Sécurité de la plateforme

Cette section décrit les mesures de sécurité appliquées à la plateforme et ses applications (JobTeaser.com et les Career Centers).

Contrôle d'accès

Politique de contrôle d'accès

L'accès aux informations de la plateforme est régi par des droits d'accès. JobTeaser a des niveaux de permission variés pour les utilisateurs (étudiant, recruteur, administrateurs, super-adimnistrateurs, employés JobTeaser, etc.)

L'approche de JobTeaser pour définir les privilèges et rôles est de fournir des rôles prédéfinis avec les permissions appropriées selon les cas les plus usités et les bonnes pratiques de sécurité. De cette manière, il est plus aisé pour les super administrateurs (qu'ils soient clients, partenaires ou employés JobTeaser) qui sont responsables d'octroyer des droits d'accès aux autres utilisateurs. Ceci assure l'octroie approprié des droits aux utilisateurs, selon leurs besoins, favorisant le principe du moindre privilège. Définir trop de rôles ou un niveau de granularité trop fin pour définir des privilèges est souvent contre-productif en sécurité car les administrateurs ont tendance à octroyer plus de droits aux utilisateurs que nécessaire à cause de la complexité de la configuration des rôles.

Les rôles et les permissions dépendent selon l'application. Les principaux rôles sont décrits dans les paragraphes suivants.

JobTeaser et les Career Centers

Etudiants

  • Ils sont autorisés à naviguer sur leur compte dans le front-office de la plateforme pour utiliser ses fonctionnalités (accès au contenu, s'enregistrer à des événements, postuler à une offre, adminstrer son compte et ses préférences...).
  • Non autorisés à accéder au back-office de la plateforme.

Administrateurs entreprise

Plusieurs rôles exitent pour les administrateurs, fournissant différents privilèges selon les rôle du collaborateur :

  • Les recruteurs peuvent administrer les offres d'emploi et accéder aux informations des candidats.
  • Les administrateurs entreprise peuvent éditer les détails de l'entreprise.
  • Les super-administrateurs peuvent créer de nouveaux comptes administrateur entreprise.

Administrateurs d'université ou d'école

  • Plusieurs rôles existent pour les administrateurs, selon leur rôle dans l'universite ou école. Les privilèges, en particulier l'accès aux données des étudiants, dépend du rôle.
  • Les super-administrateurs peuvent également créer des administrateurs université/école.

Enregistrement et désactivation des utilisateurs

L'enregistrement et la désactivation est la responsabilité individuelle des utilisateurs ainsi que des administrateurs de Career Centers. Lors de l'enregistrement, l'utilisateurs initialise son mot de passe à travers un lien reçu par e-mail. Lors de la désactivation du compte, l'utilisateur perd tout accès aux ressources disponibles précédemment.

La plateforme JobTeaser et toutes ses applications applique la politique de mots passe suivante :

  • Longueur d'au moins 8 caractères ;
  • Présence d'au moins 2 de ces 4 types : minuscules, majuscules, chiffres et symboles.

En cas d'échec de login, un délai exponentiel est inséré avant toutes les tentatives successives.

Notre plateforme permet aux écoles et universités de mettre en place un système de Single-Sign-On (SSO), de manière à éviter la création d'un nouveau couple login/mot de passe sur le Career Center. Dans ce cas de figure, la sécurité des moyens d'authentification est gérée par le partenaire et non JobTeaser.
Les protocoles CAS et SAMLv2 sont actuellement supportés. L'identity Provider de JobTeaser permettra de supporter le protocole openID Connect.

Provisionnement des accès utilisateurs

L'interface d'administration des Career Centers permet aux administrateurs de provisionner des utilisateurs selon le rôle dont ils ont.

Revue des droits d'accès utilisateurs

Les droits d'accès utilisateurs sont revus régulièrement.

Authentification utilisateur

Pour les Career Centers, JobTeaser permet aux écoles est universités partenaires d'intégrer un SSO pour ses utilisateurs (étudiants et administrateurs).

