Politique de Sécurité
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc. En cas de divergence ou de conflit entre cette traduction et la version originale turque, la version turque prévaudra. La version originale turque est disponible sur : https://evaste.co/tr/legal/security-policy
1. Introduction et Engagement
1.1. Notre Engagement en Matière de Sécurité
Chez Evaste, nous considérons la sécurité des données de nos clients et utilisateurs comme notre plus haute priorité. En tant que plateforme de confidentialité des données et de gestion du consentement, nous sommes conscients de notre responsabilité de montrer l'exemple en matière de sécurité.
1.2. Principes de Sécurité
Notre stratégie de sécurité repose sur les principes fondamentaux suivants :
(a) Défense en Profondeur (Defense in Depth) Nous assurons la protection par plusieurs couches de sécurité.
(b) Principe du Moindre Privilège (Least Privilege) Seules les autorisations minimales nécessaires sont accordées aux utilisateurs et aux systèmes.
(c) Sécurité par Conception (Security by Design) La sécurité est intégrée dès le départ dans la conception de tous les systèmes et processus.
(d) Architecture Zero Trust Le principe "Ne jamaiş faire confiance, toujours vérifier" est appliqué.
(e) Amélioration Continue Nos mesures de sécurité sont continuellement examinées et mises à jour.
1.3. Portée
Cette politique de sécurité couvre :
• Infrastructure de la plateforme Evaste • Données clients • Données employés • Processus métier • Intégrations tierces
2. Mesures de Sécurité Techniques
2.1. Chiffrement des Données
(a) Chiffrement en Transit • Protocole TLS 1.3 (minimum TLS 1.2) • HSTS (HTTP Strict Transport Security) activé • Support Perfect Forward Secrecy (PFS) • Suites de chiffrement fortes
(b) Chiffrement au Repos • Algorithme de chiffrement AES-256 • Chiffrement au niveau disque • Chiffrement au niveau base de données • Chiffrement des sauvegardes
(c) Stockage des Mots de Passe et Données Sensibles • Mots de passe : Hachage avec bcrypt ou Argon2 • Clés API : Systèmes de coffre-fort sécurisés • Gestion des clés cryptographiques : Utilisation HSM
2.2. Sécurité Réseau
(a) Pare-feu • Pare-feu applicatif (WAF) • Pare-feu réseau • Blocage par défaut de tout le trafic (deny-all)
(b) Détection et Prévention des Intrusions • Systèmes IDS/IPS • Surveillance des menaces en temps réel • Détection d'anomalies
(c) Protection DDoS • Protection CDN Cloudflare ou similaire • Analyse et filtrage du trafic • Limitation du débit (Rate Limiting)
(d) Segmentation Réseau • Séparation des environnements de production et de test • Isolation des serveurs de base de données • VLANs et groupes de sécurité
2.3. Sécurité Applicative
(a) Cycle de Vie de Développement Logiciel Sécurisé (SSDLC) • Définition des exigences de sécurité • Modélisation des menaces • Revue de code sécurisée • Tests de sécurité
(b) Protection OWASP Top 10 • Prévention SQL Injection • Protection XSS (Cross-Site Scripting) • Protection CSRF (Cross-Site Request Forgery) • Authentification sécurisée • Protection des données sensibles
(c) Gestion des Dépendances • Mises à jour régulières des dépendances • Analyse des vulnérabilités (Snyk, Dependabot) • Sources de dépendances sécurisées
(d) Sécurité API • Authentification OAuth 2.0 / JWT • Limitation du débit • Validation des entrées • Versionnement API
2.4. Sécurité Base de Données
• Requêtes paramétrées (prévention SQL injection) • Contrôle d'accès et autorisation • Surveillance de l'activité base de données • Connexions chiffrées • Sauvegardes régulières et tests de restauration
2.5. Sécurité Conteneurs et Cloud
(a) Sécurité Conteneurs • Analyse des images (vulnerability scanning) • Images de base sécurisées • Sécurité runtime • Gestion des secrets
