HGA met en œuvre un ensemble de contrôles de sécurité rigoureux afin de garantir la confidentialité, l’intégrité et la disponibilité des données en permanence. Ces contrôles s’appliquent à l’ensemble des systèmes et du personnel et font l’objet d’un examen et d’une mise à jour continus. Vous trouverez ci-dessous un aperçu des principales mesures de sécurité en place :

• Chiffrement : Toutes les données sensibles sont chiffrées lors de leur transmission et de leur stockage. HGA applique un chiffrement de bout en bout pour les données transmises sur les réseaux. Par exemple, la plateforme numérique HGA utilise le protocole HTTPS (SSL/TLS) pour l’ensemble du trafic web, garantissant ainsi la confidentialité des données personnelles et financières lors de leur transmission. Pour les données stockées, HGA utilise un chiffrement robuste (tel que AES-256) pour les bases de données et les systèmes de stockage contenant des données personnelles ou confidentielles . Les mots de passe et les identifiants d’authentification sont stockés sous forme hachée (avec des hachages salés) et non en clair. Les documents téléchargés sur la plateforme (CV, contrats, etc.) sont stockés sous forme chiffrée sur un espace de stockage cloud sécurisé . La gestion des clés de chiffrement est sécurisée ; seul le personnel informatique autorisé y a accès, et les clés sont renouvelées périodiquement conformément aux bonnes pratiques.
• Gestion des identités et des accès : HGA utilise l’authentification multifacteur (AMF) et des contrôles d’accès stricts pour ses systèmes. L’AMF est activée pour tous les comptes utilisateurs (consultants, clients et personnel) sur la plateforme, ce qui requiert une étape de vérification supplémentaire à la connexion. En interne, l’accès administrateur aux serveurs ou aux consoles cloud nécessite également l’AMF. Le principe du moindre privilège est mis en œuvre grâce au contrôle d’accès basé sur les rôles : les utilisateurs n’ont accès qu’aux données et aux fonctions dont ils ont besoin, en fonction de leur rôle (consultant, utilisateur de l’organisation, HGA Finance, HGA Admin, etc.). Les privilèges d’administrateur ou les privilèges élevés sont limités à des comptes de personnel et de service spécifiques, et ces comptes utilisent des identifiants uniques (aucun compte administrateur partagé). Les droits d’accès sont régulièrement revus (au moins une fois par an et lors de changements de personnel) afin de supprimer tout privilège excessif. De plus, l’expiration automatique des sessions et la réauthentification sont utilisées pour les systèmes sensibles afin de réduire les risques liés aux sessions inactives.
• Sécurité du réseau : Les systèmes de HGA (y compris la plateforme numérique et les réseaux internes) sont protégés par des pare-feu et la segmentation du réseau. Les bases de données de la plateforme ne sont pas directement exposées à Internet ; elles résident dans des sous-réseaux sécurisés accessibles uniquement aux serveurs d’applications et aux administrateurs autorisés . Les pare-feu et les groupes de sécurité sont configurés pour n’autoriser que le trafic nécessaire (par exemple, HTTPS sur des ports spécifiques). Des systèmes de détection et de prévention des intrusions (IDS/IPS) et des outils de surveillance continue sont déployés pour détecter toute activité réseau inhabituelle ou toute attaque . Pour son infrastructure cloud, HGA utilise des services de sécurité cloud et applique les bonnes pratiques (comme la désactivation des ports inutilisés et l’utilisation d’un VPN pour l’accès administratif). Des analyses de vulnérabilité régulières sont effectuées sur le réseau et les systèmes afin d’identifier les ports ouverts, les services non sécurisés ou les erreurs de configuration.
• Pratiques de développement sécurisé : La plateforme numérique HGA est développée selon des directives de codage sécurisé afin de prévenir les vulnérabilités courantes telles que les injections SQL, les attaques XSS et CSRF. L’équipe de développement effectue des revues de code et des tests de sécurité (incluant l’analyse statique du code et l’analyse des vulnérabilités des dépendances) dans le cadre du cycle de publication. La configuration de l’application (clés API, identifiants de base de données, etc.) est gérée de manière sécurisée (non codée en dur et stockée dans un environnement de configuration sécurisé à accès restreint). La plateforme évite de stocker des données sensibles côté client (navigateur) au-delà de ce qui est nécessaire à l’expérience utilisateur. De plus, les données de production ne sont pas utilisées dans les environnements de test, sauf si elles sont anonymisées. Toutes les modifications apportées aux systèmes font l’objet de tests et d’une procédure d’approbation (gestion des changements) afin d’éviter tout problème de sécurité involontaire.