Une solution d'authentification est fournie par JobTeaser aux autres utilisateurs (recruteurs, utilisateurs standards et utilisateurs Cockpit/Explore). Cette solution est une solution d'authentification centralisée (jobTeaser IDP - IDentity Provider) sur la plateforme et les applications. Elle est capable de supporter des contrôles de sécurité supplémentaires tels que la surveillance des tentatives d'authentification, l'aithentification multi-facteurs, etc.

Authentification double-facteurs

JobTeaser est en phase de développer l'authentification à double facteur pour ses employés. Elle sera disponible pour les autres utilisateurs de la plateforme dans le courant de l'année.

Authentification & sécurité des API

L'authentification à la plateforme est effectuée à travers un module OpenID JobTeaser dédié. Ce module peut être à la fois Identity Provider et Service Provider, selon les besoins des partenaires.

Droits d'accès privilégiés

Les administrateurs JobTeaser s'occupent de l'enregistrement et la désactivation des comptes. Les droits d'accès sont déterminés selon le rôle fonctionnel de l'utilisateur dans l'entreprise.

Accès aux interface d'aministration

Les accès aux interfaces d'administration sont accessibles sur les réseaux publiques seulement à travers les protocoles respectant les meilleurs pratiques https et TLS.

Restriction d'accès

Toutes les informations partenaires sont cloisonnées des autres partenaires dans l'application.

Cryptographie

Données

Transport de données

Les communications entre les utilisateurs de la plateforme (étudiants, utilisateurs clients ou partenaires et administrateurs ou administrateurs JobTeaser) sont chiffrées selon les bonnes pratiques https et TLS sur les réseaux publics. Tous les trois mois, JobTeaser vérifie la pertinenece de ses mesures à travers l'API de SSL Labs ; toute note en dessous de "A" est traitée comme un incident de sécurité.

Certaines communications sont envoyées par e-mail et sont intrinsèquement moins protégées. Seules les informations publiques transitent à travers cette méthode de communication.

Données stockées

L'infrastructure AWS assure le chiffrement de toutes les banques de données non publiques stockées.

Secrets et clés

Stockage des secrets

Toutes les clés et autres secrets utilisés dans l'application sont stockés de manière sécurisées selon les bonnes pratiques.

Plus particulièrement, JobTeaser suit les bonnes pratiques de sécurité en matière de stockage des mots de passe en ne stockant jamais les mots de passe dans un format lisible par un humain, et seulement un résultat d'un hashage irréversible, salé. L'algorithme utilisé à ce jour pour le hashage est BCrypt.

Gestion des secrets

JobTeaser suit les bonne pratiques sécurité pendant chaque phase du processus de gestion des secrets :

  • Génération des clés
  • Stockage des clés
  • Utilisation des clés
  • Destruction des clés

Sécurité environementale et physique

Localisation et périmètres physiques

Notre plateforme est hébergée dans les Datacenters Amazon Web Service, localisés dans l'Union Européenne. L'accès physique est strictement controllé à la fois autours et aux entrées des bâtiments par des professionnels de la sécurité utilisant la videosurveillance, des systèmes de détection d'intrusion et autres méthodes électroniques. Le personnel autorisé doit passer l'authentification à deux facteurs a minima deux fois pour accéder aux Datacenters. Tous les visiteurs et sous-traitants sont tenus de présenter leurs papiers d'identité, doivent signer un registre et sont constamment accompagnés par des personnels autorisés.

Contrôle d'accès physique

Les Datacenters AWS comportent un périmètre de sécurité avec plusieurs zones de sécurité, des gardes 24h/24, 7j/7, de la vidéosurveillance, de l'autentification multifacteur, des verrous physiques et des alarmes de sécurité.

AWS ne donne accès aux Datacenters que si les employés et sous-traitant ont un besoin métier légitime pour de tels privilèges. Quand un.e employé.e n'a plus besoin d'accès, son accès est révoqué immédiatement, même s'il.elle est toujours un.e employé.e Amazon ou AWS. Tous les accès physiques aux Datacenters AWS sont enregistrés et régulièrement audités.

