Sécurité et Protection des Données
Votre sécurité est notre priorité absolue
Certifications mises à jour : janvier 2025
Engagement sécurité
- 🔐 Chiffrement de bout en bout pour tous vos documents
- 🏢 Données hébergées dans des centres certifiés au Maroc et UE
- 👥 Équipe sécurité dédiée et formée aux meilleures pratiques
- 🔍 Audits de sécurité externes réguliers
1. Chiffrement et Protection des Données
1.1 Chiffrement en transit
TLS 1.3
Protocole de chiffrement le plus récent pour toutes les communications
HSTS
Force l'utilisation HTTPS pour toutes les connexions
1.2 Chiffrement au repos
- AES-256 : chiffrement des documents stockés
- Clés de chiffrement : gérées par AWS KMS
- Base de données : chiffrement transparent (TDE)
- Sauvegardes : chiffrées automatiquement
1.3 Gestion des clés
Sécurité avancée : Les clés de chiffrement sont rotées automatiquement tous les 90 jours et stockées dans des modules de sécurité matériels (HSM) certifiés FIPS 140-2 Niveau 3.
2. Infrastructure et Hébergement
2.1 Centres de données
| Région | Fournisseur | Certifications |
|---|---|---|
| Maroc (Principal) | OVH Cloud | ISO 27001, SOC 2 |
| Europe (Backup) | AWS EU-West | ISO 27001, SOC 1/2/3 |
2.2 Architecture sécurisée
- Isolation réseau : VPC privés avec segmentation
- Pare-feu : filtrage multicouche avec WAF
- Load balancing : répartition de charge sécurisée
- DDoS Protection : mitigation automatique des attaques
3. Contrôle d'Accès et Authentification
3.1 Authentification utilisateurs
Mots de passe forts
Politique stricte appliquée
2FA Optionnel
Double authentification
Sessions sécurisées
Timeout automatique
3.2 Contrôle d'accès interne
- Principe du moindre privilège : accès minimal nécessaire
- Authentification multi-facteurs : obligatoire pour tous les employés
- Révision d'accès : audit trimestriel des permissions
- Journalisation : traçabilité complète des accès
4. Surveillance et Détection
4.1 Monitoring 24/7
Centre de Sécurité Opérationnelle (SOC)
- • Surveillance continue des infrastructures
- • Détection automatique des anomalies
- • Équipe d'intervention 24h/24, 7j/7
- • Temps de réponse : < 15 minutes pour les incidents critiques
4.2 Outils de détection
- SIEM : corrélation des événements de sécurité
- IDS/IPS : détection et prévention d'intrusions
- Analyse comportementale : détection d'activités suspectes
- Threat Intelligence : veille sur les nouvelles menaces
5. Sauvegardes et Continuité
5.1 Stratégie de sauvegarde
| Type | Fréquence | Rétention |
|---|---|---|
| Sauvegarde complète | Quotidienne | 90 jours |
| Sauvegarde incrémentale | Toutes les 4h | 30 jours |
| Réplication géographique | Temps réel | Continue |
5.2 Plan de continuité d'activité
- RTO (Recovery Time Objective) : < 4 heures
- RPO (Recovery Point Objective) : < 1 heure
- Site de secours : activation automatique
- Tests réguliers : simulation mensuelle
6. Conformité et Certifications
6.1 Réglementations respectées
RGPD
Règlement Général sur la Protection des Données - Conforme depuis 2018
Loi 09-08 Maroc
Loi marocaine sur la protection des données personnelles
6.2 Certifications en cours/obtenues
- ISO 27001 : certification prévue Q2 2025
- SOC 2 Type II : audit en cours
- HDS (France) : pour les données de santé
- Certification Cloud Security Alliance
7. Formation et Sensibilisation
7.1 Équipe Cexro
- Formation sécurité : obligatoire pour tous les employés
- Mise à jour régulière : sessions trimestrielles
- Tests de phishing : simulation mensuelle
- Certification : personnel technique certifié CISSP/CISM
7.2 Clients
- Guides de bonnes pratiques : sécurité des comptes
- Alertes sécurité : notification des nouveaux risques
- Webinaires : formation à la sécurité des données
8. Gestion des Incidents
8.1 Procédure d'incident
- Détection : automatique ou signalement
- Classification : évaluation de la criticité
- Containment : limitation de l'impact
- Investigation : analyse des causes
- Résolution : correction du problème
- Communication : information des parties prenantes
8.2 Notification des violations
Engagement de transparence
En cas de violation de données, nous nous engageons à vous notifier dans les 72h et à informer les autorités compétentes conformément au RGPD.
9. Évaluations et Audits
9.1 Audits internes
- Fréquence : trimestrielle
- Scope : infrastructure, applications, processus
- Rapportage : direction et comité de sécurité
9.2 Audits externes
- Pentests : tests d'intrusion semestriels
- Audit de code : révision par cabinet spécialisé
- Certification : audit annuel pour ISO 27001
10. Contact Sécurité
10.1 Équipe sécurité
CISO (Chief Information Security Officer) : security@cexro.com
Incident de sécurité : incident@cexro.com
Vulnérabilité : vulnerability@cexro.com
Numéro d'urgence : 0706058056 (24h/24)
10.2 Bug Bounty Program
Sécurité collaborative : Nous récompensons la découverte responsable de vulnérabilités. Consultez notre programme sur security.cexro.com
Questions sur la sécurité ?
Notre équipe sécurité est disponible pour répondre à toutes vos questions et vous accompagner dans l'évaluation de nos mesures de protection.