Notre dispositif de sécurité — vérifiable, pas déclaratif.

Dernière mise à jour · Mai 2026 · v1.0 · revue trimestrielle

IT-MMA opère pour le compte de groupes du CAC 40, du luxe, de l'assurance et de l'aéronautique. Aucun de ces clients ne nous confierait ses APIs si notre dispositif sécurité n'était pas auditable. Cette page décrit ce que nous faisons concrètement — sans superlatifs, sans logos sans matière.

Nous tenons à disposition de nos clients (sous NDA) la documentation détaillée de chaque rubrique ci-dessous : politiques internes, journaux d'audit, résultats de tests, certificats des sous-traitants. security@it-mma.com

Nos principes

Quatre principes structurent l'ensemble de notre dispositif. Chacun est traduit en mesures opérationnelles vérifiables.

Conformité native

La conformité (RGPD, secret professionnel, exigences sectorielles) est intégrée dès la conception, pas ajoutée en rattrapage.

Moindre privilège

Aucun ingénieur n'a accès à plus de données ou de droits que ce que sa mission précise exige. Tout est journalisé.

Vérifiable

Tout ce que nous affirmons doit être démontrable par un journal, un certificat ou une revue. Pas d'effet d'annonce.

Transparence client

Tout client peut auditer notre dispositif sur le périmètre qui le concerne — sur site, à distance, ou par tiers indépendant.

Gouvernance & conformité

La sécurité chez IT-MMA est portée par la direction. Chaque trimestre, un comité de revue (dirigeant, architecte référent, responsable mission) examine :

Les incidents et quasi-incidents survenus dans la période
L'évolution du registre des traitements
Les nouvelles obligations réglementaires applicables
Les écarts identifiés lors d'audits clients ou internes

Référentiels suivis

RGPD (UE 2016/679): Traitements UE intégralement conformes — DPA standard
ISO/IEC 27001: [À COMPLÉTER : en cours de certification / non applicable]
ISO/IEC 27018: Aligné sur les bonnes pratiques cloud sous-traitance
NIST CSF: Référentiel utilisé pour les revues internes
CNIL — référentiel SaaS: Suivi pour les missions auprès d'OIV / OSE

Contrôles techniques

Mesures techniques mises en œuvre sur l'infrastructure IT-MMA et les outils de mission :

Authentification & accès

SSO d'entreprise (Google Workspace) avec MFA obligatoire pour 100 % des comptes
Politique de mots de passe : 14 caractères minimum, gestionnaire de mots de passe imposé
Sessions sensibles (production client) : MFA renforcé (clé physique FIDO2 recommandée)
Revue trimestrielle des accès, suppression immédiate à la fin d'une mission

Chiffrement

En transit : TLS 1.2+ uniquement, sites internes en HSTS
Au repos : AES-256 sur les supports de stockage internes et les sauvegardes
Secrets de production : vault dédié, accès contrôlé, rotation automatique

Postes de travail

Disque dur chiffré (FileVault, BitLocker, LUKS selon OS)
Antivirus / EDR géré centralement
Mises à jour de sécurité forcées dans les 7 jours suivant publication
Verrouillage automatique après 5 minutes d'inactivité

Code & dépendances

Revue de code obligatoire avant merge, pull-request signée
Scans automatiques de sécurité (Veracode, OWASP DepCheck) à chaque build
Aucune dépendance critique avec vulnérabilité high non patchée acceptée en prod

Contrôles organisationnels

NDA systématique — chaque collaborateur signe un accord de confidentialité renforcé à l'embauche, complété par les NDA spécifiques aux missions sensibles.
Vérification des références — contrôle d'identité, vérification du parcours professionnel, vérification du casier judiciaire pour les missions à criticité élevée.
Formation sécurité annuelle obligatoire (RGPD, phishing, ingénierie sociale, développement sécurisé) — taux de complétion 100 % requis.
Politique de séparation — un même collaborateur ne traite jamais des données de deux clients concurrents sur le même semestre, sauf accord explicite des deux parties.
Off-boarding strict — révocation des accès dans les 4 h suivant le départ d'un collaborateur, restitution du matériel sous 5 j.

Données client en mission

Lors d'une mission, IT-MMA agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Nous appliquons systématiquement :

DPA signé avant le démarrage de la mission, qui décrit le périmètre, les durées, les sous-traitants ultérieurs autorisés, les transferts.
Cloisonnement par mission — environnements de développement, dépôts de code, comptes cloud strictement séparés client par client.
Aucune copie locale de données de production sur les postes de développeurs ; les environnements de mission sont des bacs à sable contenant uniquement des données fictives ou anonymisées.
Suppression à fin de mission — destruction certifiée des données techniques (configurations, secrets, backups) sous 30 jours après la clôture, attestation transmise au client.

Gestion d'incident

Un incident sécurité (perte, accès non autorisé, fuite de donnée…) déclenche un protocole interne en quatre temps :

Détection

Tout collaborateur a obligation de signaler dans les 4 h.

Confinement

Isolation immédiate du périmètre concerné.

Notification

Client notifié sous 24 h, CNIL sous 72 h si requis.

Post-mortem

Rapport partagé sous 30 j avec actions correctives.

Audits & tests

Tests d'intrusion annuels sur les actifs critiques, par un cabinet indépendant. Résumé exécutif transmissible aux clients sous NDA.
Audit interne semestriel sur les contrôles RGPD et accès, journaux d'évidence conservés 6 ans.
Droit d'audit client — chaque client peut demander un audit sur le périmètre qui le concerne, sur préavis raisonnable (généralement 30 j).

Contact sécurité

Sécurité opérationnelle: security@it-mma.com
Signalement d'incident: security@it-mma.com · objet « INCIDENT »
Demande RGPD: rgpd@it-mma.com
Astreinte (clients sous SLA): communiquée au démarrage de mission

Vulnérabilité responsable. Si vous avez identifié une vulnérabilité sur nos actifs publics, écrivez à security@it-mma.com avec en objet « Vulnerability disclosure ». Nous accusons réception sous 48 h et nous engageons à ne pas poursuivre les chercheurs agissant de bonne foi.