Politique de cybersécurité

Smalto considère la sécurité de son Portail, de ses systèmes d'information et des données qui y sont traitées comme une priorité absolue. La présente politique définit le cadre de gestion de la cybersécurité applicable au Portail B2B et les obligations respectives de Smalto et de ses utilisateurs.

Smalto adopte une approche de sécurité par défaut et de défense en profondeur, alignée sur les meilleures pratiques sectorielles (ISO 27001, NIST Cybersecurity Framework, recommandations ANSSI) et les exigences réglementaires applicables.

Protection des accès

• Chiffrement TLS 1.3 de l'ensemble des communications entre le navigateur et le Portail
• Authentification par jetons JWT avec durée d'expiration limitée
• Mécanisme de renouvellement sécurisé des tokens d'authentification
• Protection contre les attaques de type CSRF (Cross-Site Request Forgery)
• Protection contre les injections (XSS, SQL Injection) par validation et assainissement des entrées
• Headers de sécurité HTTP (CSP, HSTS, X-Frame-Options, etc.)

Protection des données

• Chiffrement des données sensibles en base de données
• Politique de minimisation des données collectées
• Sauvegardes régulières et chiffrées avec plan de restauration testé
• Contrôle d'accès basé sur les rôles (RBAC)

Surveillance et détection

• Journalisation de l'ensemble des accès et des actions sensibles
• Système de détection des anomalies et des comportements suspects
• Limitation du taux de requêtes (rate limiting) pour prévenir les attaques par force brute et les abus
• Monitoring de disponibilité et d'intégrité du Portail

En cas d'incident de sécurité avéré ou suspecté, Smalto met en œuvre la procédure suivante :

1. Détection et qualification : identification de la nature et de la gravité de l'incident
2. Confinement : mesures immédiates pour limiter l'impact et empêcher la propagation
3. Investigation : analyse forensique pour déterminer les causes, l'étendue et les données potentiellement compromises
4. Notification : information des autorités compétentes (CNIL sous 72h si violation de données personnelles, ANSSI si incident significatif) et des utilisateurs concernés
5. Remédiation : correction des vulnérabilités identifiées et renforcement des mesures de sécurité
6. Retour d'expérience : analyse post-incident et mise à jour des procédures

Les utilisateurs du Portail s'engagent à contribuer activement à la sécurité collective en :

• Utilisant un équipement informatique sécurisé et maintenu à jour
• Ne partageant leurs identifiants avec aucun tiers
• Signalant immédiatement toute activité suspecte ou toute vulnérabilité découverte à security@smalto.com
• N'utilisant pas de réseaux Wi-Fi publics non sécurisés pour accéder au Portail
• Verrouillant leur session ou se déconnectant du Portail lorsqu'ils ne l'utilisent pas

Smalto encourage la divulgation responsable de toute vulnérabilité découverte sur le Portail. Toute personne ayant identifié une faille de sécurité est invitée à la signaler confidentiellement à security@smalto.com, en fournissant une description détaillée permettant la reproduction et la correction de la vulnérabilité.

Smalto s'engage à accuser réception dans les 48 heures, à traiter le signalement avec sérieux et diligence, et à informer le signalant des mesures prises. Les signalements effectués de bonne foi ne feront l'objet d'aucune poursuite, dès lors qu'ils n'ont pas causé de dommage volontaire.