(b) Sécurité Cloud • Politiques IAM • Isolation des ressources • Stockage chiffré • Groupes de sécurité et NACLs
3. Mesures de Sécurité Organisationnelles
3.1. Gouvernance de la Sécurité
(a) Responsabilité de la Sécurité • Responsabilité au niveau de la direction • Équipe de sécurité et responsabilités • Coordination interdépartementale
(b) Politiques et Procédures • Politiques de sécurité écrites • Mises à jour régulières des politiques • Audits de conformité aux politiques
3.2. Gestion des Risques
(a) Évaluation des Risques • Évaluation annuelle des risques • Inventaire des actifs • Analyse des menaces et vulnérabilités • Plans d'atténuation des risques
(b) Analyse d'Impact sur la Protection des Données (AIPD) • AIPD pour les nouveaux projets • Évaluation des activités de traitement à haut risque • Mesures d'atténuation des risques
3.3. Gestion des Incidents
(a) Définition des Incidents de Sécurité • Classification : Critique, Élevé, Moyen, Faible • Catégories d'incidents • Procédures d'escalade
(b) Processus de Réponse • Détection et vérification des incidents • Confinement (containment) • Éradication • Récupération (recovery) • Leçons apprises (lessons learned)
3.4. Gestion des Changements
• Procédure de demande de changement • Évaluation des risques et impacts • Processus de test et d'approbation • Plans de rollback
4. Politiques de Contrôle d'Accès
4.1. Authentification
(a) Politique de Mot de Passe • Minimum 12 caractères • Majuscules/minuscules, chiffres et caractères spéciaux requis • Changement de mot de passe tous les 90 jours (comptes entreprise) • Interdiction de réutiliser les 12 derniers mots de passe • Protection brute force (verrouillage de compte)
(b) Authentification Multi-Facteurs (MFA) • MFA obligatoire pour tous les comptes administrateurs • Support TOTP (Time-based One-Time Password) • Options de vérification SMS et email • Support clé de sécurité matérielle (FIDO2)
(c) Authentification Unique (SSO) • Support SAML 2.0 • Support OAuth 2.0 / OpenID Connect • Intégration avec les fournisseurs d'identité d'entreprise
4.2. Autorisation
(a) Contrôle d'Accès Basé sur les Rôles (RBAC) • Rôles prédéfinis • Possibilité de créer des rôles personnalisés • Principe du moindre privilège • Révisions régulières des autorisations
| Rôle | Autorisations |
|---|---|
| Lecteur | Accès en lecture seule |
| Éditeur | Lecture et modification |
| Administrateur | Droits d'administration complets |
| Super Admin | Autorisations au niveau plateforme |
4.3. Gestion des Sessions
• Expiration de session (30 minutes d'inactivité) • Limitation des sessions simultanées • Terminaison sécurisée des sessions • Protection contre le détournement de session
4.4. Surveillance des Accès
• Journalisation de toutes les tentatives d'accès • Surveillance des tentatives de connexion échouées • Détection des schémas d'accès anormaux • Rapports d'accès réguliers
5. Procédures de Sauvegarde des Données
5.1. Stratégie de Sauvegarde
(a) Types de Sauvegarde • Sauvegarde complète (hebdomadaire) • Sauvegarde incrémentielle (quotidienne) • Sauvegarde des journaux de transactions (continue)
| Type de Données | Fréquence | Durée de Conservation |
|---|---|---|
| Base de données | Quotidienne | 30 jours |
| Systèmes de fichiers | Quotidienne | 30 jours |
| Configurations | À chaque modification | 90 jours |
| Fichiers logs | Quotidienne | 90 jours |
5.2. Sécurité des Sauvegardes
• Sauvegardes chiffrées AES-256 • Stockage dans des emplacements géographiquement séparés • Contrôle d'accès aux sauvegardes • Vérification d'intégrité des sauvegardes (checksum)
5.3. Procédures de Restauration
