Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
l'actualité de Card.biz, outils en ligne de création d'organigrammes, trombinoscopes et annuaires

Card.biz et la sécurité

Richard "Rfly" Malterre #securité, #test d'intrusion
Card.biz et la sécurité

English version on our new en's blog here

Depuis le lancement de Card.biz nous sommes souvent questionnés sur la sécurité.

Souvent, il s'agit d'une question plutôt générale qui ne demande pas vraiment une réponse technique, mais plutôt de simplement de rassurer.

Parfois, il s'agit simplement de rassurer sur le fait qu'un annuaire Card.biz est privé par défaut (donc protégé par identifiant/mot de passe). Il est possible de le rendre 100% public comme nous l'avons fait pour notre Démo.

Si on creuse un peu plus la question de la sécurité, il faut rapidement en venir à crypter les données entre le client et le serveur, comme vous pouvez le voir en vous connectant sur le site, la connection est automatiquement "forcée" en HTTPS.

L'étape d'après consiste pour garder un regard très global à analyser le code et s'assurer qu'il ne comporte par de brèches. Il est indispensable pour Card.biz de s'assurer qu'il n'est pas possible de voler les données de nos clients. Notre première arme est l'utilisation du Ruby mais à la demande d'un client, nous avons dû passer une nouvelle étape : le test d'intrusion.

Nous avons donc listé les pour et les contre :

Contre :

- c'est cher

- c'est du temps

- Cela ne donne pas droit à un label/mention/logo...

Pour :

- Tester nos compétences

- Nous permettre de nous améliorer

- Régler des problèmes que nous n'aurions pas détecté

- Commencer à vraiment intégrer Card.biz avec un groupe international

- Donner une raison de plus de nous faire confiance sur le sujet de la sécurité

- Ecrire cet article :)

Malgré le prix qui était vraiment élevé nous avons décidé de le faire.

Nous avons donc mandaté un tiers de confiance, spécialisé dans ce type de mission qui pendant plusieurs jours à tester le service.

Et bonne nouvelle : aucune faille de sécurité \o/

Vos données sont en sécurité.

Bien sûr ils ont trouvé des petites choses à corriger, mais aucune d'importante et surtout les conséquences n'aurait pu nuire qu'au Card.biz et pas à ses clients.

Maintenant, seul le temps nous dira si le ROI est à la hauteur de l'investissement.

A suivre.

Richard

Anonyme 12/02/2014 16:06

Dans les pour et les contre il manque des arguments liés aux obligations légales :
La CNIL (Commission Nationale Informatique et Liberté), nous rappelle les obligations du responsable du traitement au sujet de la sécurité et en particulier sur la confidentialité des données à caractère personnel. Un annuaire comporte je pense "quelques DCP", et les clients de Card.biz sont légalement tenus d'obtenir des garanties pour leur protection.
Extraits CNIL ci dessous :
-------------------
"Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.
-----
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).
La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende.
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende.
art. 226-22 du code pénal

Richard "Rfly" Malterre 12/02/2014 22:54

Bonjour.
Vous avez raison sur les obligations légales qui s'imposent.

Je dois avouer que lors de la création technique de Card.biz l'aspect légal n'a jamais été au centre, par contre la sécurité des données, clé de voute de notre service OUI.

On en peut pas proposer un outil comme le notre sans d'abord garantir que les données sont en sécurités.
C'est la raison pour laquelle cela n'apparait pas, Card.biz est conçu avant tout pour garantir la sécurité, le test a permis de valider que nous avions respecté notre engagement.