# Plan d’assurance sécurité

### Responsabilités du SIP

NEOSTORE est responsable de la rédaction, de l'évolution et de l'application du Plan d'Assurance Sécurité.

### Procédure d'évolution du SIP

Le SIP peut être mis à jour au cours du projet à la demande de NEOSTORE ou du prestataire de services. Ce dernier est responsable de la rédaction du SIP initial et de ses évolutions afin de répondre aux exigences de sécurité du prestataire pendant toute la durée du contrat.

En cas d'évolution du système, de son environnement ou du périmètre de l'opération d'externalisation, NEOSTORE vérifie si le SIP doit être modifié. Le cas échéant, il propose un avenant au prestataire. Si cette modification est acceptée, le SIP est révisé et soumis au prestataire pour validation formelle.

### Applicabilité du SIP

En cas de non-conformité au SIP, NEOSTORE est tenu d'informer le prestataire de services. NEOSTORE signalera l'origine de la non-conformité, les mesures compensatoires et les délais de traitement de la clause de non-conformité.

NEOSTORE devra procéder à une demande d'évolution si, pour des raisons qui lui incombent, il n'est plus en mesure de maintenir des centaines de clauses du SIP.

### Classification du document

Ce document est public.

### Sponsor

Ce document a été rédigé par Opsession SAS au nom de NEOSTORE en 2023.

### Description de l'entreprise et du logiciel

#### Présentation de l'entreprise

NEOSTORE est une startup française spécialisée dans le développement d'une solution SaaS visant à enrichir l'expérience client en magasin via la capture de données et les technologies Wallet. NEOSTORE est composée d'une équipe ayant plus de 15 ans d'expérience dans le commerce de détail et le commerce en ligne. Depuis 2020, NEOSTORE a développé le logiciel éponyme qui a été renommé « The Wallet Crew » en septembre 2025.

#### Aperçu du logiciel

Le logiciel transforme le portefeuille mobile en un nouvel espace central de l'expérience client. C'est un canal d'engagement moderne qui comble le fossé entre le physique et le digital pour le marketing, le commerce, la billetterie, le service et la fidélisation, sans nécessiter le téléchargement d'une application.

Les principales fonctionnalités du logiciel sont :

* La **collecte des données et des consentements des clients** pour simplifier la capture des données clients en magasin via des formulaires d'inscription optimisés, accessibles par code QR.
* La **dématérialisation des cartes dans les Wallets** pour permettre aux clients d'accéder à leurs avantages (points de fidélité, accès à des événements, etc.) et augmenter le trafic et la rétention grâce à des campagnes de marketing mobile efficaces (Apple Cards et Google Wallet).
* Protection **des données personnelles** pour répondre aux exigences réglementaires GDPR/CCPA via une technologie unique de collecte de preuve de consentement.

#### Présentation de l'offre

Le logiciel NEOSTORE est mis à disposition sous forme de solution SaaS, soumis à ce plan d'assurance sécurité, sous licence annuelle de droit d'utilisation (support et maintenance inclus).

### Sécurité de l'environnement client SaaS

NEOSTORE utilise C# et React pour son développement, hébergeant sur Azure Cosmos DB, Azure Blob Storage, Azure Data Explorer pour le système de gestion de base de données. Toutes les données sont cloisonnées et accessibles uniquement par l'organisation propriétaire de l'information.

L'architecture du modèle SaaS proposé par NEOSTORE repose sur une base de données et une infrastructure applicative partagées entre plusieurs entités ou organisations.

Des mesures de sécurité spécifiques sont mises en place pour garantir la confidentialité des données saisies par l'organisation :

* La gestion des droits d'accès aux données est mise en place pour chaque organisation. Des tests côté serveur sont systématiquement effectués pour s'assurer que les données fournies à l'utilisateur appartiennent à l'organisation à laquelle l'utilisateur appartient (système en silo).
* Au sein de chaque silo (organisation), une logique d'entonnoir est également proposée, avec gestion des droits d'accès (gestion/lecture/écriture) applicable manuellement et unitairement pour chaque utilisateur et chaque projet de l'organisation.

