique de l’infrastructure est gérée par OVHcloud. OVH a été conçu non seulement pour permettre des solutions cloud véritablement évolutives, mais aussi pour répondre aux normes de sécurité les plus exigeantes du marché.
Afin de se conformer à la décision Schrems II, TrustBox intègre un chiffrement de bout en bout complet en accord avec les recommandations de l’Union européenne.
TrustBox garantit la sécurité des données de son application hébergé chez OVH en suivant trois points clés :
Chiffrement Rigoureux: Toutes les données sensibles sont chiffrées lors de leur transit et de leur stockage. Les données sont sécurisées grâce à un cryptage utilisant des algorithmes de chiffrement avancés comme l’AES 256. Cette technique garantit que seules les personnes autorisées peuvent accéder et déchiffrer ces données, même en cas de violation.
Conformité ISO: Les serveurs de TrustBox sont configurés selon les normes ISO pertinentes, notamment ISO 27001, ISO 27017 et ISO 27018. Ces normes définissent les meilleures pratiques pour la sécurité de l’information, garantissant ainsi des mesures de sécurité solides.
Contrôles d’Accès et Surveillance: L’accès aux données est restreint aux utilisateurs autorisés avec des autorisations spécifiques. L’activité sur les données est surveillée en temps réel, détectant toute activité suspecte et permettant une réaction rapide en cas de problème.
Grâce à ces éléments, TrustBox crée un environnement sécurisé pour les données de son application tout en respectant les règles ISO pour la sécurité des serveurs et des données.
Stockage physique
Toutes les données et sauvegardes sont stockées chez OVH à Roubaix, France. Les sauvegardes sont stockées dans différentes zones de disponibilité pour garantir la disponibilité des données telles que Strasbourg, Croix et Gravelines.
Pour comprendre la couche de périmètre des centres de données, la couche d’infrastructure, la couche de données et la couche environnementale, cliquez ici.
Sécurité de l'application
TrustBox met en œuvre une approche globale pour assurer la sécurité de son application, impliquant cinq aspects clés :
Développement Sécurisé: TrustBox suit des pratiques de développement sécurisé en intégrant des mesures de sécurité dès la phase de conception. Cela implique des revues de code régulières, l’utilisation de bibliothèques sécurisées et la mise en œuvre de contrôles de sécurité pour prévenir les vulnérabilités à la source.
Tests de Sécurité Continus: L’application est soumise à des tests de sécurité continus, y compris des évaluations de vulnérabilités automatisées et des tests de pénétration réalisés par des professionnels de la sécurité. Cela permet d’identifier et de corriger les éventuelles vulnérabilités avant qu’elles ne puissent être exploitées.
Chiffrement et Authentification Forte: Les données sensibles sont chiffrées lors de leur stockage et de leur transit, réduisant ainsi le risque d’accès non autorisé. De plus, l’authentification à deux facteurs (2FA) peut être mise en place pour renforcer la sécurité des comptes.
Contrôles d’Accès Rigoureux: Les mécanismes de contrôle d’accès sont configurés pour garantir que seuls les utilisateurs autorisés peuvent accéder aux données et aux fonctionnalités spécifiques. Cela inclut la gestion des rôles et des privilèges pour limiter l’accès en fonction des besoins.
Surveillance en Temps Réel et Réponse aux Incidents: L’activité de l’application est surveillée en temps réel pour détecter toute activité suspecte. En cas de violation de sécurité ou d’incident, une réponse rapide est assurée pour minimiser les impacts potentiels.
En combinant ces cinq aspects, TrustBox établit un cadre complet pour la sécurité de son application, visant à protéger les données, les utilisateurs et les fonctionnalités contre les menaces potentielles
Sécurité des réseaux
TrustBox assure la sécurité des réseaux de son service SaaS hébergé chez OVH grâce à une combinaison de mesures de sécurité strictes et de meilleures pratiques de l’industrie. Voici quelques points clés qui illustrent comment cela est réalisé :
Firewalls et Protection DDoS: TrustBox utilise des pare-feux sophistiqués pour filtrer le trafic entrant et sortant, protégeant ainsi le réseau contre les attaques par déni de service distribué (DDoS) et d’autres menaces.
