Le cadre de conformité complet de MyQ X démontre son engagement à respecter les normes de sécurité internationales et les exigences réglementaires les plus strictes. Cette approche à plusieurs niveaux garantit que les organisations peuvent déployer MyQ X en toute confiance tout en satisfaisant aux diverses exigences de conformité dans tous les secteurs et toutes les juridictions.
Certification et mise en œuvre de la norme ISO 27001:2022
MyQ a obtenu la certification ISO/IEC 27001:2022, établissant une approche systématique de la gestion de la sécurité de l'information qui répond aux meilleures pratiques internationales. La mise en œuvre comprend :
Cadre de gestion des risques : processus complets d'évaluation des risques qui identifient, évaluent et atténuent les risques liés à la sécurité de l'information dans toutes les opérations commerciales et tous les déploiements clients.
Mise en œuvre de contrôles de sécurité : déploiement structuré de contrôles de sécurité techniques, administratifs et physiques qui protègent les actifs informationnels tout au long de leur cycle de vie.
Processus d'amélioration continue : révisions et mises à jour régulières des politiques, procédures et contrôles de sécurité afin de faire face à l'évolution des menaces et de maintenir la conformité à la certification.
Engagement de la direction : supervision au niveau exécutif garantissant que la sécurité reste intégrée dans la stratégie commerciale et les processus décisionnels opérationnels.
La certification valide l'approche systématique de MyQ en matière de protection des données des clients et de maintien de la confidentialité, de l'intégrité et de la disponibilité des systèmes d'information.
Cadre de conformité au RGPD et mesures de protection des données
MyQ X met en œuvre une conformité GDPR complète grâce à des principes de confidentialité intégrés dans l'architecture du système :
Minimisation des données : le système ne collecte que les métadonnées essentielles nécessaires au fonctionnement opérationnel, évitant ainsi tout traitement inutile de données à caractère personnel qui pourrait augmenter les risques de non-conformité.
Gestion des droits des utilisateurs : mise en œuvre complète des droits des utilisateurs du RGPD, notamment
-
Droit d'accès aux données personnelles
-
Droit de rectification des informations inexactes
-
Droit à l'effacement (« droit à l'oubli »)
-
Droit à la portabilité des données
-
Droit à la limitation du traitement
Évaluations d'impact sur la protection des données : évaluation systématique des risques liés à la confidentialité pour les nouvelles fonctionnalités et les nouveaux déploiements, afin de garantir le respect du RGPD tout au long de l'évolution du système.
Exigences de conformité régionales (HIPAA, SOX)
MyQ X prend en charge les cadres de conformité spécifiques à l'industrie grâce à des capacités robustes de protection des données et d'audit :
Conformité HIPAA pour les soins de santé :
-
Chiffrement des informations médicales protégées (PHI) au repos et en transit.
-
Journalisation complète de tous les accès aux données de santé sensibles.
-
Contrôles d'accès basés sur les rôles limitant l'accès aux PHI au personnel autorisé uniquement.
-
Procédures sécurisées de sauvegarde et de récupération pour répondre aux exigences de conservation des données de santé.
Conformité SOX pour les services financiers :
-
Pistes d'audit détaillées pour le traitement et l'impression des documents financiers.
-
Contrôles d'accès empêchant toute modification non autorisée des documents financiers.
-
Fonctionnalités d'archivage sécurisées prenant en charge les exigences réglementaires en matière de conservation.
-
Séparation des tâches grâce à des autorisations basées sur les rôles et des workflows d'approbation.
Contrôles de sécurité supplémentaires :
-
Chiffrement des bases de données à l'aide d'algorithmes conformes aux normes de l'industrie.
-
Protocoles de communication sécurisés pour toutes les transmissions de données.
-
Procédures de sauvegarde automatisées avec chiffrement et vérification de l'intégrité.
-
Journalisation et surveillance des accès pour les rapports de conformité.
