Questions Techniques

Quelle est la disponibilité de la solution (SLA) ?

Les disponibilités de la solution sont celles du fournisseur cloud (AWS ou GCP).

Fournissez-vous une planification de reprise après sinistre (DRP/BCP) ?

Oui.

Quels sont vos objectifs de temps de rétablissement (RTO) et de point de reprise (RPO) ?

La partie automatisée dépend des solutions AWS que nous utilisons, tandis que la partie humaine est influencée par le niveau d'abonnement que vous avez.

Votre solution est-elle hautement disponible (serveurs à équilibrage de charge, etc.) ?

Oui.

Est-il possible de récupérer nos données à tout moment (réversibilité des données) ?

Oui.

Est-il possible de provisionner automatiquement des utilisateurs (création, modification, etc.) et comment (API, SCIM, etc.) ?

Oui, cela est possible en utilisant divers moyens tels que des API, SQL, LDAP, etc. Pour le stockage des utilisateurs, nous utilisons Keycloak.

Pouvons-nous gérer les droits des utilisateurs via des groupes et des rôles, et comment cela fonctionne-t-il ?

Oui, vous avez la possibilité de configurer les autorisations en utilisant des rôles. Pour plus de détails, vous pouvez consulter la documentation disponible ici.

Pourriez-vous fournir la liste de vos interfaces : type d'échange (API, fichiers, etc.) et description ?

D'abord API, et vous pouvez également vous connecter à la base de données via SQL.

Pourriez-vous fournir un organigramme des interfaces ?

Nous n'utilisons pas ce type de diagramme.

Fournissez-vous des rapports et des tableaux de bord pour les utilisateurs et les administrateurs ? Est-il possible de les personnaliser ?

Oui, en passant par le tableau de bord Directus ou le tableau de bord Metabase.

Pouvons-nous extraire des DONNÉES de la solution automatiquement ?

L'accès direct ou l'accès via API à la base de données sont inclus dans l'offre Webcapsule. Toute intervention requise par l'équipe Webcapsule qui n'était pas initialement prévue dans la feuille de route générera des coûts supplémentaires.

Quelles sont les compétences nécessaires et disponibles pendant le projet d'intégration et pour le support interne futur et la maintenance ?

En fonction des outils déployés par Webcapsule, l'équipe informatique et opérationnelle disposera d'un plan de formation.

Fournissez-vous un environnement de développement et de test ?

Oui.

Dans quelle(s) langue(s) votre application est-elle disponible ? Existe-t-il des possibilités d'ajouter d'autres langues ?

Français et Anglais.

Dans quels pays la solution peut-elle être déployée ?

(France - Espagne - Italie - République tchèque - Slovaquie - Hongrie - Pologne - Roumanie - Ukraine - Russie - Chine - Brésil - Inde - Vietnam - Suisse - Belgique - Allemagne - Singapour - Balkans - Bulgarie - Slovénie et Portugal) N'importe quel pays disposant d'un centre de données AWS.

Y a-t-il des intégrateurs (y compris vous) disponibles ou obligatoires dans ces pays, pour la gestion de projet, la formation, le support, etc. ?

Non.

Quelles sont les différentes offres et qui assure le support, également localement dans les pays ?

En fonction du niveau d'abonnement, Webcapsule est en mesure de réagir dans les 24 heures.

Quels sont les horaires d'ouverture de la hotline ? Y a-t-il un service de permanence ?

Heures de bureau (9h-17h) ; en semaine. La disponibilité le week-end dépend du plan d'abonnement.

Quelles langues sont prises en charge ?

Français, anglais, espagnol (écrit seulement : italien).

Pourriez-vous fournir la feuille de route de la solution ? Comment pouvons-nous contribuer à la feuille de route (partenariat, R&D coopératif, etc.) ?

