Close
Afficher cette page dans votre langue ?
Toutes les langues
Sélectionner votre langue
Produits

En vedette

Jira Software

Suivi des projets et des tickets

Confluence

Collaboration sur le contenu

Jira Service Management

ITSM haute vélocité

Trello

Gestion visuelle des projets

Consulter tous les produits

Marketplace

Connectez des milliers d'apps et intégrations pour tous vos produits Atlassian

Close dropdown
Solutions

En vedette

Gestion du travail

Gérez les projets et alignez les objectifs de toutes les équipes pour obtenir les livrables

IT Service Management

Donnez les moyens aux équipes de développement, des opérations informatiques et métier de fournir un service exceptionnel à haute vélocité

Agile et DevOps

Mettez en place une organisation logicielle Agile de classe mondiale, de la découverte à la livraison et aux opérations

PAR TAILLE D'ÉQUIPE

Entreprise

Petite entreprise

Start-up

À but non lucratif

PAR FONCTION D'ÉQUIPE

Développement logiciel

Informatique

Finances

Marketing

RH

Par secteur

Commerce

Télécommunications

Services professionnels

Gouvernement

Close dropdown
Ressources

Apprendre

Atlassian University

Le Playbook Atlassian

Documentation produit

Ressources développeurs

Support

Communauté Atlassian

Support Atlassian

Atlassian Migration Program

Services d'entreprise

Support des partenaires

Achats et licences

Tissez des liens

Qui sommes-nous ?

Carrières

Blog Work Life

Événements

Close dropdown
Search
Essayer
Toggle menu
Close search

Politiques Atlassian en matière de sécurité et de technologie

Atlassian a mis en place un Information Security Management Program (ISMP) qui décrit les principes et règles de base pour maintenir les programmes de confiance et de sécurité. Pour ce faire, nous évaluons continuellement les risques liés à nos opérations et améliorons la sécurité, la confidentialité, l'intégrité ainsi que la disponibilité de notre environnement Atlassian. Nous révisons et mettons régulièrement à jour les politiques de sécurité. Nous effectuons des tests de sécurité des apps et du réseau au sein de notre environnement, et nous contrôlons la conformité aux politiques de sécurité.

Vous trouverez ci-dessous une liste et une brève description des principales politiques en matière de sécurité et de technologie qu'Atlassian a mises en place pour ses environnements internes et cloud.

Sommaire

Politique de sécurité, risque et gouvernance

Cette politique énonce les principes généraux et les recommandations pour la gestion de la sécurité chez Atlassian.

Les principes de base incluent (en résumé) :

  • Atlassian gérera l'accès aux informations société et client en fonction des besoins de l'entreprise et conformément aux valeurs Atlassian.
  • Atlassian mettra en œuvre un ensemble de contrôles pour gérer l'implémentation de la sécurité conformément à cette politique.
  • Atlassian examinera périodiquement les risques et l'efficacité des contrôles visant à les gérer.
  • Atlassian maintiendra son support, et fera preuve d'engagement dans l'application de la législation en vigueur en matière de protection des informations d'identification personnelle (PII) et des conditions contractuelles des clients cloud.

Gestion des accès

Cette politique énonce les principes généraux et les recommandations pour la gestion des accès.

Les principes de base incluent (en résumé) :

  • Atlassian appliquera une politique de contrôle des accès décrivant comment gérer l'accès aux systèmes.
  • Les comptes utilisateur seront utilisés pour gérer les accès.
  • Tous les utilisateurs doivent gérer l'accès à leurs systèmes.
  • Les systèmes seront consignés et surveillés afin de déceler d'éventuels accès inappropriés.
  • L'accès à distance sera géré par authentification multifacteur.
  • Les obligations devraient être séparées le cas échéant.

Gestion des actifs

Cette politique énonce les principes généraux et les recommandations pour la gestion des actifs informatiques d'Atlassian et la façon dont ils devraient être manipulés.