Protéger contre les menaces externes et environnementales

Détection et arrêt de feux

Des systèmes de détection et arrêt de feux automatiques ont été installés pour réduire le risque. Ce système utilise la détection de fumée dans tous les environnements du Datacenter: les espaces d'infrastructure mécaniques et électriques, les chambres de refroidissement et les pièces équipées de générateurs. Ces espaces sont protégés par des gicleurs soit à eau, soit à gaz neutre.

Alimentation électrique

Le système électrique des Datacenters ont été designés pour être redondants et maintenanbles sans impact sur les opérations, 24 eures par jour et 7 jours par semaine. Des unités d'alimentation sans interruption (en Anglais: UPS) fournissent un secours d'alimentation en cas de coupure critique d'électricité dans les zone prioritaires. Les Datacenters utilisent des générateurs pour fournir un secours d'alimentation en cas de coupure à tout le bâtiment.

Climat et température

Le contrôle de température constant sur les serveurs et autre matériel permet d'éviter la surchauffe et diminue la possibilité d'arrêt de service. Les Datacenters sont conditionnés pour maintenir des niveaux de conditions athmosphériques optimaux. Du personnel et des systèmes surveillent le contrôle de la température et de l'humidité pour qu'ils maintiennet des niveaux appropriés.

Gestion

AWS surveille les systèmes et équipements électriques, mécaniques et de vie de manière à identifier immédiatement les problèmes. Une maintenance préventive est effectuée de manière à garantir le maintien en conditions opérationnelles des équipements.

Sécurité opérationelle

Organisation des opérations

Procédures et responsabilités opérationnelles

Des politiques sont en cours de formalisation. Elles enregistrent des responsabilités associées à chaque domaine. Pour le moment, les procédures suivantes sont formalisées :

  • Politique de sauvegarde
  • Politique de gestion des vulnérabilités

Aucune procédure technique ne sera écrite, elles sont toutes automatisées.

Gestion du changement

Le cycle de développement de JobTeaser est basé sur le framework scrum et plus spécifiquement Agile. Agile est une approche de gestion de projet qui découpe les projets en des court cycle itératifs appelés "sprints". Par principe, dans un projet Agile, la planification, le design, le développement et les tests ne sont jamais finis, ils continuent de changer pendant que le projet prend forme. La gestion du changement est directement intégrée dans le processus.

Mesures technico-opérationnelles

Ségrégation des environnements

Les environnements de développement, de tests et de pré-production sont séparés physiquement et logiquement de l'environnement de production. Des données anonymisées peuplent l'environnement de pré-production, permettant des tests manuels réalistes sur des données sécurisées. Pour les environnements de tests automatiques et de développement, un sous-ensemble de ces données anonymisées est utilisé.

Protéction contre les logiciels malveillants

Les serveurs sont protégés sont les logiciels malveillants.

Sauvegarde

Notre politique de sauvegarde assure une réplication des données dans plusieurs Datacenters (en zone Europe). La réplication des instances est également configurée est résiliante. Nos bases de données de production sont sauvegardées tous les jours. Ces sauvegardes sont conservées 7 jours.

Gestion des journaux

Journalisation et contrôle

JobTeaser utilise les serveurs de journalisation de l'application qui contient les actions des utilisateurs générant une requête HTTP vers l'application (i.e. chargement de la page, soumission d'un formulaire, génération de requêtes HTTP en arrière-plan, ...), ainsi que certaines données associées.

Ces journaux incluent les actions effectuées par les comptes d'administration.

Protection des journaux

L'accès aux journaux d'événements sont restraints à certains membres de l'équipe technique.

Synchronisation des horloges

Les serveurs de notre plateforme sont actuellement synchronisés de manière interne. Nous comptons mettre en place le service Time Synch d'AWS, qui nous permettra d'être synchronisés sur des serveurs NTP et lisser les changements d'heure.

Analyse et corrélation de journaux

L'analyse et la corrélation de nos journaux est effectuées à travers Kibana et des scripts. Elle peut également être effectués manuellement pour des problématiques spécifiques.

