# Plan d'assurance en matière de sécurité ### Responsabilités du SIP NEOSTORE est responsable de la rédaction, de l’évolution et de l’application du Plan d’Assurance Sécurité. ### Procédure d’évolution du SIP Le SIP peut être mis à jour pendant le projet à la demande de NEOSTORE ou du prestataire de service. Ce dernier est responsable de la rédaction du SIP initial et de ses évolutions afin de répondre aux exigences de sécurité du prestataire de service tout au long de la durée du contrat. En cas d’évolution du système, de son environnement ou du périmètre de l’opération d’externalisation, NEOSTORE vérifie si le SIP doit être modifié. Si tel est le cas, NEOSTORE propose un avenant au prestataire. Si cette modification est acceptée, le SIP est révisé et soumis au prestataire pour validation formelle. ### Applicabilité du SIP En cas de non-conformité au SIP, NEOSTORE est tenu d’en informer le prestataire de service. NEOSTORE indiquera l’origine de la non-conformité, les mesures compensatoires et les délais de traitement de la clause de non-conformité. NEOSTORE devra procéder à une demande d’évolution si, pour des raisons qui lui incombent, il n’est plus en mesure de maintenir des centaines de clauses du SIP. ### Classification du document Ce document est public. ### Sponsor Ce document a été rédigé par Opsession SAS pour le compte de NEOSTORE en 2023. ### Description de l’entreprise et du logiciel #### Présentation de l’entreprise NEOSTORE est une startup française spécialisée dans le développement d’une solution SaaS pour enrichir l’expérience client en magasin grâce à la capture de données et aux technologies Wallet. NEOSTORE est composée d’une équipe expérimentée dans le retail et l’e-commerce depuis plus de 15 ans. Depuis 2020, NEOSTORE développe le logiciel éponyme qui a été renommé « The Wallet Crew » en septembre 2025. #### Présentation du logiciel Le logiciel transforme le Wallet mobile en un nouvel espace central de l’expérience client. C’est un canal d’engagement moderne qui fait le lien entre le physique et le numérique pour le marketing, le commerce, la billetterie, le service et la fidélisation, sans nécessiter le téléchargement d’une application. Les principales fonctionnalités du logiciel sont : * La **collecte des données et des consentements clients** afin de simplifier la capture des données client en magasin via des formulaires d’inscription optimisés, accessibles par code QR. * La **dématérialisation des cartes dans les Wallets** afin de permettre aux clients d’accéder à leurs avantages (points de fidélité, accès à des événements, etc.) et d’augmenter le trafic et la rétention grâce à des campagnes de marketing mobile efficaces (Apple Cards et Google Wallet). * Protection **des données personnelles** afin de répondre aux exigences de conformité réglementaire GDPR/CCPA grâce à une technologie unique de collecte de preuves de consentement. #### Présentation de l’offre Le logiciel NEOSTORE est mis à disposition sous forme de solution SaaS, soumis au présent plan d’assurance sécurité, dans le cadre d’une licence d’utilisation annuelle (support et maintenance inclus). ### Sécurité de l’environnement client SaaS NEOSTORE utilise C# et React pour son développement, et héberge sur Azure Cosmos DB, Azure Blob Storage et Azure Data Explorer pour le système de gestion de base de données. Toutes les données sont cloisonnées et accessibles uniquement à l’organisation propriétaire de l’information. L’architecture du modèle SaaS proposé par NEOSTORE repose sur une base de données et une infrastructure applicative partagées entre plusieurs entités ou organisations. Des mesures de sécurité spécifiques sont mises en place pour garantir la confidentialité des données saisies par l’organisation : * La gestion des droits d’accès aux données est mise en place pour chaque organisation. Des tests côté serveur sont systématiquement effectués afin de s’assurer que les données remises à l’utilisateur sont bien la propriété de l’organisation à laquelle l’utilisateur appartient (système en silo). * Au sein de chaque silo (organisation), une logique d’entonnoir est également proposée, avec une gestion des droits d’accès (gestion/lecture/écriture) applicable manuellement et unitairement pour chaque utilisateur et chaque projet de l’organisation. ### Organisation de la