Centre de sécurité ITCTower

ITCTower traite quotidiennement des données d'identité et d'accès qui sont le cœur du SI de nos clients. La sécurité n'est pas une option : elle dirige nos choix d'architecture, de personnel et de processus.

• Hébergement Microsoft Azure (West Europe ou France Central, au choix du client).
• Réseau privé virtuel par tenant, accès uniquement via private endpoints.
• Bases PostgreSQL chiffrées au repos (AES-256), backups quotidiens géo-répliqués, PITR 35 jours.
• Web Application Firewall (Azure Front Door), protection anti-DDoS L3-L7, rate limiting.

• TLS 1.3 obligatoire pour toutes les communications externes.
• Secrets applicatifs chiffrés via AES-256-GCM, clés stockées dans Azure Key Vault.
• Customer Managed Keys (CMK) disponibles sur le plan Enterprise.

• SSO via Microsoft Entra ID (OAuth 2.0 / OpenID Connect), avec MFA obligatoire pour le rôle administrateur.
• RBAC à 3 niveaux (admin, opérateur, lecture seule), héritage depuis les groupes Entra ID.
• Audit log applicatif immuable sur chaque connexion et chaque accès à des données sensibles.

• Code review obligatoire (2 revueurs minimum) avant tout merge en production.
• SAST & SCA exécutés en CI sur chaque pull request (CodeQL, npm audit, Dependabot).
• Pentests externes annuels par un cabinet qualifié PASSI.
• SLA de patching : 24h pour les vulnérabilités critiques, 7 jours pour les hautes, 30 jours pour les moyennes.

• RPO ≤ 15 minutes, RTO ≤ 1 heure (plan Enterprise).
• Tests de restauration trimestriels, certificat de réussite archivé.

Conformité RGPD opérationnelle dès le premier jour. ISO 27001 et SOC 2 Type II en cours d'obtention (audit prévu Q4 2026). HDS pour les déploiements santé sur demande.

Pour toute question relative à la sécurité : security@itctower.io.