Sécurité du Réseau: Le réseau est surveillé en permanence pour détecter toute activité anormale ou suspecte. Des technologies de détection d’intrusion sont mises en place pour repérer les tentatives non autorisées d’accès au réseau.
Chiffrement des Données en Transit: Toutes les données transitant entre les utilisateurs et les serveurs TrustBox sont chiffrées à l’aide de protocoles de sécurité tels que TLS, garantissant ainsi la confidentialité et l’intégrité des données pendant leur transfert.
Vulnérabilités Réseau: Les serveurs et les logiciels utilisés sont régulièrement mis à jour avec les derniers correctifs de sécurité pour remédier aux vulnérabilités connues et réduire les risques d’exploitation.
Accès Restreint: L’accès au réseau est strictement contrôlé et limité aux personnes autorisées uniquement. Des politiques d’accès basées sur les rôles et les privilèges garantissent que seules les personnes nécessitant un accès spécifique sont autorisées.
Surveillance en Temps Réel: Les activités réseau sont surveillées en temps réel pour identifier rapidement tout comportement suspect ou toute tentative d’intrusion. Cela permet une réaction rapide en cas de problème.
Plan de Reprise en Cas d’Incident: TrustBox dispose d’un plan de reprise en cas d’incident qui prévoit les étapes à suivre en cas de violation de sécurité ou de panne pour minimiser l’impact sur les utilisateurs et les données.
Séparation Logique: Différents environnements (comme le développement, la production et les tests) sont logiquement séparés pour éviter que les erreurs ou les vulnérabilités dans un environnement ne compromettent les autres.
Gestion des Menaces et des Vulnérabilités: TrustBox suit de près les menaces et les vulnérabilités émergentes et adapte ses mesures de sécurité en conséquence pour rester à la pointe de la protection.
Grâce à ces stratégies TrustBox s’efforce de fournir un environnement réseau sûr et fiable pour ses utilisateurs.
Conformité
Respect des lois sur les lanceurs d'alerte
TrustBox a été développé pour être en totale conformité avec les principales lois sur la dénonciation et la protection de la vie privée, même pour les entreprises opérant dans plusieurs juridictions légales. Parmi ces lois, on peut citer :
- La Loi française Sapin II
- La Directive européenne sur la protection des lanceurs d’alerte 2019/19378
- La section 301 du SOX Act américain sur la responsabilité des entreprises
- Les normes de la FCA au Royaume-Uni
- Le Code allemand de gouvernance d’entreprise
TrustBox permet aux entreprises de se conformer aux règles de la plupart des lois en matière d’alerte professionnelle, notamment :
Protection de l’anonymat des lanceurs d’alerte : La Directive Européenne sur la protection des lanceurs d’alerte souligne l’importance pour les entreprises de mettre en place des canaux de signalement internes spécifiques pour assurer la confidentialité de l’identité du lanceur d’alerte.
TrustBox propose une solution entièrement anonyme pour signaler des comportements répréhensibles, sans nécessité de s’inscrire pour faire part de ses inquiétudes.
Sécurité des cas signalés : TrustBox intègre un ensemble varié de mesures de sécurité, englobant : la sécurité physique, la sécurité des applications, la sécurité du réseau, les contrôles d’accès et la préservation de la confidentialité des données.
Facilité de signalement pour les employés et les parties prenantes : TrustBox peut être configuré pour recevoir des signalements anonymes d’actes répréhensibles émanant des employés et des parties prenantes externes. En plus, le logiciel a été conçu pour être aisément accessible, sans nécessiter de formation spécifique, ce qui simplifie le processus de signalement.
RGPD
TrustBox est entièrement conforme au RGPD et respecte les principes des lois courantes sur la confidentialité des données, ce qui comprend :
Sécurité – Conformément aux mesures de sécurité des données de TrustBox : sécurité physique, sécurité des applications, sécurité réseau, contrôles d’accès et confidentialité des données.
Confidentialité – Les rapports soumis restent totalement anonymes et les contrôles d’accès assurent le maintien de la confidentialité interne de l’entreprise.