• Tests de restauration réguliers (mensuels) • Procédures de restauration documentées • RTO (Recovery Time Objective) : 4 heures • RPO (Recovery Point Objective) : 1 heure
6. Notification de Violation de Sécurité
6.1. Détection et Évaluation des Violations
Lorsqu'une violation de sécurité est détectée :
1. Vérification de l'incident et détermination de la portée 2. Identification des systèmes et données affectés 3. Évaluation du niveau de risque 4. Mise en œuvre des mesures de confinement
6.2. Processus de Notification Interne
| Délai | Action |
|---|---|
| Première heure | Notification de l'équipe de sécurité |
| 4 premières heures | Notification de la direction |
| 24 premières heures | Évaluation d'impact et plan de réponse |
6.3. Obligations de Notification Externe
(a) Autorité Turque de Protection des Données (KVKK) • Notification dans les plus brefs délaiş pour les violations de données personnelles • Remplissage du formulaire de violation • Rapport des mesures prises
(b) Dans le Cadre du RGPD (Règle des 72 Heures) • Notification à l'autorité de protection des données compétente dans les 72 heures • Notification aux personnes concernées en cas de risque élevé • Tenue d'un registre des violations
(c) Notification aux Utilisateurs Affectés • Notification immédiate en cas de risque élevé • Utilisation d'un langage clair et compréhensible • Conseils sur les mesures de protection recommandées
6.4. Contenu de la Notification de Violation
La notification comprend les informations suivantes :
• Nature et portée de la violation • Catégories de données affectées • Nombre de personnes affectées (estimation) • Conséquences possibles • Mesures prises et recommandées • Informations de contact
6.5. Actions Correctives
Après une violation :
• Analyse des causes profondes • Mise en œuvre des mesures correctives • Mises à jour des politiques et procédures • Formation du personnel (si nécessaire) • Renforcement de la surveillance et des audits
7. Audits et Tests de Sécurité
7.1. Analyse des Vulnérabilités
(a) Analyses Automatiques • Analyse hebdomadaire de l'infrastructure • Analyse quotidienne des applications • Analyse continue des dépendances
(b) Outils Utilisés • Nessus / Qualys (infrastructure) • OWASP ZAP / Burp Suite (application) • Snyk / Dependabot (dépendances)
7.2. Tests de Pénétration
• Test de pénétration complet annuel • Tests supplémentaires après changements majeurs • Réalisation par des sociétés de sécurité indépendantes • Correction des résultats dans les 30 jours
7.3. Exercices Red Team
• Évaluation Red Team annuelle • Scénarios d'attaque réalistes • Tests d'ingénierie sociale • Tests de sécurité physique
7.4. Revue de Code
• Peer review pour tous les changements de code • Revue de code orientée sécurité • Analyse de code statique (SAST) • Tests de sécurité applicative dynamique (DAST)
7.5. Gestion des Résultats
| Criticité | Délai de Correction |
|---|---|
| Critique | 24 heures |
| Élevé | 7 jours |
| Moyen | 30 jours |
| Faible | 90 jours |
8. Formation des Employés
8.1. Formation de Sensibilisation à la Sécurité
(a) Formation d'Intégration • Politiques de sécurité • Utilisation acceptable • Bases de la protection des données • Signalement des incidents
(b) Formation Obligatoire Annuelle • Menaces et tendances actuelles • Sensibilisation à l'ingénierie sociale • Reconnaissance du phishing • Pratiques de travail sécurisées
8.2. Formation Basée sur les Rôles
| Rôle | Sujets de Formation Supplémentaires |
|---|---|
| Développeurs | Codage sécurisé, OWASP, revue de code |
| DevOps | Sécurité cloud, sécurité des conteneurs |
| Managers | Gestion des risques, conformité |
| Support | Protection des données, confidentialité client |
8.3. Exercices de Simulation
