Politique de sécurité

Politique de sécurité

Politique de Sécurité du Système – Application Web Coditrans

1. Objectif

La présente politique a pour objectif de garantir la confidentialité, l'intégrité et la disponibilité des données traitées par l'application Web Coditrans. Elle vise à se conformer aux exigences de sécurité applicables aux services critiques, notamment celles des établissements bancaires et financiers.

2. Portée

Cette politique s’applique à l’ensemble des utilisateurs, administrateurs, développeurs et prestataires accédant au système via l’application Web Coditrans.

3. Principes de sécurité appliqués

     3.1 Authentification forte (MFA)

     - Tous les accès au système, qu’ils soient administrateurs, agents ou utilisateurs clients, sont protégés par une authentification multi-facteurs (MFA).
     - L’authentification MFA combine :
          • Un identifiant personnel (adresse email professionnelle pour les agents)
          • Un mot de passe robuste
          • Un code à usage unique (OTP) envoyé par application mobile (authenticator) ou SMS.

     3.2 Sécurité des sessions

     - Expiration automatique après 15 minutes d’inactivité.
     - Limitation des connexions simultanées.
     - Journalisation de toutes les activités sensibles.

    3.3 Chiffrement

     - Communications chiffrées via TLS 1.2+.
     - Stockage haché et salé des mots de passe.
     - Données sensibles chiffrées au repos.

    3.4 Contrôle d’accès

     - Accès basés sur le principe du moindre privilège.
     - Rôles clairement définis avec droits spécifiques.
     - Validation obligatoire pour tout changement d’accès.

    3.5 Journalisation et supervision

      - Traçabilité complète des actions critiques.
      - Conservation sécurisée des journaux pendant 12 mois.
      - Système de détection des anomalies intégré.

     3.6 Protection contre les attaques courantes

        - Protection brute force, XSS, SQLi, CSRF.
      - Utilisation de WAF et systèmes comportementaux (CrowdSec).

     3.7 Mise à jour et gestion des vulnérabilités

        - Mises à jour régulières.
      - Tests de pénétration périodiques.
      - Plan de réponse aux incidents en place.

4. Conformité réglementaire

Le dispositif respecte les standards suivants :
- ISO/IEC 27001
- RGPD
- PCI DSS (si applicable)
- Recommandations BCEAO, ARMP, etc.

5. Sensibilisation et engagements

- Formation des utilisateurs.
- Signature d’un engagement de confidentialité.
- Audit annuel prévu.