Limites de stockage – Les permissions d’archivage au sein de TrustBox garantissent que les données ne sont conservées et supprimées qu’après une approbation interne par les utilisateurs de l’entreprise.
Minimisation des données – TrustBox n’a aucune information permettant d’identifier les lanceurs d’alerte et réduit au minimum la quantité de données stockées et demandées, afin que les données collectées pendant l’opération soient limitées à l’objectif prévu.
Limitation de la finalité – TrustBox n’accède pas à vos données car elles sont chiffrées. De plus, TrustBox n’utilise aucune donnée à des fins autres que celles nécessaires au bon fonctionnement du logiciel tel qu’exposé.
Légalité, équité et transparence – TrustBox garantit que les utilisateurs sont pleinement informés sur la manière dont les données qu’ils soumettent seront utilisées et traitées via le portail de déclaration de l’entreprise.
Confidentialité
Anonymat
De manière générale, il est préférable de permettre aux lanceurs d’alerte de faire des signalements de manière confidentielle, étant donné que le lanceur d’alerte est souvent mieux protégé par la loi s’il est identifiable. Cependant, dans certains cas, les lanceurs d’alerte peuvent avoir du mal à signaler en raison de la crainte de possibles conséquences personnelles. C’est pourquoi, TrustBox est capable de permettre au lanceur d’alerte de signaler de manière anonyme, mais aussi de permettre aux examinateurs et aux gestionnaires de cas d’anonymiser ou de pseudonymiser les cas en cas d’implication de plusieurs gestionnaires de cas. Avoir les outils pour protéger l’identité du lanceur d’alerte peut être la clé pour signaler un incident en temps opportun
Chiffrement des messages
TrustBox accorde une haute importance à la préservation de la confidentialité. Pour cela, nous construisons l’ensemble de notre système en mettant l’accent sur la sécurité et la confidentialité, dépassant ainsi les meilleures pratiques de l’industrie.
Même nos développeurs informatiques ne peuvent pas accéder à vos dossiers, grâce à notre système de chiffrement de bout en bout. Toutes les informations libres et les champs de texte liés aux cas sont cryptés avant d’être stockés dans notre base de données. Votre entreprise sera la seule entité à posséder les clés pour accéder à ces informations. Cette approche garantit également qu’en cas de problème, aucun intrus ne pourra lire les informations des cas stockées dans la base de données.
Dispositifs spécifiques
Chiffrement de bout en bout
TrustBox assure la sécurité de son application grâce au chiffrement de bout en bout. Les données sensibles sont cryptées dès leur origine et restent chiffrées jusqu’à leur destination finale. Cette approche garantit que seules les parties autorisées peuvent accéder aux informations déchiffrées, renforçant ainsi la confidentialité et la protection des données. Même si des tiers interceptaient les données en transit, elles resteraient inintelligibles sans la clé de déchiffrement appropriée. Le chiffrement de bout en bout est ainsi un mécanisme essentiel pour préserver l’intégrité et la sécurité des informations échangées au sein de l’application TrustBox.
Contrôle d'accès
TrustBox nécessite une connexion via un mot de passe pour accéder à son système. Une fois l’utilisateur connecté, des autorisations spécifiques doivent lui être attribuées pour effectuer des actions avancées ou accéder à certaines informations. Grâce à ce système d’autorisations, vous pouvez déterminer précisément qui peut accéder à quelles données.
Nous avons créé les permissions afin que vous puissiez décider de qui a accès au système et ce qu’ils peuvent en faire. Vous trouverez plus d’informations dans la documentation utilisateur de TrustBox.
Disponiblité
Notre équipe spécialisée veille à la préparation et à la disponibilité continue de notre plateforme. Afin de vous garantir des services stables et accessibles en permanence, nous avons élaboré notre système en utilisant des éléments redondants, en effectuant une surveillance constante, en mettant régulièrement à jour les contrôles d’intégrité et en implémentant d’autres fonctionnalités similaires. Par ailleurs, nous réalisons des sauvegardes régulières pour prévenir toute perte de données.
