Notre programme de sécurité est intégré dans tous nos processus commerciaux. Depuis le premier contact commercial, en passant par la fourniture d'une preuve de concept, jusqu'à la livraison d'applications de production.
Chez ML6, la sécurité est dans notre sang. Notre programme de sécurité est intégré dans tous les processus d'affaires. En commençant par le premier contact de vente, en livrant une preuve de concept, jusqu'à la livraison d'applications de production.
Pour prouver notre engagement envers la sécurité de l'information, notre programme de sécurité est certifié selon la norme ISO/IEC 27001:2017. Cette norme internationalement reconnue fournit des exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement la sécurité de l'information au sein d'une organisation.
En tant que première ligne de défense contre les cybermenaces, le personnel reçoit régulièrement des formations sur des sujets liés à la sécurité de l'information tels que l'hameçonnage, le signalement des incidents, la réglementation en matière de respect de la vie privée, la classification des informations, le traitement des informations, etc.
Le personnel technique reçoit une formation plus approfondie sur les pratiques de développement sécurisé et la sécurité des applications web, notamment sur la liste des 10 meilleures pratiques de l'OWASP. En outre, le personnel technique dispose de compétences techniques avérées sur Google Cloud sous la forme de certifications Google Cloud.
L'accès aux systèmes est accordé au personnel selon le principe du moindre privilège. L'authentification des utilisateurs aux systèmes de grande valeur est protégée par une authentification à deux facteurs, plus précisément par des clés de sécurité physiques. Les clés de sécurité physiques constituent un deuxième facteur résistant au phishing dans le processus d'authentification.
Lorsque ML6 fait appel à des fournisseurs pour des services, ML6 effectue une évaluation des risques pour s'assurer que le fournisseur répond au moins aux mêmes normes de sécurité que ML6 et que les services seront fournis de manière fiable.
ML6 a mis en place une procédure documentée de réponse aux incidents de sécurité selon les meilleures pratiques de l'industrie. La procédure contient les étapes suivantes : rapport, classification, analyse, confinement, éradication et récupération de l'incident.
Une revue post-incident cherche à tirer les leçons d'un incident de sécurité pour optimiser davantage les contrôles et les procédures.
ML6 a mis en place une procédure de développement sécurisée afin d'inclure des contrôles de sécurité dans plusieurs étapes du processus de développement.
Le développement des applications inclut les exigences de sécurité et de confidentialité dans la phase de conception, ce qui minimise les risques de sécurité mais aussi les coûts.
Le code est automatiquement analysé à l'aide d'outils d'analyse de code statique, signalant les problèmes de sécurité courants dans le code.
Si nécessaire, les applications sont régulièrement testées par des tiers afin d'identifier les éventuelles vulnérabilités inconnues.
Les applications et les analyses de ML6 sont principalement hébergées sur Google Cloud. Par conséquent, ML6 utilise la même infrastructure sécurisée, la même protection intégrée et le même réseau mondial que le moteur de recherche Google, Gmail, YouTube, etc.
Google Cloud fait régulièrement l'objet d'une vérification indépendante des contrôles de sécurité, de confidentialité et de conformité, et obtient une certification par rapport aux normes mondiales.
Les données stockées dans Google Cloud sont cryptées à plusieurs niveaux avec AES256 et AES128 pour sécuriser les données. Google Cloud utilise également diverses méthodes de cryptage, par défaut et configurées par ML6, pour les données en transit.
L'infrastructure Google Cloud utilisée au ML6 est configurée à l'aide du CIS Benchmark.
Les repères CIS sont des bases de configuration et des meilleures pratiques pour configurer un système de manière sécurisée. ML6 effectue un scan quotidien sur son infrastructure Google Cloud pour détecter les mauvaises configurations.