• Simulations de phishing mensuelles • Exercices d'incidents de sécurité • Exercices sur table (tabletop exercises)
9. Sécurité Physique
9.1. Sécurité du Centre de Données
L'infrastructure Evaste est hébergée dans des centres de données dotés des mesures de sécurité physique suivantes :
• Personnel de sécurité 24/7 • Contrôle d'accès biométrique • Surveillance CCTV • Systèmes d'extinction d'incendie • Support UPS et générateur • Surveillance environnementale (température, humidité)
9.2. Sécurité des Bureaux
• Systèmes d'accès par carte • Procédures d'enregistrement des visiteurs • Politique de bureau propre • Sécurité des appareils
10. Continuité des Activités et Reprise après Sinistre
10.1. Plan de Continuité des Activités (PCA)
• Identification des fonctions métier critiques • Procédures de travail alternatives • Plans de communication • Tests réguliers du plan
10.2. Plan de Reprise après Sinistre (PRS)
(a) Objectifs de Récupération • RTO (Recovery Time Objective) : 4 heures • RPO (Recovery Point Objective) : 1 heure
(b) Mécanismes de Basculement • Réplication de base de données actif-passif • Infrastructure géographiquement distribuée • Basculement automatique • Équilibrage de charge
10.3. Tests et Exercices
• Test DR annuel • Simulations de basculement • Tests de restauration des sauvegardes
11. Sécurité des Tiers
11.1. Évaluation des Fournisseurs
Lors de la sélection de fournisseurs de services tiers :
• Certifications de sécurité (SOC 2, ISO 27001) • Conformité en matière de confidentialité (RGPD, KVKK) • Examen des politiques de sécurité • Vérification des références
11.2. Exigences Contractuelles
Les contrats avec des tiers comprennent :
• Accord de traitement des données (DPA) • Obligations de confidentialité • Normes de sécurité • Obligations de notification des violations • Droits d'audit
11.3. Surveillance Continue
• Évaluations de sécurité régulières • Suivi des renouvellements de certification • Surveillance des notifications d'incidents
12. Conformité et Certifications
12.1. Cadres de Conformité
Evaste est conforme aux réglementations suivantes :
(a) Protection des Données • KVKK Loi n° 6698 (Turquie) • RGPD (Union Européenne) • CCPA (Californie, États-Unis)
(b) Sécurité de l'Information • ISO 27001 (système de gestion de la sécurité de l'information) • SOC 2 Type II (fournisseurs d'infrastructure)
12.2. Certifications et Audits
| Certification/Audit | Portée | Fréquence |
|---|---|---|
| ISO 27001 | Gestion de la sécurité de l'information | Annuel |
| SOC 2 Type II | Contrôles de sécurité | Annuel |
| Test de pénétration | Application et infrastructure | Annuel |
| Analyse des vulnérabilités | Tous les systèmes | Continu |
12.3. Rapports de Conformité
Les documents suivants peuvent être fourniş à nos clients sur demande :
• Résumé du rapport SOC 2 Type II • Résumé du test de pénétration • Déclaration de conformité en matière de sécurité
13. Informations de Contact
13.1. Équipe de Sécurité
Pour les questions et signalements de sécurité :
E-mail : security@evaste.co Urgence : +90 532 494 42 64
13.2. Signalement de Vulnérabilité
Si vous avez découvert une vulnérabilité :
E-mail : security@evaste.co Objet : "Security Vulnerability Report"
Nous vous demandons d'ağır selon le principe de divulgation responsable (responsible disclosure). Les signalements de vulnérabilités valides sont récompensés.
13.3. Contact Général
Evaste (Group Taiga) Adresse : Levent, Istanbul, Turkey E-mail : info@evaste.co Web : https://evaste.co
Cette Politique de Sécurité est entrée en vigueur le 12 janvier 2026.
Nous révisons et améliorons continuellement nos processus de sécurité. Les modifications de politique seront publiées en mettant à jour la date de "Dernière mise à jour".