Chez Atlassian, les principes de base de la gestion des actifs incluent (en résumé) :

  • Atlassian tiendra un inventaire des actifs.
  • Les actifs conservés dans une base de données de gestion des actifs auront des propriétaires identifiés.
  • L'utilisation acceptable des actifs sera identifiée, documentée et implémentée.
  • Les actifs seront retournés à Atlassian en cas de départ.

Continuité de l'activité et reprise d'activité

Cette politique énonce les principes généraux qui définissent notre approche en matière de résilience, de disponibilité et de continuité des processus, systèmes et services chez Atlassian. Elle stipule les exigences en matière de continuité de l'activité, de reprise d'activité et de gestion de crise.

Les principes de base incluent (en résumé) :

  • Les propriétaires de systèmes, de processus ou ervice Owners doivent assurer la continuité de l'activité et/ou la reprise d'activité conformément à la tolérance aux perturbations en cas de sinistre.
  • Les plans de continuité doivent inclure le « dernier » environnement approprié, qui fournit les fonctionnalités de base (au minimum), ainsi qu'un plan prévoyant le retour à celui-ci. Le retour à la normale doit également y être mentionné.
  • Aucun système, aucun processus ou aucune fonction stratégique ne pourrait être déployé(e) en production sans plan de continuité approprié.
  • Les plans doivent être testés tous les trimestres, et les problèmes doivent être cernés et réglés.
  • Le délai de récupération (RTO) maximal s'étend de la détection des événements à la restauration de la fonctionnalité de base. Les services sont regroupés en tiers qui définissent le RTO et le RPO maximum.

Sécurité des communications

Cette politique énonce les principes généraux et les recommandations pour la gestion de la sécurité de nos communications et de nos réseaux.

Les principes de base incluent (en résumé) :

  • L'accès au réseau devrait être contrôlé.
  • L'accès au réseau est fourni, et tous les utilisateurs devraient se familiariser avec la politique sur les systèmes électroniques et les communications.
  • Les réseaux devraient être séparés en fonction de leur criticité.

Cryptographie et chiffrement

Cette politique énonce les principes généraux permettant de s'assurer qu'Atlassian implémente les mécanismes de cryptographie et de chiffrement appropriés pour garantir la confidentialité et l'intégrité des données critiques. Atlassian déploie des mécanismes cryptographiques pour atténuer les risques associés au stockage et à la transmission d'informations sensibles sur les réseaux, y compris ceux accessibles au public (comme Internet). Faciliter l'utilisation de technologies de chiffrement fiables, sécurisées et dont l'efficacité a été prouvée est un objectif clé de cette norme afin de réduire le risque d'accès et/ou de modification non autorisés des informations société sensibles.

Les principes de base incluent (en résumé) :

  • Les données sensibles sont chiffrées de manière appropriée.
  • La force du chiffrement sélectionné correspond à la classification des informations.
  • Les clés cryptographiques seront gérées en toute sécurité.
  • Seuls les algorithmes cryptographiques et les modules logiciels approuvés seront utilisés.

Classification des données

Cette politique établit et définit les évaluations de classification des données. Elle inclut par ailleurs des descriptions, des exemples, des exigences et des directives concernant le traitement des données incluses dans chaque évaluation de classification. Les évaluations de classification sont basées sur les exigences juridiques, la sensibilité, la valeur et la criticité des données pour Atlassian, les clients d'Atlassian, ainsi que les partenaires et fournisseurs d'Atlassian.

Les principes de base incluent (en résumé) :

  • Les données doivent être classifiées en fonction des exigences juridiques, de la valeur et de la criticité pour Atlassian.
  • Les données doivent être identifiées, étiquetées et maintenues à jour dans une carte de flux de données pour garantir un traitement approprié.
  • Les supports à éliminer doivent être effacés en toute sécurité.
  • Les supports contenant des informations société doivent être protégés contre l'accès non autorisé, l'utilisation abusive ou la corruption pendant le transport.

Mobile et BYOD

Cette politique énonce les principes généraux et les recommandations pour l'utilisation d'appareils personnels sur les réseaux et dans les environnements Atlassian.

