Politique de Sécurité de Finthesis

Finthesis vous garantit un service hautement sécurisé en assumant l'entière responsabilité de la sécurité des systèmes et des données. Notre vision est définie dans la Politique de Sécurité de l'Information de Finthesis.

Sécurité de nos systèmes de gestion

Nos systèmes vous permettent d'adapter de nombreuses mesures de sécurité en fonction de votre propre politique de sécurité :

  • Noms d'utilisateur uniques permettant de tracer les activités pertinentes à un niveau individuel

  • Contrôle du nombre de tentatives de connexion infructueuses

  • Capacités d'authentification multi-facteurs (mot de passe à usage unique et/ou biométrie)

  • Chiffrement systématique des mots de passe

Lors du développement et de la gestion de nos logiciels, nous appliquons les meilleures pratiques, telles que :

  • Visma Security Program (VSP) : Normes de Visma pour le développement sécurisé des logiciels

  • Documentation du National Cyber Security Center : Lignes directrices en matière de sécurité des applications web

  • OWASP Top 10 : Liste des dix principales vulnérabilités des applications web selon l'Open Web Application Security Project

Accès à nos systèmes

L'accès à vos données n'est possible qu'avec un nom d'utilisateur valide, un mot de passe, et une authentification multi-facteurs optionelle, mais que vous pouvez rendre obligatoire à tous vos utilisateurs.

Il est également recommandé d'utiliser l'authentification unique (Single Sign-On - SSO).

Une connexion chiffrée SSL/TLS assure la sécurité des données durant leur transmission.

Après connexion, vous accédez uniquement aux fonctionnalités pour lesquelles vous êtes autorisé (différenciation des droits entre gestionnaires, employés, RH et administrateurs).

Surveillance de la sécurité

La sécurité de vos données est surveillée 24h/24 et 7j/7. Nous collaborons avec des spécialistes du secteur et nous nous appuyons sur des systèmes de détection d'intrusion. Pour assurer une traçabilité efficace :

  • L'accès aux systèmes, leur utilisation et les erreurs système sont enregistrés (avec l'identifiant utilisateur, la date, l'heure et l'événement concerné)

  • Les journaux sont conservés à des fins d'enquête

  • Les changements affectant les systèmes et composants critiques (pare-feux, routeurs, commutateurs réseau) sont également consignés

En outre, nous utilisons des outils de type SAST (Static Application Security Test), DAST (Dynamic Application Security Test) ainsi que des détecteurs de failles dans les dépendances, que nous lançons et monitorons quotidiennement.

Gestion des incidents de sécurité

Nous garantissons une application stricte des mesures de sécurité. Toute déviation est détectée, analysée et classifiée. Les infractions aux mesures de sécurité sont enregistrées et des mesures supplémentaires sont prises en fonction des incidents relevés.

Signalement des vulnérabilités

Finthesis prend très au sérieux la sécurité des données de ses clients et veille à la protection de ses applications SaaS. Pour permettre aux utilisateurs de contribuer à la sécurité, nous offrons la possibilité de signaler les abus ou les vulnérabilités présumées directement à notre équipe de sécurité.

Nous offrons deux moyens de signalement :

  1. Via notre adresse e-mail officielle security@visma.com. Les incidents sont analysés par un expert en sécurité avant d'être traités par l'équipe de développement concernée

  2. Via le programme de divulgation responsable Finthesis, disponible sur une plateforme spécialisée

Nous demandons à toute personne suspectant une vulnérabilité d'utiliser ces canaux pour limiter les risques pour les parties concernées. Toute divulgation via les réseaux sociaux est fortement déconseillée.

Tests d'intrusion

Nous effectuons des tests réguliers sur notre infrastructure et nos logiciels pour identifier d'éventuelles vulnérabilités. Ces tests sont réalisés au moins une fois par an et lors de modifications techniques ou fonctionnelles majeures. Nous collaborons également avec des organismes externes qualifiés. Les résultats de ces tests sont analysés, classifiés et corrigés.

Continuité d'activité

Pour prévenir les pannes techniques, nos services sont hébergés sur des environnements redondants et répartis sur plusieurs sites. En cas de défaillance d'un composant, les tâches sont automatiquement réattribuées.

En cas de sinistre, Finthesis est en mesure d'ajuster rapidement ses environnements de production et d'activer des sites de secours. Des sauvegardes quotidiennes, hebdomadaires et mensuelles des systèmes et des données sont réalisées et stockées de manière sécurisée, indépendamment des systèmes de production.

Plan de reprise d'activité

Notre plan de continuité d'activité couvre à la fois les infrastructures SaaS et l'assistance de notre Service Desk. Nous veillons à assurer la poursuite de nos activités grâce à des plans de reprise adaptés. Des tests périodiques sont réalisés pour vérifier la fiabilité des mécanismes de secours.

Fournisseurs

Nous avons également conclu des accords avec nos fournisseurs pour garantir la continuité de nos services lorsqu'ils sont impliqués.