Protection des renseignements
Politique de sécurité de l'information
Afin d'assurer l'intégrité, la confidentialité et la sécurité des données, et ce en toutes circonstances, Chezlepro.CA applique les normes de sécurité de l'industrie et se conforme aux lois et réglementations en vigueur au Canada, y compris les exigences de la certification cybersécurité au Canada. (Ref.: Loi 25; Cybersécuritaire Canada; )
Stratégies mises en place
1. Classification des données et contrôle des accès
Les données sont classifiées selon leur sensibilité et de leur valeur pour l'organisation. Des stratégies de sécurité conséquentes sont appliquées à chaque classe de données.
Authentification forte des utilisateurs, autorisations selon les rôles
2. Ségrégation géographique au niveau du pare-feu
Seulement les connexions provenant du Canada, de la France, de la Tunisie et des USA sont acceptées
Les connexions en provenance des autres pays sont acceptées de gré à gré, selon leur pertinence et pour une durée limitée
3. Authentification forte
Politique des mots de passe
Authentification à deux (2) facteurs (TOTP)
Les données sont classifiées selon leur sensibilité et de leur valeur pour l'organisation. Des stratégies de sécurité conséquentes sont appliquées à chaque classe de données.
4. Chiffrement des données
Les sites web hébergés par les serveurs de Chezlepro bénéficient d'un service de renouvellement automatique de leurs certificats numériques avec l'organisation Let's Encrypt. Leur durée de validité ne dépasse jamais les quatre-vingt-dix (90) jours. Une fois en place, un certificat numérique est renouvelé tous les 60 jours par un processus automatisé (certbot).
De plus, un processus surveille en permanence le nombre de jours restants avant leur péremption et si la péremption d'un certificat est à moins de 30 jours et que le certificat n'est pas renouvelé, un incident est signalé au niveau du système de surveillance.Aussi, pour s'assurer que les protocoles d'authentification et de chiffrement sont conformes aux meilleures pratiques de l'industrie, de temps à autre, Chezlepro.CA soumet ses sites à un processus d'audit externe.
À l'interne, les systèmes maintenus via une interface web sont sécurisés avec la même méthodologie que décrit ci-haut, mais au lieu d'utiliser une autorité de certification publique (Let's Encrypt), Chezlepro.CA a recours à sa propre autorité de certification privée. Cela a pour objectif d'éviter que les processus serveurs accèdent à des systèmes qui ne sont pas sous le contrôle de Chezlepro.CA.
Les serveurs de Chezlepro.CA exécutent aussi un service nommé SSH pour permettre leurs maintenances en mode de ligne de commandes, lorsque cela est nécessaire. Comme, par exemple, pour faire les mises à jour du système GNU/Linux.
Toutes les mesures qui s'imposent sont mises en oeuvre pour que les sessions avec le protocole SSH soient sécuritaires.
Sur les périphériques mobiles et lors de leur transit sur les réseaux, Chezlepro chiffre les données selon les recommandation de l'industrie.
5. Sauvegardes et recouvrement
Différentes stratégies de sauvegarde et de restauration des données et des systèmes sont exploitées afin d'être en mesure de rétablir dans des délais raisonnables le bon fonctionnement de tous les processus de l'organisation, en cas de sinistre ou de perturbation.
Gestion des incidents : Nous avons une procédure en place pour identifier, signaler et gérer les incidents de sécurité, y compris les violations de sécurité et les intrusions.
Formation et sensibilisation : Nous formons régulièrement nos employés sur les meilleures pratiques de sécurité et sur les politiques et procédures de sécurité de l'entreprise.
Mise à jour régulière : Processus de révision régulière à la présente politique afin d'assurer sa conformité avec les meilleures pratiques de l'industrie.
Cette politique est destinée à être utilisée en conjonction avec les autres politiques et procédures de sécurité adoptées par l'organisation.