Passer au contenu principal

Assurer la conformité & la sécurité (SaaS / On‑prem)

Cette fiche synthétise les engagements et mesures de sécurité et de conformité applicables à la suite Hamilton Apps, en modes SaaS et On‑prem : gouvernance SSI, protection datacenters, chiffrement, sauvegardes, continuité, RGPD et auditabilité.

Mis à jour il y a plus de 2 mois

1) Gouvernance & organisation SSI

  • Politique SSI formalisée (PSSI), revue au moins annuellement, avec reporting mensuel RSSI et contrôles/audits récurrents.

  • Tests de sécurité annuels (pentests BlackBox/GreyBox) ; correction des vulnérabilités détectées.

  • Process RH & confidentialité : sensibilisation régulière, gestion des arrivées/départs, révocation immédiate des accès, interdiction d’usage de terminaux personnels non autorisés.

2) Hébergement SaaS & sécurité physique

  • Données de production hébergées en France chez des hébergeurs tiers (ex. OVHcloud/KDDI) ; aucun actif de production client n’est hébergé dans les locaux d’Hamilton Apps.

  • Datacenters type Tier 3+ : contrôle d’accès, vidéosurveillance 24/7, gardiennage, détection incendie (VESDA/double boucle), alimentation et réseau redondés (UPS/générateurs, liens opérateurs multiples).

3) Sécurité des communications & des accès

  • Chiffrement des flux : accès utilisateurs en HTTPS/TLS 1.2+ ; échanges techniques sécurisés (VPN/SSH/SFTP selon besoin).

  • Identité & SSO : prise en charge SAML v2 / ADFS / OAuth ; annuaire AD/LDAPS si requis ; habilitations gérées par l’application.

  • Administration : opérations réalisées depuis des postes d’administration sécurisés (VPN/IP autorisées).

  • Journalisation & supervision : monitoring continu (systèmes/réseaux/applicatif), journalisation des événements et conservation des logs sur une durée opérationnelle (référentiel interne).

4) Sauvegardes, continuité & résilience (SaaS)

  • Sauvegardes quotidiennes des données et des VM avec rétention 2 semaines.

  • Continuité : redondance multi‑niveaux (réseau, pare‑feu, switchs, serveurs, stockage/SAN, alimentations) et virtualisation avec bascule automatique en cas de défaillance.

  • Supervision & alerting : seuils et alertes temps réel (CPU, mémoire, I/O, disponibilité services/URL, bases SQL), anti‑DDoS en périmètre réseau.

5) RGPD : engagements et preuves

  • Cadre contractuel : « Dispositions RGPD » décrivant engagements de traitement (confidentialité, sécurité, localisation UE, Privacy by Design, assistance au Client).

  • Violations de données : notification au Client dans les meilleurs délais et ≤ 48 h après connaissance de l’incident, avec informations utiles et mesures prises.

  • Audits Client : droit d’audit encadré (préavis, fréquence et périmètre définis) ; documentation fournie sur demande.

  • Sort des données (fin de contrat) : restitution sur demande puis destruction des copies résiduelles, avec certificat de destruction.

  • Référent données personnelles (DPO/référent) : coordonnées disponibles dans les Dispositions RGPD officielles.

6) Bonnes pratiques On‑prem (rappel)

  • Appliquer la PSSI interne de l’organisation ; TLS/LDAPS end‑to‑end, pare‑feu, mises à jour OS/middleware, antivirus et sauvegardes conformes à la politique locale.

  • Restreindre l’administration (VPN, IPs autorisées), séparer environnements (prod/recette), tracer les accès, et tester restauration & PRA régulièrement.

Liens croisés

  • Disponibilité & continuité → « SLO/SLA, PRA/PCA » (voir Maintenance & Support – SaaS).

  • Modèle d’architecture → vues SaaS/On‑prem & flux.

  • RGPD / DPA → « Dispositions RGPD », sort des données & audits.

  • Chiffrement & secrets → « En transit/au repos, certificats ».

Articles connexes
Comprendre le modèle d’architecture (SaaS & On‑prem)
Mettre en œuvre le chiffrement & la gestion des secrets
Sauvegarder & restaurer les données (SaaS / On‑prem)
Gérer les incidents & vulnérabilités (détection → réponse → remédiation)
Sécuriser l’environnement On‑prem
Avez-vous trouvé la réponse à votre question ?