Notre activité est centrée sur les échanges entre différentes parties, la neutralité est un de nos engagement fort. À ce titre, nous avons une forte responsabilité de garantir l’intégrité, la confidentialité et la non-modification des données présentes au sein de notre système d’information.

Cadre Légal

Notre activité est soumise à la conformité CNIL et au Règlement Général sur la Protection des Données (RGPD). L’ensemble des informations concernant notre conformité RGPD est décrit au sein de notre dossier de conformité, disponible sur demande.

Les salariés de Res publica sont soumis au respect du règlement intérieur et à la charte informatique de l’entreprise, garantissant alors la sécurité du système d’information.

Chacun de nos sous-traitants est également soumis par contrat à nos exigences de sécurités, nous permettant ainsi de garantir l’ensemble de la sécurité du système d’information.

Mesures de Sécurité & Exigences

Accès aux données

L’accès aux données est exclusivement réservé aux salariés de Res publica dans le cadre de leurs missions.
Les accès sont nominatifs et soumis à des critères de sécurités stricts définis au sein de notre charte informatique, confidentielle.

Les accréditations et retraits d’accès aux données personnelles gérées par Res publica sont consignées au sein d’une procédure appliquée à chaque fois que l’entreprise accueille ou se sépare d’un de ses salariés.

Un accès restreint à des sous-traitants peut être accordé dans le cadre de missions spécifiques et sous la condition qu’ils respectent nos normes sécurités, en accord avec cette présente PSSI ainsi que notre dossier de conformité RGPD.

Protection des données personnelles

L’entreprise a établi un dossier de conformité RGPD répondant à l’ensemble des questionnements possibles, reprenant notamment les sujets suivants :

• Les responsabilités de Res publica

• Les données collectées et leurs traitements

• Les cookies sur Jenparle

Jenparle

Infrastructure Cloud, Disponibilité et Intégrité des données

L'infrastructure physique de Jenparle repose sur une infrastructure cloud, ainsi il n'y a pas d'interaction directe entre le personnel de Res publica et le matériel, ni envers le lieu où se trouve cette infrastructure. Ce report de responsabilité est fait sur nos prestataires Cloud : Scalingo, OVH et Scaleway.

Nous avons fait le choix du cloud souverain : les 3 entreprises sélectionnées pour leur prestations cloud sont des entreprises françaises possédant des serveurs localisés en France.

Scalingo propose un service PaaS (Platform as a Service) que nous utilisons pour héberger l’application Jenparle. Scalingo répond à nos exigences de sécurité et s’appuie sur un prestataire de confiance concernant sa propre infrastructure cloud : 3DS Outscale. Scalingo nous fournit entre une garantie haute disponibilité (99,9% SLA) et de multiples backups répliqués sur des localisations diversifiées concernant les bases de données.

OVH est notre prestataire cloud concernant l’hébergement de nos fichiers et s’engage à assurer un taux de disponibilité mensuel de 99,9% ainsi qu’un taux de résilience mensuel des données de 100%.
OVH est également notre prestataire de noms de domaines et DNS nous permettant d’orienter le traffic vers nos différents serveurs, il assure une haute protection de ces derniers (notamment grâce au DNSSEC) sur l’ensemble de nos domaines.

Scaleway est notre solution de stockage en ligne pour effectuer des sauvegardes complémentaires aux deux prestataires précédents, nous permettant d’assurer une disponibilité des sauvegardes des bases de données ainsi que des fichiers hébergés, totalement indépendante. Scaleway assure une disponibilité des données de 99,99% et une durabilité des données de 99,999999999 %.

Ce triptyque de prestations chez des acteurs différents mais tous souverains, nous permet d’assurer l’intégrité des données de Jenparle et leur disponibilité.

L’ensemble des mesures prises et des process pour garantir l’intégrité et la disponibilité de nos services est définie au sein de notre politique de sauvegarde et de nos Politiques de Continuité et de Reprise d’Activité (PCA et PRA).

Les sauvegardes effectuées ne sont accessibles que pour des motifs légitimes tels que l’audit, l’analyse d’incident ou la restauration de données.

Politique de mise à jour

Une revue mensuelle de nos différents composants est effectuée pour vérifier la disponibilité de nouvelles mises à jour offrant de nouvelles possibilités ou gains de performances. Ces mises à jour sont alors priorisées dans notre flux de travail et intégrées au planning.

Les correctifs de sécurité sont quant à eux traités différemment : nous sommes notifiés dès leur sortie par un système d’alerte automatique et nous les appliquons aussi tôt que possible.

Traçabilité

L’ensemble des modifications de l’application sont suivies par un système de gestion de version (GIT) permettant ainsi d’analyser tout changement à venir ou survenu dans le développement de l’application ainsi que son auteur. Ce système est utilisé par l’ensemble de l’équipe technique et est sécurisé sur la plateforme en ligne GitHub assurant une disponibilité de 99,9%.

Les journaux d’exécutions de l’application et des bases de données sont stockés 1 ans et nous permettent de retracer l’ensemble des opérations effectués sur la plateforme s’il venait à être nécessaire d’y accéder pour des motifs légitimes tels que l’analyse d’incident.

Nos incidents sont listés sur https://jenparle.statuspage.io. Après chaque incident dont l'importance est considérée comme significative, des informations dites de "postmortem" contenant les détails de l'événement ainsi que les actions préventives à appliquer sont ajoutées à la publication.

Sécurité des terminaux

Les ordinateurs des salariés de Res publica, quel que soit leur système d’exploitation, sont encryptés pour assurer une protection maximale des données en cas de perte ou vol.

L’accès au système d’exploitation est également protégé par mot de passe, dont la complexité doit être conforme à notre charte informatique.

Les terminaux et logiciels mis à disposition des collaborateurs sont régulièrement mis à jour, par nos collaborateurs eux même mais également par notre prestataire informatique en charge de la gestion de notre parc informatique et de sa maintenance.

Nos collaborateurs sont régulièrement sensibilisés sur la confidentialité des données et prennent toutes les précautions nécessaires pour protéger leurs équipements en toutes circonstances.

Documentation

Res publica documente chacun de ses process organisationnels et techniques dans le but d’assurer une meilleure tenue des dispositifs de sécurité et de respect de la protection des données personnelles auprès de l’ensemble de ses salariés.

Ces process sont revus régulièrement en vue d’une amélioration continue et sont communiqués individuellement à l’arrivée de chaque collaborateur et régulièrement de manière collective lors de temps d’échanges dédiés à ces problématiques.

Audits de sécurité

Res publica et la plateforme Jenparle ont été audité au cours de l’année 2020 par Orange Cyber défense sans relever de problèmes de sécurités majeurs. Chacune des recommandations émises a été prise en compte pour renforcer notre sécurité.

La plateforme Jenparle est aussi ponctuellement auditée par nos clients dont les résultats d’audits nous sont systématiquement partagés puis pris en compte par nos équipes.

Si vous souhaitez effectuer un audit de la plateforme Jenparle, merci de nous contacter au préalable.

Plans de continuité et de reprise d’activité

La continuité de l’activité est prévue est documentée dans le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’Activité (PRA). Ces documents sont confidentiels.

Ils décrivent notamment :

• Les mesures de sécurité et de redondance mises en œuvre

• Les procédures à réaliser en cas d'incident