sécurité de l’information #### Vue d’ensemble Afin de mieux traiter la question de la sécurité dans les services proposés à ses clients, NEOSTORE a mis en place une organisation de la sécurité de l’information centrée sur le périmètre suivant : **Développement, hébergement, support et maintenance de son logiciel NEOSTORE** La sécurité du système d’information permet de sécuriser les données de production confiées par les clients de NEOSTORE, ou qui sont traitées par eux via le logiciel. L’objectif de l’organisation de la sécurité de l’information est de définir un cadre précis de gestion de la sécurité au sein de NEOSTORE, afin de garantir la disponibilité, l’intégrité et la confidentialité des données confiées et du logiciel face aux principaux risques, tels que l’intrusion, l’altération des données, la divulgation ou la perte de données et le mauvais usage du logiciel. L’organisation de la sécurité de l’information suit une logique d’amélioration continue selon les principes de la roue de Deming (PDCA), comme décrit dans le schéma ci-dessous : ![Schéma du cycle PDCA : processus d’amélioration continue](/files/20a73cf7cac2641d6c8df9be6b965ea71be4ec81) Pour atteindre les objectifs fixés, NEOSTORE met en œuvre la gouvernance de sécurité suivante : * **Stratégie descendante :** * Destinée à l’ensemble des salariés NEOSTORE inclus dans le périmètre de l’organisation. * Définir et communiquer ce qui doit être fait, au moyen de politiques, procédures et procédures opérationnelles. * **Stratégie ascendante :** * Mesurer, évaluer et améliorer ce qui a été réalisé par les salariés NEOSTORE. ![Schéma de gouvernance de la sécurité : stratégies descendante et ascendante](/files/9163d25f451907843ecbf885acc431f39debc5b5) #### Rôles et responsabilités en matière de sécurité de l’information **Directeur général** NEOSTORE est représentée par son CEO, responsable des aspects techniques, fonctionnels et contractuels. Les missions du CEO comprennent : * Veiller aux considérations globales de sécurité. * Assister les équipes du prestataire. * Décider des actions en fonction des résultats d’audit, des incidents ou des conseils remontés par le prestataire de service. * Valider toutes les actions liées à la gestion de la sécurité du projet. * Assurer le traitement du reporting SSI entre NEOSTORE et le prestataire de service. **Directeur technique** Le Directeur technique est responsable de la mise en œuvre opérationnelle de l’ensemble des actions techniques de sécurité au sein de l’infrastructure et de l’exploitation du logiciel NEOSTORE. Le Directeur technique assiste le CEO de NEOSTORE dans les relations avec les prestataires sur l’ensemble des sujets techniques. **Délégué à la protection des données (DPO)** Le DPO externalisé garantit la conformité de NEOSTORE aux réglementations relatives à la protection des données personnelles. Le DPO veille au respect du Règlement général sur la protection des données (GDPR), définit et met en œuvre une procédure de gestion des traitements, et s’assure qu’elle est prise en compte au sein de l’entreprise. Le DPO est l’interlocuteur du prestataire de service pour toutes les questions relatives aux données personnelles traitées par NEOSTORE. Pour toute question concernant la documentation relative aux données personnelles : ### Mesures organisationnelles de sécurité #### Politiques de sécurité de l’information NEOSTORE formalise une politique de sécurité du système d’information (ISSP) définissant les règles de sécurité à mettre en œuvre en réponse aux risques identifiés et aux exigences réglementaires et contractuelles applicables. Cette ISSP est ensuite déclinée opérationnellement en politiques annexes, procédures opérationnelles ou procédures d’exploitation thématiques précisant les mesures à mettre en œuvre. La documentation relative à la sécurité de l’information est mise à disposition de l’ensemble du personnel NEOSTORE selon les besoins de chacun. Cette documentation est régulièrement mise à jour (au minimum annuellement) pour prendre en compte les évolutions liées au périmètre, à la réglementation ou au contexte cyber. #### Missions et responsabilités en matière de sécurité de l’information NEOSTORE met en place une organisation interne dédiée au développement, au support et à la maintenance du logiciel NEOSTORE. Cette organisation se