Aller au contenu principal
Confiance et sécurité

Sécurité et conformité

Notre approche de la protection de tes données, dans le détail.

RGPD, conformité et certification

Dès que tu traites des données de l'Union européenne via un prestataire (comme Hook0), tu as besoin d'un cadre contractuel avec chaque prestataire. C'est ce qui permet à l'UE de savoir que tu travailles uniquement avec des entreprises dont les pratiques sont conçues pour la conformité au Règlement général sur la protection des données (RGPD).

Accord de traitement des données (DPA)

Un accord de traitement des données (DPA), aussi appelé Data Processing Addendum, est un contrat entre les responsables de traitement et les sous-traitants, ou entre sous-traitants et leurs propres sous-traitants ultérieurs. En savoir plus (en anglais).

Sous-traitants ultérieurs

Au sens du RGPD, un sous-traitant ultérieur est toute entreprise ou tout prestataire par lequel les données client peuvent transiter du fait de l'utilisation du service Hook0. En savoir plus (en anglais).

PCI DSS

Les informations de paiement et de carte bancaire sont prises en charge par Stripe, audité par un PCI Qualified Security Assessor indépendant et certifié PCI Level 1 Service Provider, le niveau le plus exigeant du secteur des paiements. Hook0 ne reçoit pas de données de carte bancaire en routine, ce qui le rend conforme aux standards PCI DSS dans la majorité des cas d'usage.

Divulgation de vulnérabilités

Pour signaler une vulnérabilité ou tout autre souci de sécurité sur un produit Hook0, écris à [email protected].

Joins une preuve de concept, la liste des outils utilisés (avec leurs versions) et la sortie complète de ces outils. Toutes les divulgations sont prises très au sérieux. Dès réception, chaque vulnérabilité est vérifiée rapidement avant les étapes nécessaires pour la corriger. Une fois validée, des points de statut réguliers sont envoyés au fur et à mesure de la correction.

Pour chiffrer les informations sensibles que tu envoies, la clé PGP est disponible sur Keybase.

Un bug bounty ouvert récompense les vulnérabilités critiques signalées sur l'API Hook0 (https://app.hook0.com/api/v1/).

Sécurité de l'infrastructure et du réseau

Contrôle d'accès physique

Hook0 est hébergé sur la plateforme Clever Cloud, en France. Les datacenters Clever Cloud appliquent un modèle de sécurité en couches, avec de larges protections, notamment :

  • Badges électroniques d'accès conçus sur mesure
  • Alarmes et clôtures périmétriques
  • Barrières d'accès véhicules et détecteurs de métaux
  • Authentification biométrique

Les équipes Hook0 n'ont aucun accès physique aux datacenters Clever Cloud, ni aux serveurs, ni aux équipements réseau, ni au stockage.

Contrôle d'accès logique

Hook0 est l'administrateur déclaré de son infrastructure chez Clever Cloud. Seuls les membres autorisés de l'équipe ops Hook0 peuvent configurer l'infrastructure, au besoin, derrière un VPN authentifié à deux facteurs. Des clés privées spécifiques sont exigées par serveur et stockées dans un emplacement chiffré et sécurisé.

Audits indépendants

Clever Cloud passe régulièrement divers audits indépendants tiers et fournit la vérification des contrôles de conformité de ses datacenters, de son infrastructure et de ses opérations. Cela inclut, sans s'y limiter, la certification SOC 2 conforme à SSAE 16 et la certification ISO 27001.

Continuité d'activité et reprise après sinistre

Haute disponibilité

Chaque brique du service Hook0 repose sur des serveurs correctement dimensionnés et redondés (load balancers, serveurs web, bases de données répliquées) pour faire face aux pannes. La maintenance régulière retire des serveurs de la rotation sans impacter la disponibilité.

Continuité d'activité

Hook0 conserve des sauvegardes chiffrées horaires dans plusieurs régions Clever Cloud. Même si ce scénario n'est jamais attendu, en cas de perte de données de production (perte des bases primaires), les données organisationnelles sont restaurées à partir de ces sauvegardes.

Reprise après sinistre

En cas de panne touchant une région entière, Hook0 reconstruit un environnement équivalent dans une autre région Clever Cloud. L'équipe ops Hook0 a une expérience solide des migrations de région complètes.

Sécurité de l'entreprise

Protection contre les logiciels malveillants

Chez Hook0, les bonnes pratiques de sécurité commencent par notre propre équipe. Nous mettons un point d'honneur à nous protéger contre les menaces internes et les vulnérabilités locales.

Gestion des risques

Hook0 suit les procédures de gestion des risques décrites dans le NIST SP 800-30, soit neuf étapes d'évaluation des risques et sept étapes de mitigation.

Toute évolution produit Hook0 passe par revue de code, CI et pipeline de build avant d'atteindre les serveurs de production. Seuls les employés désignés de l'équipe ops Hook0 ont un accès SSH aux serveurs de production.

Hook0 réalise des évaluations de risques tout au long du cycle de vie du produit, selon les standards de la HIPAA Security Rule, 45 CFR 164.308.

Politiques de sécurité et formation

Hook0 maintient un wiki interne des politiques de sécurité, mis à jour en continu et revu chaque année pour combler les écarts. Tous les nouveaux employés reçoivent une intégration et une formation aux systèmes, avec revue des politiques de sécurité.

Politique de divulgation

Hook0 suit le processus de gestion d'incidents recommandé par le SANS, qui inclut l'identification, le confinement, l'éradication, la récupération, la communication et la documentation des événements de sécurité.

Hook0 publie en direct l'état opérationnel et les incidents sur sa status page. Tout incident connu y est signalé, ainsi que sur le flux Twitter.