Une plateforme sécurisée, conçue pour les organisations canadiennes

Cyberimpact détient une attestation SOC 2 Type 2, validée par un auditeur indépendant.
Cette attestation confirme que nos contrôles de sécurité et de confidentialité sont rigoureux, bien conçus et efficaces sur une période prolongée.

Nous appliquons des pratiques strictes de gestion des risques, de revue des accès et de journalisation des actions sensibles, conformément aux meilleures normes de l’industrie.

Vos données sont hébergées au Canada, dans un centre de données disposant également d’une attestation SOC 2 Type 2.

Les installations sont protégées par une surveillance continue, un contrôle d’accès strict et des mesures physiques de haute sécurité.

Notre infrastructure repose sur plusieurs couches de protection, incluant :

• des pare-feux applicatifs (WAF) ;
• un système de détection d’intrusion (IDS) ;
• des mécanismes de protection contre les attaques DDoS ;
• une segmentation réseau ;
• le chiffrement des données ;
• le chiffrement des disques de stockage.

Cyberimpact conçoit et exploite ses services applicatifs en s’appuyant sur une architecture contrôlée et des composants internes pour le traitement des données. Contrairement à certaines plateformes, nous limitons la dépendance à des fournisseurs tiers pour les fonctions critiques liées aux données, ce qui renforce le contrôle, la sécurité et la protection des informations.

Nous réalisons régulièrement des tests de pénétration, des scans automatisés de vulnérabilités, des revues internes et une gestion proactive des correctifs de sécurité (patch management). Ces évaluations continues nous permettent d’adapter nos défenses aux menaces émergentes.

Les vulnérabilités identifiées sont priorisées selon leur niveau de criticité et corrigées dans des délais encadrés.

L’accès aux données suit le principe du moindre privilège et les actions sensibles sont journalisées afin d’assurer une traçabilité complète.

L’accès aux environnements internes est limité à un nombre restreint d’employés autorisés.

Nous appliquons des politiques de mot de passe robustes, exigeons l’authentification multifacteur (MFA) pour nos employés et effectuons des revues d’accès régulières.

Notre équipe applique des pratiques de développement sécurisé, incluant la revue de code, l’analyse statique et la mise à jour régulière des composants et dépendances (patchs de sécurité).

Tous les nouveaux employés suivent un processus d’intégration incluant des formations obligatoires en sécurité de l’information et en protection des données.

Cette étape permet de s’assurer que chaque membre de l’équipe comprend ses responsabilités en matière de sécurité dès son arrivée.

Des formations continues en sensibilisation à la cybersécurité sont offertes à l’ensemble du personnel, incluant des campagnes simulées de phishing afin de renforcer les réflexes face aux menaces courantes.

Les équipes techniques reçoivent également des formations spécialisées, notamment en sécurité applicative (OWASP).

Toutes les communications sont chiffrées via TLS 1.2/1.3. Les données sont également chiffrées au repos à l’aide d’algorithmes reconnus (AES-256).

La sécurité des comptes est renforcée par des politiques de mot de passe alignées sur les recommandations de l’OWASP et du NIST.

Tous les utilisateurs doivent utiliser l’authentification multifacteur (MFA), et les organisations peuvent activer le Single Sign-On (SSO).

Cyberimpact offre trois niveaux d’accès : administrateurs, utilisateurs et utilisateurs avec permissions personnalisées, permettant une gestion fine et sécurisée des accès.

Seuls les administrateurs du compte peuvent créer et gérer les jetons d’API et modifier les informations des utilisateurs.

Protection contre les tentatives de connexion suspectes
Cyberimpact détecte automatiquement les comportements anormaux lors de la connexion.

Si plusieurs tentatives échouées surviennent sur une courte période, des mesures de protection s’activent (ex. demande de réinitialisation du mot de passe ou restriction temporaire de l’accès), afin de bloquer les accès non autorisés tout en permettant aux utilisateurs légitimes de récupérer leur compte.

Gestion des sessions
Les sessions utilisateur expirent automatiquement après une période d’inactivité et sont soumises à des contrôles de sécurité afin de limiter les risques d’accès non autorisé.

La sécurité commence dans nos propres environnements de travail.

Les postes internes sont protégés par :

• un chiffrement complet du disque ;
• des solutions d’anti-malware et d’EDR (Endpoint Detection & Response) ;
• des mises à jour et correctifs de sécurité réguliers ;
• une gestion centralisée des appareils ;
• la possibilité de révoquer rapidement les accès.

L’accès à nos environnements internes repose sur un modèle Zero Trust Network Access (ZTNA), conformément aux meilleures pratiques de sécurité modernes.

Cyberimpact applique des pratiques strictes afin de protéger les renseignements personnels et les données de ses clients.

Les données ne sont pas vendues ni partagées à des tiers à des fins commerciales. Elles peuvent être traitées par des sous-traitants autorisés dans le cadre de la prestation du service. Aucun transfert international n’est effectué, sauf demande explicite ou exigence contractuelle spécifique.

Nos processus respectent la Loi 25, la LPRPDE, le RGPD et les meilleures pratiques de gestion de la vie privée.

Les journaux d’accès et d’activités sont conservés pendant une période définie afin d’assurer la traçabilité, de faciliter les enquêtes en cas d’incident et de répondre aux exigences de conformité.

Cyberimpact a désigné un responsable de la protection des renseignements personnels conformément aux exigences de la Loi 25.

Pour toute question concernant la protection des renseignements personnels ou pour exercer vos droits en matière de confidentialité, vous pouvez communiquer avec :

Geoffrey Blanc
Directeur général et responsable de la protection des renseignements personnels
vieprivee@cyberimpact.com

La sécurité de l’information et la protection des renseignements personnels chez Cyberimpact sont encadrées au niveau de la direction.

Elles reposent sur des politiques documentées, des mécanismes de gouvernance établis et des évaluations indépendantes régulières visant à assurer l’efficacité des contrôles en place.

Cyberimpact vous aide à respecter la LCAP grâce à des outils intégrés : gestion du consentement, preuves d’abonnement, historique horodaté et mécanisme de désabonnement conforme.

Nous appliquons également des mesures administratives, techniques et organisationnelles pour respecter la Loi 25 et la LPRPDE.

Pour les organisations soumises au RGPD, Cyberimpact supporte le droit d’accès, la portabilité, le droit à l’effacement et la transparence des traitements.

Notre plateforme repose sur une architecture moderne avec des environnements isolés et des bases de données dédiées à chaque client.

Une surveillance continue analyse la performance, la disponibilité et les comportements anormaux afin de détecter rapidement tout incident potentiel.

La disponibilité de la plateforme et les incidents en cours sont publiés sur notre page de statut : status.cyberimpact.com.

Nous effectuons des sauvegardes quotidiennes, chiffrées en transit et au repos, et stockées dans un site distinct.

Des tests de restauration trimestriels assurent notre capacité à récupérer efficacement les données en cas d’incident.

Un plan de reprise après sinistre encadre les actions à prendre en situation critique.

Cyberimpact maintient un processus formel de gestion des incidents de sécurité.

En cas d’incident confirmé ayant un impact sur la confidentialité des données ou la disponibilité du service, les clients concernés sont informés conformément aux obligations contractuelles et réglementaires applicables.