Retour à Confiance, sécurité et accessibilité

Sécurité chez Monta

Aperçu de la façon dont Monta protège vos données et votre vie privée en matière de sécurité organisationnelle, de gestion des accès, d'infrastructure, de chiffrement, de surveillance, de gestion des incidents et bien plus encore.

Centre d'assistance / Ressources / Confiance, sécurité et accessibilité / Sécurité chez Monta

Sécurité chez Monta

Aperçu de la façon dont Monta protège vos données et votre vie privée en matière de sécurité organisationnelle, de gestion des accès, d'infrastructure, de chiffrement, de surveillance, de gestion des incidents et bien plus encore.

Pour : Les partenaires, les utilisateurs et toute personne souhaitant comprendre comment Monta gère la sécurité des informations.

Sécurité organisationnelle

  • Certification ISO 27001:2022 : Monta est certifiée depuis 2023. Le certificat est disponible en bas de cette page.
  • Attestation SOC 2 Type II : Nous avons obtenu une attestation SOC 2 Type II confirmant que nos contrôles de sécurité sont bien conçus et fonctionnent efficacement dans le temps. L'attestation est disponible en bas de cette page.
  • Comité de sécurité de l'information : La sécurité organisationnelle est gérée par un comité dédié représentant l'ensemble de l'organisation.
  • Sensibilisation aux risques et formation : Nous menons des campagnes internes d'intégration, de formation et de sensibilisation afin de réduire les risques de sécurité liés aux facteurs humains.
  • Politique et directives internes : Notre politique informatique couvre les obligations de confidentialité, l'utilisation acceptable, les politiques de bureau rangé et d'écran verrouillé, le signalement interne des incidents et la conformité aux politiques de cybersécurité.
  • Gestion proactive des risques : Notre conseil d'administration a mis en place un Comité des risques qui supervise un cadre de gestion proactive des risques.
  • Cadence de gouvernance : Le Comité de sécurité de l'information effectue des revues mensuelles du SMSI, des audits internes trimestriels et une revue annuelle de la direction. Les audits ISO annuels sont réalisés par DNV.
  • Conformité continue avec Drata : Nous utilisons Drata pour la continla surveillance des contrôles, la collecte automatisée de preuves et les attestations de politique centralisées dans le cadre de notre périmètre ISO 27001.

Gestion des accès

  • Principe du moindre privilège : L'accès est accordé en fonction du poste occupé et du besoin d'en connaître.
  • Méthodes de connexion sécurisées : La connexion s'effectue via SSO par JumpCloud ou par autorisation via Google ou GitHub.
  • Réseaux cloud isolés : Tous les réseaux cloud sont entièrement isolés au sein de réseaux privés sur AWS, sans accès externe. Les accès autorisés utilisent des connexions proxy avec des politiques strictes.
  • Surveillance continue et accès basé sur les rôles : Les données sensibles sont protégées dans des environnements cloud qui journalisent automatiquement tous les accès. Les journaux sont conservés de manière isolée afin d'éviter toute falsification. Les droits d'accès sont évalués et testés manuellement pour garantir leur adéquation avec les fonctions de chaque poste.
  • Révisions des accès : Effectuées régulièrement par le Comité de sécurité de l'information afin de garantir le respect permanent du principe du moindre privilège.

Infrastructure et hébergement

  • Hébergement cloud sur AWS : Tout l'hébergement est basé sur le cloud AWS. Le travail des employés est stocké dans le cloud plutôt que sur des appareils locaux ou des équipements externes.
  • Chiffrement et gestion des clés : Le chiffrement au repos est appliqué à tous les espaces de stockage, avec des clés gérées via AWS KMS (Key Management Service) et AWS Managed Keys.
  • Séparation des utilisateurs par logiciel : Notre architecture repose sur une séparation robuste par logiciel entre les utilisateurs, ce qui nous permet de renforcer une plateforme mutualisée unique et sécurisée.
  • Orchestration Kubernetes : Nous utilisons Kubernetes pour exécuter et faire évoluer nos services.
  • Durcissement des systèmes : Nous réduisons les vulnérabilités en supprimant les services et applications inutiles, et en appliquant les bonnes pratiques de sécurité. Nous utilisons GitOps pour déployer les mises à jour et remplaçons régulièrement les serveurs par des images de base plus récentes.

Sécurité des réseaux et des communications

  • Réseaux privés et segmentation : Les services applicatifs et de données fonctionnent sur des réseaux internes sans exposition directe à Internet. Seuls les points de terminaison HTTPS strictement délimités sont publics. Les environnements de pré-production et de production sont isolés.
  • Réseaux de bureau : Les bureaux de l'entreprise utilisent des équipements réseau de niveau professionnel avec un pare-feu et une segmentation gérés de manière centralisée.
  • Transfert d'informations : Les contenus sensibles sont échangés via des canaux sécurisés, conformément à nos politiques internes en matière d'informatique et de cybersécurité.

Chiffrement des données

  • Standards : Nous utilisons TLS 1.2 ou supérieur pour les données en transit et AES-256 pour les données au repos.
  • Chiffrement en transit : Notre méthode principale est HTTPS avec les derniers algorithmes de chiffrement. Les certificats sont gérés via :
    • AWS Managed Certificates pour les systèmes tels que nos points de terminaison OCPP.
    • Let's Encrypt au sein de notre cluster Kubernetes -- les clés privées sont sécurisées et accessibles uniquement à notre équipe SRE. Les certificats sont renouvelés automatiquement tous les 8 mois.