Politique de Sécurité
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc. En cas de divergence ou de conflit entre cette traduction et la version originale turque, la version turque prévaudra. La version originale turque est disponible sur : https://evaste.co/tr/legal/security-policy
1. Introduction et Engagement
1.1. Notre Engagement en Matière de Sécurité
Chez Evaste, nous considérons la sécurité des données de nos clients et utilisateurs comme notre plus haute priorité. En tant que plateforme de confidentialité des données et de gestion du consentement, nous sommes conscients de notre responsabilité de montrer l'exemple en matière de sécurité.
1.2. Principes de Sécurité
Notre stratégie de sécurité repose sur les principes fondamentaux suivants :
(a) Défense en Profondeur (Defense in Depth) Nous assurons la protection par plusieurs couches de sécurité.
(b) Principe du Moindre Privilège (Least Privilege) Seules les autorisations minimales nécessaires sont accordées aux utilisateurs et aux systèmes.
(c) Sécurité par Conception (Security by Design) La sécurité est intégrée dès le départ dans la conception de tous les systèmes et processus.
(d) Architecture Zero Trust Le principe "Ne jamaiş faire confiance, toujours vérifier" est appliqué.
(e) Amélioration Continue Nos mesures de sécurité sont continuellement examinées et mises à jour.
1.3. Portée
Cette politique de sécurité couvre :
• Infrastructure de la plateforme Evaste • Données clients • Données employés • Processus métier • Intégrations tierces
2. Mesures de Sécurité Techniques
2.1. Chiffrement des Données
(a) Chiffrement en Transit • Protocole TLS 1.3 (minimum TLS 1.2) • HSTS (HTTP Strict Transport Security) activé • Support Perfect Forward Secrecy (PFS) • Suites de chiffrement fortes
(b) Chiffrement au Repos • Algorithme de chiffrement AES-256 • Chiffrement au niveau disque • Chiffrement au niveau base de données • Chiffrement des sauvegardes
(c) Stockage des Mots de Passe et Données Sensibles • Mots de passe : Hachage avec bcrypt ou Argon2 • Clés API : Systèmes de coffre-fort sécurisés • Gestion des clés cryptographiques : Utilisation HSM
2.2. Sécurité Réseau
(a) Pare-feu • Pare-feu applicatif (WAF) • Pare-feu réseau • Blocage par défaut de tout le trafic (deny-all)
(b) Détection et Prévention des Intrusions • Systèmes IDS/IPS • Surveillance des menaces en temps réel • Détection d'anomalies
(c) Protection DDoS • Protection CDN Cloudflare ou similaire • Analyse et filtrage du trafic • Limitation du débit (Rate Limiting)
(d) Segmentation Réseau • Séparation des environnements de production et de test • Isolation des serveurs de base de données • VLANs et groupes de sécurité
2.3. Sécurité Applicative
(a) Cycle de Vie de Développement Logiciel Sécurisé (SSDLC) • Définition des exigences de sécurité • Modélisation des menaces • Revue de code sécurisée • Tests de sécurité
(b) Protection OWASP Top 10 • Prévention SQL Injection • Protection XSS (Cross-Site Scripting) • Protection CSRF (Cross-Site Request Forgery) • Authentification sécurisée • Protection des données sensibles
(c) Gestion des Dépendances • Mises à jour régulières des dépendances • Analyse des vulnérabilités (Snyk, Dependabot) • Sources de dépendances sécurisées
(d) Sécurité API • Authentification OAuth 2.0 / JWT • Limitation du débit • Validation des entrées • Versionnement API
2.4. Sécurité Base de Données
• Requêtes paramétrées (prévention SQL injection) • Contrôle d'accès et autorisation • Surveillance de l'activité base de données • Connexions chiffrées • Sauvegardes régulières et tests de restauration
2.5. Sécurité Conteneurs et Cloud
(a) Sécurité Conteneurs • Analyse des images (vulnerability scanning) • Images de base sécurisées • Sécurité runtime • Gestion des secrets