Gestion des vulnérabilités techniques

Scan de vulnérabilités

Un équipement de scan automatique (de Qualys) est déployé sur le pré-production de JobTeaser. Il alerte le RSSI en cas de découverte de vulnérabilités préalablement au déploiement en production. Le RSSI s'assure ensuite que les vulnérabilités sont corrigées. Le scan est lancé tous les jours.

Un scanner automatique de vulnérabilités (Dependabot) est également lancé tous les jours pour découvrir les vulnérabilités dans les dépendances utilisées dans le code JobTeaser.

Analyse de code static

Ops Vuln Coder

Ops Vuln Pen Titler

JobTeaser sollicite régulièrement un prestataire spécialisé en sécurité pour effectuer des tests d'intrusion sur différents périmètres de notre plateforme et applications. Le périmètre complet de nos produits délivrés au public est revu a minima tous les 2 ans.

Divulgation responsable

Toute divulgation responsable d'une vulnérabilité trouvée sur la plateforme sera gérée dans des délais raisonnables. Que ce soit une CVE ou une vulnérabilité divulguée de manière responsable, sa classification sera basée sur le CVSS.

La catégorization qui en découlera sera :

  • Score inférieur à 5 : Vunérabilité faible
  • Score entre 5 et 8 : Vulnérabilité moyenne
  • Score entre 8 et 9 : Vulnérabilité forte
  • Score supérieur à 9 : Vulnérabilité critique

Le temps de traitement de la vulnérabilité dépendra de sa classification.

Sécurité des communications

Organisation de la sécurité réseau

Architecture

Notre architecture réseau est construite sur plusieurs zones de sécurité. Les systèmes sensibles, comme les sereurs de base de données, sont localisés dans les zones les plus sécurisées, dans lesquelles seul le trafic provenant du réseau interne est autorisé. Le trafic inter-zones est filtrés avec des pare-feux.

Ségrégation des réseaux

Notre infrastructure AWS utilise un certain nombre de fonctionalités de sécurité AWS pour isoler notre infrastructure de menaces extérieures et pour filtrer tout trafic non-authorisé (AWS VPC - Cloud Privé Virtuel -, Les groupes de sécurité et les pare-feux stateful).

Accès logique

L'accès à l'infrastructure de production de JobTeaser est restreint à certains membres de l'équipe technique, selon le principe de moindre privilège. Par défaut, les membres de l'équipe technique n'y ont pas accès et doivent formuler une demande pour obtenir un accès, sur une durée limitée. Les employés accédant à l'infrastructure de production doivent le faire à travers le VPN de l'entreprise et utiliser une authentification à multi-facteurs.

Surveillance réseau

La surveillance réseau de notre infrastructure AWS est effectuée à travers notre surveillance globale de l'infrastructure.

Sécurité réseau technique

Scan de vulnérabilités réseau

Aucun scanner de vulnérabilité réseau n'a été implémenté pour le moment.

Détection et prévention d'intrusion

Des équipements de détection et prévention d'intrusion sont installés sur l'infrastructure.

Programme de Threat Intelligence

Aucun programme de Threat Intelligence a été entamé sur la plateforme.

Atténuation des dénis de service distribués (DDoS)

Une infrastructure d'atténuation des dénis de service distribués (DDoS) va être mise en place dans les prochains mois sur la plateforme.

System acquisition, development and maintenance

Développement sécurisé

Sensibilisation au développement sécurisé

JobTeaser encourgae fortement le sensibilisation de son équipe techniques à travers des communications et séances de sensibilisation. Une communauté d'intérêt regroupe deux fois par mois des membres de l'équipe technique pour discuter et partager de bonnes pratiques, des informations et des resosurces et identifier les actions sécurité à effectuer. Des articles et présentations sur la sécurité sont réulièrement présentés à travers des chaînes de communication internes et les sessions "Tech Sharing" bi-mensuelles.

Formation au développement sécurisé

JobTeaser évalue actuellement des options de formation au code sécurisé par des experts externes, couvrant les vulnérabilités du Top 10 de l'OWASP ainsi que les vecteurs d'attaque communs.