décompose en deux volets : * Un volet opérationnel, où la direction technique réalise les actions et identifie les points de blocage à arbitrer. * Un volet de pilotage opérationnel et stratégique, où les managers de NEOSTORE se réunissent mensuellement pour arbitrer les points durs et mesurer l’atteinte des objectifs. #### Contacts avec des groupes d’intérêt spécifiques et renseignement sur les menaces De par la nature de son activité, NEOSTORE et les équipes impliquées dans le développement, le support et la maintenance du logiciel entretiennent des relations étroites avec des groupes de travail spécialisés liés à la sécurité de l’information. NEOSTORE consulte régulièrement et s’imprègne du CERTFR de l’Agence nationale de la sécurité des systèmes d’information et surveille particulièrement les sujets Microsoft Azure, Cloudflare et Auth0. #### Responsabilités liées aux actifs Les règles d’utilisation des actifs informationnels de NEOSTORE sont communiquées à tous les salariés du périmètre. Ces règles précisent, pour chaque niveau de confidentialité des informations traitées, les pratiques de sécurité à mettre en œuvre. En complément, les actifs médias utilisés pour le traitement de l’information et les activités incluses dans le périmètre sont protégés contre les menaces d’indisponibilité, d’altération et de divulgation : * Les données stockées sur les postes de travail sont sauvegardées chez un hébergeur certifié ISO 27001. * Les disques durs sont chiffrés. * Un logiciel anti-code malveillant est installé et régulièrement mis à jour. * Les systèmes d’exploitation et les applications sont mis à jour automatiquement ou par des employés sensibilisés. * La surveillance des mises à jour des systèmes et des applications est réalisée au moyen d’outils dédiés. ### Contrôle d’accès et gestion des identités L’accès initial à la solution NEOSTORE est effectué par le client. Le client est responsable de la création d’un compte sur le système. NEOSTORE examinera ce compte et accordera l’accès aux ressources appropriées. Le client peut se connecter à l’aide d’un fournisseur SSO ou d’un identifiant/mot de passe avec une politique de mot de passe imposée par NEOSTORE. La gestion du compte du responsable de l’organisation est assurée par NEOSTORE au moyen d’un gestionnaire d’identité externalisé Auth0. L’API de communication entre Auth0 et l’infrastructure NEOSTORE utilise la fonctionnalité Open Authorization OAuth2 afin de garantir la sécurité et le maintien de la politique de mot de passe. ### Relation avec les fournisseurs Chaque nouveau fournisseur fait l’objet d’une analyse de sécurité afin d’identifier les risques inhérents aux services sous-traités et les exigences de sécurité à intégrer dans les contrats. Des audits peuvent être réalisés par NEOSTORE avec ses sous-traitants, pour inspection périodique ou en cas d’incident. Les fournisseurs travaillant dans le périmètre doivent au minimum respecter la Politique de sécurité du système d’information de NEOSTORE et la charte informatique. Un NDA (accord de confidentialité) est établi avec les tiers, les obligeant à faire preuve de discrétion et à s’engager à préserver la confidentialité des informations traitées au sein de NEOSTORE. ### Gestion des incidents de sécurité de l’information NEOSTORE met en œuvre un processus de traitement des incidents liés à la sécurité de l’information : * Identification des alertes. * Formalisation de l’alerte dans un ticket d’incident et qualification de l’incident (sécurité ou non). * Traitement de l’incident de sécurité avec mise en œuvre des actions correctives par le personnel concerné. * Analyse causale de l’incident. * Capitalisation des incidents passés et mise en place d’un processus d’amélioration continue. Chaque incident de sécurité fait l’objet d’une traçabilité et d’un suivi spécifique. ### Continuité d’activité Un plan de continuité d’activité pour les activités stratégiques de NEOSTORE est défini et testé annuellement par la Direction Générale afin de pallier toute indisponibilité du personnel ou tout arrêt prolongé des systèmes et applications sensibles. Ce plan de continuité d’activité définit : * Les SPOF (Single Point of Failure) du SI NEOSTORE et les mesures de protection mises en place pour réduire leur importance. * Les sinistres majeurs potentiels pouvant déclencher