Sécurité et conformité

Mis à jour le 25/02/2020


La sécurité et la conformité sont des priorités pour Phosforea, filiale du groupe SCASSI dont le cœur de métier est la cybersécurité. Le LMS (Learning Management System) Phosforea utilise des outils de standard industriel pour assurer la protection des données clients de tout accès, diffusion et utilisation non autorisée. La sécurité est opérée par le responsable technique web Phosforea, avec l'aide de l'équipe d'ingénieurs cybersécurité de SCASSI ainsi que l'équipe de développement Phosforea.

1. RGPD et protection des données

Phosforea traite des données à caractère personnel de ses clients de façon automatisée, dans les conditions prévues par le RGPD, à des fins de gestion des compétences des personnes dans un cadre de formation. A ce titre Phosforea a nommé un Responsable de Traitement ainsi qu'un DPO, joignable à l'adresse : dpo@phosforea.com

Données personnelles collectées auprès du client ainsi que des futurs apprenants :

Noms et prénoms

Adresse mail professionnelle

Fonction, le département ou le matricule au sein de l’entreprise

Adresse IP

Des données personnelles sont générées afin de suivre la progression des apprenants telles que :

Niveau d’avancement dans la formation (temps passé, modules terminés, commencés, non commencés)

Le niveau de réussite (scores obtenus aux quiz et évaluations)

1.1. Recueil du consentement

Toute personne physique amenée à se connecter pour la première fois sur une plateforme LMS Phosforea (plateforme personnalisée pour un client ou plateforme générique) devra accepter les conditions générales d’utilisation en cochant la case de « Recueil de consentement » lors de l’initialisation de son compte.

1.2. Principe de minimisation

Au nom du principe de minimisation des données personnelles, les collaborateurs de Phosforea doivent manipuler le moins possible de fichiers contenant des données personnelles et inviter les clients à utiliser systématiquement les fonctions de la plateforme pour modifier, importer, exporter les données de leurs apprenants.

1.3. Conservation des données

Nos contrats de prestations de service précisent que les données sont conservées jusqu’au 31/12 de l’année N+1 suivant la clôture du projet.

Tous les ans au mois de décembre, une revue complète des projets est réalisée par le Responsable de Traitement ou une personne qu’il désigne au sein de l’équipe Phosforea afin de supprimer définitivement les données personnelles enregistrées sur les serveurs de Phosforea des projets qui ont pris fin pendant l’année N-1.

Les données concernées sont alors supprimées définitivement.

1.4. Gestion des copies de sauvegarde

Phosforea conserve une sauvegarde des données confiées par ses clients dans le cadre des projets pendant une durée de 5 années civiles. Il s’agit de se baser sur le délai de prescription d’une action en justice, le délai de droit commun étant de 5 ans (article L110-4 du Code du commerce, article 2224 du Code civil).

Les copies de sauvegardes réalisées par Phosforea sont chiffrées et stockées sur un disque externe conservé sur site dans un coffre-fort ignifugé. Les sauvegardes sont chiffrées avec un chiffrement symétrique AES-256.

Les copies de sauvegarde de l’année N sont supprimées en janvier de l’année N+6 (exemple : janvier 2020 : suppression définitive des copies de sauvegarde de l’année 2014). On entend par « suppression des copies de sauvegarde » la destruction physique et sécurisé des disques-supports et la signature, par le PDG de l’entreprise ou toute personne autorisée, d’un procès-verbal de destruction.

Phosforea conserve une sauvegarde des données confiées par ses clients dans le cadre des projets pendant une durée de 5 années civiles. Il s’agit de se baser sur le délai de prescription d’une action en justice, le délai de droit commun étant de 5 ans (article L110-4 du Code du commerce, article 2224 du Code civil).

Les copies de sauvegardes réalisées par Phosforea sont chiffrées et stockées sur un disque externe conservé sur site dans un coffre-fort ignifugé. Les sauvegardes sont chiffrées avec un chiffrement symétrique AES-256.

Les copies de sauvegarde de l’année N sont supprimées en janvier de l’année N+6 (exemple : janvier 2020 : suppression définitive des copies de sauvegarde de l’année 2014).

2. Sécurité de l'application

La sécurité de notre LMS est une priorité. Phosforea tient à disposition de ses client un Dossier de Sécurité détaillant l'ensemble des mesures physiques, logiques et organisationnelles mises en œuvre pour assurer la sécurité de la plateforme LMS.

