Tous les employés dans leur onboarding doivent remplir une checklist de sécurité.
Celle-ci contient le suivi obligatoire d’une formation de sensibilisation à la sécurité.
Ce document aborde notamment les points suivants :
Ces bonnes pratiques sont répétées lors de nos réunions impliquant l’ensemble de la société à intervalle régulier.
Nous faisons également des audits de sécurité des postes de travail à intervalle régulier (voir dates en début de section).
Par ailleurs nous appliquons les bonnes pratiques au maximum dans les outils du quotidien. A titre d’exemple les développeurs, s’ils doivent travailler sur un bug de production qui nécessite de reproduire un environnement client précis, travaillent avec une copie de la base anonymisée. La copie originale n'est pas sur le poste de travail.
Ressource interne dédié (TPoC + DevOps)
Une rotation d’un développeur prend la responsabilité de TPoC (Technical Point of Contact) en plus d’un DevOps. Ces deux points de contact sont toujours disponibles et connue de l'ensemble de l'équipe Elevo, et sont responsables d’escalader si nécessaire.
Détection
Gestion de l'incident
En cas d'incident, le TPoC abandonne immédiatement ces tâches en cours pour évaluer l'incident et organiser la réponse à apporter.
L’incident est mis dans JIRA avec une sévérité en accord avec son impact et sa facilité d’exploitation (Faible, Modérée, Urgente, Sévère). Le point de contact technique peut alors triager, escalader le cas échéant, donner une timeline de résolution et communiquer au support qui communiquera alors avec les clients impactés.
Tout incident est remonté à l’équipe CS qui coordonne la communication avec le ou les clients impactés.