: Cybersécurité Parce que les cybermenaces exigent des cyberdéfenses.

La cybersécurité est un enjeu stratégique majeur pour les acteurs publics. Stratis met en œuvre des process de sécurité avancés pour garantir la confidentialité, l’intégrité et la disponibilité de vos données et de vos infrastructures numériques. Nous intégrons les exigences du Référentiel Général de Sécurité (RGS), de l’ANSSI, du CLUSIF et de l’OWASP.

«saoneetloire.fr», conçu par nos soins pour le Département de Saône et Loire, compte parmi les premiers sites français homologués RGS par l’ANSSI.

+ d’infos sur la démarche

Sécurité de notre système d’information.

Notre Politique de Sécurité des Systèmes d’Information (PSSI) définit un cadre rigoureux de protection et de surveillance, structurant les processus, les outils et les méthodologies nécessaires à la prévention, à la détection et à la gestion des menaces.

  • Conformité et suivi des référentiels.
    • ANSSI : respect des directives du Référentiel Général de Sécurité (RGS) pour nos développements.
    • CLUSIF : alignement de nos pratiques sur les méthodologies sécurisées du CLUSIF, notamment l’utilisation de OWASP CLASP.
    • OWASP : intégration systématique des tests du Top Ten OWASP pour protéger les applications web.
  • Gestion des risques SSI.
    • Veille continue, analyse des vulnérabilités et application de correctifs en temps réel.
  • Détection des menaces.
    • Analyse continue des alertes de cybersécurité (cert.ssi.gouv.fr).
  • Cycle de vie sécurisé des logiciels.
  • Suivi des évolutions logicielles et garantie de l’absence de failles de sécurité.
  • Contrôle des accès et journalisation.
    • Application des recommandations de l’ANSSI pour la gestion des identités et la traçabilité des connexions.
  • Continuité d’activité et résilience.
    • Plans de Continuité et de Reprise d’Activité (PCA/PRA) pour assurer la restauration rapide des services.
  • Sensibilisation et formation.
    • Formation de nos équipes aux meilleures pratiques de cybersécurité.
Gary, Directeur Technique et RSSI, anime notre politique de sécurité en élaborant et pilotant des process exigeants à toutes les étapes de nos interventions.

Sécurisation des développements et des infrastructures.

Nos plateformes sont conçues selon un cadre de sécurité robuste, intégrant des mécanismes de protection avancés.

  • Un cadre de référence structuré, définissant nos engagements de sécurité. Il repose sur un socle commun de bonnes pratiques, complété par des annexes adaptées à vos exigences.

  • Développement continu sécurisé (Jenkins, Selenium) .
  • Détection des vulnérabilités (OWASP ZAP) : tests d’authentification, vérification d’accès aux fichiers sensibles, protection contre les attaques XSS et CSRF.
  • Filtrage et contrôle des données (prévention des injections SQL, validation des entrées utilisateur).

  • Hébergement sécurisé : chiffrement des communications (HTTPS/TLS), authentification forte (MFA) et surveillance continue des infrastructures.
  • Gestion rigoureuse des accès : contrôle strict des permissions sur les bases de données, journalisation des connexions et surveillance des activités suspectes.
  • Principe du moindre privilège : attribution des droits d’accès strictement nécessaires aux utilisateurs et services, avec des revues régulières des autorisations.
  • Séparation des environnements : isolation stricte entre les environnements de développement, de test et de production pour limiter les risques de fuite de données.
  • Hébergement conforme aux normes de sécurité : recours à des data centers certifiés (ISO 27001, SOC 2, HDS pour les données de santé) garantissant un haut niveau de protection.
  • Plan de continuité et de reprise d’activité (PCA/PRA) : mise en place de sauvegardes régulières et de procédures de restauration rapide en cas d’incident.

Pour garantir la robustesse de vos dispositifs de sécurité, nous réalisons régulièrement des tests d’intrusion, également appelés “pentests”, afin d’évaluer leur résistance face à des cyberattaques.

Ces tests sont menés par des experts en sécurité, en interne et en externe, selon une méthodologie rigoureuse et éprouvé

Méthodologie des tests d’intrusion

Notre approche se base sur les standards OWASP et PTES (Penetration Testing Execution Standard), et se déroule en plusieurs étapes :

  • Collecte d’informations : nous recueillons des informations sur votre système d’information (architecture, technologies utilisées, applications web, etc.) afin de définir le périmètre des tests et d’identifier les points les plus critiques.
  • Analyse des vulnérabilités : nous utilisons des outils d’analyse de vulnérabilités (Nessus, OpenVAS, etc.) pour détecter les faiblesses potentielles de vos systèmes.
  • Exploitation des vulnérabilités : nous tentons d’exploiter les vulnérabilités détectées pour évaluer leur niveau de risque et leur impact potentiel sur votre activité.
  • Rapport de test : nous vous fournissons un rapport détaillé, incluant la liste des vulnérabilités détectées, leur niveau de risque, les recommandations de correction et les preuves de concept (POC) pour démontrer l’exploitabilité des faiblesses.
  • Suivi des corrections : nous vous accompagnons dans la correction des vulnérabilités et nous réalisons des tests de validation pour nous assurer de leur résolution effective.
Types de tests d’intrusion
  • Nous adaptons notre approche en fonction de vos besoins et de la nature de vos systèmes :
  • Tests “boîte noire” : les testeurs simulent une attaque externe, sans connaissance préalable de votre système d’information. Ce type de test permet d’évaluer la résistance de votre système face à une attaque non ciblée.
  • Tests “boîte grise” : les testeurs disposent de certaines informations sur votre système (comptes utilisateurs, documentation technique, etc.). Ce type de test permet d’évaluer la vulnérabilité de votre système face à un attaquant interne ou un partenaire malveillant.
  • Tests “boîte blanche” : les testeurs ont une connaissance complète de votre système, incluant le code source et l’accès aux bases de données. Ce type de test permet d’identifier les vulnérabilités les plus complexes et les erreurs de conception.
Nos engagements :
  • Confidentialité : nous garantissons la confidentialité de vos données et de vos systèmes d’information tout au long du processus de test.
  • Neutralité : nos experts sont indépendants et n’ont aucun intérêt direct dans les systèmes que nous testons.
  • Professionnalisme : nos testeurs sont des experts en sécurité, certifiés et expérimentés.
  • Suivi : nous vous accompagnons dans la correction des vulnérabilités et nous vous fournissons des recommandations personnalisées pour améliorer votre niveau de sécurité.

Pourquoi choisir Stratis ?

Nos engagements en cybersécurité vont au-delà des standards.
Nous assurons un suivi proactif des menaces, nous intégrons la sécurité dès la conception de vos projets et nous appliquons des contrôles permanents pour garantir l’intégrité de vos systèmes et de vos plateformes.