Environnement de développement sécurisé

Le développement de la plateforme est effectué sur la machine locale des développeurs, avec un système de gestion de versions Git. Ce systèmes est hébergé par GitHub, dans des dépôts privés. GitHub garantis un niveau de confidentialité, disponibilité, intégrité et traçabilité adéquat.

Développement externalisé

Les sous-traitants de JobTeaser ont suivi des formations de développement sécurisé. Les dévelopeurs externalisés ont des accès limités aux dépôts Git de JobTeaser, selon le principe de moindre privilège.

Procédures de contrôle du changement

Contrôles de sécurité des frameworks Web

JobTeaser utilise des framworks Web modernes (i.e. Ruby on Rails, Phoenix) et utilise leurs contrôles de sécurité pour limiter l'exposition aux vulnérabilités du Top 10 de l'OWASP. Ceux-ci incluent les contrôles inhérents réduisant l'exposition aux attaques de Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), injections SQL (SQLi), par exemple.

Pare-feux applicatif Web (WAF)

Des pare-feux applicatifs Web (WAF) sont utilisés pour protéger la plupart des applications ou parties de la plateforme exposées sur Internet. Le statut actuel des différents composants est:

  • Le site Web JobTeaser et les Career Centers sont protégés par un WAF avancés, intégré au niveau applicatif
  • L'Identity Provider (IDP - JobTeaser Connect) est protégé par le WAF AWS
  • L'application Cockpit/Explore n'est pas protégée

Revue fonctionnelle des applications après modifications

Chaque modification du code source subit plusieurs revues avant d'être mise en production :

  • Une revue de code par deux autres membres de l'équipe de développement ;
  • Une revue fonctionelle et/ou tests de non-régression par les ingénieurs QA (Quality Assurance).

Protection des données de test

pour les environnement de test et de développement, un extrait anonymisé des données de production est créé automatiquement tous les jours.

Sous-traitance

Sécurité de l'information des sous-traitants

Identification des sous-traitants

Sub Rel It Html

Sécurité informatique lors de la contractualisation

La sécurité des sous-traitants utilisés dans le service JobTeaser a été vérifiée par le RSSI et le directeur technique de JobTeaser. Ils sont tous conformes au niveau de sécurité de JobTeaser. JobTeaser a la possibilité d'auditer tous ses prestataires.

Sécurité informatique lors de la contractualisation

Surveillance et revue des services externes

Les services externes sont revus avant toute contractualisation.

Gestion des changement des services externes

Un changemennt de service externe utilisé par la plateforme JobTeaser influe sur la sécurité, JobTeaser notifiera ses partenaires d'un tel changement dans un temps raisonnable.

Accords de confidentialité

Régulièrement, un cabinet d'avocats (ATIPIC) revoit les accords de confidentialités de tous les services externes impliqués dans le service jobTeaser. Les dernier audit a été effectué en juin 2018.

Gestion des incidents de sécurité de l'information

Responsabilités et preuves

La gestion des incidents de sécurité est de la responsabilité de la Chief Information Security Officer. La gestion de crise est de la responsabilité du Chief Technical Officer. Dans la pratique, un incident de sécurité est géré de la même manière qu'un incident de production : une équipe est assignée à la résolution de l'incident et des rapports sont régulièrement publiés dans status.jobteaser.com

Escalade d'événements de sécurité

Si un incident de sécurité a lieu sur la plateforme, JobTeaser notifiera les autorités compétentes et ses clients impactés dans un délai raisonnable.

Classification et décision prise sur un incident de sécurité

La classification d'un événement de sécurité est effectuée par l'équipe assignée à l'incident. Les décisions majeures sont approuvées soit par la CISO, soit par le CTO.

Réponse aux incidents de sécurité

En cas d'alerte de sécurité, les événements sont escaladés vers notre centre d'opération et surveillance de sécurité partenaire, actif 24/7. Leurs employés sont formés aux processus de réponse à incidents de sécurité, incluant la communication et l'escalade des alertes.

Apprendre des incidents de sécurité

Tous les incidents de sécurité sont enregistrés et analysés par la CISO. Des plans d'actions peuvent ressortir de ces analyses.

