Sécurité : votre partenaire de confiance

Le programme complet de sécurité des applications de Navan est étroitement relié et intégré à notre processus de cycle de vie du développement logiciel sécurisé (SDLC). L'équipe en charge de la sécurité collabore avec les développeurs pour que des mesures de sécurité soient mises en œuvre à chaque étape du SDLC, notamment en incorporant des tests de pénétration et de sécurité des applications annuels à notre pipeline CI/CD. Le site internet de Navan, nos microservices et nos API (Application Programming Interfaces) sont régulièrement soumis à des tests de vulnérabilité et de pénétration, à des analyses de sécurité, à des mesures de détection des menaces et à des tests d'évaluation de la sécurité menés par des professionnels de la cybersécurité.

L'équipe de Détection et réponse de Navan est chargée de la détection des menaces, de la gestion de la vulnérabilité, de la réponse aux incidents et de la communication de crise. Navan surveille de près ses environnements de production pour identifier et traiter toutes les vulnérabilités susceptibles de compromettre la sécurité des données. Nos directives et plans d'action de réponse aux incidents garantissent que ces derniers sont gérés immédiatement et efficacement, minimisant ainsi leur impact et permettant un retour rapide à la normale.

La plateforme et les applications de Navan sont hébergées dans des centres de données AWS situés dans de multiples régions afin de maximiser leur disponibilité. Notre stratégie repose sur les fonctionnalités de sécurité robustes d'AWS, qui comprennent les Virtual Private Clouds (VPC), les Security Groups, l'AWS Key Management Service et bien d'autres encore. Les centres de données AWS utilisent des méthodologies d'ingénierie architecturale sécurisées et innovantes, qui sont directement intégrées à la plateforme et à l'infrastructure de Navan.

Navan a établi des politiques, procédures et processus opérationnels détaillés, conçus pour assurer efficacement la qualité et l'intégrité globales de notre environnement. Nous surveillons activement toute activité sur notre réseau 24/7 afin d'identifier de potentielles anomalies et sommes en capacité de réagir en quelques minutes en cas d'événements. De plus, nous avons implémenté des mesures de sécurité proactives, dont des systèmes de défense du périmètre et de prévention des intrusions réseaux (IPS). Ces IPS surveillent les segments du réseau les plus sensibles, repèrent les événements inhabituels au sein de l'environnement client et contrôlent le trafic entre les différents niveaux de service.

Nous sommes convaincus que nos employés sont les premiers et plus puissants remparts contre les cyber-menaces. Nous formons régulièrement notre équipe à la cyber-sécurité et aux bonnes pratiques pour sensibiliser, réduire les risques et adopter une posture vigilante face aux menaces potentielles. Nos développeurs sont tenus de suivre des formations régulières sur la sécurité des applications, et Navan adhère à une multitude de bonnes pratiques et de recommandations, dont celle de l'Open Web Application Security Project (OWASP) et d'autres systèmes de contrôle conformes aux normes du secteur.

Navan transfère les données de ses clients à l'aide de mécanismes de sécurité à plusieurs niveaux, de réseaux fortifiés et du chiffrement TLS (Transport Layer Security) pour les données dites « en transit ». Pour les données sensibles « au repos » dans le stockage, nous utilisons Advanced Encryption Standard (AES), la norme actuellement en vigueur dans l'industrie pour les applications commerciales modernes. Nous révisons et mettons à jour régulièrement nos protocoles de chiffrement, afin de nous assurer qu'ils continuent à répondre aux normes du secteur et à contrer efficacement les dernières méthodes de cassage du chiffrement.