une crise. * Les moyens mis en œuvre et les modalités opérationnelles pour assurer la continuité des fonctions vitales de la production NEOSTORE à la suite d’une situation de crise. * Les rôles et activités de chacun. * La manière de basculer en mode dégradé ou en solutions de repli. Conformément à la procédure d’intégration de la sécurité dans la relation avec les fournisseurs, toute activité critique sous-traitée à une société tierce (par ex. hébergeur) doit faire l’objet d’une évaluation de sensibilité identifiant le besoin et les conséquences éventuelles d’une perte de disponibilité. En conséquence, un contrat est formalisé avec les niveaux de service attendus conformément aux besoins exprimés. Concernant l’accès à l’application, les informations suivantes sont contractualisées : * Taux de disponibilité : 99,5 % ### Respect des obligations réglementaires et contractuelles et protection de la vie privée et des données personnelles (PD) Un Délégué à la protection des données (DPO) externalisé est nommé et chargé de veiller à la conformité aux pratiques réglementaires attendues. Dans sa démarche de conformité au GDPR, NEOSTORE a documenté une cartographie des traitements de données personnelles afin de constituer son registre obligatoire. Les processus internes suivants sont en place : * Intégration en amont des obligations du GDPR pour la protection des données personnelles lors de la conception d’une application (privacy by design). * Sensibilisation des salariés. * Gestion des violations de données personnelles via le processus de gestion des incidents de sécurité. * Organisation et traitement des réclamations et demandes des personnes concernées concernant l’exercice de leur droit. Le processus externe suivant est en place : * Contractualisation, si nécessaire, d’un accord de traitement des données relatif à la protection des données personnelles avec les clients. ### Respect des politiques, règles et normes de sécurité de l’information La direction exécutive de NEOSTORE est responsable de la conduite d’un programme d’audits de conformité à la Politique de sécurité du système d’information. L’objectif de ce programme est de vérifier la bonne application et la conformité de la politique par les différentes entités concernées. Les contrôles réalisés sont précisés dans le cadre d’un programme d’audit triennal défini par le CEO et concernent : * Audits de conformité vis-à-vis de la Politique de sécurité du système d’information. * Audits techniques pour prendre en compte les règles et exigences de sécurité technique. Les audits techniques sont réalisés sur les composants sensibles identifiés dans l’analyse de risques, sous forme de tests d’intrusion : * En mode « black box » : tests réalisés depuis Internet sans connaissance préalable. L’auditeur démarre sans connaissance initiale, notamment sans information technique relative à la plateforme testée et sans identifiants. Seules des informations publiques telles que des adresses IP ou des URL sont généralement fournies. Ce type de test requiert la mise en œuvre d’outils et de méthodes qu’un hacker utilise pour s’introduire dans un système distant dont il n’a aucune information. L’objectif est d’évaluer le niveau de résistance du système face aux attaques de hackers depuis Internet. * En mode « greybox » : l’auditeur dispose d’informations limitées et sélectionnées afin de mesurer le risque dans une situation pertinente. Par exemple, des identifiants valides peuvent être fournis pour évaluer l’ampleur du risque en cas d’usurpation d’un utilisateur privilégié. Ce type de test interne vérifie s’il est possible ou non pour un utilisateur de l’entité d’élever ses privilèges au-delà de son périmètre d’utilisation autorisé ou de conserver un accès après la fin de sa mission au sein de l’entité. Chaque test réalisé, qu’il soit organisationnel ou technique, donne lieu à un rapport d’audit exprimant les non-conformités constatées et les actions curatives, correctives et préventives à mettre en œuvre. Ces actions sont analysées et intégrées au suivi des actions de sécurité piloté par le CEO. ### Mesures de sécurité applicables aux personnes #### Sécurité du personnel Les recrutements effectués par NEOSTORE sont menés conformément à la législation locale et mettent en œuvre des vérifications adaptées aux missions