Brainwave GRC
La sécurité avant tout

Faire face aux menaces et risques cyber liés à vos droits d’accès est notre cœur de métier. La sécurité et la protection de vos données sont notre priorité.

Tous nos produits logiciels sont soumis aux normes de sécurité les plus élevées, y compris durant la phase de développement. Nous adoptons une politique de transparence totale avec nos clients concernant tous les aspects de nos politiques de sécurité logicielle. Retrouvez ci-dessous les aspects les plus significatifs des contrôles et mesures de sécurité mis en place au sein de Brainwave GRC.

Phase de développement : l’exécution de tests de sécurité en continu

Les pratiques de développement modernes telles que le DevOps comportent un pipeline en développement continu (« CI/CD ») qui permet d’automatiser les constructions de logiciels et plusieurs tests de non-régression et d’intégrité.
Brainwave GRC déploie un pipeline DevSecOps de pointe qui place la sécurité au cœur du processus.

L’audit continu du code statique

Dans le cadre du processus de compilation, le code source est analysé. Un rapport automatisé est transmis à l’équipe de développement. Celui-ci fait état des pratiques de codage non sécurisées. Si le nombre de ces pratiques dépasse le seuil qui a été défini au préalable, le processus de compilation peut être annulé.

Contrôles de dépendance

Les bibliothèques de codes tiers sont inventoriées et vérifiées suivant les listes de vulnérabilités et d’expositions communes (CVE) connues. Ces CVE sont examinées par notre architecte sécurité, qui détermine leur impact sur la sécurité du logiciel et prend les décisions nécessaires pour y remédier. Les notes de mise à jour du logiciel comprennent la nomenclature du logiciel (SBOM) ainsi qu’une liste des CVE connues existantes et les contrôles compensatoires recommandés.

Test dynamique de sécurité des applications

À la fin du processus de compilation et de mise en production, les fournisseurs de confiance effectuent des tests de pénétration de notre plateforme logicielle et de ses API contre des vulnérabilités bien connues telles que : le contrôle d’accès non autorisé, les CRSF, XSS, l’injection SQL, etc. L’impact effectif des CVE connues dans les bibliothèques tierces ainsi que les faiblesses potentielles détectées sont évalués lors des audits de code statique.

Par ailleurs, nos capacités de test automatisé de non-régression et d’application dynamique intégrées au pipeline CI/CD sont en cours d’extension. Les résultats de ces tests de sécurité sont mis à la disposition de nos clients dans le cadre d’accords de confidentialité.

Software release et maintenance

Notre stratégie de software release comprend plusieurs étapes de validation formelle concernant la sécurité et l’intégrité du package logiciel.

Les composants logiciels exécutables sont signés numériquement pour garantir leur intégrité. Des sommes de contrôle SHA-256 sont calculées pour chaque package expédié et publiées sur notre site de téléchargement. Les package sont analysés pour s’assurer qu’ils sont exempts de virus ou de malwares connus.

Chaque version majeure du produit est soumise à un test de pénétration. La présence de vulnérabilités majeures ou critiques dans le produit interrompt le processus de lancement.

Une fois délivré, le processus de maintenance logiciel prend en charge les bugs ainsi que les corrections de sécurité. L’équipe de maintenance supervise la veille sécuritaire des composants tiers et alerte les clients et recommande des contrôles correctifs en cas d’émergence d’une CVE qui affecterait le produit.

Sécurisation de notre organisation

Brainwave GRC utilise des technologies dédiées et des processus internes stricts afin de maintenir un haut degré de sécurité de son organisation. Les mesures suivantes sont actuellement en place :

Les utilisateurs sont gérés de manière centralisée et l’authentification multifactorielle (MFA) est appliquée à toutes les applications professionnelles, à la gestion des données et aux systèmes d’accès à distance (VPN). Les appareils des utilisateurs finaux sont également gérés de manière centralisée, avec des politiques de sécurité obligatoires que les utilisateurs ne peuvent contourner.

Des revues des droits d’accès sont fréquemment effectuées à l’aide de notre propre logiciel Brainwave Identity Analytics afin d’appliquer les principes de moindre privilège et de séparation des tâches aux droits d’accès effectifs au sein de Brainwave GRC.

Nos fonctions de sécurité de base (pare-feu, sondes de détection d’intrusion, etc.) sont gérées par un fournisseur de services de sécurité certifié (MSSP), 24 heures sur 24 et 7 jours sur 7.

Nous appliquons un processus strict de gestion des correctifs pour nos systèmes internes. Cela comprend une surveillance constante de la sécurité ainsi que des opérations de correction programmées et exceptionnelles en fonction de l’évaluation des risques.

Les journaux de nos systèmes et applications internes sont stockés dans un système de gestion des informations et des événements de sécurité (SIEM), et sont surveillés par notre équipe de sécurité interne. L’équipe SIEM utilise également des alertes pour gérer les incidents.

L’équipe de Brainwave GRC est tenue de suivre une formation et des évaluations annuelles en matière de sécurité (y compris des simulations de phishing).

Cookie	Description
Cookie law - cookielawinfo-checkbox-necessary	Ce cookie enregistre vos préférences relatives au traitement des cookies obligatoires.
Cookie law - cookielawinfo-checkbox-non-necessary	Ce cookie enregistre vos préférences de traitement relatives aux cookies facultatifs.
Google Analytics - _gid	Google Analytics est utilisé pour le suivi anonyme du trafic sur le site web et d'autres analyses marketing.
Mautic - mautic_device_id	Ce cookie enregistre l'inscription des visiteurs en cas de demande de contact et permet d'accéder à des contenus premiums.
Mautic - mtc_id	Ce cookie enregistre l'inscription des visiteurs en cas de demande de contact et permet d'accéder à des contenus premiums.
Smartsupp	Les cookies Smartsupp sont utilisés pour la fonctionnalité de tchat en ligne.
Wordpress - _cfduid	Ce cookie technique représente une session de navigation dans notre système de gestion de contenu, Wordpress.
You Tube - PREF	Le player You Tube force l'installation de plusieurs Cookies Tiers que vous pouvez désactiver dans vos préférences de navigateur.
You Tube - GPS	Le player You Tube force l'installation de plusieurs Cookies Tiers que vous pouvez désactiver dans vos préférences de navigateur.
You Tube - VISITOR_INFO1_LIVE	Le player You Tube force l'installation de plusieurs Cookies Tiers que vous pouvez désactiver dans vos préférences de navigateur.
You Tube - YSC	Le player You Tube force l'installation de plusieurs Cookies Tiers que vous pouvez désactiver dans vos préférences de navigateur.

Brainwave GRCLa sécurité avant tout