Politique de sécurité

Politique de sécurité

• Imprimer

Modèle de mise en œuvre de la sécurité chez GIC Re

• Le site Web/portail/application Web de GIC Re a été placé dans des zones protégées avec la mise en œuvre de pare-feu, IDS (Système de détection d'intrusion) et des solutions de haute disponibilité.
• Avant le lancement du site Web/portail/application Web de GIC Re, des tests de pénétration simulés ont été effectués. Après le lancement, des tests de pénétration sont réalisés périodiquement.
• Le site Web/portail/application Web de GIC Re a subi des audits pour les vulnérabilités connues au niveau des applications avant le lancement, et toutes les vulnérabilités identifiées ont été corrigées.
• Le durcissement des serveurs a été effectué conformément aux directives de la Division de la cybersécurité avant le lancement du site Web/portail/application Web de GIC Re.
• L'accès aux serveurs Web hébergeant le site Web/portail/application Web de GIC Re est restreint à la fois physiquement et par le réseau.
• Des journaux sont conservés à différents endroits pour enregistrer l'accès physique autorisé aux serveurs du site Web/portail/application Web de GIC Re.
• Les serveurs Web hébergeant le site Web/portail/application Web de GIC Re sont configurés derrière IDS, IPS (Système de prévention d'intrusion) et des pare-feu système.
• Le travail de développement est effectué dans un environnement de développement séparé et testé de manière approfondie sur un serveur de préproduction avant le déploiement sur le serveur de production.
• Les applications sont téléchargées sur le serveur de production à l'aide de SSH et VPN par un point unique après des tests réussis sur le serveur de préproduction.
• Le contenu contribué depuis des emplacements distants subit un processus d'authentification et n'est pas publié directement sur le serveur de production. Le contenu est modéré avant la publication finale.
• Tous les contenus des pages Web sont vérifiés pour détecter tout code malveillant avant le téléchargement final sur le serveur Web.
• Les journaux d'audit et les journaux d'activité du système sont maintenus et archivés. Les accès et services rejetés sont enregistrés et examinés dans des rapports d'exception.
• Le personnel du Help Desk de l'équipe de surveillance IT de GIC Re surveille le site Web/portail/application Web de GIC Re à intervalles pour s'assurer que les pages sont opérationnelles, qu'il n'y a pas de modifications non autorisées et qu'aucun lien non autorisé n'est établi.
• Les correctifs de logiciels système, les corrections de bugs et les mises à jour sont régulièrement examinés et installés sur les serveurs Web de production.
• La navigation sur Internet, les e-mails et les autres applications de bureau sont désactivés sur les serveurs Web de production. Seules les tâches d'administration des serveurs sont autorisées.
• Les mots de passe des serveurs sont changés tous les mois et partagés entre les administrateurs.
• <Insérer le(s) nom(s) de l'administrateur> sont désignés comme administrateurs pour le site Web/portail/application Web de GIC Re et sont responsables de la mise en œuvre de cette politique et de la coordination avec l'équipe d'audit.
• Après des modifications majeures dans le développement de l'application, le site Web/portail/application Web de GIC Re est audité à nouveau pour les vulnérabilités au niveau des applications.

Audit de conformité

Le site Web/portail/application Web de GIC Re a été audité avant le lancement et respecte toutes les politiques définies par le groupe de cybersécurité.

Le site Web/portail/application Web de GIC Re a également subi une évaluation automatisée des risques à l'aide d'un logiciel d'identification des vulnérabilités avant et après le lancement, toutes les vulnérabilités identifiées ayant été corrigées.