(b) Sécurité Cloud • Politiques IAM • Isolation des ressources • Stockage chiffré • Groupes de sécurité et NACLs
3. Mesures de Sécurité Organisationnelles
3.1. Gouvernance de la Sécurité
(a) Responsabilité de la Sécurité • Responsabilité au niveau de la direction • Équipe de sécurité et responsabilités • Coordination interdépartementale
(b) Politiques et Procédures • Politiques de sécurité écrites • Mises à jour régulières des politiques • Audits de conformité aux politiques
3.2. Gestion des Risques
(a) Évaluation des Risques • Évaluation annuelle des risques • Inventaire des actifs • Analyse des menaces et vulnérabilités • Plans d'atténuation des risques
(b) Analyse d'Impact sur la Protection des Données (AIPD) • AIPD pour les nouveaux projets • Évaluation des activités de traitement à haut risque • Mesures d'atténuation des risques
3.3. Gestion des Incidents
(a) Définition des Incidents de Sécurité • Classification : Critique, Élevé, Moyen, Faible • Catégories d'incidents • Procédures d'escalade
(b) Processus de Réponse • Détection et vérification des incidents • Confinement (containment) • Éradication • Récupération (recovery) • Leçons apprises (lessons learned)
3.4. Gestion des Changements
• Procédure de demande de changement • Évaluation des risques et impacts • Processus de test et d'approbation • Plans de rollback
4. Politiques de Contrôle d'Accès
4.1. Authentification
(a) Politique de Mot de Passe • Minimum 12 caractères • Majuscules/minuscules, chiffres et caractères spéciaux requis • Changement de mot de passe tous les 90 jours (comptes entreprise) • Interdiction de réutiliser les 12 derniers mots de passe • Protection brute force (verrouillage de compte)
(b) Authentification Multi-Facteurs (MFA) • MFA obligatoire pour tous les comptes administrateurs • Support TOTP (Time-based One-Time Password) • Options de vérification SMS et email • Support clé de sécurité matérielle (FIDO2)
(c) Authentification Unique (SSO) • Support SAML 2.0 • Support OAuth 2.0 / OpenID Connect • Intégration avec les fournisseurs d'identité d'entreprise
4.2. Autorisation
(a) Contrôle d'Accès Basé sur les Rôles (RBAC) • Rôles prédéfinis • Possibilité de créer des rôles personnalisés • Principe du moindre privilège • Révisions régulières des autorisations
| Rôle | Autorisations |
|---|---|
| Lecteur | Accès en lecture seule |
| Éditeur | Lecture et modification |
| Administrateur | Droits d'administration complets |
| Super Admin | Autorisations au niveau plateforme |
4.3. Gestion des Sessions
• Expiration de session (30 minutes d'inactivité) • Limitation des sessions simultanées • Terminaison sécurisée des sessions • Protection contre le détournement de session
4.4. Surveillance des Accès
• Journalisation de toutes les tentatives d'accès • Surveillance des tentatives de connexion échouées • Détection des schémas d'accès anormaux • Rapports d'accès réguliers
5. Procédures de Sauvegarde des Données
5.1. Stratégie de Sauvegarde
(a) Types de Sauvegarde • Sauvegarde complète (hebdomadaire) • Sauvegarde incrémentielle (quotidienne) • Sauvegarde des journaux de transactions (continue)
| Type de Données | Fréquence | Durée de Conservation |
|---|---|---|
| Base de données | Quotidienne | 30 jours |
| Systèmes de fichiers | Quotidienne | 30 jours |
| Configurations | À chaque modification | 90 jours |
| Fichiers logs | Quotidienne | 90 jours |
5.2. Sécurité des Sauvegardes
• Sauvegardes chiffrées AES-256 • Stockage dans des emplacements géographiquement séparés • Contrôle d'accès aux sauvegardes • Vérification d'intégrité des sauvegardes (checksum)
5.3. Procédures de Restauration
