Politique de sécurité

DEC. 2022

Infrastructures cloud (Hébergement des logiciels AUBEP) et logiciel

AUBEP SA travaille avec plusieurs hébergeurs Suisses afin de limiter les risques. Les logiciels d’AUBEP sont tous hébergés en Suisse (Lausanne, Genève, Bâle).

AUBEP SA évalue ses fournisseurs d’hébergements régulièrement et s’assurent qu’ils respectent les normes strictes de sécurité du moment, ainsi que la norme ISO 27001. Chaque fournisseur d’hébergement d’AUBEP SA doit assurer un taux de service de 99,99% avec un contrat SLA correspondant.

A partir de 2023 tous les contrats AUBEP A2 et A3 sont déployés sur des infrastructures ultra redondantes, permettant une reprise d’activité dans les 12 à 24 heures (RTO) respectivement et avec une perte maximale de donnée entre 12 et 24 heures (RPO) respectivement.

Toutes les plateformes Web sont sécurisées avec un protocole SSL.

AUBEP SA mène des tests d’intrusions de ses infrastructures et du logiciel par des entreprises de sécurité externe afin d’identifier d’éventuelles failles et de les sécuriser.

Stratégie de sauvegarde

AUBEP SA a mis en place une stratégie de sauvegarde multisite (Lausanne – Genève) avec une rétention des données variant en fonction des contrats (A1, A2 ou A3) : la rétention varie entre 1 mois et 10 ans. Les données sont sauvegardées ainsi que les images virtuelles des serveurs. Le transfert des données entre les sites de sauvegardes sont sécurisés avec les protocoles SSL.

AUBEP SA vérifie très régulièrement les sauvegardes en déployant des serveurs tests afin d’assurer que les données sont toujours lisibles et compatibles avec les nouvelles versions du logiciel AUBEP.

Les clients d’AUBEP peuvent demander une copie des sauvegardes sur leur propre infrastructure informatique (payant).

Procédures internes à AUBEP SA

Les collaborateurs d’AUBEP SA sont sensibilisés régulièrement aux actualités et problématiques de sécurité.AUBEP SA participe au programme Trus4SME organisé par la TrustValley, permettant d’avoir accès au réseau romand de la cybersécurité et d’être conseillé et informé régulièrement sur le sujet afin de participer à la confiance numérique en Suisse romande.

Les collaborateurs sont équipés de logiciels pour la gestion des mots de passes permettant des informations d’authentification de manière sûr en contrôlant l’accès à ces mots de passes. Les postes de travail sont vidés régulièrement des données clients lorsque ces dernières ne sont plus nécessaires à l’exécution du contrat avec le client (par exemple données de test pour les développeurs).

Les outils et infrastructures sont accessibles par les collaborateurs uniquement moyennant un accès VPN ainsi qu’une double authentification sur les accès aux dossiers internes.

AUBEP SA se fait auditer par l’association cyber-safe afin d’obtenir le label à l’horizon début 2023.