Close

Politiques Atlassian en matière de sécurité et de technologie

Atlassian a mis en place un Information Security Management Program (ISMP) qui décrit les principes et règles de base pour maintenir la confiance et préserver la sécurité. Pour ce faire, nous évaluons continuellement les risques liés à nos opérations et améliorons la sécurité, la confidentialité, l'intégrité ainsi que la disponibilité de notre environnement Atlassian. Nous révisons et mettons régulièrement à jour les politiques de sécurité. Nous effectuons des tests de sécurité des apps et du réseau au sein de notre environnement, et nous contrôlons la conformité aux politiques de sécurité.

Vous trouverez ci-dessous une liste et une brève description des principales politiques en matière de sécurité et de technologie qu'Atlassian a mises en place pour ses environnements internes et cloud.

Politique en matière de risque et de gouvernance

Cette politique énonce les principes généraux et les recommandations pour la gestion de la sécurité chez Atlassian.

Les principes de base de notre politique de sécurité sont les suivants :

  • Nous gérerons l'accès aux informations société et client en fonction des besoins de l'entreprise et conformément aux valeurs Atlassian.
  • Atlassian mettra en œuvre un ensemble de contrôles pour gérer l'implémentation de la sécurité conformément à cette politique.
  • Atlassian examinera périodiquement les risques et l'efficacité des contrôles visant à les gérer.

Gestion des accès

Cette politique énonce les principes généraux et les recommandations pour la gestion des accès.

Les principes de base sont les suivants :

Atlassian appliquera une politique de contrôle des accès décrivant comment gérer l'accès aux systèmes.

  • Les comptes utilisateur et les mots de passe seront utilisés pour gérer les accès.
  • Tous les utilisateurs doivent gérer l'accès à leurs systèmes.
  • Les systèmes seront consignés et surveillés afin de déceler d'éventuels accès inappropriés.
  • L'accès à distance sera géré par authentification multifacteur.

Gestion des actifs

Cette politique énonce les principes généraux et les recommandations pour la gestion des actifs informatiques d'Atlassian et la façon dont ils devraient être manipulés.

Les principes de base de la gestion des actifs chez Atlassian sont les suivants :

  • Atlassian tiendra un inventaire des actifs.
  • Les actifs conservés dans une base de données de gestion des actifs auront des propriétaires identifiés.
  • L'utilisation acceptable des actifs sera identifiée, documentée et implémentée.
  • Les actifs seront retournés à Atlassian en cas de départ.

Continuité des opérations et reprise d'activité

Cette politique énonce les principes généraux qui définissent notre approche en matière de résilience, de disponibilité et de continuité des processus, systèmes et services chez Atlassian. Elle stipule les exigences en matière de continuité des opérations, de reprise d'activité et de gestion de crise.

Les principes de base sont les suivants :

  • Les propriétaires de systèmes, de processus ou ervice Owners doivent assurer la continuité des opérations et/ou la reprise d'activité conformément à la tolérance aux perturbations en cas de sinistre.
  • Les plans de continuité doivent inclure le « dernier » environnement approprié, qui fournit les fonctionnalités de base (au minimum), ainsi qu'un plan prévoyant le retour à celui-ci. Le retour à la normale doit également y être mentionné.
  • Aucun système, aucun processus ou aucune fonction stratégique ne pourrait être déployé(e) en production sans plan de continuité approprié.
  • Les plans doivent être testés tous les trimestres, et les problèmes doivent être cernés et réglés.
  • Le délai de récupération (RTO) maximal s'étend de la détection des événements à la restauration de la fonctionnalité de base. Les services sont regroupés en tiers qui définissent le RTO et le RPO maximum.

Sécurité des communications

Cette politique énonce les principes généraux et les recommandations pour la gestion de la sécurité de nos communications et de nos réseaux.

Les principes de base sont les suivants :

  • L'accès au réseau devrait être contrôlé.
  • L'accès au réseau est fourni, et tous les utilisateurs devraient se familiariser avec la politique mondiale sur les systèmes électroniques et les communications.
  • Les réseaux devraient être séparés en fonction de leur criticité.

Cryptographie et chiffrement

Cette politique énonce les principes généraux permettant de s'assurer qu'Atlassian implémente les mécanismes de cryptographie et de chiffrement appropriés pour garantir la confidentialité des données critiques. Atlassian déploie des mécanismes cryptographiques pour atténuer les risques associés au stockage et à la transmission d'informations sensibles sur les réseaux, y compris ceux accessibles au public (comme Internet).

