Close

Foire aux questions

Obtenez des réponses à vos principales questions sur la sécurité, la fiabilité, la confidentialité et la conformité.


Atlassian respecte-t-il les normes relatives à la sécurité de l'information ?

ISO/IEC 27001 : Jira et Confluence Cloud ont obtenu la certification ISO/IEC 27001. Vous en saurez plus sur la structure de notre programme de gestion de la sécurité et vous pourrez examiner le certificat ISO/IEC 27001 sur notre page La conformité chez Atlassian.

ISO/IEC 27018 : nous avons également obtenu la certification ISO/IEC 27018 pour la protection des informations personnellement identifiables (PII) ou des données personnelles (PD) dans nos environnements cloud. Notre certificat ISO/IEC 27018 est également disponible sur notre page La conformité chez Atlassian .

Cloud Security Alliance (CSA) : nous avons renseigné notre autoévaluation CAIQ et notre CCM (Cloud Controls Matrix) pour le registre STAR de la CSA. 

HIPAA/HITECH : pour nos produits Cloud, nous ne sommes pas en mesure de signer un accord Business Associate et nous recommandons nos produits Server pour les entreprises qui doivent se conformer à ces lois. Notre politique de confidentialité fournit davantage d'informations à ce sujet.

PCI : Atlassian utilise des jetons avec les organismes de traitement des cartes de crédit certifiés PCI DSS. Nous ne voyons et ne stockons jamais les détails de votre carte de crédit. Pour l'utilisation de nos produits dans des environnements PCI, votre évaluation doit se baser sur vos propres exigences de conformité PCI.

 

Puis-je consulter votre questionnaire CAIQ (Consensus Assessment Initiative Questionnaire) de la CSA (Cloud Security Alliance) ? 

Absolument, et nous espérons que vous le ferez. Il est disponible sur notre page d'entrée au registre STAR (Security, Trust and Assurance Registry). Nous prévoyons de le mettre à jour tous les trimestres ou lorsque de grands changements interviennent dans notre environnement. Lisez attentivement la page sur l'entrée d'Atlassian au registre STAR 

 

Atlassian partagera-t-il ces informations sur ses contrôles internes ?

Nous nous sommes considérablement investis dans ce que nous appelons l'Atlassian Control Framework (ACF), qui combine les contrôles des exigences réglementaires externes et des standards du secteur. Nous utilisons ce framework pour implémenter des contrôles internes. Par ailleurs, nous faisons appel à des sociétés externes pour évaluer et valider l'implémentation et le fonctionnement de nos contrôles. Vous pouvez consulter l'état de nos certifications ou nos rapports sur notre page Conformité 

 

Où puis-je trouver les politiques d'Atlassian en matière de sécurité et de technologie ? 

Nous avons déployé des efforts importants pour élaborer une plateforme interne dans notre instance Confluence, Policy Central. Toutes nos politiques ont un format et une structure similaires, des propriétaires définis et des cycles de revue validés. Vous pouvez consulter les exigences applicables à chacune de nos politiques internes en matière de technologie. 

 

Atlassian a-t-il défini des responsabilités en matière de sécurité et d'exploitation du cloud ? 

Nous avons publié un livre blanc décrivant les responsabilités que nous endossons et celles que chacun de nos clients devrait assumer. Nous l'avons rédigé en pensant à nos clients et nous avons détaillé les thèmes de sécurité spécifiques que chaque client devrait traiter. Lisez le livre blanc. 

 

Qui a accès à nos données ?

Pour les clients Atlassian Cloud, nous avons décrit notre approche dans notre déclaration de sécurité Cloud et dans notre politique de confidentialité.

 

Les données stockées dans les produits Atlassian Cloud sont-elles chiffrées ?

Atlassian chiffre les données client en transit et au repos.

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée.

Les lecteurs de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur. Les données client dans Bitbucket Cloud ne sont pas entièrement chiffrées au repos.

Pour en savoir plus, veuillez consulter notre page Pratiques de sécurité.

 

Le protocole TLS (Transport Layer Security) est-il toujours utilisé pour le chiffrement des données dans les produits Atlassian Cloud ?

Oui, tous les systèmes Atlassian Cloud utilisent uniquement TLS, avec PFS, pour la communication. Conformément aux standards du secteur, nous avons supprimé la prise en charge de SSL 3.

 

Comment les mots de passe sont-ils stockés pour les produits Atlassian Cloud ?

Les mots de passe sont hachés de façon cryptographique dans l'Atlassian Cloud, ce qui permet la gestion des utilisateurs.

 

Atlassian audite-t-il la sécurité de son cloud ?

Nous disposons d'un vaste programme de sécurité qui comprend des tests continus de nos systèmes et produits hébergés. Nous soumettons également nos produits Cloud aux évaluations indépendantes de tiers. Notre principale approche de test consiste à tester tous nos produits Cloud et Server dans le cadre de notre programme Bug Bounty public

 

Puis-je passer en revue les rapports de test d'Atlassian ?

Toutes les failles de sécurité identifiées dans les rapports ci-dessous font l'objet d'un suivi dans notre Jira interne à mesure qu'elles suivent le processus de réception Bug Bounty et sont clôturées selon les échéances SLA spécifiées dans notre politique de correction des bugs de sécurité.

 

Pouvons-nous effectuer nos propres tests de sécurité ?

Conformément à nos conditions d'utilisation pour nos produits Cloud, nous n'autorisons actuellement pas les tests à l'initiative du client. Nous nous engageons à être ouverts et à publier les statistiques de notre programme Bug Bounty dès qu'elles seront publiques. 

 

J'ai identifié une faille dans l'un de vos produits, comment puis-je la signaler ? 

Si vous avez découvert une faille dans l'un de nos produits, nous vous serions reconnaissants de nous en faire part afin que nous puissions y remédier le plus rapidement possible. Lisez attentivement nos instructions de signalement. Vous pourriez recevoir des goodies Atlassian ou figurer dans notre Hall of Fame.

 

Pouvez-vous remplir mon questionnaire de sécurité ?

Nous nous engageons à être ouverts et transparents et à partager les informations. Cet objectif a en partie pour but de publier autant d'informations que possible pour vous permettre de décider en votre âme et conscience d'utiliser nos produits et services. Nous avons compilé les réponses à certains des types de questionnaires standard les plus fréquents. Si vous avez d'autres questions, contactez-nous ! 

 

Quelle est la politique d'Atlassian en matière de confidentialité des données ?

Veuillez consulter notre dernière politique de confidentialité.

 

Quelles sont les responsabilités d'Atlassian lors d'un incident de sécurité ? 

Chez Atlassian, nous faisons de notre mieux pour nous assurer que nos clients ne subissent pas de panne ou d'incident de sécurité. Cependant, nous reconnaissons que nous ne sommes pas à l'abri d'un incident de sécurité. Nous avons consigné par écrit nos responsabilités en cas d'incident de sécurité et les risques que nos clients devraient prévoir de gérer par eux-mêmes.