Collecte de preuve

Si une collecte de preuve est nécessaire pour des raisons judiciaires, JobTeaser mandatera une entreprise spécialisée pour le faire.

Continuité d'activité

Plan de Continuité d'Activité

Un Plan de Continuité d'Activité (PCA) est en cours de formalisation et sera revu tous les trois ans, suite à sa validation.

Le plan de continuité de JobTeaser repose sur la disponibilité garantie contractuellement par AWS : Tous les Datacenters sont en ligne et utilisés par leurs clients en continue ; aucun Datacenter n'est "froid". En cas de panne, des processus automatisés déplacent le trafic des données hors des zones affectées. Toutes les applications au coeur de la plateforme JobTeaser sont déployées dans une configuration de N+1 noeuds, ce qui implique que lors d'une panne d'un Datacenter, la capacité suffisante est prévue pour que la charge du trafic soit répartie sur les sites restants de manière automatique.

Continuité informatique

Redondance

Les composants critiques de l'infrastructure, tels que les serveurs Web, les serveurs d'application et les stockages de données utilisent des clusters redondés pour assurer leur disponibilité en cas de panne de système. Notre politique de sauvegarde assure que les données de notre plateforme sont répliquées dans plusieurs localisations géographiques. Nos instances répliquées sont configurées selon notre politique et leur résilience est assurée par AWS.

Reprise d'Activité

JobTeaser se concentre sur une gestion de l'architecture en mode "infrastructure-as-code", ce qui permet une reprise d'activité plus rapide lorsqu'un désastre survient nécessitant la reconstruction de l'infrastructure complète.

Test de la reprise d'activité

La configuration de la totalité de l'infrastructure et de l'application est sous froem de scripts. Lors d'un désastre, l'équipe opérationnelle est capable de restaurer la plateforme and déployant et lançant des scripts de configuration. Les bases de données sont restaurées automatiquement depuis leur sauvegardes effectuées toutes les 5 minutes. Les configurations étant utilisées au jour-le-jour, elles sont testées en permanence.

Disponibilité des services

JobTeaser s'engage à une disponibilité de 99,8% sur les fonctionnalités coeur de la plateforme. La disponibilité est mesurée à travers le système de monitoring de la plateforme. Un service de statut système est utilisé pour tracer les incicdents et fournir une mesure additionnelle de calcul de disponibilité. L'historique de ces statistiques peut être partagé avec nos partenaires sous demande.

Conformité

Conformité sécurité

ISO 27001

Pour l'instant, JobTeaser n'est pas certifié ISO 27001. Toutefois, JobTeaser suit les bonnes pratiques de la norme ISO 27002 dans l'implémentation de sa sécurité.

Cerifications AWS

En Europe, AWS se conforme aux certifications suivantes :

  • CSA
  • ISO 9001
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • PCI DSS Level 1
  • SOC 1
  • SOC 2
  • SOC 3
  • C5 (Allemagne)
  • Cyber Essentials Plus (Angleterre)
  • ENS High (Espagne)
  • G-Cloud (Angleterre)
  • IT-Grundschutz (Allemagne)

Notre plateforme bénéficie de ces certifications en étant hébergée dans les locaux AWS.

Conformité vie privée

RGPD

Le siège de JobTeaser est en France et doit donc se conformer au règlement européen de protection des données. Pour de plus amples informations à propos de la vie privée, vous pouvez vous référer à la politique de confidentialité de JobTeaser (https://www.jobteaser.com/fr/about/privacy-policy).

Adhésions

AFCDP

Le DPO de JobTeaser est membre de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP).

Autres mesures de sécurité

Destruction des équipements de stockage

La destruction physique des équipements de stockage est effectuée par notre hébergeur : AWS.

Gestion des patchs de sécurité

La gestion des patchs de sécurité est gérée selon notre politique de mise à jour de l'infrastructure. Notre but est de n'avoir jamais à patcher quoi que ce soit en ayant une infrastructure à jour en permanence.

Protection des données

Cette section décrit les mesures de sécurité relatives à la protection des données chez JobTeaser.

