Évaluations de sécurité


Règles Atlassian pour les tests de sécurité des produits Cloud

Les clients Atlassian peuvent effectuer des évaluations de sécurité pour leurs produits Atlassian Cloud (tels que définis ci-dessous) sans autorisation préalable. Le terme « évaluation de sécurité » désigne toute activité visant à déterminer, à évaluer ou à tester les caractéristiques et les contrôles de sécurité des produits et services Atlassian (par exemple, les tests d'intrusion et les analyses de vulnérabilité). Cette page énonce les règles (« Règles relatives aux tests de sécurité ») qui s'appliquent aux clients souhaitant effectuer des évaluations de sécurité pour leurs produits Atlassian Cloud. La plateforme Atlassian de fourniture de produits Cloud (la « plateforme Atlassian Cloud ») utilise une infrastructure partagée pour héberger vos produits Cloud et les produits Cloud d'autres clients. Veillez à limiter toutes les évaluations de sécurité à vos produits ou instances Cloud et à éviter tout impact involontaire sur les autres clients.

Toutes les évaluations de sécurité doivent respecter les Règles relatives aux tests de sécurité d'Atlassian détaillées sur cette page. Votre utilisation des Produits Cloud restera soumise aux conditions d'utilisation d'Atlassian Cloud ou à toutes les conditions générales applicables du ou des contrats (collectivement, les « Conditions d'utilisation ») sous lesquels vous avez acheté ces Produits Cloud. Toute violation des présentes Règles relatives aux tests de sécurité ou des Conditions d'utilisation pertinentes peut entraîner la suspension ou la résiliation de votre compte et/ou des poursuites judiciaires à votre encontre. Vous êtes responsable de tout dommage causé à la Plateforme Atlassian Cloud et de tout impact négatif sur les données d'autres clients ou sur leur utilisation de la Plateforme Atlassian Cloud dû à la violation des présentes Règles relatives aux tests de sécurité ou des Conditions d'utilisation.

Produits Cloud éligibles pour les évaluations de sécurité

Les produits répertoriés ci-dessous constituent des « Produits Cloud » aux fins de ces Règles relatives aux tests de sécurité :

  • Jira Software
  • Jira Service Desk
  • Jira Core
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • OpsGenie

Règles relatives aux tests de sécurité

Activités autorisées

  • Les évaluations de sécurité peuvent uniquement être effectuées par des clients Atlassian abonnés aux Produits Cloud éligibles répertoriés ci-dessus. À ce stade, les évaluations de sécurité ne peuvent être effectuées pour Jira Align.
  • Vous pouvez uniquement effectuer des évaluations de sécurité pour vos propres instances de Produits Cloud, conformément aux règles d'Atlassian relatives aux évaluations de sécurité, notamment les présentes Règles relatives aux tests de sécurité.
  • Vous pouvez utiliser des outils/scanners automatisés pour effectuer des évaluations de sécurité ; cependant, n'oubliez pas que nous utilisons aussi ces outils. Tout résultat renvoyé par un scanner automatisé doit être passé en revue et classé par l'équipe de sécurité du client avant d'être transmis à Atlassian avec une preuve de concept fonctionnelle et reproductible. Nous n'accepterons pas les résultats non triés des scanners de sécurité.

Activités interdites

  • L'analyse, les tests ou l'accès aux Produits Cloud, instances ou ressources qui ne vous appartiennent pas, notamment celles qui appartiennent à un autre client Atlassian.
  • L'accès délibéré aux données d'un autre client (y compris l'accès aux identifiants d'un client ou leur utilisation).
  • Les attaques non techniques (y compris, mais sans s'y limiter, l'ingénierie sociale, le hameçonnage ou l'accès non autorisé à l'infrastructure).
  • Les attaques au niveau de la sécurité physique (y compris, mais sans s'y limiter, les bureaux, l'équipement, les employés Atlassian, etc.).
  • Les tests de produits hors périmètre.
  • Le ciblage de l'infrastructure organisationnelle d'Atlassian.
  • Les attaques par déni de service (Denial of Service, DoS), par déni de service distribué (Distributed Denial of Service, DDoS), par DoS simulé ou par DDoS simulé.
  • La saturation de ports.
  • La saturation de protocoles.
  • La saturation de demandes (demandes de connexion, demandes d'API).
  • L'envoi de rapports non triés générés par un scanner de vulnérabilités ou une application d'évaluation de la sécurité.

Reporting Issues

Si vous pensez avoir découvert une faille de sécurité potentielle liée aux produits Atlassian Cloud ou à tout autre service Atlassian, vous acceptez de la signaler dans un délai de 24 heures en suivant ces instructions : Signaler une vulnérabilité. Vous pouvez également signaler vos découvertes dans notre programme Bug Bounty, mais n'oubliez pas que les résultats des analyses automatisées ne seront pas acceptés. Une fois ces résultats transmis, vous devez obtenir notre autorisation avant de divulguer tout problème publiquement. Les résultats des évaluations de sécurité sont considérés comme des informations confidentielles d'Atlassian. Atlassian traitera les demandes de divulgation publique en fonction de chaque rapport. Les demandes de divulgation publique d'un problème qui n'a pas encore été réglé pour les clients seront rejetées.

Conditions supplémentaires

Bien qu'il soit strictement interdit d'accéder intentionnellement aux données d'un autre client Atlassian, si vous pensez avoir trouvé des données client sensibles (par exemple, des identifiants de connexion, des clés d'API, etc.) ou un moyen d'accéder à des données client (c'est-à-dire, par le biais d'une vulnérabilité), signalez-le immédiatement au support Atlassian, mais n'essayez pas de valider la vulnérabilité ou d'accéder de toute autre manière au compte ou aux données d'un client.

En plus des droits d'Atlassian de suspendre ou de résilier votre compte si vous enfreignez ces règles pour les tests de sécurité, Atlassian se réserve le droit de répondre à toute activité sur ses réseaux qui semble être malveillante ou présenter une menace d'une autre manière. Nous pouvons mettre vos adresses IP ou votre plage d'adresses IP sur liste noire si nous recevons un rapport d'abus pour des activités liées à votre évaluation de sécurité. Si vous contactez le support Atlassian pour supprimer les restrictions, veuillez indiquer la cause profonde de l'activité signalée et préciser ce que vous avez fait pour éviter que le problème signalé ne se reproduise.

Si vous souhaitez informer Atlassian Security de votre intention d'effectuer une évaluation de sécurité, envoyez un ticket au support Atlassian en indiquant en objet : Intent for Security Assessment (Réalisation d'évaluation de la sécurité). Mentionnez la date et l'intervalle de temps de votre test, les adresses ou plages d'adresses IP sources, les domaines cible et les coordonnées des personnes de contact. Bien qu'une notification préalable ne soit pas requise, elle nous aidera à identifier les tests et à ne pas bloquer le réseau, ce qui pourrait invalider vos tests.

Les partenaires et revendeurs de produits Atlassian Cloud sont responsables des activités d'évaluation de sécurité de leurs clients.