TABLE DES MATIÈRES

1. Introduction

1.1 Objet


Ce document est le Plan d'Assurance Sécurité (PAS), pouvant être joint aux contrats avec les clients. Il détaille les engagements de RCA en vue de répondre aux exigences contractuelles liées à la Sécurité des Systèmes d'Information (SI). Le but est de :


  • Garantir la sécurité des ressources des Systèmes d'Information (SI) employées dans l'exécution des activités et la production des livrables définis dans le contrat ; 

  • Protéger le Client contre les préjudices liés à l'indisponibilité de ces ressources, à des atteintes à leur intégrité ou à leur confidentialité.


Ce Plan d'Assurance Sécurité (PAS) énumère les mesures de sécurité comprenant des dispositions physiques, organisationnelles, procédurales et techniques qui sont appliquées.

Les mesures énoncées dans ce document peuvent être renforcées par celles stipulées dans les contrats associés à l'offre RCA spécifique.


1.2 Périmètre

Ce document concerne l'ensemble des applications conçues, développées et hébergées par RCA, destinées à répondre aux exigences de ses clients. 

Les principales concernées sont :

  • La Gamme Conseil

  • MEG (Mon Expert en Gestion)

Ce document est également pertinent pour tous les services web de RCA, essentiels au fonctionnement optimal des applications mentionnées précédemment.


1.3  Rôles et responsabilités

Pour la fourniture de ses services, RCA utilise des infrastructures fournies par ses partenaires. La mise en place et l'entretien de ces infrastructures relèvent de la responsabilité de ces partenaires.

2. La gestion des risques

Le processus d'évaluation des risques chez RCA implique la détection, l'examen et le contrôle des risques associés au modèle commercial et aux entités utilisatrices. RCA admet que la gestion efficace des risques est un aspect fondamental de ses opérations.

L’évaluation des risques est effectuée en utilisant la méthode EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité - Risk Manager), une approche entretenue par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

L’évaluation des risques aboutit à l'élaboration d'un plan d'actions pour améliorer les mesures de sécurité existantes.

3. Principes Générales de Sécurité du Système d’Information

RCA utilise le principe de la défense en profondeur, basé sur le modèle des plaques de Reason. C’est une stratégie de sécurité qui emploie plusieurs couches de mesures défensives. Chaque couche possède ses propres faiblesses. L'idée est qu'aucune couche n'est entièrement infaillible. En empilant ces couches, les faiblesses de l'une sont compensées par les forces des autres, créant un système de sécurité plus robuste. 

4. Organisation de la sécurité de l’information

4.1 Rôles et responsabilités

Les tâches liées à la sécurité ont été clairement déterminées et assignées.

Un Responsable de la Sécurité des Systèmes d'Information (RSSI) a été désigné pour superviser toutes les activités de RCA. Il dirige une équipe spécialisée en sécurité et est directement rattaché à la Direction Générale.

Les participants engagés dans la sécurisation de l'information sont :


4.2 Dissociation des tâches et répartition des domaines de responsabilité.

Pour réduire le risque de modifications ou d'altérations non autorisées ou accidentelles des actifs, les tâches et les responsabilités des équipes sont distinctes. Plus spécifiquement, toutes les opérations d'hébergement pour nos clients sont isolées des autres environnements de l'entreprise, tant sur le plan organisationnel que technique.


4.3 Veille

RCA fait partie de l'association ADN' Ouest, un regroupement régional des professionnels du numérique, et maintient des relations avec les autorités (comme la CNIL et l’ANSSI) pour rester informé des dernières évolutions dans le domaine de la sécurité de l'information.

RCA a sélectionné des fournisseurs spécialisés en sécurité et participe fréquemment à des événements portant sur les nouveautés dans les domaines réglementaires, techniques, organisationnels et en matière de produits.

5. La sécurité des ressources humaines

RCA bénéficie d'un personnel permanent hautement qualifié. Chaque employé a une description de poste détaillée, incluant ses responsabilités, son rôle dans l'organisation, ses tâches principales, ainsi que les compétences techniques et comportementales nécessaires pour accomplir ses missions, y compris sa contribution à la sécurité de l'information. Les contrats de travail comprennent systématiquement des clauses de confidentialité et de secret professionnel.