### Organisation de la sécurité de l'information

#### Aperçu

Afin de traiter au mieux la problématique de sécurité dans les services proposés à ses clients, NEOSTORE a mis en place une organisation de la sécurité de l'information axée sur le périmètre suivant :

**Développement, hébergement, support et maintenance de son logiciel NEOSTORE**

La sécurité du système d'information permet de sécuriser les données de production confiées par les clients de NEOSTORE, ou traitées par eux via le logiciel.

L'objectif de l'organisation de la sécurité de l'information est de définir un cadre précis de gestion de la sécurité au sein de NEOSTORE, afin de garantir la disponibilité, l'intégrité et la confidentialité des données confiées et du logiciel face aux principaux risques, tels que l'intrusion, l'altération des données, la divulgation ou la perte de données et l'utilisation abusive du logiciel.

L'organisation de la sécurité de l'information suit une logique d'amélioration continue selon les principes de la roue de Deming (PDCA), comme décrit dans le schéma ci-dessous :

![Diagramme du cycle PDCA : Processus d'amélioration continue](https://3097111101-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWLc8AHXW4tdrAXUBfrYF%2Fuploads%2Fgit-blob-d57e4207e7bb0549d0a02a3b92dd4e8700606a62%2Fsecurity_insurance_plan_1.png?alt=media)

Pour atteindre les objectifs fixés, NEOSTORE met en œuvre la gouvernance de sécurité suivante :

* **Stratégie descendante :**
  * Destinée à tous les employés de NEOSTORE inclus dans le périmètre de l'organisation.
  * Pour définir et communiquer ce qui doit être fait, via des Politiques, Procédures et Modes Opératoires.
* **Stratégie ascendante :**
  * Pour mesurer, évaluer et améliorer ce qui a été réalisé par les employés de NEOSTORE.

![Diagramme de gouvernance de la sécurité : Stratégies descendante et ascendante](https://3097111101-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWLc8AHXW4tdrAXUBfrYF%2Fuploads%2Fgit-blob-b87aa0345b6fd83a6f2046de06ef4da6f535af4c%2Fsecurity_insurance_plan_2.png?alt=media)

#### Rôles et responsabilités en matière de sécurité de l'information

**Directeur général**

NEOSTORE est représentée par son CEO, responsable des aspects techniques, fonctionnels et contractuels. Les missions du CEO comprennent :

* Assurer les considérations globales de sécurité.
* Assister les équipes du prestataire.
* Décider des actions en fonction des résultats d'audit, des incidents ou des avis remontés par le prestataire de services.
* Valider toutes les actions liées à la gestion de la sécurité des projets.
* Traiter les activités de remontée SSI entre NEOSTORE et le prestataire de services.

**Directeur technique**

Le Directeur technique est responsable de la mise en œuvre opérationnelle de l'ensemble des actions techniques de sécurité au sein de l'infrastructure et de l'exploitation du logiciel NEOSTORE. Le Directeur technique assiste le CEO de NEOSTORE dans les relations avec les prestataires sur tous les sujets techniques.

**Délégué à la protection des données (DPO)**

Le DPO externalisé garantit la conformité de NEOSTORE aux réglementations relatives à la protection des données personnelles. Le DPO assure le respect du Règlement Général sur la Protection des Données (GDPR), définit et met en œuvre une procédure de gestion des traitements, et veille à ce qu'elle soit prise en compte au sein de l'entreprise. Le DPO est l'interlocuteur du prestataire pour toutes les questions relatives aux données personnelles traitées par NEOSTORE.

Pour les questions concernant la documentation sur les données personnelles : <privacy@neostore.cloud>

### Mesures de sécurité organisationnelles

#### Politiques de sécurité de l'information

NEOSTORE formalise une politique de sécurité du système d'information (ISSP) définissant les règles de sécurité à mettre en œuvre en réponse aux risques identifiés et aux exigences réglementaires et contractuelles applicables. Cette ISSP est ensuite déclinée opérationnellement en politiques annexes, procédures opérationnelles ou modes opératoires thématiques précisant les mesures à mettre en œuvre. La documentation relative à la sécurité de l'information est mise à la disposition de l'ensemble du personnel de NEOSTORE selon les besoins de chacun. Cette documentation est régulièrement mise à jour (au moins annuellement) pour prendre en compte les évolutions liées au périmètre, à la réglementation ou au contexte cybernétique.

