Partager

La stratégie de cybersécurité de Treezor

Le cadre NIST comme pilier de la cybersécurité

Dans un contexte où les menaces en cybersécurité évoluent constamment, Treezor s’appuie sur les standards du National Institute of Standards and Technology (NIST), une référence internationale en matière de gestion de la cybersécurité. Ce dispositif repose  sur 6 piliers:  Govern, Identify, Protect, Detect, Respond, et Recover. 

Treezor, acteur majeur du paiement en tant que service (Banking-as-a-Service), s’engage activement à anticiper et contrer les menaces potentielles, protégeant ainsi les informations et les transactions de ses partenaires et utilisateurs finaux.

Pilier #1 : Gouverner | Une gestion centralisée et alignée 

La gouvernance est au cœur de la stratégie cybersécurité de Treezor, assurant une vision claire, cohérente et alignée avec les bonnes  pratiques internationales.

  • Pilotage avec le programme Cybersécurité du groupe Société Générale : En collaboration et avec l’accompagnement du Groupe Société Générale, le framework du NIST barometer est utilisé comme base d’évaluation de maturité en cybersécurité permettant d’identifier et d’implémenter les mesures de sécurités adéquates. 
  • Politiques de sécurité : Un cadre documentaire encadre la gestion des accès, des données et des infrastructures assurant une conformité aux réglementations en vigueur et applicable pour l’entreprise.  
  • Sous-traitance : Des clauses de sécurité de l’information sont intégrées dans les contrats avec nos fournisseurs, liées à la confidentialité, l’intégrité et la disponibilité des données de Treezor. 
  • Collaboration avec Société Générale : L’intégration des ressources et des méthodologies du groupe permet à Treezor de bénéficier d’une expertise complémentaire pour ses activités de cybersécurité.
  • Conformité : En plus de sa certification PCI-DSS, Treezor s’aligne avec les réglementations RGPD, DORA,  veillant à protéger les données personnelles et financières. Un dispositif organisationnel et des mesures techniques permettent à l’entreprise de protéger les données clients. Bénéficiant d’une gouvernance cyber, Treezor maintient un cadre organisationnel soutenant sa vision à long terme et s’adapte ainsi aux menaces émergentes.

Pilier #2 : Identifier| Connaissance et gestion des risques

Treezor applique une démarche proactive pour identifier les actifs critiques et les vulnérabilités potentielles.

  • Cartographie des systèmes : Les actifs critiques et non critiques sont identifiés et documentés dans un référentiel. Basé sur ce référentiel, un dispositif d’analyse de risque cyber régulier permet d’identifier, d’évaluer sa sensibilité aux risques et d’assurer son suivi. 
  • Gestion des risques : Les données sont classifiées et protégées en cohérence avec le contexte réglementaire et légal. Le dispositif de gestion de risques cyber est formalisé, documenté dans un référentiel et englobe à la fois le suivi des risques internes et externes. (fournisseurs et partenaires tiers).

 

Pilier #3 : Protéger | Prévention proactive

Treezor œuvre pour garantir la sécurité des données et des transactions.

  • Chiffrement : L’infrastructure de l’entreprise repose exclusivement sur des  services de Cloud. Les mécanismes cryptographiques respectent les normes et standards internationaux.
  • Résilience du Système d’Information : Treezor adopte une méthode de réplication en temps réel des bases de données sur plusieurs régions et sauvegardes quotidiennes, avec une bascule d’urgence disponible et testée en moins de deux heures. 
  • Formation continue
    • Un cadre documentaire est communiqué à l’arrivée des collaborateurs internes et externes. Un dispositif de formation continue en ligne (e-learning) est en vigueur et sa bonne complétude est contrôlée régulièrement. 
    • En plus des formations continues, des exercices de phishing sont réalisés régulièrement, permettant de sensibiliser les collaborateurs. En cas de hameçonnage réussi, une session de formation en ligne complémentaire est obligatoire. 
    • Plusieurs canaux, supports de communication et de diffusion participent à la sensibilisation des collaborateurs tels que les affiches, canaux d’échanges instantanés et des articles. 

Sécurisation des postes de travail : La configuration des postes de travail est standardisée, et des mises à jour régulières sont mises en place conformément aux standards de sécurité définis par la Société Générale.

Pillier #4 : Détecter | Surveillance continue

Treezor met en place un dispositif de surveillance des menaces sur l’ensemble de son système d’information.

  • Identification et qualification des vulnérabilités en collaboration avec le CERT de la Société Générale : Les vulnérabilités sont identifiées, qualifiées et ensuite traitées via le dispositif interne de remédiation.
  • Centralisation des événements de sécurité : Les journaux d’événements sont conservés et revus régulièrement pour garantir leur intégrité et détecter toute activité anormale.  Les logs de sécurité sont centralisés au sein d’un SIEM (Système de gestion des Informations et des Événements de Sécurité), permettant ainsi de bénéficier d’une supervision centralisée renforçant son dispositif de traitement des alertes de sécurité.
  • Détection des intrusions : Des outils de surveillance automatisés sont utilisés, permettant ainsi la détection des intrusions et l’identification de comportements suspects. Ils sont ensuite traités par le dispositif de SOC interne (Security Operations Center).  

 

Pillier #5 : Répondre | Gestion des incidents en temps réel 

La réponse aux incidents de sécurité est documentée et organisée : 

  • Traitement des incidents de sécurité : Le dispositif de traitement des incidents de sécurité est formalisé dans un corpus documentaire (politiques et procédures). La gestion des incidents est encadrée, documentée et centralisée dans un outil de ticketing. Ce dispositif lui permet de détecter, prévenir, enquêter, documenter, et réagir à l’incident.  
  • Gestion de crise : Un exercice de gestion de crise est effectué annuellement, permettant ainsi de se préparer en cas de crise avérée. 

 

Pillier #6 : Récupérer | Renforcement après incident

Treezor garantit une reprise rapide et sécurisée après un incident.

  • Continuité informatique : La continuité informatique est documentée (Plan de continuité informatique) et testée annuellement via l’exercice de continuité informatique.  

Parlons de votre projet ! 

Vous souhaitez concrétiser votre projet de paiement ? Il vous suffit de compléter ce formulaire. Un de nos experts prendra contact avec vous dans les meilleurs délais.

 

Contactez-nous !
iPhone 1 iPhone 2 image/svg+xml