Vous trouverez la feuille de route de Webcapsule ici. Vous pouvez contribuer en tant que partenaire de conception. Votre feuille de route est accessible dans un document Notion - nous ne pouvons l'envoyer que par e-mail.

Quelle est la fréquence des nouvelles versions ? (version majeure, version mineure)

Environ 1 à 2 versions par semaine.

Combien de temps une version majeure est-elle prise en charge ?

Nous avons un système de publication comme Chrome, la dernière version est toujours déployée.

Quelle est la procédure de mise à jour des versions ?

La gestion des mises à jour est prise en charge par notre équipe.

Quels sont les différents modèles tarifaires ? (durée d'engagement pour le SaaS, licences utilisateur, licences globales, etc.)

Nous offrons un modèle tarifaire basé sur l'abonnement par projet et le nombre de contributeurs, les prix sont sujets à discussion.

Que comprend la licence ?

La licence comprend les éléments suivants : domaines personnalisés, environnements de test, de mise en scène et de production, surveillance, support client, possibilité d'apporter votre propre cloud, sauvegardes d'un mois, Single Sign-On (SSO), contrôle d'accès (ACL), accès direct à la base de données, suivi de l'empreinte carbone, sélection de la région, accès au dépôt Git, gestion du versionnement des branches, journaux, pipeline de déploiement continu, et une infrastructure élastique.

Que ne comprend pas la licence ou est considéré comme un coût supplémentaire ?

Est considéré comme un coût supplémentaore toute intégration non déjà référencée incluse dans l'environnement Webcapsule - (le coût du déploiement est uniquement lié au coût AWS)

Pourriez-vous fournir un schéma d'architecture qui aidera à comprendre la solution ?

Vous trouverez le schéma dans la partie Architecture - Technique

La solution est-elle en mode SaaS (en tant que service) ou hébergée par vous-même, ou les deux ?

Webcapsule est déployée sur les infrastructures du client sur un modèle Bring Your Own Cloud.

Pour une application SaaS, qui est le fournisseur de centre de données (par exemple, GCP, AWS, centre de données propre, etc.) ?

Nous utilisons AWS et GCP en tant que cloud pour Webcapsule, mais nous sommes également en mesure de développer une intégration avec d'autres fournisseurs de cloud selon vos besoins.

Pour une application SaaS, où se trouvent les centres de données ?

Nos centres de données sont hébergés sur la plateforme AWS ou GCP, et l'infrastructure se trouve dans votre propre compte.

Qu'est-ce qui relève de la responsabilité du fournisseur et de celle du client ?

Il vous faut fournir un RACI.

Pour la solution hébergée uniquement, pourriez-vous fournir les spécifications du serveur (système d'exploitation, CPU, mémoire, disque, etc.) ?

Notre infrastructure est conçue de manière élastique, ce qui signifie qu'elle s'adapte automatiquement aux besoins de votre application. Les spécifications détaillées des serveurs peuvent varier en fonction de la demande, et nous pouvons adapter les ressources en conséquence.

Si oui, est-ce compatible avec l'authentification par proxy ?

L'authentification sera via le mode proxy transparent.

Pourriez-vous détailler la procédure de sauvegarde des données ?

Nous utilisons les outils du Cloud pour créer des sauvegardes.

Quelle est la fréquence et la durée de rétention des sauvegardes ?

Les sauvegardes sont effectuées toutes les quelques heures, et le nombre précis dépend de l'évaluation de la criticité et des coûts associés. Elles sont conservées pendant une période de rétention d'un mois.

Pourriez-vous détailler la procédure de récupération des données ?

Dans le cadre d'AWS nous utilisons AWS RDS : nous pouvons déployer une sauvegarde en quelques clics.

Si vous avez un plan de reprise après sinistre (DRP), pouvez-vous expliquer comment il fonctionne techniquement ?