• Tests de restauration réguliers (mensuels) • Procédures de restauration documentées • RTO (Recovery Time Objective) : 4 heures • RPO (Recovery Point Objective) : 1 heure
6. Notification de Violation de Sécurité
6.1. Détection et Évaluation des Violations
Lorsqu'une violation de sécurité est détectée :
1. Vérification de l'incident et détermination de la portée 2. Identification des systèmes et données affectés 3. Évaluation du niveau de risque 4. Mise en œuvre des mesures de confinement
6.2. Processus de Notification Interne
| Délai | Action |
|---|---|
| Première heure | Notification de l'équipe de sécurité |
| 4 premières heures | Notification de la direction |
| 24 premières heures | Évaluation d'impact et plan de réponse |
6.3. Obligations de Notification Externe
(a) Autorité Turque de Protection des Données (KVKK) • Notification dans les plus brefs délaiş pour les violations de données personnelles • Remplissage du formulaire de violation • Rapport des mesures prises
(b) Dans le Cadre du RGPD (Règle des 72 Heures) • Notification à l'autorité de protection des données compétente dans les 72 heures • Notification aux personnes concernées en cas de risque élevé • Tenue d'un registre des violations
(c) Notification aux Utilisateurs Affectés • Notification immédiate en cas de risque élevé • Utilisation d'un langage clair et compréhensible • Conseils sur les mesures de protection recommandées
6.4. Contenu de la Notification de Violation
La notification comprend les informations suivantes :
• Nature et portée de la violation • Catégories de données affectées • Nombre de personnes affectées (estimation) • Conséquences possibles • Mesures prises et recommandées • Informations de contact
6.5. Actions Correctives
Après une violation :
• Analyse des causes profondes • Mise en œuvre des mesures correctives • Mises à jour des politiques et procédures • Formation du personnel (si nécessaire) • Renforcement de la surveillance et des audits
7. Audits et Tests de Sécurité
7.1. Analyse des Vulnérabilités
(a) Analyses Automatiques • Analyse hebdomadaire de l'infrastructure • Analyse quotidienne des applications • Analyse continue des dépendances
(b) Outils Utilisés • Nessus / Qualys (infrastructure) • OWASP ZAP / Burp Suite (application) • Snyk / Dependabot (dépendances)
7.2. Tests de Pénétration
• Test de pénétration complet annuel • Tests supplémentaires après changements majeurs • Réalisation par des sociétés de sécurité indépendantes • Correction des résultats dans les 30 jours
7.3. Exercices Red Team
• Évaluation Red Team annuelle • Scénarios d'attaque réalistes • Tests d'ingénierie sociale • Tests de sécurité physique
7.4. Revue de Code
• Peer review pour tous les changements de code • Revue de code orientée sécurité • Analyse de code statique (SAST) • Tests de sécurité applicative dynamique (DAST)
7.5. Gestion des Résultats
| Criticité | Délai de Correction |
|---|---|
| Critique | 24 heures |
| Élevé | 7 jours |
| Moyen | 30 jours |
| Faible | 90 jours |
8. Formation des Employés
8.1. Formation de Sensibilisation à la Sécurité
(a) Formation d'Intégration • Politiques de sécurité • Utilisation acceptable • Bases de la protection des données • Signalement des incidents
(b) Formation Obligatoire Annuelle • Menaces et tendances actuelles • Sensibilisation à l'ingénierie sociale • Reconnaissance du phishing • Pratiques de travail sécurisées
8.2. Formation Basée sur les Rôles
| Rôle | Sujets de Formation Supplémentaires |
|---|---|
| Développeurs | Codage sécurisé, OWASP, revue de code |
| DevOps | Sécurité cloud, sécurité des conteneurs |
| Managers | Gestion des risques, conformité |
| Support | Protection des données, confidentialité client |
8.3. Exercices de Simulation
