Procédure de sécurité
Marien / le 26 avril 2021
Tout logiciel possède son lot de bugs. Ces bugs peuvent, dans le pire des cas, engendrer des failles de sécurité. On ne peut jamais tout à fait s’en prémunir, mais on peut réduire la probabilité d’un incident grave.
Concernant Flus, j’ai déjà mis en place plusieurs choses :
- je ne demande que le strict minimum en termes de données personnelles (elles sont listées dans les mentions légales) ;
- je mets à jour le serveur régulièrement ;
- la navigation sur la plateforme se fait exclusivement en HTTPS ;
- les données sont sauvegardées de manière chiffrée toutes les nuits ;
- les accès au serveur sont enregistrés ;
- je suis moi-même formé sur le sujet de la sécurité (même si je suis loin d’être un expert, le domaine étant particulièrement exigeant) ;
- le code du logiciel derrière le service est ouvert et largement testé.
Aujourd’hui je rajoute une couche en publiant une procédure pour remonter les problèmes de sécurité liés à la plateforme. Celle-ci précise comment me contacter, mes délais de réponse, la manière dont je communiquerai sur les failles et quels services sont concernés. Cette procédure s’adresse aux personnes découvrant des failles de sécurité dans Flus afin que nous puissions travailler ensemble à leur résolution dans de bonnes conditions.
La procédure est accessible à l’adresse flus.fr/securite.
Comme toute procédure, elle est amenée à évoluer au fil de mon expérience sur le sujet. Si vous détectez une faille dans celle-ci, n’hésitez pas à m’en faire part 😉