Eplan Cloud Mesures de sécurité

Cryptage des données

Cryptage cohérent des données au repos à l’aide de la norme AES 256 (Advanced Encryption Standard) et cryptage sécurisé de bout en bout pour les données en transmission (TLS 1.2)

Toutes les données au sein de Eplan Cloud sont cryptées de bout en bout et sont ainsi protégées contre tout accès non autorisé. Les données au repos sont ainsi cryptées selon la norme « Advanced Encryption Standard » avec une longueur de clé de 256 bits (AES 256).

Un cryptage sécurisé de bout en bout conforme à la norme de sécurité TLS 1.2 est réalisé (p. ex. via une connexion HTTPS) lors du transfert des données, p. ex. lors d’un téléversement ou d’un téléchargement. Vos données sont ainsi protégées contre tout accès non autorisé dans toutes les sections d’Eplan Cloud.

Sécurité d’accès (Identity and Access Management)

Gestion sécurisée des identités et des accès, avec des règles strictes en matière de mots de passe (conformes à la norme BSI), associée à une authentification à deux facteurs ainsi qu’à un concept d’accès et de rôles bien pensé

Eplan a mis en place un concept clair de rôles et d’accès pour les administrateurs d’Eplan Cloud en ce qui concerne l’accès aux données (angl. Role Based Access Control). Un accès temporaire aux données stockées dans Eplan Cloud n’est accordé qu’en cas de besoin (p. ex. pour des demandes d’assistance ou des travaux de maintenance nécessaires).

Les droits d’accès sont attribués selon le principe du droit minimal et dans un délai limité. Des procédures régulières de vérification des droits permettent de garantir que les droits d’accès sont toujours attribués en fonction du rôle concerné. Les accès aux données sont systématiquement consignés.

Surveillance du cloud

Surveillance automatisée des anomalies en temps réel, 24/24 et 7/7, ainsi qu’une intervention rapide et coordonnée en cas de panne par des experts qualifiés de l’équipe interne « Security & Operations Team »

Eplan Cloud fait l’objet d’une surveillance continue 24/24 et 7/7, grâce à des fonctions complètes de consignation et de surveillance en temps réel. On vérifie notamment si les systèmes front-end d’Eplan Cloud ainsi que les systèmes back-end fonctionnant en arrière-plan sont disponibles en permanence et fonctionnent avec des performances suffisantes.

Une équipe d’experts dédiée est automatiquement informée en cas d’écarts ou de dysfonctionnements. Des procédures ayant fait leurs preuves garantissent en outre que, en cas d’écarts par rapport aux conditions normales, les systèmes concernés puissent être ramenés le plus rapidement possible à l’état de consigne. 

Procédures de sauvegarde et de restauration

Concept complet de sauvegarde et de restauration pour les situations d’urgence, incluant un processus de sauvegarde continue

Eplan sauvegarde les données d’Eplan Cloud à intervalles réguliers et conserve les sauvegardes pendant une durée déterminée. La mise en œuvre de la procédure de sauvegarde est conforme aux exigences reconnues de la norme ISO 27001. Les sauvegardes sont systématiquement entièrement cryptées et protégées contre tout accès non autorisé.

La clé permettant de déchiffrer les sauvegardes est strictement protégée et conservée en lieu sûr. Elle n’est mise à disposition qu’en cas d’urgence et après une procédure d’autorisation bien définie. L’intégrité des sauvegardes est vérifiée, ce qui garantit ainsi leur disponibilité et leur bon fonctionnement en cas de besoin. 

Développement logiciel agile selon le principe DevSecOps

Développement logiciel agile dans le cadre d’un cycle de vie de développement logiciel structuré, avec des tests fonctionnels et de sécurité automatisés ainsi que des revues de code

La qualité et les procédures relatives aux processus internes de développement des logiciels chez Eplan sont certifiées selon la norme ISO 9001. Celle-ci garantit une approche structurée et organisée tout au long du processus de développement des produits Eplan Cloud : de la conception initiale jusqu’à la livraison des produits logiciels terminés.

Eplan développe des logiciels en utilisant des méthodes agiles et en intégrant des mesures de sécurité selon le principe DevSecOps. Pour cela, on utilise par exemple des procédures de test automatisées, des revues de code et des procédures de réception contrôlées. Toutes les phases du cycle de développement logiciel sont contrôlées et surveillées afin de garantir la mise en œuvre de techniques de sécurité éprouvées.

Pour l’échange des données, nous utilisons des API REST modernes dotées de fortes procédures d’authentification intégrées. Il va sans dire que le principe de séparation entre les environnements de développement, de test et de production est strictement appliqué et respecté.

Analyses des vulnérabilités (Threat Intelligence)

Analyses approfondies visant à détecter automatiquement les menaces et les vulnérabilités, y compris la réalisation de tests d’intrusion réguliers et d’audits de sécurité par des tiers indépendants

Eplan recueille des informations sur les nouvelles menaces à l’aide de ressources internes et externes. Des outils automatisés et des experts en sécurité internes analysent les informations reçues. C’est ainsi que des stratégies pertinentes et des plans de mesures de prévention efficaces sont définis et rapidement mis en œuvre.

Parmi les mesures concrètes, on peut citer, par exemple, la réalisation régulière de tests de pénétration internes et externes visant à détecter de manière proactive d’éventuelles vulnérabilités, ou encore une gestion automatisée des correctifs permettant l’installation rapide des mises à jour de sécurité nécessaires.

Les experts en sécurité hautement qualifiés d’Eplan participent régulièrement à des formations spécialisées. C’est ainsi qu’Eplan s’assure que le savoir-faire requis des experts en sécurité internes est toujours à jour.