Les sauvegardes sont dans une autre région. Toutes nos infrastructures sont écrites en utilisant l'Infrastructure as Code (IaaC). Ainsi, pour déployer la solution dans une nouvelle région, il nous suffit d'exécuter notre script IaaC et d'utiliser une sauvegarde. Le temps estimé pour déployer le tout : de 20 minutes à quelques heures en fonction de la taille de la sauvegarde.

Les rapports de test sont-ils disponibles pour les clients ?

Pour le moment, les rapports de test ne sont pas disponibles, mais ils sont prévus dans notre feuille de route.

Quelles sont les technologies et les versions utilisées (langage de développement, système d'exploitation, base de données, etc.) ?

Technologie Webcapsule : TypeScript (Node 18)

La solution est-elle compatible avec la gestion des journaux "ELK" (Elasticsearch) ?

Oui

Comment garantissez-vous la haute disponibilité de la solution (redondance des serveurs, équilibrage de charge, outils de réplication, etc.) ?

Nous appliquons le cadre AWS Well-Architected pour utiliser les meilleures pratiques cloud. Pour plus d'informations sur l'architecture de l'infrastructure, vous pouvez consulter la documentation ici.

Comment pouvons-nous surveiller la solution (système de plug-ins, SNMP, etc.) ?

Nous avons une connexion à Datadog, Cloudwatch et nous pouvons connecter d'autres outils de surveillance avec quelques ajustements.

Votre solution est-elle une solution entièrement Web ?

Oui

Est-elle compatible avec Chrome dans sa dernière version ?

Oui

Est-elle compatible avec les tablettes/smartphones Android et iOS ?

Oui

Avez-vous des certifications en matière de sécurité ?

Non

Pourriez-vous nous fournir vos derniers rapports d'audit et la portée couverte concernant les certifications que vous détenez ?

Aucun audit n'a encore été réalisé

La solution est-elle conforme à des normes de sécurité en matière de développement logiciel ? (comme NIST, WASC, OWASP…)

Oui

Conformité avec le RGPD européen, quelles mesures avez-vous mises en place pour protéger les données personnelles ? (informations sur les individus, exercice des droits sur les données, durée de conservation des données, mesures de sécurité, emplacement des données, protection de la vie privée dès la conception, etc.)

Oui

Avez-vous une politique visant à garantir que le personnel permanent et temporaire est suffisamment conscient de toutes les exigences en matière de sécurité de l'information liées à la prestation de services, et qu'il est correctement formé ?

Oui. Nous sommes une petite équipe entièrement dédiée à notre projet. Nous ne pouvons pas faire échouer un projet pour des raisons de sécurité ; c'est donc une priorité absolue.

Est-il possible d'activer l'authentification à deux facteurs (2FA) sur la solution ? Si OUI, quels sont les mécanismes de deuxième authentification disponibles ?

Oui, nous prenons en charge l'authentification à deux facteurs (2FA) avec Keycloak. Par défaut, cela utilise des codes OTP (One-Time Password), mais il est possible de personnaliser les méthodes de deuxième authentification, y compris l'envoi de SMS, d'e-mails, etc.

Quelles données sont ou peuvent être chiffrées, et comment le chiffrement et ses sujets associés (chiffrement, gestion des clés, séquestre, récupération des clés, etc.) sont-ils mis en œuvre et gérés ?

Le système de chiffrement et de gestion des clés est basé sur les outils AWS.

Quelles sont les restrictions concernant l'accès physique à l'équipement hébergeant la solution ?

Tous les serveurs d'hébergement sont sur AWS ou GCP.

Si la solution est hébergée dans une salle serveurs, existe-t-il un plan de réponse approprié aux alertes d'intrusion ? La solution permet-elle de limiter l'accès aux données sensibles exclusivement aux utilisateurs ayant un besoin légitime ? Le propriétaire des données doit autoriser un tel accès.

Oui

Comment la solution gère-t-elle les comptes inactifs ?

Il s'agit de l'administrateur de l'application qui doit gérer les comptes inactifs.