Confidentialité des données

Accès logique

Certains membres de l'équipe technique ont les droits pour accéder aux systèmes de la plateforme (serveurs et interfaces d'administration). La liste des personnes ayant ce niveau d'accès est revue tous les 3 mois. Ces accès sont octroyés à travers le système "infrastructure-as-code" de JobTeaser. La révocation peut être effectuée à tout moment si nécessaire, à travers un changement dans le code dédié à cet accès.

Le responsable technique de l'équipe infrastructure est responsable de l'octroie et révocation des accès des membres de l'équipe technique. Le RSSI est responsable de l'audit de ces accès.

Restrictions d'IP

Les accès privilégiés ne sont accessibles que depuis certaines adresses IP source.

Upload de fichiers

Tous les fichiers uploadés ne sont accessibles qu'aux utilisateurs autorisés.

Sécurité des transferts

Toutes les communication avec les serveurs JobTeaser sont chiffrées à travers des protocoles standard HTTPS et transitent sur des réseaux public. Ceci assure que tout le trafic entre les utilisateurs et les applications JobTeaser est sécurisé.

Les données personnelles ne transitent jamais sur des disques amovibles.

Les données personnelles ne sont accessibles qu'aux utilisateurs dont le besoins d'y accéder est reconnu, à travers l'application qui est accessible depuis Internet, à travers une connexion sécurisée HTTPS.

Protection des emails (DKIM/DMARC)

Les emails envoyés et reçus par JobTeaser sont sécurisés.

Suivi des équippements

Les équipements des employés (smartphones et ordinateurs) sont suivi et gérés à travers un mobile device manager.

Découverte automatisée de données sensibles

La découverte des données sensibles n'est pas encore automatisée.

Modération de contenu

Le contenu sur la plateforme est modéré.

Sécurité interne et opérationnelle

Cette section décrit les mesures de sécurité mises en place dans l'organisation et les process JobTeaser. Elles s'appliquent à tous les employés, sauf exceptions explicitement décrites.

Organisation de la sécurité de l'information

Gouvernance

Politique de Sécurité des Systèmes d'Information (PSSI)

JobTeaser a développé, avec l'aide, d'experts en gestion de la sécurité informatique, une Politique de Securité des Systèmes d'Information. Elle suit la structure et les principes de la norme ISO 27001, qui est un standard de sécurité informatique international. La politique a été partagée et rendue accessible à tous les employés et prestataires accédant au système d'information.

La Politique de Sécurité des Systèmes d'Information est revue tous les 2 ans de manière à prendre en compte les changements :

  • du contexte réglementaire, organisationnel ou technique ;
  • des attendus des utilisateurs et partenaires de JobTeaser ;
  • des contraintes sécurité internes ;
  • des nouvelles menaces et vulnérabilités qui pourraient s'appliquer au système d'information de JobTeaser.

Engagement de la Direction

Le système d'information de JobTeaser est une ressource critique, permettant à JobTeaser de mener ses activités et fournir ses services à ses clients et ârtenaires. Assurer la sécurité du système d'information est une étape vitale pour que JobTeaser atteigne ceratins objectifs cruciaux :

  • Garantir la confidentialité et l'intégrité des données que les utilisateurs, clients et partenaires confient à JobTeaser et en particulier les données personnelles ;
  • Assurer la continuité du service fourni à ses clients et partenaires, en particulier le site Web jobteaser.com, les pateformes de CareerCenters ainsi que les autres sites Web et applications fournis par JobTeaser ;
  • Etablir et maintenir une forte confiance entre JobTeaser et ses partenaires, and communicant et respectant ses engagements sur la protection de leurs données ;
  • Garantir la confidentialité et l'intégrité des données personnelles des colaborateurs ;
  • Respecter les contraintes et obligations légales et réglementaires, en France et à l'international ;
  • Assurer la continuité d'activité de JobTeaser.

Dans ce but, la Direction Générale de JobTeaser s'engage à allouer les moyens et ressources nécessaires.

Rôles et responsabilités

JobTeaser a défini les rôles et responsabilités de la gestion de la sécurité de l'information.