Surveillance du système

  • Tableaux de bord et alertes (Grafana) : L'état de santé de la plateforme et les signaux de sécurité sont surveillés dans Grafana, avec une escalade d'astreinte intégrée à nos outils de collaboration.
  • Détection et gestion des vulnérabilités : L'analyse automatisée couvre l'infrastructure et les environnements d'exécution. Les résultats sont triés et corrigés selon des SLA basés sur les risques.
  • Journalisation centralisée et audit : Les événements applicatifs et de sécurité sont consolidés dans un service central de journalisation d'audit. L'accès aux journaux est lui-même audité et suit le principe du moindre privilège.
  • Conservation consultable (S3 chiffré) : Les journaux sont archivés sur AWS S3 avec chiffrement au repos et une conservation gérée par cycle de vie.

Reprise après sinistre et continuité d'activité

  • Plans documentés : Nous maintenons des plans de continuité des activités et de reprise après sinistre (BCP/DR) définissant comment nous maintenons les services disponibles et restaurons les systèmes en cas d'interruption.
  • Fréquence des tests : Le BCP est exercé au moins deux fois par an ; le DR est testé au moins une fois par an à l'aide d'exercices sur table et d'exercices techniques.
  • Protection des données et sauvegardes : Les sauvegardes sont chiffrées et régulièrement testées en restauration. Notre architecture repose sur des zones de disponibilité multiples et une résilience régionale afin de réduire le risque de point de défaillance unique.
  • Communications : Les mises à jour sont publiées sur notre page de statut publique à l'adresse status.monta.app lors d'incidents affectant les performances de la plateforme.

Gestion des incidents

  • Notifications réglementaires : Nous évaluons les incidents au regard des implications de violation de données personnelles au titre du RGPD et des incidents de cybersécurité significatifs relevant de NIS2, et notifions les autorités compétentes lorsque cela est requis.
  • Plan de gestion des incidents structuré : Géré par le Comité de sécurité de l'information, avec les incidents suivis et résolus via Grafana.
  • Amélioration continue : Nous menons une analyse post-mortem approfondie après chaque incident afin d'en identifier les causes profondes. Une revue hebdomadaire des incidents permet de partager les enseignements tirés et de suivre les actions correctives.

Développement sécurisé des produits

  • Cycles de développement structurés : Le développement est organisé en cycles de 6 semaines, chacun débutant par une session de planification pour aligner les priorités.
  • Ingénierie et déploiement : Le code fait l'objet de tests et de révisions rigoureux. Les déploiements en production nécessitent une approbation manuelle.
  • Séparation des environnements : Un environnement de staging reproduit la production pour les tests finaux. Les indicateurs de fonctionnalités permettent un déploiement progressif -- d'abord en interne, puis auprès des utilisateurs alpha et bêta, puis auprès de tous les utilisateurs.
  • Politique de correctifs : Les correctifs critiques sont appliqués immédiatement. Tous les autres correctifs suivent un calendrier basé sur les risques. Des outils automatisés gèrent le déploiement régulier des correctifs ; une révision manuelle est effectuée pour les correctifs critiques.

Sécurité des points de terminaison

  • Protection des appareils : Les ordinateurs portables et appareils mobiles gérés par l'entreprise appliquent le chiffrement intégral du disque, le verrouillage d'écran, l'effacement à distance et les mises à jour automatiques via notre système de gestion des appareils mobiles (MDM), JumpCloud.
  • Politique de mot de passe : Tous les mots de passe des employés doivent comporter au moins 15 caractères, conformément aux règles appliquées par JumpCloud.
  • Télétravail : Une politique de télétravail définit les mesures de sécurité applicables au travail effectué en dehors d'un environnement de bureau sécurisé.
  • Politique BYOD : Les appareils mobiles personnels sont autorisés, mais tout accès aux données doit s'effectuer via les systèmes Monta. Le stockage ou le traitement de données sur des appareils personnels est interdit.

Gestion des fournisseurs

  • Processus d'approbation des fournisseurs : Tous les fournisseurs tiers font l'objet d'un processus d'approbation complet couvrant la conformité, la sécurité, les conditions contractuelles et la protection des données.
  • Gestion des fournisseurs : Notre processus de gestion des fournisseurs examine rigoureusement la sécurité, les conditions contractuelles et la protection des données afin de garantir la sécurité de nos opérations et leur alignement sur nos objectifs.

Amélioration continue et validation

  • Révisions et audits réguliers : Le Comité de sécurité de l'information effectue des révisions mensuelles du SMSI. Un programme d'audit interne est conduit trimestriellement avec des tests par échantillonnage.
  • Tests de pénétration externes : Nous collaborons avec Cobalt pour des tests de pénétration annuels. Les rapports sont disponibles de manière confidentielle sur demande.
  • Audits de certification ISO : Les audits ISO annuels sont réalisés par DNV. À la suite de l'audit 2024, notre auditeur a félicité Monta pour son "grand enthousiasme et son engagement envers l'amélioration continue des processus au sein du SMSI et de l'ensemble de l'organisation."

Données personnelles

Certificat ISO 27001:2022

Voir le certificat

Attestation SOC 2 Type II

Voir l'attestation

Cet article vous a-t-il été utile ?

Donner votre avis sur cet article

Articles associés

Accessibilité chez Monta

Pour : Les partenaires, les utilisateurs et toute personne intéressée par l'approche de Monta en...