Skip to content

Sécurité et conformité

Consoltec met tout en œuvre pour mériter votre confiance, aujourd’hui et à long terme.

Chez nous, la sécurité n’est pas une considération secondaire; c’est une priorité. Nous sommes pleinement conscients de la sensibilité des informations et des données que nos clients nous confient et de l’importance d’une gestion saine de celles-ci.
Contactez-nous pour plus d'informations

Sécurité

Consoltec place la protection des données et la sécurité au cœur de ses préoccupations. Notre engagement envers la sécurité de l’information est constant, ce qui se traduit par une amélioration continue de notre programme de sécurité et par l’intégration permanente des meilleures pratiques au sein de notre organisation et de notre plate-forme.

Consoltec adhère aux principes de Secure by Design en utilisant des technologies modernes qui garantissent agilité, performance, fiabilité et disponibilité. Nous maintenons également un niveau élevé de sécurité de l’information et de respect de la vie privée, répondant ainsi aux exigences les plus strictes de tous nos clients.

Personnel

Les membres de l’équipe Consoltec jouent un rôle primordial dans la sécurité et la confidentialité de notre entreprise et de vos données.

1. Vérification des antécédents
Tous les candidats doivent réussir des vérifications standard d’antécédents et de crédit dans le cadre du processus d’embauche. Ils sont également tenus de signer une entente de confidentialité dans le cadre de leur contrat de travail.

2. Responsabilités
Nous veillons à ce que tous les membres des équipes R&D, IT & DevOps, Soutien à la clientèle et Ventes & Marketing soient sensibilisées à leurs responsabilités dans le maintien de la sécurité, de la confidentialité, de l’intégrité et de la disponibilité des données clients.

3. Formation
Chez Consoltec, nous dispensons une formation initiale sur la sécurité de l’information et la protection de la vie privée à tous les nouveaux employés, ainsi qu’une formation continue à l’ensemble de notre équipe. En complément de cette formation générale, des sessions plus spécialisées sont également proposées pour répondre aux besoins spécifiques

Sécurité applicative

Cycle de vie du développement logiciel

Chez Consoltec, nous exploitons les modèles DevOps et de livraison continue. La nature hautement automatisée de nos logiciels et de notre infrastructure, combinée à des versions fréquentes, nécessite que la sécurité soit intégrée au SDLC.
Voici un aperçu de certaines de nos pratiques en matière de sécurité, de confidentialité et d’assurance qualité : identification des exigences, examen des exigences, revues de conception, contrôles de développement (analyse statique, révisions de code), tests automatisés et manuels, analyses automatisées des vulnérabilités, gestion des modifications et contrôles de déploiement.

Protection des données

  • Vos données sont chiffrées en transit à l’aide de Transport Layer Security (TLS) 1.2.
  • Vos données sont chiffrées au repos à l’aide de l’AES 256 bits.
  • Nous protégeons vos données contre tout accès non autorisé par plusieurs contrôles des accès.
  • Des sauvegardes progressives sont faites à toutes les heures et complètement chaque jour.

Isolation des données

Pour garantir l’isolation des données et des processus, chaque client dispose d’instances dédiées de l’application FlowFit, d’une base de données séparée et de magasins de données. Vous n’avez accès qu’à vos données et il en va de même pour tous les autres clients.

Identité et authentification

Vous pouvez choisir parmi deux modèles d’authentification avec FlowFit :

1. Authentification unique (SSO) basée sur SAML

  • Vous pouvez intégrer FlowFit à vos répertoires d’informations d’identification d’entreprise à l’aide du langage SAML v2.0 (Security Assertion Markup Language) pour conserver le contrôle total du processus d’authentification.

2. Comptes infonuagique FlowFit

  • Vous pouvez également gérer les comptes d’utilisateurs directement dans FlowFit.
  • Politique de mot de passe configurable.
  • Les informations d’identification ne sont jamais stockées dans un format lisible par les utilisateurs. Nous utilisons un algorithme de hachage unidirectionnel sécurisé avec un sel.

Attribution des autorisations aux utilisateurs

L’accès à votre instance FlowFit est régi par les rôles et les droits d’accès configurés par vos administrateurs FlowFit désignés.

