Pour démontrer leur engagement, ils ont récemment réalisé un audit complet de sécurité avec Yogosha, société certifiée PASSI par l’ANSSI. Yogosha a passé deux semaines à examiner et à tester leurs services de supervision ainsi que leur service de conformité clés en main, le Compliance Hub.

L’objectif ultime de cet audit est de garantir la conformité à la norme DORA (Digital Operational Resilience Act). Adoptée par le Conseil de l’Union Européenne en novembre 2022, cette norme vise à assurer la résilience du secteur financier européen en cas de perturbation opérationnelle majeure.

DORA établit des normes minimales de sécurité et des règles contraignantes pour les banques, les bourses, les gestionnaires de fonds, les compagnies d’assurance et les prestataires de services informatiques concernant la gestion des risques, le signalement des incidents de sécurité, les tests de résilience opérationnelle et la gestion du risque tiers.

À la suite de cet audit, des correctifs ont été immédiatement appliqués par leurs équipes. Ils ont renforcé leurs mesures de sécurité en activant le Credential Guard, en déployant Azure Defender et Azure Sentinel, en chiffrant les disques avec des clés externes, et en mettant en place plusieurs autres recommandations pour assurer la sécurité de nos systèmes.

Voici quelques-unes des recommandations mises en place :

Pour le Compliance Hub (Basé sur des VM Windows) :

–  Activation du Credential Guard
–  Extension de sécurité des machines virtuelles
–  Déploiement d’Azure Defender (Endpoint & Sentinel)
–  Chiffrement des disques avec clé externe, encryption at host, vTPM...
–  Activation de la protection LSA
–  Activation du Trusted Launch
–  Multiples sauvegardes journalières

Pour la Supervision OLT (Basé sur des containers et Azure Functions) :

–  Usage d’un keyvault et d’Azure Secrets dans l’ensemble de nos applications & services
–  Ajustement des security groups
–  Passage en HTTPS sur l’ensemble des fonctions (Redirection forcée et automatique)
–  Passage en TLS 1.2 pour l’ensemble des services
–  Activation du Storage Soft Delete
–  Rotation automatique des clés d’accès
–  Purge Protection sur les keyvaults

Les attestations de conformité sont disponibles sur demande et seront envoyées à leurs clients. Open Lake Technology reste résolument transparent et fournit des outils complets pour sécuriser les services et les données de ses clients.

Dans le prolongement de leur engagement envers la sécurité, ils ont programmé ce mois-ci un audit complet du Compliance Hub par les éditeurs de la solution. Cet audit garantira la conformité aux bonnes pratiques de sécurité, à l’authentification, à la redondance des services, et à d’autres aspects essentiels.