Est-il possible de créer des copies de sauvegarde de la solution régulièrement ?

Oui

La solution peut-elle générer des journaux pour toutes les activités, erreurs et avertissements ? Si OUI, dans quel format les fichiers journaux peuvent-ils être exportés ?

Oui

Les fichiers journaux générés par la solution peuvent-ils être exportés pour une période spécifique ? Par exemple, les fichiers journaux des deux dernières semaines ou du dernier mois.

Nous utilisons Cloudwatch pour stocker les journaux, mais vous pouvez utiliser votre propre gestionnaire de journaux.

La solution nécessite-t-elle une interconnexion réseau ? Si OUI, quels sont les protocoles utilisés pour assurer une interconnexion sécurisée ? (IPSEC, VPN, filtrage des e-mails, etc.)

Non

La solution nécessite-t-elle un trafic réseau en HTTP ? Si OUI, est-il possible de rediriger tout le trafic HTTP (port 80) vers HTTPS (port 443) ?

HTTP est redirigé vers HTTPS.

Est-il possible d'effectuer un accès à distance et une modification de la solution ? Si OUI, quel est le type de connexion impliqué ? (SSH, telnet, etc.)

Vous pouvez vous connecter au cluster via la ligne de commande AWS.

Une partie du développement ou de la maintenance de la solution est-elle effectuée par un sous-traitant ?

Non

La solution dispose-t-elle d'un catalogue permettant aux utilisateurs d'identifier et de répondre aux incidents de sécurité de la solution ?

Non

À quelle fréquence effectuez-vous une évaluation des risques de la solution ?

Notre solution est en cours de développement. Nous pouvons continuer à effectuer de nouveaux tests au fur et à mesure que les fonctionnalités sont ajoutées.

Pour les bibliothèques de sécurité, la solution utilise-t-elle des cadres, des langages de modèle ou des bibliothèques qui traitent systématiquement les faiblesses de mise en œuvre si elles sont remarquées ?

Audit npm et AWS Guard Duty

Une autre question ?

N'hésitez pas à nous contacter pour en savoir plus.

Questions Techniques

Quelle est la disponibilité de la solution (SLA) ?​

Fournissez-vous une planification de reprise après sinistre (DRP/BCP) ?​

Quels sont vos objectifs de temps de rétablissement (RTO) et de point de reprise (RPO) ?​

Votre solution est-elle hautement disponible (serveurs à équilibrage de charge, etc.) ?​

Est-il possible de récupérer nos données à tout moment (réversibilité des données) ?​

Est-il possible de provisionner automatiquement des utilisateurs (création, modification, etc.) et comment (API, SCIM, etc.) ?​

Pouvons-nous gérer les droits des utilisateurs via des groupes et des rôles, et comment cela fonctionne-t-il ?​

Pourriez-vous fournir la liste de vos interfaces : type d'échange (API, fichiers, etc.) et description ?​

Pourriez-vous fournir un organigramme des interfaces ?​

Fournissez-vous des rapports et des tableaux de bord pour les utilisateurs et les administrateurs ? Est-il possible de les personnaliser ?​

Pouvons-nous extraire des DONNÉES de la solution automatiquement ?​

Quelles sont les compétences nécessaires et disponibles pendant le projet d'intégration et pour le support interne futur et la maintenance ?​

Fournissez-vous un environnement de développement et de test ?​

Dans quelle(s) langue(s) votre application est-elle disponible ? Existe-t-il des possibilités d'ajouter d'autres langues ?​

Dans quels pays la solution peut-elle être déployée ?​

Y a-t-il des intégrateurs (y compris vous) disponibles ou obligatoires dans ces pays, pour la gestion de projet, la formation, le support, etc. ?​

Quelles sont les différentes offres et qui assure le support, également localement dans les pays ?​

Quels sont les horaires d'ouverture de la hotline ? Y a-t-il un service de permanence ?​