#### Devoirs et responsabilités en matière de sécurité de l'information

NEOSTORE met en place une organisation interne dédiée au développement, au support et à la maintenance du logiciel NEOSTORE. Cette organisation est divisée en deux composantes :

* Une composante opérationnelle, où le département technique réalise les actions et identifie les points bloquants devant être arbitrés.
* Une composante de gestion opérationnelle et stratégique, où les responsables de NEOSTORE se réunissent mensuellement pour arbitrer les points difficiles et mesurer l'atteinte des objectifs.

#### Contacts avec des groupes d'intérêt spécifiques et renseignement sur les menaces

De par la nature de son activité, NEOSTORE et les équipes impliquées dans le développement, le support et la maintenance du logiciel entretiennent des relations étroites avec des groupes de travail spécialisés liés à la sécurité de l'information. NEOSTORE consulte régulièrement et s'immerge dans le CERTFR de l'Agence nationale de la sécurité des systèmes d'information et veille tout particulièrement sur les sujets Microsoft Azure, Cloudflare et Auth0.

#### Responsabilités des actifs

Les règles d'utilisation des actifs informationnels de NEOSTORE sont communiquées à tous les employés dans le périmètre. Ces règles stipulent, pour chaque niveau de confidentialité des informations traitées, les bonnes pratiques de sécurité à mettre en œuvre. De plus, les supports utilisés pour le traitement de l'information et les activités incluses dans le périmètre sont protégés contre les menaces d'indisponibilité, d'altération et de divulgation :

* Les données stockées sur les postes de travail sont sauvegardées au sein d'un hébergeur certifié ISO 27001.
* Les disques durs sont chiffrés.
* Un logiciel anti-code malveillant est installé et régulièrement mis à jour.
* Les systèmes d'exploitation et les applications sont mis à jour automatiquement ou via des employés sensibilisés.
* La surveillance des mises à jour des systèmes et applications est effectuée via des outils spécifiques.

### Contrôle d'accès et gestion des identités

L'accès initial à la solution NEOSTORE est réalisé par le client. Le client est responsable de la création d'un compte sur le système. NEOSTORE examinera ce compte et accordera l'accès aux ressources appropriées. Le client peut se connecter en utilisant un fournisseur SSO ou un identifiant/mot de passe avec une politique de mot de passe imposée par NEOSTORE.

La gestion du compte du gestionnaire d'organisation est effectuée par NEOSTORE via un gestionnaire d'identité externalisé Auth0. L'API de communication entre Auth0 et l'infrastructure NEOSTORE utilise la fonctionnalité Open Authorization OAuth2 pour garantir la sécurité et le maintien de la politique de mot de passe.

### Relation avec les fournisseurs

Chaque nouveau fournisseur fait l'objet d'une analyse de sécurité pour identifier les risques inhérents aux services sous-traités et les exigences de sécurité à intégrer dans les contrats. Des audits peuvent être réalisés par NEOSTORE auprès de ses sous-traitants, pour inspection périodique ou en cas d'incident. Les fournisseurs intervenant dans le périmètre doivent au minimum se conformer à la Politique de Sécurité du Système d'Information de NEOSTORE et à la charte informatique. Un NDA (accord de confidentialité) est établi avec les tiers, les obligeant à rester discrets et à s'engager à préserver la confidentialité des informations traitées au sein de NEOSTORE.

### Gestion des incidents de sécurité de l'information

NEOSTORE met en place un processus de traitement des incidents liés à la sécurité de l'information :

* Identification des alertes.
* Formalisation de l'alerte dans un ticket d'incident et qualification de l'incident (sécurité ou non).
* Traitement de l'incident de sécurité avec mise en œuvre des actions correctives par les personnes concernées.
* Analyse causale de l'incident.
* Capitalisation des incidents passés et mise en œuvre d'un processus d'amélioration continue.

Chaque incident de sécurité fait l'objet d'une traçabilité et d'un suivi spécifique.

