news

TCM PASSE LES TESTS D’INTRUSION ET EST CONFORME AU GDPR

GDPR compliant testingDepuis le 25 mai 2018, le Règlement Général sur la Protection des Données (GDPR en anglais) est d’application. Le but en est de mieux protéger les données privées des citoyens européens. Un aspect important concerne la gestion de ces données qui doit être sécurisée de manière à éviter les intrusions de personnes qui ne doivent pas avoir accès à ces informations. TCM utilise des systèmes et méthodes sécurisés pour la gestion de ses dossiers de recouvrement.

 

‘Cloud Computing’

En 2014, TCM s’est défait de la gestion de ses propres serveurs. Nous avons migré vers un système de ‘cloud based computing’. Toutes les données sont désormais enregistrées en ligne dans une base de données externalisée. La gestion de ce système est confiée à AWS (Amazon Web Services). Le grand avantage de cette solution est l’accessibilité, par n’importe quel appareil connecté, à n’importe quel moment, depuis n’importe où. Un autre avantage est que la sécurisation par AWS est largement meilleure que ce que nous pouvions assurer ‘in house’.

Tests d’intrusion

Pour contrôler la sécurisation et vérifier que notre système est effectivement résistant aux tentatives de hacking (intrusion), nous avons demandé à la firme informatique EASI de faire des tests. Ils ont une division spécialisée dans les tests d’intrusion (penetration testing). Ils tentent de diverses manières de prendre le système en défaut.  Ces tests ont eu lieu entre le 7 et le 11 juin 2018.  Le ‘hackeur éthique’ n’avait reçu que les adresses IP de nos différentes applications (ce qui facilite le travail par rapport à un hackeur mal intentionné). Les DB production, test et copie ont ainsi été attaquées.

Les tests effectués

Les tests ont porté sur 5 actions :

  • Un scan des faiblesses
  • Tests d’intrusion d’infrastructure et validation des faiblesses rencontrées
  • Tests d’application Web (SQL Injection, Fuzzing…)
  • Rapport avec recommandations
  • Présentation du rapport et debriefing.

Résultats des tests

Sur base des tests effectués, EASI nous a délivré un certificat le 21 août 2018. Notre système a passé les tests avec brio. Il n’a pas été possible de s’introduire dans notre système et aucune donnée à caractère personnel – ou autre donnée – n’a pu être obtenue.  Notre système est donc considéré comme sûr et bien protégé contre les hackers. Nous pouvons donc affirmer à nos clients que toute donnée confidentielle est traitée comme telle et sauvegardé d’une manière techniquement appropriée pour ce qui concerne la sécurisation.  En conclusion, TCM utilise des outils et des processus conformes aux exigences du GDPR et protège les données des citoyens.

Avez-vous des questions sur nos services ?  Contactez-nous ! Nous sommes là pour vous assister.

TCM PASSE LES TESTS D’INTRUSION ET EST CONFORME AU GDPR

GDPR compliant testingDepuis le 25 mai 2018, le Règlement Général sur la Protection des Données (GDPR en anglais) est d’application. Le but en est de mieux protéger les données privées des citoyens européens. Un aspect important concerne la gestion de ces données qui doit être sécurisée de manière à éviter les intrusions de personnes qui ne doivent pas avoir accès à ces informations. TCM utilise des systèmes et méthodes sécurisés pour la gestion de ses dossiers de recouvrement.

 

‘Cloud Computing’

En 2014, TCM s’est défait de la gestion de ses propres serveurs. Nous avons migré vers un système de ‘cloud based computing’. Toutes les données sont désormais enregistrées en ligne dans une base de données externalisée. La gestion de ce système est confiée à AWS (Amazon Web Services). Le grand avantage de cette solution est l’accessibilité, par n’importe quel appareil connecté, à n’importe quel moment, depuis n’importe où. Un autre avantage est que la sécurisation par AWS est largement meilleure que ce que nous pouvions assurer ‘in house’.

Tests d’intrusion

Pour contrôler la sécurisation et vérifier que notre système est effectivement résistant aux tentatives de hacking (intrusion), nous avons demandé à la firme informatique EASI de faire des tests. Ils ont une division spécialisée dans les tests d’intrusion (penetration testing). Ils tentent de diverses manières de prendre le système en défaut.  Ces tests ont eu lieu entre le 7 et le 11 juin 2018.  Le ‘hackeur éthique’ n’avait reçu que les adresses IP de nos différentes applications (ce qui facilite le travail par rapport à un hackeur mal intentionné). Les DB production, test et copie ont ainsi été attaquées.

Les tests effectués

Les tests ont porté sur 5 actions :

  • Un scan des faiblesses
  • Tests d’intrusion d’infrastructure et validation des faiblesses rencontrées
  • Tests d’application Web (SQL Injection, Fuzzing…)
  • Rapport avec recommandations
  • Présentation du rapport et debriefing.

Résultats des tests

Sur base des tests effectués, EASI nous a délivré un certificat le 21 août 2018. Notre système a passé les tests avec brio. Il n’a pas été possible de s’introduire dans notre système et aucune donnée à caractère personnel – ou autre donnée – n’a pu être obtenue.  Notre système est donc considéré comme sûr et bien protégé contre les hackers. Nous pouvons donc affirmer à nos clients que toute donnée confidentielle est traitée comme telle et sauvegardé d’une manière techniquement appropriée pour ce qui concerne la sécurisation.  En conclusion, TCM utilise des outils et des processus conformes aux exigences du GDPR et protège les données des citoyens.

Avez-vous des questions sur nos services ?  Contactez-nous ! Nous sommes là pour vous assister.

news