Atlassian s'assurera de ce qui suit :

  • Les données sensibles sont chiffrées de manière appropriée.
  • La force du chiffrement sélectionné correspond à la classification des informations.
  • Les clés cryptographiques seront gérées en toute sécurité.
  • Seuls les algorithmes cryptographiques approuvés seront utilisés.

Sécurité des données et gestion du cycle de vie de l'information

La politique de classification et de sécurité des données énonce les exigences générales en matière de traitement des données client. Vous trouverez ci-dessous des exemples de traitement de différents types de données. Bien que l'une de nos valeurs d'entreprise soit Oui à la transparence, non au baratin, tous les employés devraient quand même réfléchir à la façon de traiter les données internes et client.

Tous les employés partagent la responsabilité de s'assurer que nos informations reçoivent un niveau de protection approprié en respectant cette politique de classification des informations :

  • Les informations devraient être classifiées en fonction des exigences juridiques, de la valeur et de la criticité pour Atlassian.
  • Les informations devraient être étiquetées pour garantir un traitement approprié.
  • Gérez tous les supports amovibles en appliquant les mêmes recommandations de manipulation que celles ci-dessous.
  • Les supports à éliminer devraient être effacés en toute sécurité.
  • Les supports contenant des informations société devraient être protégés contre l'accès non autorisé, l'utilisation abusive ou la corruption pendant le transport.

Mobile et BYOD

Cette politique énonce les principes généraux et les recommandations pour l'utilisation d'appareils personnels sur les réseaux et dans les environnements Atlassian.

Atlassian s'assurera de ce qui suit :

  • Cette politique BYOD (Bring Your Own Device ou Apportez votre propre appareil) se veut aussi imperceptible et flexible que possible en ce qui concerne l'utilisation du BYOD afin de maintenir l'autonomie des équipes Atlassian, tout en s'assurant que nous sommes en mesure de protéger nos données client et société.
  • La priorité sera donnée à la vérification de la configuration et de la posture, ainsi qu'à la surveillance de la conformité des appareils, avec les principes les moins restrictifs qui permettent d'atteindre raisonnablement les objectifs de sécurité requis, plutôt qu'à l'application des restrictions. Lorsque des restrictions doivent être appliquées, elles le seront de manière sélective en fonction des données auxquelles il est possible d'accéder.
  • Cette politique couvre à la fois nos besoins actuels et futurs. Certaines des capacités décrites peuvent ne pas être implémentées immédiatement.

Opérations

Cette politique énonce les principes généraux et les recommandations applicables aux pratiques opérationnelles technologiques chez Atlassian.

Les principes de base sont les suivants :

  • Les procédures Atlassian devraient être documentées pour les activités opérationnelles.
  • Nos sauvegardes devraient être effectuées régulièrement et testées.
  • Tous les changements devraient être gérés et évalués par plusieurs personnes.
  • La capacité devrait être évaluée et planifiée.
  • L'installation de logiciels devrait être limitée, et les logiciels inutiles devraient faire l'objet de restrictions.
  • Les journaux doivent être configurés et transmis à la plateforme de journalisation centralisée.
  • Tout incident opérationnel devrait être géré conformément à notre processus d'incident standard.

Sécurité du personnel

Cette politique énonce nos considérations en matière de sécurité pour assurer la sécurité des personnes.

Chez Atlassian, nous nous assurerons de ce qui suit :

  • Les responsabilités en matière de sécurité seront décrites dans les définitions des fonctions.
  • Tous les employés et les utilisateurs suivront régulièrement une formation de sensibilisation à la sécurité.
  • Tous les employés et les sous-traitants ont l'obligation de signaler les incidents ou les faiblesses de sécurité.
  • En cas de départ, la suppression de l'accès et la restitution des actifs se feront dans un délai raisonnable.

Sécurité physique et environnementale

Cette politique énonce les principes généraux et les recommandations pour la sécurisation de nos bâtiments, de nos bureaux et de notre équipement.

Les principes de base en matière de sécurité physique et environnementale incluent ce qui suit :

  • Atlassian offrira des zones de travail sécurisées.
  • Nous sécuriserons notre équipement informatique où qu'il se trouve.
  • Nous limiterons l'accès à nos bâtiments et bureaux au personnel approprié.

