Skip to content
Eranis
Login Start Free Trial
English Français

Sécurité

Dernière mise à jour : 1er janvier 2025

Chez Eranis, la sécurité est au fondement de tout ce que nous construisons. Nous comprenons que vous nous confiez des données sensibles sur vos employés, et nous prenons cette responsabilité très au sérieux. Cette page présente notre approche de la sécurité, les mesures que nous mettons en œuvre et notre engagement à protéger vos informations.

Notre Philosophie de Sécurité

Nous pensons que la sécurité n'est pas une fonctionnalité mais une exigence fondamentale. Notre approche repose sur trois principes :

  1. Défense en profondeur : Plusieurs couches de contrôles de sécurité protègent vos données à chaque niveau.
  2. Moindre privilège : L'accès est limité à ce qui est strictement nécessaire pour chaque rôle et fonction.
  3. Amélioration continue : Nous évaluons et améliorons constamment notre posture de sécurité.

Protection des Données

Chiffrement

En transit : Toutes les données transmises entre votre navigateur et nos serveurs sont chiffrées à l'aide de TLS 1.2 ou supérieur. Nous imposons HTTPS sur toutes les connexions et mettons en œuvre HTTP Strict Transport Security (HSTS).

Au repos : Les données clients stockées dans nos bases de données et notre stockage de fichiers sont chiffrées à l'aide du chiffrement AES-256. Les clés de chiffrement sont gérées via des systèmes de gestion de clés sécurisés avec rotation régulière.

Isolation des Locataires

Eranis est une plateforme multi-locataire, mais vos données ne sont jamais mélangées avec celles d'autres clients. Nous mettons en œuvre la Sécurité au Niveau des Lignes (RLS) au niveau de la base de données, garantissant que :

  • Chaque requête est automatiquement filtrée pour ne retourner que les données appartenant à votre organisation
  • Les politiques au niveau de la base de données appliquent l'isolation indépendamment de la logique applicative
  • Même en cas de vulnérabilité applicative, l'accès aux données inter-locataires est empêché

Sauvegardes des Données

  • Fréquence : Sauvegardes automatiques quotidiennes avec capacité de récupération à un instant donné
  • Rétention : Les sauvegardes sont conservées pendant 30 jours
  • Chiffrement : Toutes les sauvegardes sont chiffrées au repos
  • Redondance géographique : Les sauvegardes sont stockées dans des emplacements géographiquement séparés
  • Tests : La restauration des sauvegardes est testée régulièrement pour assurer la récupérabilité des données

Sécurité de l'Infrastructure

Infrastructure Cloud

Eranis est hébergé sur des fournisseurs d'infrastructure cloud de premier plan qui maintiennent :

  • Certification SOC 2 Type II
  • Certification ISO 27001
  • Contrôles de sécurité physique (accès biométrique, surveillance 24/7, personnel de sécurité)
  • Redondance géographique et capacités de reprise après sinistre

Sécurité Réseau

  • Pare-feu : Un pare-feu d'applications web (WAF) protège contre les attaques courantes (injection SQL, XSS, etc.)
  • Protection DDoS : Atténuation des attaques par déni de service distribué en périphérie du réseau
  • Segmentation réseau : Les systèmes de production sont isolés des réseaux de développement et d'entreprise
  • Détection d'intrusion : Surveillance continue des activités suspectes

Sécurité des Serveurs

  • Les systèmes d'exploitation sont renforcés selon les référentiels de sécurité
  • Les correctifs de sécurité sont appliqués rapidement selon notre politique de gestion des correctifs
  • Les services et ports inutiles sont désactivés
  • L'accès est limité au personnel autorisé via des canaux sécurisés

Sécurité Applicative

Développement Sécurisé

  • Sécurité dès la conception : Les exigences de sécurité sont intégrées dès le début du développement
  • Revue de code : Toutes les modifications de code font l'objet d'une revue par les pairs avec prise en compte de la sécurité
  • Gestion des dépendances : Les bibliothèques tierces sont surveillées pour détecter les vulnérabilités et mises à jour rapidement
  • Analyse statique : L'analyse de sécurité automatisée identifie les vulnérabilités potentielles avant le déploiement

Authentification et Contrôle d'Accès

  • Exigences de mot de passe robustes : Complexité et longueur minimales imposées
  • Authentification multi-facteurs (MFA) : Disponible pour tous les comptes, requise pour l'accès administratif
  • Gestion des sessions : Gestion sécurisée des sessions avec délais d'expiration automatiques
  • Contrôle d'accès basé sur les rôles (RBAC) : Permissions granulaires garantissant que les utilisateurs n'accèdent qu'à ce dont ils ont besoin
  • Single Sign-On (SSO) : Intégration SSO entreprise disponible pour une authentification centralisée

Validation des Entrées

Toutes les entrées utilisateur sont validées et assainies pour prévenir :

  • Les attaques par injection SQL
  • Les scripts intersites (XSS)
  • Les falsifications de requêtes intersites (CSRF)
  • L'injection de commandes
  • Les attaques par traversée de chemin

Sécurité Opérationnelle

Gestion des Accès

  • Principe du moindre privilège : Les employés n'ont accès qu'aux systèmes nécessaires à leur rôle
  • Vérification des antécédents : Tous les employés font l'objet d'une vérification des antécédents
  • Formation à la sécurité : Formation régulière de sensibilisation à la sécurité pour tout le personnel
  • Revues d'accès : Des revues périodiques garantissent que les accès restent appropriés
  • Départ des employés : L'accès est révoqué immédiatement à la fin de l'emploi

