Close

Framework de contrôles communs Atlassian


Comme c'est le cas pour de nombreuses entreprises, Atlassian doit se soumettre à un certain nombre de normes de contrôle internationales qui s'appliquent au développement de produits et aux environnements opérationnels. Nous avons décidé d'évaluer le chevauchement entre bon nombre de ces normes indépendantes afin de nous assurer d'avoir une vue synthétique de ces normes applicables à nos environnements internes. Notre plateforme d'hébergement dans le cloud constitue l'environnement principal dans lequel nous suivons ces normes, et nous comprenons que nous devons prouver que nous prenons les mesures appropriées pour protéger nos clients et leurs données. Cependant, toutes les normes ne sont pas applicables à tous les environnements. Par exemple, la loi Sarbanes-Oxley (SOX) se concentre sur les systèmes qui sous-tendent nos rapports financiers, pour lesquels nos services cloud sont, au mieux, secondaires. Examinons les normes que nous évaluons et pourquoi.

Normes internationales applicables

Voici une liste des normes que nous avons intégrées à notre framework interne de contrôles communs :

Standard

Sponsor

ISO 27001

Organisation internationale de normalisation

ISO 27002

Organisation internationale de normalisation

ISO 27018

Organisation internationale de normalisation

PCI-DSS

Secteur des cartes de paiement

CSA CCM

Cloud Security Alliance

SOC2

American Institute of Certified Public Accountants (AICPA)

SOX 404 (IT)

Loi fédérale américaine

FedRAMP

Administration américaine des Services généraux (GSA)

Framework de contrôles communs

Comme vous pouvez le voir dans le tableau ci-dessus, il existe des exigences différentes et disparates, beaucoup étant appliquées aux mêmes environnements, systèmes ou équipes. Afin de mieux comprendre le chevauchement et les similitudes entre beaucoup de ces normes applicables à nos équipes, nous avons évalué chacune des exigences en matière de contrôle et déterminé les chevauchements (les situations dans lesquelles chacune des normes évaluait le même domaine). En conséquence de quoi, nous avons élaboré un framework de contrôles communs facilement mappable à chacune des normes.

Modèle conceptuel d'applicabilité

Lorsque nous avons évalué chacune des exigences, nous avons réalisé qu'il serait inefficace d'appliquer l'ensemble des contrôles à chacun de nos produits ou services en ligne. Nous avons conçu la structure de manière à ce que différentes parties du framework de contrôles s'appliquent à différentes parties du stack de livraison, qui peuvent être héritées par les autres parties de l'organisation.

Logo Atlassian dans un navigateur

Applications Atlassian

Sécurité du développement des apps

Sécurité des données et gestion du cycle de vie de l'information

Cadenas

Sécurité Atlassian

Cryptographie et chiffrement

Gestion des menaces et des vulnérabilités

Gestion des incidents de sécurité

Nœuds connectés

Infrastructure Atlassian

Gestion des actifs

Contrôle des accès

Opérations

Sécurité des communications

cluster de serveurs

Data centers et bureaux Atlassian

Sécurité physique et environnementale

Valise

Société Atlassian

Gouvernance de la sécurité

Organisation de la sécurité

Sécurité du personnel

Gestion des données des fournisseurs et des tiers

Sécurité mobile

Continuité des opérations

Audit/Conformité

Confidentialité

Conclusion

Le framework de contrôles communs d'Atlassian a joué un rôle essentiel pour permettre à nos équipes d'adopter la mentalité « évaluer plusieurs fois, exécuter une fois ». Au lieu de demander à plusieurs équipes différentes, à plusieurs reprises, nous avons tiré parti de ce framework efficace pour définir les domaines dans lesquels nous allions mettre en place et appliquer des contrôles, afin que toute l'entreprise puisse comprendre les exigences et la performance collective de chaque composante de notre organisation pour garantir la sécurité de tous nos clients.