### Continuité d'activité

Un plan de continuité d'activité pour les activités stratégiques de NEOSTORE est défini et testé annuellement par la Direction générale afin de pallier toute indisponibilité de personnel ou arrêt prolongé des systèmes et applications sensibles. Ce plan de continuité d'activité définit :

* Le SPOF (Single Point of Failure) de l'informatique de NEOSTORE et les mesures de protection mises en place pour en réduire l'impact.
* Les catastrophes majeures potentielles pouvant déclencher une crise.
* Les moyens mis en œuvre et les modalités opérationnelles pour assurer la continuité des fonctions vitales de la production de NEOSTORE suite à une situation de crise.
* Les rôles et activités de chacun.
* Comment basculer en mode dégradé ou en solutions de repli.

Conformément à la procédure d'intégration de la sécurité dans la relation avec les fournisseurs, toute activité critique sous-traitée à une société tierce (par ex. hébergeur) doit faire l'objet d'une évaluation de sensibilité identifiant le besoin et les conséquences possibles d'une perte de disponibilité. En conséquence, un contrat est formalisé avec les niveaux de service attendus conformément aux besoins exprimés.

Concernant l'accès à l'application, les informations suivantes sont contractualisées :

* Taux de disponibilité : 99,5%

### Conformité aux obligations réglementaires et contractuelles et protection de la vie privée et des données personnelles (PD)

Un Délégué à la Protection des Données (DPO) externalisé est nommé et est chargé de veiller au respect des pratiques réglementaires attendues. Dans sa démarche de conformité au GDPR, NEOSTORE a documenté un cartographie des traitements de données personnelles pour constituer son registre obligatoire. Les processus internes suivants sont en place :

* Intégration des obligations GDPR pour la protection des données personnelles en amont de la conception d'une application (privacy by design).
* Sensibilisation des employés.
* Gestion des violations de données personnelles via le processus de gestion des incidents de sécurité.
* Organisation et traitement des plaintes et des demandes des personnes concernées concernant l'exercice de leurs droits.

Le processus externe suivant est en place :

* Contractualisation d'un Data Processing Agreement concernant la protection des données personnelles selon les besoins avec les clients.

### Conformité aux politiques, règles et normes de sécurité de l'information

La Direction Exécutive de NEOSTORE est responsable de la conduite d'un programme d'audits de conformité à la Politique de Sécurité du Système d'Information. L'objectif de ce programme est de vérifier la bonne et conforme application de la politique par les différentes entités concernées. Les contrôles réalisés sont spécifiés au sein d'un programme d'audit triennal défini par le CEO et concernent :

* Audits de conformité par rapport à la Politique de Sécurité du Système d'Information.
* Audits techniques pour prendre en compte les règles et exigences techniques de sécurité.

Des audits techniques sont effectués sur les composants sensibles identifiés dans l'analyse des risques, sous la forme de tests d'intrusion :

* En mode « boîte noire » : tests réalisés depuis Internet sans aucune connaissance préalable. L'auditeur commence sans connaissance initiale, en particulier sans information technique relative à la plateforme testée et sans identifiants. Seules des informations publiques telles que des adresses IP ou des URL sont généralement fournies. Ce type de test nécessite la mise en œuvre d'outils et de méthodes qu'un attaquant utilise pour s'introduire dans un système distant dont il n'a aucune information. L'objectif est d'évaluer le niveau de résistance du système face aux attaques de hackers provenant d'Internet.
* En mode « boîte grise » : L'auditeur dispose d'informations limitées et sélectionnées afin de mesurer le risque dans une situation pertinente. Par exemple, des identifiants valides peuvent être fournis pour évaluer l'étendue du risque en cas d'usurpation d'un utilisateur privilégié. Ce type de test interne vérifie s'il est possible ou non pour un utilisateur de l'entité d'élever ses privilèges au-delà de son périmètre autorisé d'utilisation ou de conserver l'accès après la fin de sa mission au sein de l'entité.

Chaque test réalisé, qu'il soit organisationnel ou technique, donne lieu à un rapport d'audit exprimant les non-conformités constatées et les actions curatives, correctives et préventives à mettre en œuvre. Ces actions sont analysées et intégrées au suivi des actions de sécurité piloté par le CEO.