Pratiques sécurisées du cycle de vie du développement logiciel (SSDLC)
MyQ met en œuvre un cycle de vie sécurisé du développement logiciel conforme aux normes industrielles et aux exigences de la chaîne d'approvisionnement SLSA, garantissant ainsi que les pratiques de sécurité sont intégrées à toutes les phases du cycle de vie du logiciel.
Analyse
MyQ effectue une modélisation rigoureuse des menaces et définit des exigences de sécurité claires lors de la phase d'analyse initiale, ce qui permet d'identifier rapidement les risques et d'établir une base de référence solide en matière de sécurité avant le début de la conception.
Conception
Toutes les propositions architecturales sont soumises à des examens formels de l'architecture de sécurité afin de valider le respect de principes tels que le privilège minimal, la confiance zéro et la défense en profondeur, garantissant ainsi que la sécurité est systématiquement intégrée dans la conception du système.
Développement
Les développeurs suivent des pratiques de codage sécurisé et des processus d'examen par les pairs, tandis que toutes les versions sont exécutées sur des serveurs de compilation dédiés et isolés, conformes à la norme SLSA, garantissant ainsi la protection de l'intégrité des sources et des artefacts de compilation.
Test
Les tests de sécurité comprennent des analyses SAST et de dépendances automatisées intégrées dans les pipelines CI, ce qui permet de détecter rapidement les vulnérabilités dans le code personnalisé et les composants tiers.
Déploiement
Tous les artefacts de publication sont protégés par signature de code et vérifiés lors du déploiement, ce qui garantit leur intégrité, leur authenticité et leur livraison contrôlée dans les environnements de production.
Maintenance
Après le déploiement, les systèmes font l'objet d'une surveillance continue et d'une gestion structurée des correctifs, ce qui garantit une adaptation permanente aux menaces en constante évolution et aux meilleures pratiques en matière de sécurité.
Audits de sécurité et tests de pénétration réguliers
MyQ maintient une validation de sécurité robuste grâce à des programmes de tests et d'évaluation systématiques :
Tests de pénétration automatisés : l'intégration avec la plateforme de sécurité Qualys permet une évaluation continue des vulnérabilités et des tests de pénétration pour toutes les versions logicielles.
Évaluations de sécurité par des tiers : des audits de sécurité indépendants sont menés par des organismes externes qualifiés afin de valider les contrôles de sécurité et d'identifier les améliorations potentielles.
Examens de sécurité internes : évaluations internes régulières des politiques, procédures et contrôles techniques de sécurité afin de garantir leur efficacité et leur conformité continues.
Processus de réponse aux vulnérabilités : procédures structurées pour traiter les problèmes de sécurité identifiés, y compris les délais requis pour le développement et le déploiement des correctifs.
Nomenclature logicielle et gestion des vulnérabilités
MyQ met en œuvre une sécurité complète de la chaîne d'approvisionnement grâce à un suivi détaillé des composants et à la gestion des vulnérabilités :
Publication de la nomenclature logicielle : documentation complète de la nomenclature logicielle identifiant tous les composants, bibliothèques et dépendances tiers utilisés dans les systèmes MyQ X.
Analyse automatisée des vulnérabilités : surveillance continue des bases de données des composants à la recherche de nouvelles vulnérabilités identifiées affectant les dépendances MyQ X.
Gestion rapide des correctifs : processus systématique d'évaluation, de test et de déploiement des mises à jour de sécurité pour les composants tiers, avec hiérarchisation basée sur l'évaluation des risques.
Contrôle des versions des composants : suivi détaillé de tous les composants logiciels, y compris les numéros de version, les niveaux de correctifs de sécurité et les calendriers de mise à jour, tels que documentés dans les notes de mise à jour.
Évaluation de la sécurité des fournisseurs : évaluation des fournisseurs de logiciels tiers afin de s'assurer qu'ils respectent les normes de sécurité et les processus de divulgation des vulnérabilités appropriés.
Ce cadre de conformité complet garantit que MyQ X répond à diverses exigences réglementaires tout en maintenant les normes les plus élevées en matière de sécurité de l'information et de protection des données dans tous les environnements opérationnels.