 

Contrôle de l’accès au tenant FlowFit

Pare-feu logique

Vous pouvez choisir de restreindre l’accès à une plage IP spécifique afin que votre instance FlowFit ne soit accessible que dans des emplacements physiques désignés et via le VPN de votre organisation.

Nous prenons également en charge une politique d’accès par utilisateur qui permet aux utilisateurs de se connecter en dehors de vos emplacements physiques désignés. Vous pouvez également restreindre les pays à partir desquels ils sont autorisés à accéder à votre instance FlowFit à l’aide de notre fonction de contrôle d’accès par géolocalisation IP.

Vulnérabilités

L’équipe de sécurité de Consoltec utilise une combinaison de logiciels d’analyse et d’exploitation des vulnérabilités automatisés et manuels afin de détecter ou de confirmer la présence de vulnérabilités dans notre infrastructure et nos applications SaaS. Notre équipe de sécurité est responsable de l’évaluation, de la priorisation et de la correction des vulnérabilités confirmées.

Tests d’intrusion

Consoltec charge également une société de sécurité tierce d’effectuer des tests d’intrusion authentifiés et non authentifiés sur l’infrastructure et l’application SaaS de Consoltec. Les tests d’intrusion tiers sont effectués au moins une fois par an. Une attestation de réalisation est disponible sur demande.

Sécurité opérationnelle

Sauvegardes de données

Les données client sont sauvegardées toutes les heures et répliquées en temps quasi réel dans la région Azure secondaire désignée. Les sauvegardes sont effectuées sans impact sur la disponibilité de nos instances client de FlowFit. Les données clients sont toujours transmises via un canal de communication sécurisé et cryptées au repos.

Disponibilité de FlowFit

FlowFit est architecturé, conçu et codé selon les principes cloud natifs par notre équipe et tire pleinement parti des services d’infrastructure Azure pour fournir une haute disponibilité de manière transparente sur plusieurs centres de données (zones de disponibilité Azure).

Incidents de sécurité

Un incident de sécurité potentiel peut inclure, entre autres, une perte de disponibilité, un accès non autorisé, une divulgation ou une altération de données. Consoltec dispose d’une procédure de gestion des incidents qui couvre l’ensemble du cycle de vie d’un incident potentiel, notamment : planifier et préparer, détecter et signaler, accéder, répondre et post-mortem.

Consoltec informera rapidement le client sans retard injustifié en cas d’incident de sécurité raisonnablement suspecté ou confirmé affectant un client.

Propriété et contrôle des données

Propriété des données

Vous conservez la pleine propriété et le contrôle de vos données téléchargées ou créées dans FlowFit.

Accès par des employés de Consoltec à vos données

Dans le cadre de la fourniture du service, il est nécessaire que certains personnels autorisés de Consoltec aient accès aux systèmes qui traitent ou stockent vos données. Il leur est toutefois interdit d’accéder à vos données sauf si cela est nécessaire. Par exemple, afin de reproduire ou de diagnostiquer un problème que vous rencontrez avec FlowFit, nous pouvons avoir besoin d’accéder à vos données. Consoltec a développé et communiqué à tout le personnel une politique de traitement des données clients qui régit la manière dont les données des clients peuvent être consultées et comment. De plus, nous ne copions jamais vos données en dehors de vos environnements de production ou de préparation séparés.

Annulation de votre abonnement FlowFit

Consoltec rend vos données accessibles pour récupération à tout moment pendant la durée de votre abonnement et pendant une durée de 60 jours après la résiliation de votre abonnement. Après 60 jours, Consoltec désactivera le compte et supprimera vos données en toute sécurité.

Contactez-nous pour connaître notre Procédure de résiliation du service.

Suppression sécurisée des données

Nous disposons d’une procédure de suppression sécurisée des données clients à la résiliation de l’abonnement. Un administrateur système Consoltec se verra confier la tâche et supprimera toutes les données client (base de données, stockage de fichiers, sauvegardes, clés de cryptage ainsi que votre instance de FlowFit). Nous vous fournirons également un rapport de destruction des données signé par le RSSI qui s’assurera que la procédure a été suivie et que les données ont été supprimées conformément à la procédure Procédure de résiliation du service.

