Close

Framework de contrôles communs Atlassian


Comme c'est le cas pour de nombreuses entreprises, Atlassian doit se soumettre à un certain nombre de normes de contrôle internationales qui s'appliquent au développement de produits et aux environnements opérationnels. Nous avons décidé d'évaluer le chevauchement entre bon nombre de ces normes indépendantes afin de nous assurer d'avoir une vue synthétique de ces normes applicables à nos environnements internes. Notre plateforme d'hébergement dans le cloud constitue l'environnement principal dans lequel nous suivons ces normes, et nous comprenons que nous devons prouver que nous prenons les mesures appropriées pour protéger nos clients et leurs données. Cependant, toutes les normes ne sont pas applicables à tous les environnements. Par exemple, la loi Sarbanes-Oxley (SOX) se concentre sur les systèmes qui sous-tendent nos rapports financiers, pour lesquels nos services cloud sont, au mieux, secondaires. Examinons les normes que nous évaluons et pourquoi.

Normes internationales applicables

Voici une liste des normes que nous avons évaluées lorsque nous avons commencé à élaborer notre framework interne de contrôles communs :

Norme
Sponsor
Contrôles
Domaines
ISO 27001 Organisation internationale de normalisation 26 exigences 6 clauses
ISO 27002 Organisation internationale de normalisation 114 exigences 14 domaines
PCI-DSS Secteur des cartes de paiement 247 exigences 6 domaines
CSA CCM Cloud Security Alliance 133 contrôles 16 domaines
SOC2 Service Organisation Controls 116 exigences 5 principes
SOX 404 (IT) Loi fédérale américaine 22 exigences 5 domaines
GAPP

AICPA

106 exigences 10 domaines

 

Framework de contrôles communs

Comme vous pouvez le voir dans le tableau ci-dessus, il existe des exigences différentes et disparates, beaucoup étant appliquées aux mêmes environnements, systèmes ou équipes. Afin de mieux comprendre le chevauchement et les similitudes entre beaucoup de ces normes applicables à nos équipes, nous avons évalué chacune des exigences en matière de contrôle et déterminé les chevauchements (les situations dans lesquelles chacune des normes évaluait le même domaine). En conséquence de quoi, nous avons élaboré un framework de contrôles communs facilement mappable à chacune des normes.

Modèle conceptuel d'applicabilité

Lorsque nous avons évalué chacune des exigences, nous avons réalisé qu'il serait inefficace d'appliquer l'ensemble des contrôles à chacun de nos produits ou services en ligne. Nous avons conçu la structure de manière à ce que différentes parties du framework de contrôles s'appliquent à différentes parties du stack de livraison, qui peuvent être héritées par les autres parties de l'organisation.

Atlassian logo on a browser

Applications Atlassian

Sécurité en matière de développement d'apps

Sécurité des données et gestion du cycle de vie de l'information

Lock with key hole

Sécurité Atlassian

Cryptographie et chiffrement

Gestion des menaces et des vulnérabilités

Gestion des incidents de sécurité

Connected nodes

Infrastructure Atlassian

Gestion des actifs

Contrôle d'accès

Opérations

Sécurité des communications

Stacked servers

Data centers et bureaux Atlassian

Sécurité physique et environnementale

Briefcase

Société Atlassian

Gouvernance de la sécurité

Organisation de la sécurité

Sécurité du personnel

Gestion des données des fournisseurs et des tiers

Sécurité mobile

Continuité des opérations

Audit/Conformité

Confidentialité

Conclusion

Le framework de contrôles communs d'Atlassian a joué un rôle essentiel pour permettre à nos équipes d'adopter la mentalité « évaluer plusieurs fois, exécuter une fois ». Au lieu de demander à plusieurs équipes différentes, à plusieurs reprises, nous avons tiré parti de ce framework efficace pour définir les domaines dans lesquels nous allions mettre en place et appliquer des contrôles, afin que toute l'entreprise puisse comprendre les exigences et la performance collective de chaque composante de notre organisation pour garantir la sécurité de tous nos clients.