Sécurité

efficy a mis en place une organisation de sécurité transversale dirigée par le responsable de la sécurité des systèmes d'information (RSSI) et soutenue par des ingénieurs DevSecOps dédiés et des représentants de plusieurs services de l'entreprise.

efficy a nommé un responsable de la sécurité des systèmes d'information (RSSI) spécialisé dans la cybersécurité, ainsi qu'un délégué à la protection des données (DPO). Tous deux jouent le rôle de défenseurs transversaux de la confidentialité des données et de la sécurité de l'information au sein de l'organisation.

efficy a réalisé d'importants investissements pour déployer et intégrer des outils de sécurité spécialisés couvrant une multitude de domaines :

• Conformité

• Gestion des identités et des accès

• Détection et réponse aux incidents au niveau des terminaux

• Systèmes de détection d'intrusion

• Test de sécurité statique des applications

• Gestion des vulnérabilités

• Gestion des applications tierces

Nous avons également souscrit une assurance spécifique en matière de cybersécurité afin de renforcer notre gestion des risques.

Notre processus de gestion des risques est la pierre angulaire de la stratégie de sécurité d'efficy. Tout commence par une analyse annuelle des menaces et des risques pour chaque gamme de produits, ce qui nous permet d'identifier les risques émergents et les vulnérabilités dans un environnement digital en constante évolution.

À cela s'ajoutent des évaluations régulières des risques intégrées à nos processus de gestion de projet, afin d'évaluer en permanence les impacts potentiels sur nos systèmes et services.  

Tout au long de l'année, des audits externes sont réalisés par divers acteurs, notamment des investisseurs et des clients clés, qui fournissent des informations précieuses et variées sur nos pratiques en matière de sécurité.

Nous effectuons également des audits internes, et ensemble, ces activités aboutissent à un examen annuel de la direction, au cours duquel nous évaluons rigoureusement les résultats et identifions les points à améliorer.

La gestion sécurisée des fournisseurs tiers est un élément clé de notre stratégie de sécurité. Elle comprend des audits de sécurité réguliers, des contrôles d'accès rigoureux et des processus d'intégration sécurisés lorsque cela est nécessaire.

Nous surveillons également en permanence notre environnement tiers afin d'empêcher le recours à des parties non approuvées, à l'aide d'outils adaptés et de processus d'approbation formels. 

Nous pensons qu'une culture de sécurité forte est fondamentale pour le bon fonctionnement de notre SMSI. À cette fin, nous menons un programme de sensibilisation à plusieurs niveaux conçu pour éduquer et responsabiliser nos employés à tous les niveaux de l'organisation.

Ce programme comprend une formation générale à la sécurité pour tous, des sessions mensuelles pour notre réseau d'ambassadeurs de la sécurité et des formations spécialisées et spécifiques aux postes techniques. 

efficy accorde une grande importance à la gouvernance et à la gestion des identités.

Notre cadre d'identité applique des contrôles d'accès stricts afin de garantir que seul le personnel autorisé puisse accéder à des systèmes et données spécifiques. En appliquant des principes tels que l'accès à moindre privilège, la confiance zéro et les autorisations basées sur le rôle, nous minimisons le risque d'accès non autorisés et de violations de données.

efficy a recours à des mécanismes robustes pour classer, stocker et protéger les informations tout au long du cycle de vie de la gestion des données. Nous utilisons des outils automatisés pour surveiller les flux de données, détecter les anomalies et appliquer les politiques de protection des données en temps réel.

De plus, nous effectuons régulièrement des audits de données et mettons en œuvre des protocoles de chiffrement afin de protéger les informations sensibles, garantissant ainsi leur intégrité et leur confidentialité.

Toutes les données clients sont chiffrées, tant pendant leur transfert que lors du stockage, à l'aide d'outils, de normes et de pratiques reconnus dans le secteur pour le traitement et la sécurité des données. 

Les données des clients sont logiquement séparées de celles des autres. De plus, aucune information personnelle identifiable n'est jamais requise pour profiter pleinement des fonctionnalités des produits efficy.  

efficy prend également en charge les demandes de suppression de données, qu'il s'agisse des données que nous contrôlons ou de celles que nous traitons pour le compte de nos clients.

efficy enregistre et stocke chaque modification, action et événement, y compris la suppression de données, afin de faciliter l'audit et l'analyse des causes profondes.

Les solutions d'efficy sont conçues pour garantir une disponibilité sans faille et prendre en charge les opérations à l'échelle de l'entreprise. Pour chaque solution, nous avons mis en place un Plan de continuité d’activité structuré, conçu pour assurer la résilience et maintenir les opérations critiques, même en cas de perturbation imprévue.

La sécurité opérationnelle est la pierre angulaire de la stratégie de sécurité d'efficy. Nous mettons en œuvre une politique de sécurité opérationnelle rigoureuse sur l'ensemble des systèmes et processus, définissant des directives claires en matière de contrôle d'accès, de sécurité des terminaux et de surveillance du réseau.

Ces mesures nous aident à maintenir l'intégrité opérationnelle et à identifier et dissuader rapidement les activités malveillantes. 

Nous traitons de manière proactive les incidents de sécurité potentiels grâce à un plan d'intervention en cas d'incident clair et bien conçu.

Celui-ci comprend des processus prédéfinis pour détecter, évaluer et réagir aux incidents, minimiser les perturbations et permettre une reprise rapide. Nous effectuons également des simulations régulières afin d'améliorer continuellement nos capacités d'intervention et de garantir notre aptitude à réagir. 

Notre cycle de développement sécurisé (SDLC) est au cœur de l'approche d'efficy en matière de sécurité des produits.

En suivant les normes du secteur (OWASP, CIS et CSA), nous avons établi un cadre complet pour le développement de solutions sécurisées.

Notre cycle de développement logiciel (SDLC) comprend des contrôles de sécurité rigoureux à chaque étape, de l'analyse des besoins et de la conception à la mise en œuvre et aux tests, garantissant ainsi l'identification et l'atténuation des vulnérabilités dès le début du processus de développement.

Le programme de gestion des vulnérabilités d'efficy est conçu pour identifier, évaluer et traiter de manière proactive les vulnérabilités de nos systèmes et applications.

Grâce à des outils d'analyse avancés, nous surveillons en permanence les faiblesses potentielles et les corrigeons rapidement.

Nos calendriers de mise à jour réguliers et nos évaluations détaillées des risques nous aident à hiérarchiser les corrections critiques et à maintenir un environnement sécurisé contre des menaces en constante évolution. 

efficy mène chaque année un programme de tests d'intrusion (pentest) pour chaque gamme de produits, en collaboration avec des experts externes en sécurité, afin d'évaluer et de valider de manière approfondie la fiabilité de nos systèmes face aux menaces potentielles.

Ces évaluations indépendantes sont complétées par d'autres tests réalisés par nos clients, leur permettant de confirmer que nos solutions répondent à leurs exigences spécifiques en matière de sécurité.