Surveillance et Journalisation

  • Journalisation complète : Les événements pertinents pour la sécurité sont journalisés pour audit et analyse
  • Protection des journaux : Les journaux sont stockés de manière sécurisée et protégés contre la falsification
  • Surveillance en temps réel : Des systèmes automatisés surveillent les anomalies de sécurité
  • Alertes : Les équipes de sécurité sont notifiées des incidents potentiels 24/7

Réponse aux Incidents

Nous maintenons un plan documenté de réponse aux incidents qui comprend :

  1. Détection : Identification des incidents de sécurité potentiels
  2. Confinement : Limitation de la portée et de l'impact
  3. Éradication : Élimination de la menace
  4. Récupération : Restauration des opérations normales
  5. Leçons apprises : Amélioration basée sur l'analyse des incidents

Notification de violation : En cas de violation de données affectant vos informations, nous vous en informerons dans les 72 heures comme l'exige la loi applicable, en fournissant des détails sur l'incident et les mesures prises.

Conformité

Réglementations sur la Protection des Données

Eranis est conçu pour vous aider à respecter les réglementations sur la protection des données :

  • RGPD : Nous fournissons des accords de traitement des données, supportons les droits des personnes concernées et maintenons des mesures techniques et organisationnelles appropriées
  • CCPA : Nous supportons les droits des résidents californiens et ne vendons pas d'informations personnelles
  • Localisation des données : Contactez-nous pour les exigences de résidence des données de votre région

Normes de l'Industrie

Nous alignons nos pratiques sur des cadres de sécurité reconnus :

  • SOC 2 : Nous travaillons à l'obtention de la certification SOC 2 Type II
  • OWASP : Le développement suit les directives de codage sécurisé OWASP
  • Contrôles CIS : L'infrastructure est configurée selon les référentiels CIS

Gestion des Vulnérabilités

Tests de Sécurité

  • Tests de pénétration : Tests de pénétration annuels par des tiers évaluent nos défenses
  • Analyse des vulnérabilités : Des analyses automatisées régulières identifient les faiblesses potentielles
  • Bug Bounty : Nous accueillons la divulgation responsable des chercheurs en sécurité

Divulgation Responsable

Si vous découvrez une vulnérabilité de sécurité dans notre Service, veuillez la signaler de manière responsable :

E-mail : security@eranis.com

Directives :

  • Fournissez des informations détaillées pour nous aider à reproduire le problème
  • Accordez-nous un délai raisonnable pour traiter la vulnérabilité avant divulgation
  • N'accédez pas, ne modifiez pas et ne supprimez pas les données d'autres utilisateurs
  • Ne perturbez pas nos services et ne dégradez pas l'expérience utilisateur

Nous nous engageons à :

  • Accuser réception de votre signalement dans les 48 heures
  • Fournir des mises à jour régulières sur notre progression
  • Ne pas engager de poursuites judiciaires contre les chercheurs qui suivent ces directives
  • Reconnaître votre contribution (avec votre permission)

Continuité d'Activité

Reprise Après Sinistre

  • Objectif de point de récupération (RPO) : Maximum 24 heures de perte de données
  • Objectif de temps de récupération (RTO) : Restauration du service dans les 4 heures
  • Basculement : Basculement automatique vers les systèmes de secours
  • Tests réguliers : Les procédures de DR sont testées au moins annuellement

Haute Disponibilité

  • Plusieurs zones de disponibilité pour la redondance
  • L'équilibrage de charge répartit le trafic entre les serveurs
  • La mise à l'échelle automatique gère les pics de trafic
  • Surveillance de l'état avec remplacement automatique des instances

Votre Rôle dans la Sécurité

La sécurité est une responsabilité partagée. Nous recommandons :

Pour les Administrateurs

  • Activez la MFA pour tous les utilisateurs, en particulier les administrateurs
  • Configurez des permissions basées sur les rôles appropriées
  • Examinez régulièrement les accès utilisateurs et supprimez les comptes inactifs
  • Utilisez des mots de passe forts et uniques
  • Surveillez les journaux d'audit pour détecter les activités suspectes

Pour Tous les Utilisateurs

  • Utilisez des mots de passe forts et uniques (ou un gestionnaire de mots de passe)
  • Activez l'authentification multi-facteurs
  • Méfiez-vous des tentatives de phishing
  • Signalez toute activité suspecte à votre administrateur
  • Maintenez vos appareils et navigateurs à jour

Mises à Jour de Sécurité

Nous améliorons continuellement notre posture de sécurité. Les mises à jour importantes de cette page seront notées ici :

Date Mise à jour
1er janvier 2025 Publication initiale

Nous Contacter

Pour les questions liées à la sécurité :

Équipe Sécurité : security@eranis.com

Pour les questions générales sur nos pratiques de sécurité, veuillez contacter :

Eranis LLC E-mail : support@eranis.com

Eranis s'engage à maintenir la confiance que vous placez en nous. Si vous avez des questions ou des préoccupations concernant nos pratiques de sécurité, n'hésitez pas à nous contacter.

← Back to Home