Les principes de base incluent (en résumé) :

  • La philosophie derrière cette politique BYOD (Bring Your Own Device), ici appelée la « Politique BYOD » ou la « Politique », se veut aussi imperceptible et flexible que possible en ce qui concerne l'utilisation du BYOD afin de maintenir l'autonomie des équipes Atlassian, tout en s'assurant que nous sommes en mesure de protéger nos données client et société.
  • À ce titre, la priorité sera donnée à la vérification de la configuration et de la posture, ainsi qu'à la surveillance de la conformité des appareils, avec les principes les moins restrictifs qui permettent d'atteindre raisonnablement les objectifs de sécurité requis, plutôt qu'à l'application de restrictions. Lorsque des restrictions doivent être appliquées, elles le seront de manière sélective en fonction des données auxquelles il est possible d'accéder.
  • Cette politique couvre à la fois nos besoins actuels et futurs. Certaines des capacités décrites peuvent ne pas être implémentées immédiatement.

Opérations

Cette politique énonce les principes généraux et les recommandations applicables aux pratiques opérationnelles technologiques chez Atlassian.

Les principes de base incluent (en résumé) :

  • Les procédures devraient être documentées pour les activités opérationnelles.
  • Les sauvegardes devraient être effectuées régulièrement et testées.
  • Les changements devraient être gérés et évalués par plusieurs personnes.
  • La capacité devrait être évaluée et planifiée.
  • L'installation de logiciels devrait être limitée, et les logiciels inutiles devraient faire l'objet de restrictions.
  • Les journaux devraient être configurés et transmis à la plateforme de journalisation centralisée.
  • Tout incident opérationnel devrait être géré conformément à notre processus HOT standard.

Sécurité du personnel

Cette politique énonce les principes généraux et les recommandations pour la sécurité du personnel chez Atlassian.

Les principes de base incluent (en résumé) :

  • Les responsabilités en matière de sécurité seront décrites dans les définitions des fonctions.
  • Tous les employés et les utilisateurs suivront régulièrement une formation de sensibilisation à la sécurité.
  • Tous les employés et les sous-traitants ont l'obligation de signaler les incidents ou les faiblesses de sécurité.
  • En cas de départ, la suppression de l'accès et la restitution des actifs se feront dans un délai raisonnable.

Sécurité physique et environnementale

Cette politique énonce les principes généraux et les recommandations pour la sécurisation de nos bâtiments, de nos bureaux et de notre équipement.

Les principes de base incluent (en résumé) :

  • Offrir des zones de travail sécurisées
  • Sécuriser notre équipement informatique où qu'il se trouve
  • Limiter l'accès à nos bâtiments et bureaux

Confidentialité

Cette politique énonce les principes permettant de s'assurer qu'Atlassian implémente les mécanismes de sécurité appropriés pour garantir la confidentialité des données.

Atlassian reconnaît que si le chiffrement et les autres technologies améliorant la confidentialité (PET) sont des outils puissants, une attention particulière est requise lors de la sélection et l'implémentation des technologies. Atlassian adopte une approche de la confidentialité basée sur les risques qui tient compte de la nature, du périmètre, du contexte et des finalités du traitement des données, ainsi que de la probabilité et de la gravité des risques pour les droits et libertés des personnes physiques.

Les principes de base incluent (en résumé) :

  • Les PET devraient être choisis selon une approche basée sur les risques.
  • Les PET ne doivent pas empêcher Atlassian de respecter les exigences réglementaires en matière de droits à la confidentialité.
  • Les PET ne devraient pas compromettre la sécurité des systèmes et des services qui traitent des données.
  • Les PET ne devraient pas empêcher la restauration de l'accès aux données privées et de leur disponibilité en cas de violation.
  • Les PET devraient permettre d'effectuer des tests, des évaluations et des évaluations de l'efficacité sur une base régulière.

