Pour démontrer leur engagement, ils ont récemment réalisé un audit complet de sécurité avec Yogosha, société certifiée PASSI par l’ANSSI. Yogosha a passé deux semaines à examiner et à tester leurs services de supervision ainsi que leur service de conformité clés en main, le Compliance Hub.
L’objectif ultime de cet audit est de garantir la conformité à la norme DORA (Digital Operational Resilience Act). Adoptée par le Conseil de l’Union Européenne en novembre 2022, cette norme vise à assurer la résilience du secteur financier européen en cas de perturbation opérationnelle majeure.
DORA établit des normes minimales de sécurité et des règles contraignantes pour les banques, les bourses, les gestionnaires de fonds, les compagnies d’assurance et les prestataires de services informatiques concernant la gestion des risques, le signalement des incidents de sécurité, les tests de résilience opérationnelle et la gestion du risque tiers.
À la suite de cet audit, des correctifs ont été immédiatement appliqués par leurs équipes. Ils ont renforcé leurs mesures de sécurité en activant le Credential Guard, en déployant Azure Defender et Azure Sentinel, en chiffrant les disques avec des clés externes, et en mettant en place plusieurs autres recommandations pour assurer la sécurité de nos systèmes.
Voici quelques-unes des recommandations mises en place :
Pour le Compliance Hub (Basé sur des VM Windows) :
Activation du Credential Guard
Extension de sécurité des machines virtuelles
Déploiement d’Azure Defender (Endpoint & Sentinel)
Chiffrement des disques avec clé externe, encryption at host, vTPM...
Activation de la protection LSA
Activation du Trusted Launch
Multiples sauvegardes journalières
Pour la Supervision OLT (Basé sur des containers et Azure Functions) :
Usage d’un keyvault et d’Azure Secrets dans l’ensemble de nos applications & services
Ajustement des security groups
Passage en HTTPS sur l’ensemble des fonctions (Redirection forcée et automatique)
Passage en TLS 1.2 pour l’ensemble des services
Activation du Storage Soft Delete
Rotation automatique des clés d’accès
Purge Protection sur les keyvaults
Les attestations de conformité sont disponibles sur demande et seront envoyées à leurs clients. Open Lake Technology reste résolument transparent et fournit des outils complets pour sécuriser les services et les données de ses clients.
Dans le prolongement de leur engagement envers la sécurité, ils ont programmé ce mois-ci un audit complet du Compliance Hub par les éditeurs de la solution. Cet audit garantira la conformité aux bonnes pratiques de sécurité, à l’authentification, à la redondance des services, et à d’autres aspects essentiels.
« Nous sommes fiers de notre engagement envers la sécurité numérique et nous nous efforçons constamment d’améliorer nos pratiques », déclare Antoine Dhersin, CTO d’Open Lake Technology. « Nous remercions Yogosha pour leur analyse approfondie et leur expertise, ainsi que nos clients pour leur confiance continue ».