Infrastructure infonuagique et hébergement

Nous hébergeons FlowFit dans les centres de données Azure aux États-Unis, au Canada ou en Europe selon votre choix. Azure maintient plusieurs certifications et attestations pour ses opérations d’hébergement. Pour plus d’informations sur leur programme de certification et de conformité, veuillez visiter le Centre de gestion de la confidentialité Microsoft et Conformité Microsoft.

Politique de confidentialité des données

Chez Consoltec Inc., nous nous engageons à protéger la confidentialité et la sécurité de vos données personnelles. Nous adhérons au Règlement général sur la protection des données (RGPD), applicable aux personnes physiques au sein de l’Espace économique européen (EEE), ainsi qu’à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25).

Nos pratiques en matière de confidentialité des données sont conçues pour garantir le respect de ces réglementations, en vous offrant transparence, contrôle et confiance sur la manière dont nous collectons, utilisons, stockons et traitons vos informations personnelles. Nous prenons vos droits au sérieux et nous efforçons de maintenir les normes les plus élevées en matière de protection des données et de confidentialité.

Veuillez consulter notre politique complète de confidentialité des données ou contacter notre responsable de la protection des données à dpo@consoltec.ca.

Assistance RGPD

Consoltec collaborera volontiers et assistera chaque client souhaitant se conformer aux obligations prévues aux articles 32 à 36 du RGPD.

Veuillez contacter le responsable de la protection des données de Consoltec pour obtenir de l’aide : dpo@consoltec.ca.

Addendum sur le traitement des données (DPA)

Consoltec met à disposition un Addendum sur le traitement des données (Data Processing Addendum ou DPA) pour nos clients.

Conformité

AICPA SOC Logo

SOC 2 Type I et II

Consoltec est conforme au Service Organization Controls (SOC) 2 Type I et II de l’AICPA, l’une des attestations de sécurité les plus recherchées pour les fournisseurs SaaS.

Le rapport SOC 2 Type I et II fournit l’assurance que le programme de sécurité des informations et l’environnement de contrôle de Consoltec sont conformes aux critères de sécurité des services de confiance développés et maintenus par l’AICPA. Le rapport couvre les contrôles que Consoltec a mis en œuvre d’un point de vue organisationnel et technique, et comprend la gestion des accès, le cryptage, les modifications et le déploiement du code, la surveillance, la gestion des vulnérabilités, la gestion des incidents, la gestion des risques, la gestion des ressources humaines, la gestion des fournisseurs, etc.

Le rapport aide les entreprises qui cherchent à utiliser un service cloud comme FlowFit à évaluer et traiter correctement les risques associés. Les rapports SOC 2 Type I et II de Consoltec sont disponibles sous NDA pour tous nos clients existants et potentiels.

Veuillez contacter le délégué à la protection des données de Consoltec pour demander une copie : dpo@consoltec.ca.

Cloud Security Alliance: registre de sécurité, de confiance et d'assurance (CSA STAR)

La Cloud Security Alliance (CSA) est une organisation à but non lucratif dirigée par une large coalition de praticiens du secteur, d’entreprises et d’autres parties prenantes importantes. Cette organisation se consacre à la définition des meilleures pratiques pour garantir un environnement de cloud computing plus sécurisé et à aider les clients potentiels du cloud à prendre des décisions éclairées lors de la sélection d’un fournisseur de cloud.

Le registre de sécurité, de confiance et d’assurance (CSA STAR) et le questionnaire CSA Consensus Assessments Initiative (CAIQ) v4.0.3 fournissent un ensemble complet de questions que les clients peuvent utiliser pour évaluer la profondeur et l’étendue des mesures de sécurité, de confidentialité et d’assurance des fournisseurs de cloud.

L’équipe de sécurité de Consoltec a compilé les réponses aux 261 questions du questionnaire. Ce document est une ressource précieuse pour comprendre comment Consoltec respecte et dépasse les exigences établies par la CSA.

Contactez-nous pour consulter le questionnaire.

Voulez-vous en savoir plus?

2 aperçus article de blogue soc 2 type 1 et Soc 2 type 2:

https://consoltec.ca/fr/flowfit-est-fier-detre-maintenant-certifie-soc-2-type-ii/
https://consoltec.ca/fr/flowfit-remporte-la-certification-soc-2-type-1/