Sécurité

Notre approche

La sécurité est traitée comme un sujet continu, intégré aux choix de conception, à l’exploitation et à la relation client. Monitorix 360 est conçu pour soutenir des exigences de fiabilité et de confidentialité propres à un usage professionnel.

Cette page présente les principaux principes appliqués. Certains détails techniques peuvent être communiqués aux clients Enterprise sous accord de confidentialité (NDA).

Architecture sécurisée

• Séparation claire entre les environnements de développement, de pré-production et de production.
• Restriction des accès réseau selon le principe du moindre privilège.
• Hébergement chez des prestataires reconnus, dans une logique de cloisonnement des responsabilités.

Chiffrement et transport

• Trafic web protégé par HTTPS / TLS, redirection systématique de HTTP vers HTTPS.
• Bonnes pratiques sur les en-têtes de sécurité (HSTS, options de protection CSP/COOP/CORP, le cas échéant).
• Données sensibles protégées en transit et stockées dans des environnements à accès restreint.

Authentification et contrôle d’accès

• Authentification utilisateur protégée et politiques de mot de passe robustes.
• Gestion fine des rôles et permissions au sein de l’application, lorsque l’offre le prévoit.
• Verrouillage des comptes en cas de tentatives d’authentification suspectes.
• Possibilité d’étudier des intégrations SSO / fédération d’identité dans le cadre des offres adaptées.

Journalisation et supervision

• Journaux techniques d’accès et d’événements applicatifs, à des fins de sécurité, de diagnostic et de conformité.
• Surveillance applicative et infrastructure pour détecter rapidement les anomalies.
• Conservation des journaux selon une durée raisonnable, alignée sur les obligations applicables.

Sauvegardes et continuité

• Stratégie de sauvegarde régulière des données nécessaires à la continuité du service.
• Tests périodiques des procédures de restauration.
• Plan de continuité et de reprise pensé pour limiter l’impact des incidents majeurs.

Gestion des vulnérabilités

• Mises à jour de sécurité appliquées selon une cadence raisonnable.
• Surveillance des dépendances logicielles et des avis publics de sécurité.
• Tests internes et, le cas échéant, audits externes selon le périmètre concerné.

Sensibilisation et organisation

• Sensibilisation des équipes Programini aux bonnes pratiques de sécurité et aux risques liés au phishing et à l’ingénierie sociale.
• Politique d’accès interne basée sur le besoin d’en connaître.
• Engagements de confidentialité applicables aux collaborateurs et prestataires.

Divulgation responsable

Si vous identifiez une vulnérabilité affectant Monitorix 360 ou ses services associés, nous vous remercions de nous la signaler de manière privée et coordonnée, avant toute publication.

• Contact sécurité : [à compléter — par exemple security@monitorix360.com].
• Merci d’indiquer une description précise du problème, les étapes de reproduction, l’impact estimé et toute information utile.
• Nous nous engageons à accuser réception, à investiguer raisonnablement et à vous tenir informé du traitement.
• Aucune action légale ne sera engagée à l’encontre des chercheurs respectant un comportement de bonne foi et les règles de divulgation responsable.

Engagements et limites

Programini ne revendique pas de certification ou de conformité qui ne serait pas effectivement détenue. Les engagements contractuels précis en matière de sécurité, de disponibilité et de support sont définis dans les CGV, dans la page Protection des données et, lorsque c’est applicable, dans un accord spécifique conclu avec le client.

Pour aller plus loin

Les clients professionnels souhaitant approfondir notre approche sécurité (architecture, hébergement, sous-traitants, journalisation, plans de continuité) peuvent demander des éléments complémentaires sous accord de confidentialité via le formulaire de contact.