envisagées. La signature du contrat de travail des salariés entraîne un devoir de réserve et un engagement de confidentialité sur les informations traitées dans le cadre des missions de NEOSTORE et du logiciel. #### Sensibilisation et formation à la sécurité de l’information La Direction Exécutive de NEOSTORE est responsable de l’application des règles de sécurité concernant ses salariés, stagiaires et prestataires. Tous les salariés sont formés à la sécurité par leur formation universitaire et leur expérience professionnelle. Une présentation des règles de l’ISSP ainsi que des bonnes pratiques de sécurité de l’information est réalisée. #### Gestion des entrées, sorties et mouvements du personnel Un processus de gestion des arrivées, mouvements et départs est mis en place pour gérer les effectifs et les accès physiques et logiques de toute personne accédant au SI ou le quittant (salariés, prestataires, stagiaires). ### Mesures de sécurité physique #### Bureau propre et écran vierge Les équipes techniques et fonctionnelles chargées de développer, de supporter et de maintenir le logiciel NEOSTORE travaillent à distance. À ce titre, la charte informatique est formalisée pour répondre aux règles de bureau propre et d’écran vierge et précise les règles de gestion des supports de stockage amovibles. ### Mesures de sécurité technologiques #### Droits d’accès privilégiés et authentification sécurisée L’ensemble des ressources composant le SI NEOSTORE (infrastructure, exploitation) nécessite une identification et une authentification de l’administrateur : * L’identification est réalisée nominativement. Aucun compte générique n’est utilisé pour les tâches communes. Les comptes génériques à privilèges élevés sont utilisés en dernier recours et l’accès fait l’objet d’une traçabilité rigoureuse et d’un stockage sécurisé. * L’authentification est réalisée de manière forte : couple d’accès identifiant/mot de passe et second facteur d’authentification avec mise en œuvre d’une politique de mot de passe robuste respectant les recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). #### Accès aux codes sources L’accès au code source est sécurisé par des pratiques conçues pour empêcher l’introduction de fonctionnalités non autorisées, prévenir les modifications involontaires ou malveillantes et maintenir la confidentialité des propriétés intellectuelles importantes. #### Protection contre les logiciels malveillants **Pour les services Cloud Azure** Les services sont équipés d’un antivirus (Azure Cloud Defender), continuellement mis à jour, tant pour la base antivirus que pour l’application utilisée. Les alertes sont centralisées et traitées par la Direction Technique de NEOSTORE. **Pour les postes de travail** Les postes de travail des salariés de NEOSTORE sont tous équipés d’un antivirus constamment mis à jour (Microsoft Defender ou Apple XProtect). #### Gestion des vulnérabilités techniques Les services de NEOSTORE sont équipés de [Dependabot](https://github.com/dependabot) logiciel de conformité logicielle et de [Microsoft Security DevOps Azure DevOps](https://github.com/microsoft/security-devops-azdevops) permettant à la direction de NEOSTORE d’identifier les systèmes vulnérables et de forcer le déploiement de correctifs de sécurité sur chaque actif. #### Sauvegarde et restauration **Pour les services Cloud Azure** La stratégie de sauvegarde est alignée sur les configurations par défaut d’Azure et comprend des sauvegardes automatiques gérées par Azure * Azure Cosmos DB - sauvegarde continue pendant 30 jours (maximum Azure) * Azure Data Explorer - sauvegarde continue pendant 14 jours (non configurable Azure) * Azure Blob Storage - sauvegarde continue pendant 30 jours Les données de développement, de support et de maintenance sont sauvegardées en temps réel, selon le même processus. Les sauvegardes sont traitées de manière à garantir la confidentialité, l’intégrité et la disponibilité. **Pour les postes de travail** Les données des salariés sont sauvegardées en temps réel grâce à l’utilisation d’un outil de synchronisation hébergé dans un datacenter certifié ISO 27001. #### Journalisation et supervision Chaque ressource du SI dispose d’un dispositif de journalisation permettant de conserver la trace des événements de sécurité. Ces traces sont horodatées via des sources de