Tout nouveau membre de l’entreprise reçoit une formation approfondie en matière de sécurité, dispensée par un expert de l'équipe de sécurité. Un programme de sensibilisation et des outils dédiés assurent un suivi constant des thématiques critiques en matière de sécurité, comme les campagnes de phishing et la gestion des mots de passe, entre autres.

Des procédures structurées sont mises en place pour gérer l'intégration et le départ des employés. Ces procédures comprennent l'attribution, la récupération des équipements et des accès informatiques.

6. Gestion des actifs

6.1 Inventaire

Les éléments constitutifs des systèmes d’information produits, ainsi que les actifs des collaborateurs de RCA, sont identifiés et catalogués.

6.2 Gestion des supports amovibles

L'utilisation de supports amovibles, tels que les clés USB, est restreinte et réglementée. Des scans automatiques par des antivirus sont également lancés avant utilisation des périphériques.

6.3 Mise au rebut des actifs

Les supports physiques stockant des données sont soumis à une destruction matérielle complète avant leur élimination.

7. Contrôle d’accès

7.1 Politique de mot de passe

Chaque utilisateur RCA est authentifié par un identifiant unique et un mot de passe fort.

RCA a établi une politique de gestion des mots de passe qui détaille le niveau de complexité attendu ainsi que le stockage de ceux-ci basé sur l’état de l’art et les recommandations des services de l’État. L’authentification double-facteur est activée autant que possible.

Les mots de passe des utilisateurs ne sont pas conservés sous forme lisible dans le système d'information de RCA : des fonctions de chiffrement non réversibles avec des algorithmes réputés sécurisés sont utilisées.

7.2 Politique pour les clients de RCA

La politique standard de RCA concernant les mots de passe pour les utilisateurs clients est la suivante :

  • entre 12 et 50 caractères

  • au moins un caractère numérique

  • au moins un caractère en majuscule

  • au moins un caractère en minuscule

  • au moins un caractère spécial

  • aucun mot trivial (password, azerty, 12345, meg, rca, ...)

Pour certaines applications, il est possible de confier la gestion des identifiants au client lui-même. Quand cette option de fédération d'identités est mise en œuvre, le client a la liberté de gérer et d'appliquer sa propre politique de mots de passe.

7.3 Gestion des droits d’accès

Les accès aux systèmes d’information et aux données clients sont limités et contrôlés. La gestion des droits d'accès pour les équipes de RCA est fondée sur le principe du moindre privilège. Ainsi, chaque équipe dispose uniquement des droits strictement nécessaires pour ses activités spécifiques.

8. Cryptographie

8.1 Mobilité

Les disques durs des appareils mobiles utilisés par les équipes de RCA sont chiffrés.

8.2 Certificats

Afin d'assurer un niveau de sécurité optimal, RCA utilise des certificats HTTPS émis par des autorités de certification publiques et reconnues.

8.3 Transfert de données

Lors des transferts de données sur des réseaux publics et privées, elles sont chiffrées en utilisant des protocoles de sécurité robustes.

9. Sécurité physique et environnementale

9.1 Datacenter 

RCA a choisi de sélectionner des fournisseurs dont les datacenters sont en France pour respecter les exigences de la charte d'engagement vis-à-vis de ses partenaires Experts-comptables. L'entreprise veille à la conformité de ses fournisseurs, tant sur le plan technique que de la sécurité.

Pour offrir une sécurité maximale, tous les Datacenters utilisés par RCA sont certifiés conformes à la norme ISO 27001.

Les hébergeurs détectent les pannes matérielles et interviennent selon leurs procédures internes de maintenance. En cas d'impact sur des services critiques pour nos clients, les équipes techniques de RCA reçoivent des alertes par SMS ou email.

Les hébergeurs déploient une gamme de mécanismes de redondance, couvrant l'électricité, la climatisation, ainsi que la sécurité physique contre les intrusions et les incendies, fonctionnant en continu 24 heures sur 24, 7 jours sur 7.