### Mesures de sécurité applicables aux personnes

#### Sécurité du personnel

Les recrutements effectués par NEOSTORE sont réalisés conformément à la législation locale et mettent en œuvre des vérifications adaptées aux missions envisagées. La signature du contrat de travail des employés entraîne un devoir de réserve et un engagement de confidentialité sur les informations traitées dans le cadre des missions de NEOSTORE et du logiciel.

#### Sensibilisation et formation à la sécurité de l'information

La Direction Exécutive de NEOSTORE est responsable de l'application des règles de sécurité concernant ses employés, stagiaires et prestataires de services. L'ensemble des employés est formé à la sécurité via leur cursus universitaire et leur expérience professionnelle. Une présentation des règles de l'ISSP ainsi que des bonnes pratiques de sécurité de l'information est effectuée.

#### Gestion des entrées, sorties et mouvements du personnel

Un processus de gestion des arrivées, mouvements et départs est mis en place pour gérer l'affectation du personnel ainsi que les accès physiques et logiques de toute personne accédant ou quittant le SI (employés, prestataires, stagiaires).

### Mesures de sécurité physiques

#### Bureau propre et écran vierge

Les équipes techniques et fonctionnelles développant, supportant et maintenant le logiciel NEOSTORE travaillent à distance. À ce titre, la charte informatique est formalisée pour respecter les règles de bureau propre et d'écran vierge et précise les règles de gestion des supports de stockage amovibles.

### Mesures de sécurité technologiques

#### Droits d'accès privilégiés et authentification sécurisée

Toutes les ressources composant le SI de NEOSTORE (infrastructure, exploitation) nécessitent l'identification et l'authentification de l'administrateur :

* L'identification est réalisée nominativement. Aucun compte générique n'est utilisé pour les tâches communes. Les comptes génériques à haut privilège sont utilisés en dernier recours et leur accès fait l'objet d'une traçabilité rigoureuse et d'un stockage sécurisé.
* L'authentification est réalisée de manière forte : couple identifiant/mot de passe et second facteur d'authentification avec la mise en œuvre d'une politique de mot de passe robuste respectant les recommandations de l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

#### Accès aux codes sources

L'accès au code source est sécurisé par des pratiques visant à empêcher l'introduction de fonctionnalités non autorisées, à prévenir les modifications involontaires ou malveillantes, et à préserver la confidentialité de la propriété intellectuelle importante.

#### Protection contre les malwares

**Pour les services Azure Cloud**

Les services sont équipés d'un logiciel antivirus (Azure Cloud Defender), mis à jour en continu tant pour la base de signatures que pour l'application utilisée. Les alertes sont centralisées et traitées par le département technique de NEOSTORE.

**Pour les postes de travail**

Les postes de travail des employés de NEOSTORE sont tous équipés d'un logiciel antivirus constamment mis à jour (Microsoft Defender ou Apple XProtect).

#### Gestion technique des vulnérabilités

Les services de NEOSTORE sont équipés de [Dependabot](https://github.com/dependabot) un logiciel de conformité des dépendances et [Microsoft Security DevOps Azure DevOps](https://github.com/microsoft/security-devops-azdevops) permettant à la direction de NEOSTORE d'identifier les systèmes vulnérables et d'imposer le déploiement des correctifs de sécurité sur chaque actif.

#### Sauvegarde et restauration

**Pour les services Azure Cloud**

La stratégie de sauvegarde s'aligne sur les configurations par défaut d'Azure et inclut des sauvegardes automatiques gérées par Azure

* Azure Cosmos DB - sauvegarde continue pendant 30 jours (maximum Azure)
* Azure Data Explorer - sauvegarde continue pendant 14 jours (non configurable par Azure)
* Azure Blob Storage - sauvegarde continue pendant 30 jours

Les données de développement, de support et de maintenance sont sauvegardées en temps réel, en utilisant le même processus. Les sauvegardes sont traitées de manière à garantir la confidentialité, l'intégrité et la disponibilité.

**Pour les postes de travail**

Les données des employés sont sauvegardées en temps réel via l'utilisation d'un outil de synchronisation hébergé dans un datacenter certifié ISO 27001.