Quelles langues sont prises en charge ?​

Pourriez-vous fournir la feuille de route de la solution ? Comment pouvons-nous contribuer à la feuille de route (partenariat, R&D coopératif, etc.) ?​

Quelle est la fréquence des nouvelles versions ? (version majeure, version mineure)​

Combien de temps une version majeure est-elle prise en charge ?​

Quelle est la procédure de mise à jour des versions ?​

Quels sont les différents modèles tarifaires ? (durée d'engagement pour le SaaS, licences utilisateur, licences globales, etc.)​

Que comprend la licence ?​

Que ne comprend pas la licence ou est considéré comme un coût supplémentaire ?​

Pourriez-vous fournir un schéma d'architecture qui aidera à comprendre la solution ?​

La solution est-elle en mode SaaS (en tant que service) ou hébergée par vous-même, ou les deux ?​

Pour une application SaaS, qui est le fournisseur de centre de données (par exemple, GCP, AWS, centre de données propre, etc.) ?​

Pour une application SaaS, où se trouvent les centres de données ?​

Qu'est-ce qui relève de la responsabilité du fournisseur et de celle du client ?​

Pour la solution hébergée uniquement, pourriez-vous fournir les spécifications du serveur (système d'exploitation, CPU, mémoire, disque, etc.) ?​

Si oui, est-ce compatible avec l'authentification par proxy ?​

Pourriez-vous détailler la procédure de sauvegarde des données ?​

Quelle est la fréquence et la durée de rétention des sauvegardes ?​

Pourriez-vous détailler la procédure de récupération des données ?​

Si vous avez un plan de reprise après sinistre (DRP), pouvez-vous expliquer comment il fonctionne techniquement ?​

Les rapports de test sont-ils disponibles pour les clients ?​

Quelles sont les technologies et les versions utilisées (langage de développement, système d'exploitation, base de données, etc.) ?​

La solution est-elle compatible avec la gestion des journaux "ELK" (Elasticsearch) ?​

Comment garantissez-vous la haute disponibilité de la solution (redondance des serveurs, équilibrage de charge, outils de réplication, etc.) ?​

Comment pouvons-nous surveiller la solution (système de plug-ins, SNMP, etc.) ?​

Votre solution est-elle une solution entièrement Web ?​

Est-elle compatible avec Chrome dans sa dernière version ?​

Est-elle compatible avec les tablettes/smartphones Android et iOS ?​

Avez-vous des certifications en matière de sécurité ?​

Pourriez-vous nous fournir vos derniers rapports d'audit et la portée couverte concernant les certifications que vous détenez ?​

La solution est-elle conforme à des normes de sécurité en matière de développement logiciel ? (comme NIST, WASC, OWASP…)​

Avez-vous une politique visant à garantir que le personnel permanent et temporaire est suffisamment conscient de toutes les exigences en matière de sécurité de l'information liées à la prestation de services, et qu'il est correctement formé ?​

Est-il possible d'activer l'authentification à deux facteurs (2FA) sur la solution ? Si OUI, quels sont les mécanismes de deuxième authentification disponibles ?​

Quelles données sont ou peuvent être chiffrées, et comment le chiffrement et ses sujets associés (chiffrement, gestion des clés, séquestre, récupération des clés, etc.) sont-ils mis en œuvre et gérés ?​

Quelles sont les restrictions concernant l'accès physique à l'équipement hébergeant la solution ?​

Comment la solution gère-t-elle les comptes inactifs ?​

Est-il possible de créer des copies de sauvegarde de la solution régulièrement ?​

La solution peut-elle générer des journaux pour toutes les activités, erreurs et avertissements ? Si OUI, dans quel format les fichiers journaux peuvent-ils être exportés ?​

Les fichiers journaux générés par la solution peuvent-ils être exportés pour une période spécifique ? Par exemple, les fichiers journaux des deux dernières semaines ou du dernier mois.​

