Code source et Tech due diligence : quelles garanties de sécurité avant un upload ?

Pourquoi Vaultinum a-t-il besoin d’accéder au code source lors d’une Due Diligence Technologique ?

L’accès au code source nous permet de :

• Identifier les dépendances tierces déclarées et non déclarées
• Détecter les vulnérabilités connues associées à des composants spécifiques
• Évaluer les risques liés aux licences open source
• Évaluer les indicateurs de maintenabilité en se basant sur la structure et l’historique du répertoire
• Analyser les activités de développement au fil du temps

Ces informations renforcent la fiabilité de l’évaluation en reposant sur une analyse directe du code source, et non uniquement sur les éléments déclaratifs fournis par les parties concernées.

Comment le code source est-il traité et qui y a accès lors d’une Due Diligence Technologique ?

Le code source est traité exclusivement par l’outil d’analyse automatisé de Vaultinum dans un environnement isolé. Il est uploadé via un canal sécurisé et immédiatement transféré vers un serveur d’analyse dédié, sans être copié sur des postes de travail internes ou des systèmes partagés.

Aucun employé n’a d’accès direct au code source à aucune étape du processus.

Le système extrait uniquement des empreintes techniques et des métadonnées d’analyse. Le code source reste temporairement dans l’environnement d’analyse isolé et sera automatiquement supprimé une fois le traitement terminé.

Les clients conservent-ils le contrôle du code source pendant une Tech Due Diligence ?

Le client garde le contrôle sur le dépôt et les versions téléchargées. Le traitement est strictement en lecture seule et non intrusif ; Vaultinum ne peut ni modifier, ni exécuter, ni revendre l’application. Le téléchargement est lancé par le client et limité au périmètre sélectionné.

Le client peut-il effectuer l’analyse en interne et fournir les résultats à Vaultinum ?

L’exécution en interne n’est pas possible, car l’analyse repose sur l’environnement contrôlé et le processus de traitement propriétaire de Vaultinum. Cet environnement est spécialement conçu pour garantir la confidentialité et empêcher toute divulgation du code source pendant l’analyse.

Nous pourrions également fournir un Docker. Cependant, cela limiterait la portée de notre analyse, car certains moteurs ne peuvent pas être exécutés sur site en raison de contraintes de licence, et la mise en place demanderait plus de temps et d’efforts de la part des deux parties.

Quelles sont les garanties en matière de sécurité et de protection des données offertes lors d’une Due Diligence Technologique ?

Vaultinum est certifié ISO 27001.

Toutes les informations sont traitées exclusivement aux fins de l’audit et sont couvertes par des obligations contractuelles de confidentialité. L’accès est limité au personnel autorisé, dans le cadre de procédures contrôlées conformes aux exigences de la norme ISO 27001 et du RGPD.

Vaultinum garantit également que les informations transmises, y compris le code source, ne sont jamais utilisées pour l’entraînement de l’intelligence artificielle ou des modèles linguistiques de grande envergure (LLM).

Quelles mesures de sécurité sont mises en place pour protéger le code source pendant le traitement ?

Le processus de due diligence implique la collecte de deux types d’informations : le code source et la documentation d’accompagnement.

Pour le code source :

• Le code est fourni via un accès Git sécurisé ou chargé via la plateforme sécurisée de Vaultinum
• Les transferts s’effectuent via des canaux cryptés
• Le code source est transféré vers un environnement d’analyse dédié et isolé, hébergé sur un réseau segmenté
• Le traitement est entièrement automatisé ; aucun accès humain au code source n’est autorisé
• Le code est stocké temporairement pendant la durée de l’analyse et automatiquement supprimé après le traitement
• Le code source n’est jamais téléchargé sur les appareils des employés

Pour les autres documents :

• Les documents sont centralisés au sein d’une Data Room sécurisée dédiée au projet, permettant de structurer les échanges et de faciliter les phases de revue et de questions-réponses entre investisseurs et management
• Les informations sont partagées exclusivement via ce flux de travail contrôlé, et non par e-mail
• Le client conserve le contrôle sur ce qui est téléchargé et partagé dans le cadre du projet
• L’accès à l’espace du projet est limité aux utilisateurs autorisés
• Les documents sont traités selon le même cadre de confidentialité et de contrôle d’accès ISO 27001 et sont utilisés uniquement pour les livrables de la due diligence

Quelles sont les politiques de contrôle d’accès et de sécurité de l’information mises en place ?