#### Journalisation et surveillance

Chaque ressource du SI dispose d'un dispositif de journalisation pour garder la trace des événements de sécurité. Ces traces sont horodatées via des sources de temps approuvées, protégées et conservées pendant un an. Seules les personnes autorisées du département technique de NEOSTORE peuvent avoir accès aux événements journalisés, et ils ne sont consultés qu'en cas de demande d'un personnel autorisé ou en cas d'incident avéré.

#### Sécurité réseau

**Durcissement des configurations des équipements réseau**

La configuration de sécurité des dispositifs d'infrastructure réseau (pare-feu, proxy, ...) est contrôlée.

**Administration réseau**

Les réseaux sont administrés et gérés afin de protéger correctement l'information dans les systèmes et applications. Les exigences minimales suivantes doivent être respectées :

* Les mêmes mesures de contrôle d'accès aux applications et aux données NEOSTORE s'appliquent à l'accès aux services réseau.
* Seuls les utilisateurs autorisés par NEOSTORE peuvent être authentifiés sur le réseau en utilisant une authentification forte.

**Silos réseau**

Le SI de NEOSTORE est segmenté en plusieurs réseaux logiques, chacun avec un niveau de sécurité homogène. Le filtrage des flux est mis en place, maintenu à jour et revu régulièrement. Les exigences minimales suivantes pour le zonage réseau doivent être respectées :

* Les systèmes et équipements avec différents niveaux de confiance sont situés dans des zones réseau séparées.
* Les systèmes qui fournissent des services pour des réseaux externes (par ex. Internet) sont situés dans des zones distinctes (zones démilitarisées).
* Différents types de systèmes et d'équipements sont situés dans des zones de sécurité séparées.
* Les ordinateurs des employés de NEOSTORE se trouvent dans des zones de sécurité différentes de celles des services cloud.
* Les systèmes de développement et de test sont situés dans des zones distinctes des systèmes de production.
* Il est garanti que les systèmes contenant des données strictement confidentielles ou secrètes peuvent être placés dans des zones réseau séparées.

**Filtrage des flux entrants et sortants**

Les points d'entrée et de sortie réseau sont contrôlés, organisés et approuvés. La configuration des pare-feu, et en particulier les règles d'ouverture des protocoles et des flux, fait l'objet d'une validation et d'un suivi régulier par le département technique de NEOSTORE, qui vérifie la légitimité des demandes d'ouverture de flux. Les nouvelles règles ou modifications des configurations existantes pour l'infrastructure réseau sont formellement approuvées par le département technique.

**Détection des tentatives d'intrusion**

Des systèmes de détection d'intrusion sont mis en place. Des indicateurs liés aux tentatives d'intrusion sont implémentés pour surveiller et prévenir tout incident de sécurité.

**Sécurisation des services publiés sur Internet**

Tous les services exposés sur Internet sont équipés d'un pare-feu applicatif web correctement configuré. Chaque publication de service doit être validée par le département technique et configurée au sein de l'application web.

#### Cryptographie

Il existe un processus pour gérer la création, le renouvellement et la révocation des certificats achetés auprès d'entités certifiées telles que les PKI de Microsoft et Cloudflare.

#### Cycle de développement sécurisé

**Ingénierie, architecture et systèmes sécurisés**

Les règles de développement d'applications sécurisées répondent aux exigences minimales suivantes :

* Des techniques de programmation sécurisée sont utilisées tant pour le développement de nouvelles applications que pour la réutilisation et la modification de code existant.
* Le développement d'applications prend en compte les bonnes pratiques et les normes de sécurité de développement pour le langage de programmation utilisé.
* Lors du développement d'applications web, les principes de développement logiciel selon l'OWASP (Open Web Application Security Project) sont appliqués.

**Approche de développement**

L'approche de développement est basée sur la méthode Agile :

* Déploiement régulier des mises à jour, rendant le processus de production plus fiable.
* Tests réguliers, le plus tôt possible.
* Tests effectués dans un environnement de staging proche de la production.
* Intégration continue incluant des tests continus.
* Boucle d'amélioration courte prenant en compte les retours et améliorations des utilisateurs.
* Surveillance étroite de l'exploitation et de la qualité de la production.