• Sécurité des terminaux et des appareils : HGA garantit la sécurité de tous les ordinateurs et appareils utilisés dans le cadre de ses activités. Les ordinateurs portables et serveurs gérés par l’entreprise disposent de systèmes d’exploitation à jour et de correctifs de sécurité appliqués rapidement. Ils exécutent des solutions antivirus/antimalware réputées, offrant une protection en temps réel et des analyses régulières. Le chiffrement complet du disque est activé sur les ordinateurs portables contenant des données sensibles, garantissant ainsi la protection des données en cas de perte. Les utilisateurs sont tenus de ne jamais désactiver les logiciels de sécurité ni d’installer d’applications non autorisées susceptibles d’introduire des logiciels malveillants. Pour les appareils personnels (utilisés pour accéder à la messagerie ou aux données HGA), HGA exige au minimum un mot de passe/code PIN robuste, le chiffrement et l’absence de toute compromission connue. La fonction d’effacement à distance est disponible pour les appareils mobiles connectés aux systèmes HGA (par exemple, en cas de perte d’un téléphone contenant la messagerie HGA).
• Journalisation et surveillance : Comme indiqué dans la section Accès aux données et gestion des incidents, HGA dispose d’un système de journalisation étendu. Les journaux de sécurité (connexions, actions d’administration, exportations de données, etc.) sont collectés et surveillés. Des systèmes automatisés signalent les événements suspects, tels que des tentatives de connexion infructueuses répétées (potentiellement une attaque par force brute) ou des connexions provenant de localisations inhabituelles. HGA utilise soit un tableau de bord de sécurité interne, soit un service SIEM (Gestion des informations et des événements de sécurité) dans le cloud pour corréler et analyser les journaux en temps réel. De plus, les systèmes critiques envoient des alertes au responsable de la sécurité informatique en cas d’anomalie (par exemple, la connexion d’un nouvel appareil au serveur de base de données ou une augmentation soudaine du trafic réseau sortant).
• Sauvegarde et restauration des données : HGA effectue des sauvegardes régulières des données de tous les systèmes et bases de données critiques . Ces sauvegardes sont réalisées selon un calendrier défini (par exemple, des sauvegardes différentielles nocturnes et des sauvegardes complètes hebdomadaires pour les bases de données), et leur intégrité est testée périodiquement par des restaurations de test. Les données de sauvegarde sont chiffrées et stockées dans un emplacement hors site sécurisé (pour les systèmes cloud, les sauvegardes peuvent se trouver dans une région distincte ou être soumises à des contrôles d’accès). La combinaison des sauvegardes et d’un plan de reprise d’activité  garantit que, même en cas de perte ou de corruption de données, ou d’incident majeur (tel qu’une attaque par rançongiciel ou une panne de centre de données), HGA peut restaurer les systèmes et les données à un état récent et reprendre ses activités. Le plan de reprise d’activité définit les objectifs de temps et de point de restauration (RTO/RPO) pour les systèmes critiques et est testé (par des exercices ou des simulations) au moins une fois par an afin de vérifier que HGA peut atteindre ces objectifs.
• Sécurité physique : Bien que la majeure partie de l’infrastructure de HGA soit basée sur le cloud, les bureaux et équipements sur site sont protégés. Les portes des bureaux sont verrouillées et l’accès est contrôlé (clés ou cartes d’accès réservées au personnel autorisé). Les serveurs, le cas échéant, sont conservés dans des pièces ou armoires fermées à clé et à accès limité. Les documents imprimés contenant des informations sensibles sont rangés dans des armoires sécurisées lorsqu’ils ne sont pas utilisés. L’accès des visiteurs aux bureaux (le cas échéant) est supervisé. La politique de HGA est de maintenir un environnement de travail propre : le personnel ne doit pas laisser de documents confidentiels à la vue de tous lorsqu’il s’absente de son bureau et doit détruire les documents inutiles. Les tableaux blancs et les notes contenant des informations sensibles doivent être effacés. Ces mesures réduisent le risque de divulgation accidentelle dans un environnement physique.
