La sécurité au cœur
de chaque décision
CapGRC est conçu pour les organisations qui gèrent des informations sensibles. Voici comment nous protégeons vos données, votre accès et votre conformité.
Cette page décrit les contrôles de sécurité techniques et organisationnels mis en œuvre par CAPTOSEC Inc. pour protéger la plateforme CapGRC et les données de ses clients.
10 domaines de contrôle
Notre programme de sécurité couvre l'ensemble du cycle de vie de la plateforme.
Conception et développement sécuritaires
OWASP · DevSecOpsLa sécurité est intégrée dès la phase de conception. Chaque fonctionnalité est évaluée selon les principes du Security by Design.
- Référentiel OWASP Top 10 appliqué à chaque cycle de développement
- Revues de code sécurité obligatoires avant toute mise en production
- Analyse statique (SAST) et dynamique (DAST) automatisées dans le pipeline CI/CD
- Gestion rigoureuse des dépendances tierces et surveillance des CVE
- Principe du moindre privilège appliqué à l'architecture logicielle
- Séparation stricte des environnements : développement, test, production
Authentification et contrôle d'accès
MFA · SSO · RBACL'accès à la plateforme est protégé par plusieurs couches d'authentification. L'identité des utilisateurs est vérifiée à chaque connexion.
- Authentification multifacteur (MFA) disponible pour tous les comptes — obligatoire pour les administrateurs
- Support SSO via SAML 2.0 et OpenID Connect (OIDC)
- Gestion des rôles et des permissions (RBAC) — accès granulaire par module, entité et action
- Sessions avec expiration automatique et révocation immédiate possible
- Journalisation complète des connexions : heure, adresse IP, appareil
- Politique de mots de passe configurable avec contrôle de complexité
Gestion des accès et des identités
IAM · Principe du moindre privilègeChaque utilisateur n'accède qu'aux données strictement nécessaires à son rôle. L'accès aux systèmes internes de CAPTOSEC est encadré par des politiques strictes.
- Segmentation des accès par organisation — isolation complète des données entre clients
- Accès des administrateurs CAPTOSEC aux environnements de production : limité, tracé, soumis à approbation
- Revue trimestrielle des droits d'accès internes
- Désactivation automatique des comptes inactifs après période configurable
- Gestion des comptes de service avec rotation des secrets
- Audit trail complet : toutes les actions sensibles sont enregistrées avec horodatage
Protection des données
AES-256 · TLS 1.3 · CloisonnementLes données sont chiffrées à toutes les étapes de leur cycle de vie et strictement cloisonnées entre clients.
- Chiffrement en transit : TLS 1.3 sur toutes les communications réseau (HTTPS obligatoire)
- Chiffrement au repos : AES-256 pour toutes les bases de données et volumes de stockage
- Cloisonnement logique des données par organisation (multi-tenant isolé)
- Gestion des clés de chiffrement séparée des données — rotation périodique des clés
- Aucune donnée client dans les journaux d'application ou les systèmes de surveillance
- Politiques de rétention et de suppression configurables conformes à la Loi 25
Localisation et souveraineté des données
Hébergement canadien · Loi 25Toutes les données traitées par CapGRC sont hébergées et demeurent exclusivement en sol canadien.
- Infrastructure hébergée dans des centres de données certifiés au Québec, Canada
- Aucun transfert de données vers les États-Unis, l'Europe ou tout autre pays étranger
- Fournisseurs de services tiers soumis à des ententes de sous-traitance conformes à la Loi 25
- Registre des flux de données maintenu et mis à jour en continu
- Accord de traitement des données (ATD) fourni avec chaque contrat client
- Architecture compatible avec les directives du SCT
Infrastructure et résilience
Disponibilité · Sauvegardes · RedondanceL'infrastructure CapGRC est conçue pour la haute disponibilité. Des mécanismes automatiques assurent la continuité du service.
- Sauvegardes automatisées quotidiennes avec rétention de 30 jours minimum
- Tests de restauration réalisés trimestriellement pour valider l'intégrité des sauvegardes
- Redondance des composants critiques : bases de données, réseau, alimentation
- Plan de continuité des opérations (PCO) documenté et testé annuellement
- Objectifs de temps de reprise (RTO) et point de reprise (RPO) définis contractuellement
- Environnement de reprise activable en cas de sinistre majeur
Tests d'intrusion et gestion des vulnérabilités
Pentest · Scan · CVELa robustesse de la plateforme est vérifiée régulièrement par des tests d'intrusion et une surveillance continue des vulnérabilités connues.
- Tests d'intrusion (pentest) externes réalisés annuellement par un prestataire indépendant qualifié
- Analyse automatisée des vulnérabilités de l'infrastructure à fréquence hebdomadaire
- Programme de divulgation responsable pour les chercheurs en sécurité
- Surveillance des CVE affectant les composants logiciels utilisés (SCA)
- Remédiation des vulnérabilités critiques sous 48 heures, majeures sous 7 jours
- Résultats des tests partagés sur demande avec les clients soumis à des exigences réglementaires
Gestion des incidents de sécurité
PSIRT · Notification · Loi 25Un processus formalisé de gestion des incidents est en place pour détecter, contenir et notifier tout événement de sécurité.
- Processus de réponse aux incidents documenté en 5 phases : détection, confinement, éradication, reprise, revue
- Équipe PSIRT disponible 24/7 pour les incidents critiques
- Notification des incidents de confidentialité conformément à la Loi 25
- Registre des incidents de sécurité tenu à jour et disponible sur demande
- Communication transparente : bulletin de sécurité publié pour les incidents affectant les clients
- Revue post-incident systématique avec plan d'action correctif
Surveillance et journalisation
SIEM · Monitoring · Audit trailL'ensemble de la plateforme fait l'objet d'une surveillance continue. Tous les événements sensibles sont journalisés.
- Journaux d'activité centralisés avec rétention minimale de 12 mois
- Alertes automatiques sur les comportements anormaux
- Surveillance de l'intégrité des fichiers de configuration et des binaires critiques
- Tableau de bord de disponibilité accessible aux administrateurs clients en temps réel
- Journaux d'audit exportables pour vos propres outils SIEM
- Conservation des journaux protégée contre la modification (write-once)
Conformité et gouvernance de la sécurité
Loi 25 · ISO 27001 · SOCCAPTOSEC met en œuvre un programme de gouvernance de la sécurité formalisé, aligné sur les standards reconnus.
- Responsable de la protection des renseignements personnels (RPRP) désigné conformément à la Loi 25
- Évaluation des facteurs relatifs à la vie privée (EFVP) réalisée pour les nouveaux traitements
- Politiques de sécurité de l'information documentées, approuvées et revues annuellement
- Formation obligatoire à la sécurité pour tout le personnel ayant accès aux systèmes de production
- Programme d'amélioration continue basé sur les résultats des audits, tests et incidents
- Rapport de sécurité annuel disponible pour les clients sur demande (NDA requis)
CAPTOSEC sécurise la plateforme.
Vous gérez vos accès.
Comme tout service SaaS, la sécurité repose sur une responsabilité partagée. CAPTOSEC est responsable de l'infrastructure, du code et des opérations. Votre organisation est responsable de la gestion de vos utilisateurs et de la configuration de vos accès.
Vous avez des questions sur notre sécurité ?
Nos équipes peuvent répondre à vos questionnaires de sécurité fournisseur, fournir un rapport de pentest (sous NDA) ou organiser une revue de sécurité dédiée.
Prêt à moderniser votre programme GRC ?
Demandez une démonstration gratuite et découvrez comment CapGRC peut transformer votre approche de la gouvernance, des risques et de la conformité.