POLITIQUE DE SÉCURITÉ

Aligned with ISO/IEC 27001 & SOC 2

1. Introduction

DeskCamera est une application logicielle qui diffuse l’écran et l’audio d’un ordinateur vers des systèmes NVR/VMS à l’aide des protocoles ONVIF/RTSP. Elle fonctionne entièrement en local, au sein du réseau interne du client, sans transmettre, collecter ni stocker de données utilisateur ou de contenu vidéo. Le logiciel est développé conformément à des normes strictes de sécurité et de conformité.

2. Objectif de la politique

Définir le cadre de sécurité et les responsabilités permettant d’assurer la confidentialité, l’intégrité et la disponibilité de l’application DeskCamera, en conformité avec les critères de confiance ISO/IEC 27001 et SOC 2.

3. Principes clés de sécurité

  • Architecture locale uniquement :

    DeskCamera fonctionne exclusivement dans l’infrastructure du client, sans nécessiter de connexion à Internet ou à des serveurs externes. Une connexion optionnelle à l’infrastructure cloud de DeskCamera peut avoir lieu uniquement pour la vérification de licence ou la recherche de mises à jour. Aucune donnée personnelle n’est transmise dans ce cadre.

  • Aucune collecte de données :

    L’application ne collecte ni ne transmet aucune donnée utilisateur, vidéo ou télémétrie.

  • Gestion sécurisée du code source (ISO 27001 A.9, A.12) :

    Le code source est conservé dans un référentiel DevOps sécurisé, avec contrôle d’accès basé sur les rôles, journalisation des actions et audits réguliers.

  • Versions signées (SOC 2 – Intégrité du système) :

    Toutes les versions de l’application sont signées numériquement à l’aide d’un certificat stocké de manière sécurisée et chiffrée sur un token matériel (par ex. HSM ou Yubikey), conforme aux normes actuelles de cryptographie et de sécurité physique.

  • Cycle de développement sécurisé (SDLC) :

    DeskCamera suit un cycle de développement sécurisé intégrant la conception sécurisée, la relecture de code, l’analyse statique et des tests de pénétration au moins une fois par an.

  • Intégrité des mises à jour (SOC 2 – Gestion des changements) :

    Toutes les mises à jour font l’objet d’un processus de gestion des changements, de tests de régression et de vérification d’intégrité avant publication. Les modifications sont suivies dans un système de gestion de versions avec traçabilité complète.

4. Contrôle d’accès

  • Seul le personnel autorisé peut accéder au code source ou à l’infrastructure de compilation.

  • Les droits d’accès sont revus chaque trimestre (ISO/IEC 27001 A.9.2.5).

  • Toutes les actions administratives sont enregistrées et conservées à des fins d’audit.

5. Gestion des risques liés aux fournisseurs et tiers (ISO 27001 A.15)

  • Toutes les bibliothèques tierces et dépendances sont suivies et surveillées.

  • Les bulletins de sécurité sont examinés chaque semaine et les correctifs sont appliqués régulièrement.

  • Les composants obsolètes ou à risque élevé sont évités ou isolés dans des environnements sandbox.

6. Préparation à la gestion des incidents (ISO 27001 A.16, SOC 2)

  • Un point de contact dédié est disponible pour signaler les vulnérabilités et incidents.

  • Les incidents sont traités selon un processus structuré : détection, classification, confinement, remédiation, analyse des causes profondes.

  • Les leçons tirées sont analysées pour améliorer la réponse future.

7. Responsabilités du client

  • Appliquer les mises à jour logicielles fournies via le site officiel de DeskCamera.

  • Maintenir des configurations système sécurisées et restreindre l’accès réseau aux points de terminaison DeskCamera.

8. Conformité et révision

Cette politique est révisée chaque année, ou en cas de modifications importantes du système ou de l’environnement.

9. Contact pour les questions de sécurité

Toute question relative à la sécurité peut être envoyée à : [email protected]