2.1. Hébergement

L’hébergement de l’application est sur un serveur virtuel privé (VPS) du fournisseur OVH. Ce serveur est situé en France, à Gravelines. Toute la logique applicative ainsi que les données stockées sont situées sur ce même serveur.

Le niveau de sécurité du fournisseur OVH a été évalué et est conforme au niveau de sécurité exigé par Phosforea.

Les environnements de développement, de préproduction ainsi que le code source de l’application sont internalisés au sein du Système d’Information de l’entreprise.

2.2. Sécurité et confidentialité des données

Toutes les données transitant par l’application Phosforea sont envoyées de manière sécurisée via HTTPS. Chaque instance client hébergée sur le serveur Phosforea est cloisonnée de manière logique à tous les niveaux :

Utilisation des ressources

Services système

Stockage des données

2.3. Authentification

L’accès à l’application se fait obligatoirement avec la création d’un mot de passe sécurisé selon les recommandations de l’ANSSI : au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Les mots de passes sont stockés de manière chiffrée.

Le Single Sign On (SSO) est également disponible comme méthode d’authentification via le protocole SAML v2.0.

2.4. Développement sécurisé

Les développeurs intégrant l’équipe Phosforea suivent la formation interne « Sécurité dans les développements » : ce cursus permet à nos collaborateurs d’intégrer la sécurité dans les développements à tous les niveaux et de communiquer efficacement avec les équipes pour mettre en place les stratégies de remédiations adaptées (dès la conception ou en réponse à un incident).

Chaque changement du code Phosforea est déployé sur une plateforme de test interne et est soumis à un ensemble de tests : unitaires, fonctionnels, non régression et de sécurité. Chaque version admissible (release candidate) est revue au niveau du code pour assurer la mise en place des bonnes pratiques internes avant la publication d’une version stable.

3. Gestion des incidents

Le traitement d’un incident se fait via les canaux suivants :

Téléphone : 05 61 17 08 54

3.1. Accords de niveau de service (SLA)

Le support informatique de Phosforea est disponible de 09h00 à 18h00 du lundi au vendredi (UTC +1 ou UTC + 2). Phosforea fera tous les efforts raisonnables pour assurer la disponibilité maximale de la plateforme LMS créée et attribuée pour le client et, simultanément, le respect des paramètres de fonctionnement suivants :

99% de disponibilité et d'accessibilité annuelles

A la réception d’une demande, les équipes techniques ont 4 heures ouvrées pour répondre à celle-ci.

La résolution d’une demande doit se faire dans les 16 heures ouvrées à la suite de la 1ère demande

3.2. Continuité d’activité

Les sauvegardes journalières peuvent être utilisées dans le cadre d’un incident provoquant une perte de données.

Dans le cas où une panne de l’hébergeur provoquerait une indisponibilité complète du serveur, un environnement identique serait monté dans une région différente. L’équipe de développeurs et d’opérations effectuent annuellement des scénarios de crise où la migration de données, la remise en service et la création d’un nouvel environnement de production sont testées.

4. Contrôle de la sécurité

4.1. Pentests et audits

Des pentests sont effectués sur l’application Phosforea à chaque sortie d'une nouvelle version majeure. Ces pentests sont accompagnés d’un rapport des vulnérabilités trouvées. Une fois les correctifs appliqués, un nouveau contrôle est effectué pour valider la bonne mise en place des solutions.

Des audits de configuration sont également effectués sur l’infrastructure de l’application. Comme les pentests, ceux-ci sont accompagnés d’un rapport et d’un contrôle de validation de la mise en place des correctifs.

4.2. Supervision

Une supervision du serveur est mise en place pour surveiller différents services. Les journaux d’erreurs, alertes applicatives et systèmes sont également supervisés.

Des seuils critiques ont été définis et des alertes sont envoyés par mail aux développeurs, permettant une réaction en cas d’incident.

4.3. Gestion des vulnérabilités

Des alertes par mails aux développeurs sont mises en place pour avertir de nouvelles vulnérabilités (CVE) découvertes sur les technologies utilisées dans le stack de l’application. Elles sont ensuite analysées, et si pertinentes, corrigées.

Ces vulnérabilités sont corrigées sous 2 semaines par l’application de la mise à jour correspondante.

Une question ?

Vous avez besoin de plus de détails ? Nous sommes à votre écoute pour répondre à vos questions.

Contactez-nous