La solution nécessite-t-elle une interconnexion réseau ? Si OUI, quels sont les protocoles utilisés pour assurer une interconnexion sécurisée ? (IPSEC, VPN, filtrage des e-mails, etc.)​

La solution nécessite-t-elle un trafic réseau en HTTP ? Si OUI, est-il possible de rediriger tout le trafic HTTP (port 80) vers HTTPS (port 443) ?​

Est-il possible d'effectuer un accès à distance et une modification de la solution ? Si OUI, quel est le type de connexion impliqué ? (SSH, telnet, etc.)​

Une partie du développement ou de la maintenance de la solution est-elle effectuée par un sous-traitant ?​

La solution dispose-t-elle d'un catalogue permettant aux utilisateurs d'identifier et de répondre aux incidents de sécurité de la solution ?​

À quelle fréquence effectuez-vous une évaluation des risques de la solution ?​

Pour les bibliothèques de sécurité, la solution utilise-t-elle des cadres, des langages de modèle ou des bibliothèques qui traitent systématiquement les faiblesses de mise en œuvre si elles sont remarquées ?​

Une autre question ?​

Quelle est la disponibilité de la solution (SLA) ?

Fournissez-vous une planification de reprise après sinistre (DRP/BCP) ?

Quels sont vos objectifs de temps de rétablissement (RTO) et de point de reprise (RPO) ?

Votre solution est-elle hautement disponible (serveurs à équilibrage de charge, etc.) ?

Est-il possible de récupérer nos données à tout moment (réversibilité des données) ?

Est-il possible de provisionner automatiquement des utilisateurs (création, modification, etc.) et comment (API, SCIM, etc.) ?

Pouvons-nous gérer les droits des utilisateurs via des groupes et des rôles, et comment cela fonctionne-t-il ?

Pourriez-vous fournir la liste de vos interfaces : type d'échange (API, fichiers, etc.) et description ?

Pourriez-vous fournir un organigramme des interfaces ?

Fournissez-vous des rapports et des tableaux de bord pour les utilisateurs et les administrateurs ? Est-il possible de les personnaliser ?

Pouvons-nous extraire des DONNÉES de la solution automatiquement ?

Quelles sont les compétences nécessaires et disponibles pendant le projet d'intégration et pour le support interne futur et la maintenance ?

Fournissez-vous un environnement de développement et de test ?

Dans quelle(s) langue(s) votre application est-elle disponible ? Existe-t-il des possibilités d'ajouter d'autres langues ?

Dans quels pays la solution peut-elle être déployée ?

Y a-t-il des intégrateurs (y compris vous) disponibles ou obligatoires dans ces pays, pour la gestion de projet, la formation, le support, etc. ?

Quelles sont les différentes offres et qui assure le support, également localement dans les pays ?

Quels sont les horaires d'ouverture de la hotline ? Y a-t-il un service de permanence ?

Quelles langues sont prises en charge ?

Pourriez-vous fournir la feuille de route de la solution ? Comment pouvons-nous contribuer à la feuille de route (partenariat, R&D coopératif, etc.) ?

Quelle est la fréquence des nouvelles versions ? (version majeure, version mineure)

Combien de temps une version majeure est-elle prise en charge ?

Quelle est la procédure de mise à jour des versions ?

Quels sont les différents modèles tarifaires ? (durée d'engagement pour le SaaS, licences utilisateur, licences globales, etc.)

Que comprend la licence ?

Que ne comprend pas la licence ou est considéré comme un coût supplémentaire ?

Pourriez-vous fournir un schéma d'architecture qui aidera à comprendre la solution ?

La solution est-elle en mode SaaS (en tant que service) ou hébergée par vous-même, ou les deux ?

Pour une application SaaS, qui est le fournisseur de centre de données (par exemple, GCP, AWS, centre de données propre, etc.) ?

Pour une application SaaS, où se trouvent les centres de données ?