Vaultinum applique des politiques formelles de sécurité de l’information et de contrôle d’accès conformes aux exigences de la norme ISO 27001.

Ces contrôles incluent le principe du moindre privilège, le contrôle d’accès basé sur les rôles (RBAC), la séparation des tâches, une authentification forte pour les accès privilégiés, la révision régulière des droits d’accès et un accès administratif contrôlé via une infrastructure de type bastion.

Tous les employés sont soumis à des clauses de confidentialité et à des politiques de sécurité internes.

Quelles mesures de prévention des fuites de données sont mises en œuvre pour protéger le code source ?

Vaultinum applique des mesures organisationnelles et techniques afin d’empêcher toute extraction ou diffusion non autorisée des informations des clients.

Celles-ci comprennent :

• Des environnements de traitement isolés pour le code source
• Aucun accès humain au code source pendant les analyses automatisées
• Partage contrôlé des documents via une Data Room sécurisée
• Cadre de classification des données
• Application stricte du contrôle d’accès
• Chiffrement au repos
• Chiffrement en transit (TLS, VPN SSL, VPN IPSec)
• Segmentation du réseau et filtrage par pare-feu inter-VLAN
• Systèmes de prévention des intrusions (IPS)
• Proxy de filtrage
• Surveillance des accès sensibles (par exemple, actions de l’administrateur, modifications d’Active Directory, accès VPN)
• Accès privilégiés contrôlés par un bastion

Les événements de sécurité sont consignés et centralisés dans un SIEM (Security Information and Event Management), avec des rapports de surveillance hebdomadaires et des revues d’audit.

Toutes ces mesures s’inscrivent dans le cadre de notre SMSI ISO 27001 et de notre cadre PSSI interne.

Quelles sont les politiques de chiffrement mises en œuvre pour protéger le code source et les données ?

Vaultinum applique une politique de chiffrement formelle conforme à la norme ISO 27001.

Les données en transit sont protégées par le protocole TLS et des technologies VPN sécurisées (SSL VPN, IPSec), tandis que les données sensibles au repos sont chiffrées, y compris les référentiels et les archives des clients.

Quels contrôles de sécurité sont mis en place au niveau des terminaux et du système lors de l’analyse du code source ?

Le code source est traité exclusivement au sein d’un environnement d’analyse isolé et n’est jamais stocké sur les terminaux des employés.

Les accès administratifs sont restreints et surveillés, tandis que la segmentation du réseau limite les mouvements latéraux.

Les règles de pare-feu contrôlent strictement le trafic entrant, sortant et inter-VLAN.

Les événements de sécurité sont centralisés dans un système SIEM et font l’objet d’examens et d’audits réguliers.

Un certificat de destruction est-il fourni après l’analyse du code source ?

Vaultinum fournit un certificat de destruction officiel confirmant la suppression une fois le projet finalisé.

Les employés de Vaultinum ont-ils accès au code source ?

Aucun employé n’accède au code source.

Le personnel est soumis à des obligations de confidentialité et à des procédures d’accès contrôlé, conformément à la norme ISO 27001.

Garantir la sécurité et la confidentialité chez Vaultinum

L’approche de Vaultinum en matière d’analyse de code source est conçue pour allier une analyse approfondie à une sécurité des données rigoureuse.

Le processus s’appuie sur les outils d’analyse propriétaires de Vaultinum, qui s’exécutent dans un environnement isolé dédié. Aucun être humain n’a accès au code source à aucun stade. Cela permet d’extraire des indicateurs techniques tout en préservant la confidentialité totale du code.

Grâce à une infrastructure contrôlée, une gestion stricte des accès et un traitement automatisé, le code source est traité conformément aux exigences de la norme ISO 27001 et aux standards du secteur.

Cette approche offre aux investisseurs une vision claire et fiable de la technologie, tout en garantissant que la propriété intellectuelle de l’entreprise reste protégée tout au long de la due diligence technologique.

Clause de non-responsabilité

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.