9.2 RCA

Les installations de RCA sont régies par des normes de sécurité, de maintien opérationnel et de prévention, qui incluent notamment la gestion de l'approvisionnement en énergie, des systèmes de détection d'incendie, et des services de climatisation, chauffage et ventilation (CCV).

L'entrée aux locaux est protégée par des systèmes de contrôle d'accès par badge. Chaque employé reçoit un badge programmé, qui lui octroie un accès complet ou limité à certaines zones du bâtiment.

10. Sécurité liée à l’exploitation

10.1 Protection contre les logiciels malveillants

Chaque serveur et poste de travail relié au Système d'Information de RCA est doté d'un ensemble de logiciels antivirus, antimalware et de détection comportementale. Les mises à jour sont vérifiées chaque jour, téléchargées et installées automatiquement sur les équipements. Grâce à un système de supervision et une console d'administration centralisée, toute anomalie, comme une mise à jour non effectuée ou une infection, est immédiatement détectée.

10.2 Supervision

Les serveurs, moyens de communication et services sont constamment surveillés, avec des alertes configurées pour informer immédiatement les équipes de toute anomalie potentielle ou de tout événement pouvant entraîner une dégradation du service.

Les outils sont associés à des systèmes d'envoi de SMS destinés à l’astreinte pendant les heures non ouvrables.

L'équipe d'astreinte est responsable de la surveillance et de l'intervention sur les produits de RCA 24 heures sur 24, 7 jours sur 7.

10.3 Gestion des mises à jours

RCA emploie une suite de logiciels pour inventorier et gérer tous les logiciels utilisés, tant sur son système d'information que sur l’environnement produit. Le processus de gestion des correctifs est multi-étapes et est géré par une collaboration étroite entre divers acteurs de l'entreprise, assurant ainsi l'intégrité et la sécurité à tous les niveaux : production, systèmes d'information, et projets de développement.


10.4 Sauvegarde

Les données clients ainsi que l’usine logiciel sont sauvegardées automatiquement chaque jour en dehors des heures de travail sur des infrastructures en France distinctes du lieu principal.

L'accès à ces archives est restreint à la direction et à la direction technique. 

Ces procédures de sauvegarde sont régulièrement vérifiées par l'équipe technique, conformément aux directives de la direction de RCA.

11. Sécurité des communications

11.1 Architecture technique

L’infrastructure de RCA et de ses produits sont segmentés en zone de sécurité distincte selon le principe de défense en profondeur.


11.2 Pare-feu

Tous les accès aux systèmes d’information transitent par des pare-feux.


11.3 Détection d’intrusion

RCA a installé des sondes de détection et de prévention des intrusions (IDS/IPS) dans des points clés de son réseau pour surveiller les flux de données entrants et sortants. Leur fonction est d'identifier et de bloquer les flux suspects ou malveillants. Ces sondes reçoivent régulièrement des mises à jour de signatures d'attaques de la part des experts en sécurité de l'éditeur et sont gérées par l'équipe de sécurité de RCA. 


Les informations recueillies par ces sondes sont ensuite compilées et analysées sous forme de tableaux de bord et d'indicateurs pour une meilleure visibilité et réactivité.


11.4 Anti DDos

Tous nos Datacenter sont protégés par des systèmes anti DDos.

12. Politique de développement sécurisé

RCA intègre des approches agiles dans son processus de développement, tout en veillant à l'incorporation de la sécurité et de la confidentialité dès la conception de ses logiciels. 

Parmi les références standards pour les bonnes pratiques, RCA suit le top 10 de l'OWASP et s'appuie sur des techniques de pointe et des outils éprouvés pour rechercher des vulnérabilités dans le cycle de développement. 

La sécurité du code source est une priorité, avec des mesures pour prévenir les modifications non approuvées et un processus de révision par les pairs pour toute évolution est obligatoire. 

Des systèmes automatisés de vérification du code garantissent la qualité des changements effectués. La gestion du code source est assurée par un système de gestion des versions, avec un accès restreint et contrôlé. Des environnements dédiés et isolés de la production sont mis en place pour le développement et les tests.