**Sécurité dans les projets**

Les exigences de sécurité de l'information sont ajoutées aux exigences des nouveaux systèmes d'information ou modifiées pour les systèmes d'information existants. Elles sont basées sur les spécifications applicables, les vulnérabilités identifiées et les scénarios de menace, en tenant compte du niveau de protection requis des données et des processus métier concernés.

Dans le cas des projets, une étude de sécurité est appropriée et peut prendre la forme d'une analyse de risques (pour les projets très sensibles). L'ensemble du processus d'intégration de la sécurité dans les projets est géré par la gestion des changements lors du Comité de Pilotage NEOSTORE.

**Environnement de développement sécurisé**

Des environnements de développement sécurisés sont configurés pour les projets de développement et d'intégration système. Ceux-ci couvrent l'ensemble du cycle de développement du système et fournissent une protection adéquate. Les considérations suivantes sont prises en compte lors de la mise en place d'un environnement de développement sécurisé :

* Sensibilité des données à traiter, stocker et transmettre par le système.
* La ségrégation requise des environnements de développement.
* Contrôle des accès et du trafic de données vers/depuis l'environnement de développement.
* Surveillance des modifications de l'environnement et du code qui y est stocké.
* Stockage des sauvegardes dans des emplacements externes sécurisés.

**Exigences de sécurité pour les développements tiers**

NEOSTORE se réserve le droit de faire appel à des développeurs externes pour renforcer ses équipes techniques. Les activités liées au développement des systèmes externalisés sont adéquatement supervisées et contrôlées. Les aspects suivants sont pris en compte :

* Développement exclusif concernant l'aspect graphique du logiciel NEOSTORE.
* Activités de développement localisées en France.
* Fourniture de justificatifs documentaires attestant que des revues suffisantes ont été menées pour garantir que :
  * À la livraison, il n'existe aucune présence de code malveillant intentionnellement ou involontairement intégré.
  * L'existence de vulnérabilités connues peut être exclue.
  * S'assurer que des accords d'entiercement (escrow) sont en place.
* Droit contractuel de NEOSTORE de revoir les processus de développement et les mesures de contrôle du sous-traitant développeur.

**Gestion des changements**

Pour les nouveaux systèmes d'information, les évolutions et les nouvelles versions, des programmes de tests d'acceptation et des critères associés sont définis avant la mise en production. Aucune mise en production n'est autorisée sans l'accord formel du Comité de pilotage de NEOSTORE après analyse de la prise en compte de la sécurité dans les tests effectués.

Le processus de contrôle des changements comprend :

* Une référence aux spécifications, aux tests, au contrôle qualité, à l'approbation et à la mise en œuvre.
* Une analyse de l'impact des changements et la spécification des contrôles de sécurité nécessaires.
* Un contrôle de version adéquat pour toutes les mises à jour logicielles.

**Informations de test**

NEOSTORE génère des données de test fictives afin de ne pas utiliser les données de production de ses clients.

#### Révisions

| Personne                                     | Commentaires     | Date       |
| -------------------------------------------- | ---------------- | ---------- |
| Cyril DURAND - CTO de Neostore               | Document initial | 10/10/2022 |
| Stéphane OVISTE - Consultant OPSession Cyber | Révision majeure | 22/09/2023 |
| Cyril DURAND - CTO de Neostore               | Révision mineure | 27/09/2023 |
| Cyril DURAND - CTO de Neostore               | Révision mineure | 15/11/2025 |
| Cyril DURAND - CTO de Neostore               | Révision mineure | 08/02/2026 |

#### Auteurs

| Rôle         | Nom et titre                                     | Date       |
| ------------ | ------------------------------------------------ | ---------- |
| Auteur       | Stéphane OVISTE - Consultant OPSession Cyber     | 22/09/2023 |
| Revu par     | Benoît AYNES - Consultant Senior OPSession Cyber | 26/09/2023 |
| Revu par     | Cyril DURAND - CTO de Neostore                   | 27/09/2023 |
| Autorisé par | Davy Dauvergne - PDG de Neostore                 | 27/09/2023 |