temps approuvées, protégées et conservées pendant un an. Seules les personnes autorisées de la Direction Technique de NEOSTORE peuvent accéder aux événements journalisés, et ils ne sont consultés qu’en cas de demande du personnel autorisé ou en cas d’incident avéré. #### Sécurité réseau **Durcissement des configurations des équipements réseau** La configuration de sécurité des équipements d’infrastructure réseau (pare-feu, proxy, ...) est contrôlée. **Administration réseau** Les réseaux sont administrés et gérés de manière à protéger de manière appropriée les informations dans les systèmes et les applications. Les exigences minimales suivantes doivent être respectées : * Les mêmes mesures de contrôle d’accès aux applications et aux données NEOSTORE s’appliquent à l’accès aux services réseau. * Seuls les utilisateurs autorisés par NEOSTORE peuvent être authentifiés sur le réseau au moyen d’une authentification forte. **Silos réseau** Le SI NEOSTORE est segmenté en plusieurs réseaux logiques, chacun avec un niveau de sécurité homogène. Un filtrage des flux est mis en place, maintenu à jour et revu régulièrement. Les exigences minimales suivantes en matière de zonage réseau doivent être respectées : * Les systèmes et équipements présentant des niveaux de confiance différents sont situés dans des zones réseau distinctes. * Les systèmes qui fournissent des services pour les réseaux externes (par ex. Internet) sont situés dans des zones différentes (zones démilitarisées). * Les différents types de systèmes et d’équipements sont situés dans des zones de sécurité distinctes. * Les ordinateurs des salariés de NEOSTORE sont dans des zones de sécurité différentes de celles des services cloud. * Les systèmes de développement et de test sont situés dans des zones différentes des systèmes de production. * Il est garanti que les systèmes contenant des données strictement confidentielles ou secrètes peuvent être placés dans des zones réseau séparées. **Filtrage des flux entrants et sortants** Les points d’entrée et de sortie du réseau sont contrôlés, organisés et approuvés. La configuration des pare-feu, et en particulier les règles d’ouverture des protocoles et des flux, fait l’objet d’une validation et d’une surveillance régulière par la Direction Technique de NEOSTORE, qui veille à la légitimité des demandes d’ouverture de flux. Les nouvelles règles ou les modifications des configurations existantes de l’infrastructure réseau sont formellement approuvées par la Direction Technique. **Détection des tentatives d’intrusion** Des systèmes de détection d’intrusion sont mis en place. Des indicateurs liés aux tentatives d’intrusion sont implémentés afin de surveiller et prévenir tout incident de sécurité. **Sécurisation des services publiés sur Internet** Tous les services exposés sur Internet sont équipés d’un pare-feu applicatif correctement configuré. Toute publication de service doit être validée par la Direction Technique et configurée au sein de l’application web. #### Cryptographie Il existe un processus de gestion de la création, du renouvellement et de la révocation des certificats achetés auprès d’entités certifiées telles que les PKI Microsoft et Cloudflare. #### Cycle de vie du développement sécurisé **Ingénierie, architecture et systèmes sécurisés** Les règles de développement d’applications sécurisées répondent aux exigences minimales suivantes : * Les techniques de programmation sécurisée sont utilisées à la fois pour développer de nouvelles applications et pour réutiliser et modifier du code existant. * Le développement applicatif prend en compte les bonnes pratiques et les normes de sécurité de développement du langage de programmation utilisé. * Lors du développement d’applications web, les principes de développement logiciel selon l’OWASP (Open Web Application Security Project) sont appliqués. **Approche de développement** L’approche de développement repose sur la méthode Agile : * Déploiement régulier des mises à jour, fiabilisant le processus de production. * Tests réguliers, le plus tôt possible. * Tests réalisés dans un environnement de préproduction similaire à la production. * Intégration continue incluant des tests continus. * Boucle d’amélioration courte prenant en compte les retours utilisateurs et les améliorations. * Suivi étroit du fonctionnement et