• Simulations de phishing mensuelles • Exercices d'incidents de sécurité • Exercices sur table (tabletop exercises)
9. Sécurité Physique
9.1. Sécurité du Centre de Données
L'infrastructure Evaste est hébergée dans des centres de données dotés des mesures de sécurité physique suivantes :
• Personnel de sécurité 24/7 • Contrôle d'accès biométrique • Surveillance CCTV • Systèmes d'extinction d'incendie • Support UPS et générateur • Surveillance environnementale (température, humidité)
9.2. Sécurité des Bureaux
• Systèmes d'accès par carte • Procédures d'enregistrement des visiteurs • Politique de bureau propre • Sécurité des appareils
10. Continuité des Activités et Reprise après Sinistre
10.1. Plan de Continuité des Activités (PCA)
• Identification des fonctions métier critiques • Procédures de travail alternatives • Plans de communication • Tests réguliers du plan
10.2. Plan de Reprise après Sinistre (PRS)
(a) Objectifs de Récupération • RTO (Recovery Time Objective) : 4 heures • RPO (Recovery Point Objective) : 1 heure
(b) Mécanismes de Basculement • Réplication de base de données actif-passif • Infrastructure géographiquement distribuée • Basculement automatique • Équilibrage de charge
10.3. Tests et Exercices
• Test DR annuel • Simulations de basculement • Tests de restauration des sauvegardes
11. Sécurité des Tiers
11.1. Évaluation des Fournisseurs
Lors de la sélection de fournisseurs de services tiers :
• Certifications de sécurité (SOC 2, ISO 27001) • Conformité en matière de confidentialité (RGPD, KVKK) • Examen des politiques de sécurité • Vérification des références
11.2. Exigences Contractuelles
Les contrats avec des tiers comprennent :
• Accord de traitement des données (DPA) • Obligations de confidentialité • Normes de sécurité • Obligations de notification des violations • Droits d'audit
11.3. Surveillance Continue
• Évaluations de sécurité régulières • Suivi des renouvellements de certification • Surveillance des notifications d'incidents
12. Conformité et Certifications
12.1. Cadres de Conformité
Evaste est conforme aux réglementations suivantes :
(a) Protection des Données • KVKK Loi n° 6698 (Turquie) • RGPD (Union Européenne) • CCPA (Californie, États-Unis)
(b) Sécurité de l'Information • ISO 27001 (système de gestion de la sécurité de l'information) • SOC 2 Type II (fournisseurs d'infrastructure)
12.2. Certifications et Audits
| Certification/Audit | Portée | Fréquence |
|---|---|---|
| ISO 27001 | Gestion de la sécurité de l'information | Annuel |
| SOC 2 Type II | Contrôles de sécurité | Annuel |
| Test de pénétration | Application et infrastructure | Annuel |
| Analyse des vulnérabilités | Tous les systèmes | Continu |
12.3. Rapports de Conformité
Les documents suivants peuvent être fourniş à nos clients sur demande :
• Résumé du rapport SOC 2 Type II • Résumé du test de pénétration • Déclaration de conformité en matière de sécurité
13. Informations de Contact
13.1. Équipe de Sécurité
Pour les questions et signalements de sécurité :
E-mail : security@evaste.co Urgence : +90 532 494 42 64
13.2. Signalement de Vulnérabilité
Si vous avez découvert une vulnérabilité :
E-mail : security@evaste.co Objet : "Security Vulnerability Report"
Nous vous demandons d'ağır selon le principe de divulgation responsable (responsible disclosure). Les signalements de vulnérabilités valides sont récompensés.
13.3. Contact Général
Evaste (Group Taiga) Adresse : Levent, Istanbul, Turkey E-mail : info@evaste.co Web : https://evaste.co
Cette Politique de Sécurité est entrée en vigueur le 12 janvier 2026.
Nous révisons et améliorons continuellement nos processus de sécurité. Les modifications de politique seront publiées en mettant à jour la date de "Dernière mise à jour".