• Formation et sensibilisation à la sécurité : Une formation régulière de sensibilisation à la sécurité est dispensée à l’ensemble du personnel de HGA (et aux consultants clés). Cette formation aborde la reconnaissance des courriels d’hameçonnage, la gestion appropriée des données sensibles, l’utilisation de mots de passe robustes et de l’authentification multifacteur (MFA), l’identification des tentatives d’ingénierie sociale et l’importance du respect de ces politiques. Les nouveaux employés et consultants bénéficient d’une formation à la confidentialité et à la sécurité dès leur arrivée afin de comprendre les attentes de HGA. HGA envoie également des rappels périodiques et organise des exercices de simulation d’hameçonnage pour maintenir la sécurité au cœur des préoccupations. Une culture de la sécurité est encouragée : les employés sont félicités lorsqu’ils signalent des problèmes potentiels ou contestent des demandes suspectes. Des directives claires sont en place, notamment concernant l’interdiction de brancher des clés USB inconnues, d’installer des logiciels non autorisés et le signalement immédiat des appareils perdus.
• Protection des données dès la conception et par défaut : lors du développement de nouveaux systèmes ou fonctionnalités, HGA intègre systématiquement les enjeux de protection des données dès le départ. Cela implique de définir par défaut les paramètres les plus protecteurs (par exemple, tout nouveau champ de données est configuré par défaut en accès confidentiel) et de réaliser des analyses de risques pour les nouveaux traitements de données. Par exemple, avant le déploiement de la fonctionnalité d’application automatique de l’IA, HGA a analysé son impact sur les données des consultants et s’est assuré qu’elle leur permette de se désinscrire ou de consulter les applications de l’IA . Tout changement significatif dans le traitement des données personnelles déclenche un examen (semblable à une analyse d’impact relative à la protection des données au titre du RGPD) afin de garantir la mise en place de contrôles appropriés et le maintien de la conformité.
• Sécurité des tiers : Comme indiqué, les services tiers font l’objet d’un examen rigoureux. HGA privilégie les fournisseurs possédant des certifications de sécurité reconnues (ISO 27001, SOC 2, etc.) ou jouissant d’une excellente réputation. Les accords de traitement des données conclus avec les fournisseurs incluent des exigences de sécurité spécifiques. En cas de violation de données chez un fournisseur, ce dernier est tenu d’en informer immédiatement HGA afin que nous puissions prendre les mesures nécessaires. HGA limite également les données partagées avec les fournisseurs au strict minimum nécessaire, afin de minimiser les risques d’exposition.
• Mesures PCI DSS : Si HGA traite des paiements (transactions par carte bancaire pour les services ou frais proposés sur la plateforme), elle se conformera à la norme PCI DSS. En pratique, HGA s’efforce d’externaliser le traitement des paiements auprès de prestataires de services de paiement certifiés afin que les données de cartes bancaires ne soient pas stockées sur ses serveurs (par redirection ou tokenisation). Toutefois, si des données de cartes transitent par notre système, HGA garantit leur chiffrement, la troncature des numéros de carte (seuls les quatre derniers chiffres sont conservés si nécessaire), des analyses PCI régulières et le respect des 12 exigences fondamentales de la norme PCI . Par exemple, nos pages de paiement seront intégrées de manière sécurisée et notre réseau segmenté afin d’isoler tout environnement de paiement. Des auto-évaluations ou des audits annuels de conformité PCI seront réalisés, le cas échéant.

Ces mesures de sécurité, prises collectivement, constituent une défense en profondeur robuste. Elles protègent contre les accès non autorisés, les fuites de données et autres menaces. Ces mesures de sécurité sont évolutives ; HGA s’engage à les améliorer en permanence en se tenant informée des nouvelles menaces et des meilleures pratiques. Nous réalisons régulièrement des audits et des tests d’intrusion afin de valider notre niveau de sécurité et de corriger rapidement toute anomalie constatée. Notre objectif est non seulement de respecter les normes de conformité, mais aussi de protéger efficacement les données qui nous sont confiées par nos consultants, clients et partenaires, et ainsi de préserver leur confiance en HGA.