de la qualité de la production. **Sécurité dans les projets** Les exigences de sécurité de l’information sont ajoutées aux exigences des nouveaux systèmes d’information ou modifiées pour les systèmes d’information existants. Elles s’appuient sur les spécifications applicables, les vulnérabilités identifiées et les scénarios de menace, en tenant compte du niveau de protection requis pour les données et les processus métiers concernés. Dans le cas des projets, une étude de sécurité est appropriée et peut prendre la forme d’une analyse de risques (pour les projets très sensibles). L’ensemble du processus d’intégration de la sécurité dans les projets est piloté par la gestion du changement lors du comité de pilotage NEOSTORE. **Environnement de développement sécurisé** Des environnements de développement sécurisés sont configurés pour les projets de développement et d’intégration de systèmes. Ceux-ci couvrent l’ensemble du cycle de développement du système et assurent une protection adéquate. Les considérations suivantes sont prises en compte lors de la mise en place d’un environnement de développement sécurisé : * Sensibilité des données à traiter, stocker et transmettre par le système. * La ségrégation requise des environnements de développement. * Le contrôle des accès et des flux de données vers/depuis l’environnement de développement. * Surveillance des changements apportés à l’environnement et au code qui y est stocké. * Stockage des sauvegardes dans des emplacements externes sécurisés. **Exigences de sécurité pour les développements de tiers** NEOSTORE se réserve le droit de faire appel à des développeurs externes pour renforcer ses équipes techniques. Les activités liées au développement de systèmes externalisés sont dûment supervisées et contrôlées. Les aspects suivants sont pris en compte : * Développement exclusif concernant l’aspect graphique du logiciel NEOSTORE. * Activités de développement localisées en France. * Présentation de preuves documentaires attestant que des revues suffisantes ont été effectuées afin de garantir que : * Lors de la livraison, aucun code malveillant, intentionnellement ou non, n’est intégré. * L’existence de vulnérabilités connues peut être exclue. * S’assurer que des accords de séquestre sont en place. * Le droit contractuel de NEOSTORE d’examiner les processus de développement et les mesures de contrôle du sous-traitant développeur. **Gestion des changements** Pour les nouveaux systèmes d’information, les évolutions et les nouvelles versions, les programmes de tests d’approbation et les critères associés sont définis avant la mise en production. Aucune mise en production n’est autorisée sans l’accord formel du Comité de pilotage de NEOSTORE après analyse de la prise en compte de la sécurité dans les tests réalisés. Le processus de gestion des changements comprend : * Une référence aux spécifications, aux tests, au contrôle qualité, à l’approbation et à la mise en œuvre. * Une analyse de l’impact des changements et la spécification des contrôles de sécurité nécessaires. * Un contrôle de version adéquat pour toutes les mises à jour logicielles. **Informations de test** NEOSTORE génère des données de test fictives afin de ne pas utiliser les données de production de ses clients. #### Révisions | Personne | Commentaires | Date | | -------------------------------------------- | ---------------- | ---------- | | Cyril DURAND - CTO de Neostore | Document initial | 10/10/2022 | | Stéphane OVISTE - Consultant Cyber OPSession | Révision majeure | 22/09/2023 | | Cyril DURAND - CTO de Neostore | Révision mineure | 27/09/2023 | | Cyril DURAND - CTO de Neostore | Révision mineure | 15/11/2025 | | Cyril DURAND - CTO de Neostore | Révision mineure | 08/02/2026 | #### Auteurs | Rôle | Nom et fonction | Date | | ------------ | ------------------------------------------------ | ---------- | | Auteur | Stéphane OVISTE - Consultant Cyber OPSession | 22/09/2023 | | Relu par | Benoît AYNES - Consultant Senior Cyber OPSession | 26/09/2023 | | Relu par | Cyril DURAND - CTO de Neostore | 27/09/2023 | | Autorisé par | Davy Dauvergne - PDG de Neostore | 27/09/2023 | --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.thewalletcrew.io/policies/fr/privacy-and-security/security-insurance-plan.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.