  • Le Responsable de Sécurité des Systèmes d'Information est responsable de la définition et mise à jour de la politique et le contrôle de son implémentation ;
  • Le comité de sécurité de l'information revoit la politique de sécurité et son implémentation à un niveau stratégique ;
  • L'équipe technique contribue activement à l'implémentation des mesures de sécurité à travers de smoyens techniques ;
  • La guilde sécurité est une communauté interne d'intérêt se concentrant sur la sécurité et aidant les actions sécurité transversales à travers JobTeaser.

Ressources Humaines

Processus de recrutement

Les compétences et les diplômes sont contrôlés lors de tous les recrutement. Les références d'emplois passés sont vérifiés pour les recrutements sensibles.

Responsabilité des employés

Tous les employés acceptent le règlement intérieur et la charte d'utilisation des systèmes d'information incluant les bonnes pratiques sécurité et les usages obligatoires.

Accords de confidentialité

Les contrats d'embauche de JobTeaser contiennent tous une clause de confidentialité. Tous les prestataires signent un accord de confidentialité.

Sensibilisation et formation

Des sessions de sensibilisation et de formation régulières sont adressées à tous les employés JobTeaser. Ces sessions couvrent une large gamme de sujets, tels que :

  • des bonnes pratiques sécurité générales ;
  • la sécurité du poste de travail ;
  • la gestion de données sensibles ;
  • les vecteurs d'attaque (phishing, malwares, etc.).

Le processus d'intégration dans l'entreprise inclus une session de sensibilisation sécurité.

Sécurité des actifs

Sécurité des actifs

Locaux

L'accès aux locaux de JobTeaser n'est possible qu'avec un badge nominatif. Une systèmes de vidéo-surveillance a également été installé dans les locaux. Les portes du bâtiment sont fermées entre 22h et 7h du matin ainsi que les week-ends.

Sécurité réseau

Protection

Le réseau interne de JobTeaser fourni à ses employés est protégé par un firewall. Tout le trafic entrant est interdit par défaut.

Architecture

Plusieurs zones réseau ont été définies pour isoler les différents rôles des employés JobTeaser et des équipements réseaux. En particulier, les imprimantes et les équipements mobiles sont dans des zones séparées des ordinateurs des employés.

Stratégie réseau à risque faible

Etant donné que la plupart des employés JobTeaser devraient pouvoir travailler à distance ou en situation de mobilité, le réseau interne utilisé dans les locaux est limité à la connectivité des ordinateurs à Internet et à l'utilisation d'équipements localisés tels que les imprimantes. Aucun équipement critique n'est hébergé sur le réseau local.

Cette stratégie limite les risques liés à des intrusions sur le réseau interne et réduit les besoins en sécurité correspondants.

Sécurité des stations utilisateurs

Protection contre les malwares

Toutes les stations utilisateurs sont protégées grâce à une solution anti malware.

Chiffrement

Toutes les disques durs des stations utilisateurs sont chiffrés.

Sécurité du système d'information interne

Applications internes

Gestion des accès

Les accès aux applications internes sont fournis aux nouveaux employés en fonction de leurs besoins. Les accès sont révoqués lors que les employés partent de l'entreprise.

Les accès aux applications sensibles sont audités régulièrement.

Sécurité des mots de passe

Les employés sont sensibilisés au sujet de la sécurité des mots de passe. La politique de sécurité définit la politique de mots de passe suivante :

  • Minimum 8 caractères ;
  • A minima 3 des 4 différents types de caractères (chiffres, majuscules, minuscules et caractères spéciaux).

Quand cela est possible, les applications internes sont configurées pour forcer ce besoin. De plus, l'authentification à double facteur est imposée pour les applications sensibles.

Un gestionnaire de mots de passe est fourni aux collaborateurs JobTeaser de manière à améliorer la sécurité des mots de passe. La solution permet de générer des mots de passe complexes, limite la réutilisation de mots de passe existants et permet le partage sécruisé de mots de passe.

Transport sécurisé

Toutes les communications entre les collaborateurs JobTeaser et les applications internes sont chiffrées à travers des protocoles chiffrés (TLS, SSH, etc.) sur des réseaux publics.