13. Relation avec les fournisseurs

Des prestataires externes sont parfois requis pour travailler sur les systèmes d'information de RCA. Pour gérer la criticité de différents aspects, RCA met en œuvre plusieurs mesures de contrôle. Cela inclut par exemple : l'analyse des certifications des partenaires, l'organisation de comités de suivi avec des indicateurs spécifiques, la réalisation d'audits techniques ou organisationnels, l'établissement et la surveillance des accords de niveau de service (SLA), l'intégration de clauses de sécurité dans les contrats, et la clarification des rôles et responsabilités en matière de gestion des incidents de sécurité.

Les interactions entre ses sous-traitants et RCA sont conformes aux normes du RGPD et intègrent des considérations de sécurité.

14. Gestion des vulnérabilités et des incidents liés à la sécurité de l’information

14.1 Gestion des vulnérabilités

Les vulnérabilités sont catégorisés selon leur niveau de risque (vraisemblance et gravité) selon les niveaux suivants : 


  • Critique: Les correctifs doivent être appliqués immédiatement dès qu'un correctif est disponible. Les équipes d'astreintes peuvent être sollicitées le cas échéant.

  • Risque élevé: Les correctifs doivent être appliqués en priorité, dans un délai de 7 jours maximum sur l'environnement de production et une surveillance accrue doit être mise en place.

  • Risque moyen: Les correctifs doivent être appliqués dans un délai de 14 jours sur l'environnement de production. L'équipe de sécurité doit surveiller activement les systèmes concernés en attendant la mise en œuvre du correctif.

  • Risque faible: Les correctifs peuvent être programmés lors du prochain cycle de maintenance régulier. L'équipe de sécurité doit néanmoins rester vigilante à l'évolution du contexte qui pourrait justifier une action plus rapide.

14.2 Scanner de vulnérabilités

RCA procède à des analyses régulières, au moins une fois par mois, sur tous ses systèmes d'information, en utilisant un scanner de vulnérabilités géré par son équipe de sécurité. Ces scans sont conçus pour vérifier la configuration adéquate du matériel et des logiciels afin d'identifier toute nouvelle vulnérabilité. Les résultats de ces analyses sont soigneusement examinés et donnent lieu à l'élaboration de plans d'action ciblés.


14.3 Gestion des incidents de sécurité

RCA a établi une politique formelle pour la gestion des incidents de sécurité, s'appuyant sur un processus de traitement intégré dans ses outils de gestion d'événements. Cette approche s'inspire des meilleures pratiques issues des normes ISO 27001 et ISO 27002.

En cas d'incident, une communication est émise au plus tard dans les 72 heures suivant l'évaluation de l'étendue de l'impact, à destination des clients et/ou partenaires affectés.

15. Gestion de la continuité d’activité


RCA dispose d’une Plan de Reprise et de Continuité d’Activité (PRA/PCA) englobant ses produits.

Les scenarii envisagés de crise concernent la perte des moyens techniques : destruction de datacenter, indisponibilité des hyperviseurs, etc.

16. Gestion de la conformité

16.1 RGPD et protection des données personnelles

RCA a établi une Politique de confidentialité et de gestion des cookies, accessible sur son site internet : https://rca.fr/protection-dcp/

RCA a désigné un Délégué à la Protection des Données (DPO) et a mis en place une procédure formelle pour traiter les demandes d'exercice des droits selon le RGPD. Ces droits peuvent être revendiqués en envoyant un email à rgpd@rca.fr ou par courrier.

16.2 Audit

16.2.1 Audit interne

La surveillance des activités de sécurité au sein des systèmes d'information de RCA est effectuée par les membres de l'équipe de sécurité. Ils procèdent régulièrement à des examens des composants des systèmes d'information, conformément au plan d'audit établi par RCA.

16.2.2 Audit externe

Chaque année, RCA confie à des cabinets externes la mission d'auditer ses produits.

16.2.3 Audit client

Les clients abonnés ont la possibilité de réaliser des tests d'intrusion (pentests) sur les services qu'ils utilisent, en respectant les conditions définies dans leur contrat. Cette autorisation est soumise à des critères d'éligibilité spécifiques et exige la signature de clauses contractuelles particulières.