Sécurité et conformité

Garansure est une plateforme d’assurance multilingue et multi-locataire conçue spécifiquement pour les assureurs, les MGA et les courtiers. De l’architecture de la plateforme et des contrôles d’accès à l’auditabilité et à la résilience opérationnelle, les considérations de sécurité sont intégrées tout au long de la conception et du fonctionnement de la plateforme.

Conçue dans l’optique de la conformité au RGPD et de la préparation à DORA, Garansure aide les organisations à protéger les informations sensibles, à maintenir la responsabilité et à répondre aux exigences réglementaires en constante évolution, tout en accélérant les initiatives d’assurance numérique.

Conçu pour les organismes d’assurance réglementés

Garansure est conçue spécifiquement pour les organisations opérant sur des marchés d’assurance réglementés. Qu’il s’agisse de soutenir des assureurs, des MGA ou des courtiers, la plateforme fournit les contrôles nécessaires pour gérer les données sensibles, régir l’accès des utilisateurs et maintenir une surveillance opérationnelle sur plusieurs produits, partenaires et juridictions.

La plateforme combine une isolation forte des locataires, une authentification multifacteur, le chiffrement, des contrôles d’accès basés sur les rôles et une journalisation d’audit complète pour aider les organisations à renforcer la sécurité et la gouvernance sans compromettre l’agilité ou la convivialité.

La sécurité dès la conception

La sécurité n’est pas traitée comme une fonctionnalité optionnelle. Elle est intégrée à l’architecture de la plateforme, au cycle de vie du développement et aux contrôles opérationnels. L’accès aux données et aux fonctionnalités est régi par des mécanismes stricts d’authentification, d’autorisation et d’audit conçus pour répondre aux besoins des organisations de services financiers réglementées.

Garansure suit le principe du moindre privilège, garantissant que les utilisateurs n’ont accès qu’aux informations et fonctionnalités nécessaires à l’exercice de leur fonction. Des contrôles supplémentaires tels que l’authentification multifacteur, la séparation des tâches, la journalisation d’audit et l’isolation des locataires aident à réduire les risques et à renforcer la responsabilité sur l’ensemble de la plateforme.

Isolation des locataires et protection des données

Garansure est une plateforme multi-locataire tout en maintenant une séparation stricte entre les organisations et les partenaires de distribution.

• Base de données distincte pour chaque organisation locataire.
• Ségrégation au niveau des partenaires à l’aide de la sécurité au niveau des lignes (RLS) de PostgreSQL.
• Isolation appliquée au niveau de la base de données ainsi qu’au niveau de l’application.
• Contexte du locataire et du partenaire validé à chaque requête.
• Domaines en marque blanche activés uniquement après vérification de la propriété.

Ces contrôles permettent de garantir que chaque organisation d’assureur, de MGA ou de courtier peut fonctionner de manière indépendante tout en maintenant une séparation stricte des données et des accès.

Authentification et contrôle d’accès

Garansure utilise plusieurs couches de contrôles d’authentification et d’autorisation pour protéger les fonctions administratives et opérationnelles.

• Authentification à deux facteurs obligatoire pour les administrateurs de la plateforme et des locataires.
• Exigences de mots de passe complexes et gestion sécurisée des identifiants.
• Contrôle d’accès basé sur les rôles avec des permissions granulaires.
• Authentification basée sur la session pour l’accès administratif.
• Régénération automatique de session et protection contre la fixation de session.
• Limitation du débit de connexion et protection contre les attaques par force brute.
• Aucune énumération d’utilisateurs lors des flux d’authentification.

Les opérations à haut risque nécessitent une vérification d’identité supplémentaire via une authentification renforcée (step-up), aidant ainsi à réduire le risque de modifications administratives non autorisées.

Contrôle d’accès basé sur les rôles

Les autorisations d’accès peuvent être attribuées en fonction des responsabilités organisationnelles, incluant les administrateurs de plateforme, les administrateurs de locataires, les souscripteurs, les administrateurs de partenaires et les utilisateurs de partenaires.

Lorsque des flux de souscription sont configurés, des contrôles de séparation des tâches peuvent être appliqués pour soutenir des processus d’examen et d’approbation indépendants.

Chiffrement et sécurité des données

Les informations sensibles sont protégées tant en transit qu’au repos à l’aide de technologies de chiffrement conformes aux standards de l’industrie.

• Chiffrement TLS pour toutes les données transmises sur les réseaux publics.
• Chiffrement AES-256 pour les champs sensibles stockés au sein de la plateforme.
• Chiffrement des identifiants nationaux, des coordonnées bancaires et des identifiants d’intégration.
• Protection des secrets d’authentification à deux facteurs.
• Prise en charge de la rotation des clés de chiffrement.

Auditabilité et responsabilité

Une journalisation d’audit complète aide les organisations à démontrer leur responsabilité, à soutenir les enquêtes et à satisfaire aux exigences réglementaires.

• Journalisation d’audit en ajout uniquement (append-only).
• Immuabilité des journaux appliquée par la base de données.
• Enregistrements détaillés des actions des utilisateurs et des événements système.
• Contexte du locataire et du partenaire capturé avec chaque événement.
• Vues d’audit filtrées par périmètre pour les administrateurs autorisés.
• Politiques de rétention configurables.

Les enregistrements d’audit permettent de savoir qui a effectué une action, quand elle a eu lieu et dans quel contexte organisationnel.

Sécurité des applications

Garansure intègre de multiples contrôles pour se protéger contre les menaces courantes des applications web.

• Protection contre la falsification de requête intersite (CSRF).
• Atténuation des scripts intersites (XSS) via l’échappement au niveau du framework.
• Limitation du débit sur les flux d’authentification et de vérification.
• Cookies de session sécurisés utilisant les protections HttpOnly et SameSite.
• Interfaces administratives exclues de l’indexation des moteurs de recherche.
• Surface d’attaque réduite grâce à une exposition contrôlée du système.

Paiements et informations financières

Lorsque des informations de compte bancaire ou SEPA sont stockées, les données sensibles sont chiffrées au repos à l’aide de contrôles de chiffrement forts.

Garansure ne traite ni ne stocke les données de cartes de paiement et se situe donc hors du champ d’application des exigences PCI relatives au traitement des données des titulaires de cartes.

Résilience opérationnelle

La résilience opérationnelle est une considération clé pour les organisations opérant dans le secteur de l’assurance.

• Surveillance de l’état de santé du système.
• Traitement des tâches en arrière-plan et isolation de la charge de travail.
• Sauvegardes de production pour les opérations administratives critiques.
• Gestion contrôlée des erreurs et protection contre la divulgation d’informations.

Des informations supplémentaires concernant la résilience opérationnelle, la gouvernance et les considérations relatives à DORA sont disponibles sur notre page de préparation à DORA.

Technologie

Garansure repose sur une pile technologique moderne conçue pour la sécurité, la maintenabilité et l’évolutivité.

• Laravel
• PHP
• PostgreSQL
• Vue 3 et Inertia.js
• Infrastructure Google Cloud Platform

RGPD et DORA

Garansure accompagne les organisations qui cherchent à renforcer leurs pratiques en matière de confidentialité, de gouvernance et de résilience opérationnelle.

En savoir plus sur notre approche concernant :

• La conformité au RGPD
• La préparation à DORA