Gestion des incidents de sécurité

Cette politique énonce les principes généraux et les recommandations pour s'assurer qu'Atlassian répond de façon appropriée à tout incident de sécurité réel ou suspecté. Atlassian est tenu de surveiller les incidents qui se produisent au sein de l'organisation et peuvent porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des informations ou des systèmes d'information. Tous les incidents suspectés doivent être signalés et évalués. La politique a été mise en œuvre afin que l'équipe Atlassian chargée de la sécurité puisse limiter leur durée et leur impact négatif sur Atlassian et ses clients, mais aussi tirer des leçons des incidents.

Les principes de base incluent (en résumé) :

  • Anticiper les incidents de sécurité et préparer la réponse aux incidents
  • Maîtriser les incidents, les éradiquer et s'en remettre
  • Investir dans notre personnel, nos processus et nos technologies pour nous assurer d'être en mesure de détecter et d'analyser un incident de sécurité lorsqu'il se produit
  • Faire de la protection des données personnelles et des données client la priorité absolue durant les incidents de sécurité
  • Exécuter régulièrement le processus de réponse aux incidents de sécurité
  • Tirer des leçons et améliorer la fonction de gestion des incidents de sécurité.
  • Communiquer les incidents de sécurité critiques à l'Atlassian Leadership Group

Gestion des fournisseurs

Cette politique énonce les principes généraux et les recommandations qui régissent la sélection, la participation, la supervision et le départ des fournisseurs.

Les principes de base sont les suivants :

  • Atlassian adoptera une approche ciblée pour gérer le processus de sélection des fournisseurs.
  • Tous les fournisseurs doivent être intégrés et gérés conformément aux processus d'évaluation des risques et de diligence raisonnable d'Atlassian.
  • Le propriétaire métier demandant la relation fournisseur est tenu d'utiliser des contrats Atlassian standard.
  • Nous surveillerons la relation pour nous assurer qu'elle est conforme aux standards Atlassian.
  • Atlassian se réserve le droit de résilier le contrat avec tout fournisseur lorsque le service n'est plus requis.

Acquisition, développement et maintenance de systèmes

Cette politique énonce les principes généraux et les recommandations pour le développement d'apps, tant en interne que côté client, ainsi que les limites imposées à la gestion des environnements de pré-production et à l'intégration de logiciels open source dans nos produits et services.

Les principes de base incluent (en résumé) :

  • Les exigences en matière de sécurité seront intégrées à tout environnement ou à tout développement/toute acquisition d'apps.
  • Le développement de produits suivra notre processus interne d'assurance qualité, qui comprend l'intégration de contrôles de sécurité.
  • Les données de production qui sont restreintes conformément à la politique de gestion du cycle de vie des informations de sécurité des données seront anonymisées ou masquées lorsqu'elles sont utilisées dans des environnements de pré-production.
  • L'intégration de tout framework ou toute bibliothèque open source suivra notre standard interne – Utilisation de code tiers dans un produit Atlassian.

Gestion des menaces et des vulnérabilités

Cette politique énonce les principes généraux et les recommandations pour la gestion des menaces et failles de sécurité dans notre environnement et nos produits.

Les principes de base incluent (en résumé) :

  • Gérer les failles de sécurité dans nos produits et services, y compris la publication de mises à jour, de correctifs ou d'avis
  • Nous gérerons les menaces et failles de sécurité dans l'ensemble de nos environnements, tant internes qu'hébergés.
  • Gérer la menace que représentent les programmes malveillants dans l'environnement

Gestion des audits et de la conformité

Cette politique définit les principes généraux de gestion et d'audit de la conformité des contrôles chez Atlassian.

Les principes de base incluent (en résumé) :

  • Nous mettons en œuvre des contrôles afin de gérer correctement les risques, et de garantir la conformité aux politiques, réglementations et normes externes du secteur.
  • Nous réalisons des audits pour vérifier la pertinence et l'efficacité opérationnelle de nos contrôles.
  • Des audits sont coordonnés et effectués au besoin afin d'atteindre un degré élevé de confiance dans notre environnement de contrôle, et d'obtenir une certification interne ou externe.
  • Atlassian cherche à obtenir une validation externe de ses contrôles.
  • Atlassian conserve une vue consolidée de tous ses objectifs de contrôle, activités de contrôle et tests pertinents.