Confidentialité

Cette politique énonce les principes généraux pour la gestion de la confidentialité des données relatives aux clients.

Les principes de base en matière de protection des données sont les suivants :

  • Gérer les contrôles relatifs à la collecte des données client.
  • L'examen des données client devrait être limité à des fins de support.
  • La sauvegarde et le support constituent les seules fins auxquelles les données client peuvent être clonées.

Gestion des incidents de sécurité

Cette politique énonce les principes généraux et les recommandations pour s'assurer qu'Atlassian répond de façon appropriée à tout incident de sécurité réel ou suspecté. Atlassian est tenu de surveiller les incidents qui se produisent au sein de l'organisation et peuvent porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des informations ou des systèmes d'information. Tous les incidents suspectés doivent être signalés et évalués.

L'équipe de sécurité Atlassian procédera aux tâches suivantes :

  • Anticiper les incidents de sécurité et préparer des plans de réponse en conséquence.
  • Maîtriser les incidents, les éradiquer et s'en remettre.
  • Investir dans notre personnel, nos processus et nos technologies pour nous assurer d'être en mesure de détecter et d'analyser un incident lorsqu'il se produit.
  • Lors de la réponse à un incident, nous accordons la priorité absolue à la protection des données client.
  • Tirer des leçons et améliorer la fonction de gestion des incidents de sécurité.

Gestion des données des fournisseurs et des tiers

Cette politique énonce les principes généraux et les recommandations qui régissent la sélection et la participation des fournisseurs, ainsi que la surveillance de leurs accès aux données Atlassian.

Atlassian s'assurera de ce qui suit :

  • Atlassian adoptera une approche ciblée pour gérer le processus de sélection des fournisseurs.
  • Le propriétaire métier demandant la relation fournisseur est tenu d'utiliser des contrats Atlassian standard.
  • Nous surveillerons la relation pour nous assurer qu'elle est conforme aux standards Atlassian.
  • Nous nous réservons le droit de résilier le contrat avec tout fournisseur lorsque le service n'est plus requis.

Acquisition, développement et maintenance de systèmes

Cette politique énonce les principes généraux et les recommandations pour le développement d'apps, tant en interne que côté client, ainsi que les limites imposées à la gestion de l'environnement de pré-production et à l'intégration de logiciels open source dans nos produits.

Les principes de base sont les suivants :

  • Les exigences en matière de sécurité seront intégrées à tout environnement ou à tout développement/toute acquisition d'apps.
  • Le développement de produits suivra notre processus interne d'assurance qualité, qui comprend l'intégration de contrôles de sécurité.
  • Les données de production seront anonymisées ou masquées lorsqu'elles seront utilisées dans des environnements de pré-production.
  • L'intégration de tout framework ou de toute bibliothèque open source suivra nos recommandations internes.

Gestion des menaces et des vulnérabilités

Cette politique énonce les principes généraux et les recommandations pour la gestion des menaces et failles de sécurité dans notre environnement et nos produits.

Atlassian s'assurera de ce qui suit :

  • Nous gérons les failles de sécurité dans nos produits et services, y compris la publication de mises à jour, de correctifs ou d'avis.
  • Nous gérerons les menaces et failles de sécurité dans l'ensemble de nos environnements, tant internes ou qu'hébergés.
  • Nous gérerons la menace que représentent les programmes malveillants dans l'environnement.

Gestion des audits et de la conformité

Cette politique énonce les principes généraux et les recommandations pour la gestion du programme d'audit et de conformité afin de valider l'implémentation de l'Atlassian Controls Framework (ACF).

Atlassian s'assurera de ce qui suit :

  • Nous implémentons des contrôles opérationnels, de sécurité et de confidentialité axés sur la technologie pour nous assurer de la conformité aux politiques internes, aux règlements et aux standards externes du secteur.
  • Des audits sont coordonnés et effectués au besoin afin d'atteindre un degré élevé de confiance dans notre environnement de contrôle et d'obtenir une certification interne ou externe.
  • Atlassian cherche à obtenir une validation externe de l'implémentation de ses contrôles opérationnels, de sécurité, de confidentialité et autres.
  • Atlassian maintient une vue consolidée de l'ensemble de ses objectifs, activités et tests de contrôle pertinents (Atlassian Controls Framework ou ACF).