Qu'est-ce qui relève de la responsabilité du fournisseur et de celle du client ?

Pour la solution hébergée uniquement, pourriez-vous fournir les spécifications du serveur (système d'exploitation, CPU, mémoire, disque, etc.) ?

Si oui, est-ce compatible avec l'authentification par proxy ?

Pourriez-vous détailler la procédure de sauvegarde des données ?

Quelle est la fréquence et la durée de rétention des sauvegardes ?

Pourriez-vous détailler la procédure de récupération des données ?

Si vous avez un plan de reprise après sinistre (DRP), pouvez-vous expliquer comment il fonctionne techniquement ?

Les rapports de test sont-ils disponibles pour les clients ?

Quelles sont les technologies et les versions utilisées (langage de développement, système d'exploitation, base de données, etc.) ?

La solution est-elle compatible avec la gestion des journaux "ELK" (Elasticsearch) ?

Comment garantissez-vous la haute disponibilité de la solution (redondance des serveurs, équilibrage de charge, outils de réplication, etc.) ?

Comment pouvons-nous surveiller la solution (système de plug-ins, SNMP, etc.) ?

Votre solution est-elle une solution entièrement Web ?

Est-elle compatible avec Chrome dans sa dernière version ?

Est-elle compatible avec les tablettes/smartphones Android et iOS ?

Avez-vous des certifications en matière de sécurité ?

Pourriez-vous nous fournir vos derniers rapports d'audit et la portée couverte concernant les certifications que vous détenez ?

La solution est-elle conforme à des normes de sécurité en matière de développement logiciel ? (comme NIST, WASC, OWASP…)

Avez-vous une politique visant à garantir que le personnel permanent et temporaire est suffisamment conscient de toutes les exigences en matière de sécurité de l'information liées à la prestation de services, et qu'il est correctement formé ?

Est-il possible d'activer l'authentification à deux facteurs (2FA) sur la solution ? Si OUI, quels sont les mécanismes de deuxième authentification disponibles ?

Quelles données sont ou peuvent être chiffrées, et comment le chiffrement et ses sujets associés (chiffrement, gestion des clés, séquestre, récupération des clés, etc.) sont-ils mis en œuvre et gérés ?

Quelles sont les restrictions concernant l'accès physique à l'équipement hébergeant la solution ?

Comment la solution gère-t-elle les comptes inactifs ?

Est-il possible de créer des copies de sauvegarde de la solution régulièrement ?

La solution peut-elle générer des journaux pour toutes les activités, erreurs et avertissements ? Si OUI, dans quel format les fichiers journaux peuvent-ils être exportés ?

Les fichiers journaux générés par la solution peuvent-ils être exportés pour une période spécifique ? Par exemple, les fichiers journaux des deux dernières semaines ou du dernier mois.

La solution nécessite-t-elle une interconnexion réseau ? Si OUI, quels sont les protocoles utilisés pour assurer une interconnexion sécurisée ? (IPSEC, VPN, filtrage des e-mails, etc.)

La solution nécessite-t-elle un trafic réseau en HTTP ? Si OUI, est-il possible de rediriger tout le trafic HTTP (port 80) vers HTTPS (port 443) ?

Est-il possible d'effectuer un accès à distance et une modification de la solution ? Si OUI, quel est le type de connexion impliqué ? (SSH, telnet, etc.)

Une partie du développement ou de la maintenance de la solution est-elle effectuée par un sous-traitant ?

La solution dispose-t-elle d'un catalogue permettant aux utilisateurs d'identifier et de répondre aux incidents de sécurité de la solution ?

À quelle fréquence effectuez-vous une évaluation des risques de la solution ?

Pour les bibliothèques de sécurité, la solution utilise-t-elle des cadres, des langages de modèle ou des bibliothèques qui traitent systématiquement les faiblesses de mise en œuvre si elles sont remarquées ?

Une autre question ?