Close

Notre système ATMS (Atlassian Trust Management System)


Présentation de notre système ATMS (Atlassian Trust Management System)

Chez Atlassian, nous sommes très fiers de nos valeurs d'entreprise. Ces valeurs guident toutes nos actions. L'une de ces valeurs se distingue particulièrement : Oui à la transparence, non au baratin. La définition qu'en donne la page relative à nos valeurs en est très représentative :

Par ailleurs, nous comprenons que pour exprimer son opinion, chacun doit faire preuve de raison (ce qui est dit), de prévenance (à quel moment) et d'empathie (dans quels termes).

Vous, nos clients, nous avez à maintes reprises demandé de vous en dire plus sur la façon dont nous gérons notre entreprise et dont nous menons nos activités. Nous aimerions prendre un peu de temps pour vous expliquer comment nous gérons notre programme de gestion de la confiance ou, programme ATMS (Atlassian Trust Management System), comme l'appelle la norme ISO 27001 relative à la gestion de la sécurité.

Chez Atlassian, nous sommes fiers d'être un peu différents, de par notre approche commerciale uniqueles valeurs de notre entreprise ou notre approche de la philanthropie. Nous avons étendu cette approche à notre programme de gestion de la confiance.

Quelle est l'importance d'un programme de gestion structuré ?

Les systèmes de gestion sont utiles, qu'il s'agisse d'évaluer des systèmes de gestion de la qualité, des systèmes de gestion des défauts, la méthode Kaizen d'amélioration continue ou une méthodologie structurée pour évaluer la maturité des capacités. Ces programmes de gestion ont été testés sur le terrain, publiés, passés en revue par des pairs et peaufinés. L'Atlassian Trust Management Program repose sur la norme ISO 27001, Système de management de sécurité de l'information. La base de la norme ISO 27001 est la suivante :

« La présente Norme internationale peut être utilisée par les parties internes et externes pour évaluer la capacité de l'organisation à répondre à ses propres exigences en matière de sécurité de l'information ».

Valeur des normes internationales en tant que recommandations (et pas nécessairement en tant qu'obligations)

Comme toute organisation, en particulier celles qui sont responsables de l'hébergement et du traitement de nos données client, il est compréhensible que nos clients se demandent si Atlassian, en tant que fournisseur de services cloud, veille à la protection et à la confidentialité de ses données client. Tout client qui envisage d'utiliser les services cloud est confronté à des décisions similaires en choisissant d'héberger des applications ou des services clés.

Bien que chacun de nos clients ait ses propres exigences en matière de sécurité, le programme de gestion de la confiance d'Atlassian tient compte de ces exigences et en déduit un ensemble d'exigences uniques pour notre entreprise et notre environnement. L'approche ISO 27001 de la planification, de l'exploitation, de l'évaluation des performances et de l'amélioration permet d'évaluer en permanence le fonctionnement de notre programme et de l'améliorer au fil du temps pour tenir compte des nouvelles menaces, des nouvelles exigences ou pour améliorer les performances globales de nos opérations.

Nous évaluons les normes internationales comme un ensemble de recommandations bien structurées, mais nous prenons en considération chacun des contrôles et sa pertinence pour notre environnement particulier.  Nous adoptons une approche similaire quant à l'applicabilité globale de ces normes internationales à notre environnement.

Programme de gestion des risques

The basis of the Trust Management System is our Policy Management Program (PMP). We have structured our policies to cover the domains included in both the ISO27001 standard as well as the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). We have developed a couple of foundational principles to our Policy Management Program:

  • Be posted and available - we aren't playing gotcha - we make it clear the bar our teams are expected to meet
  • Be supported by the security team to make it easy for you to comply - we are here to help our teams, help us
  • Outline our security objectives - we like to have goals and be clear about them
  • Show commitment to meet our regulatory obligations - we don't want to go to jail
  • Be focused on continual iteration and improvement - we continue to evaluate risks in our environment and in our program, and reflect those in our policies
  • Provide for an Exception Process - for when our teams absolutely, not even a chance, there is no way, can they meet the policies for a short window
  • Review annually - including updating our policies as we observe new threats and risks

Read on overview and excerpts of our Technology Policies.

Programme de gestion des risques

Afin d'évaluer en permanence les risques pour nos environnements et nos produits, nous menons des analyses de risque continues. Dans bien des cas, en particulier pour nos produits, ces analyses sont effectuées sous forme d'évaluations techniques ou de revues de code. Cependant, nous évaluons également toute notre pile produit ou une partie de notre organisation pour identifier les risques métier de niveau supérieur. Généralement, nous adoptons la méthodologie de gestion des risques préconisée par la norme ISO 27005 ou ISO 31010, et nous l'appliquons à un périmètre donné. Notre approche de la gestion des risques inclut ce qui suit :

  • Mener des activités d'analyse des risques : inclut l'exécution d'analyses de risque pour faciliter la prise de décisions concernant le traitement des risques. Cela implique également d'identifier le périmètre et les ressources concernées, d'identifier les risques, d'évaluer l'impact et la probabilité, mais aussi de passer en revue les risques et de générer les rapports correspondants.
  • Surveiller les projets visant à gérer les risques de sécurité et générer les rapports correspondants : poursuivre la surveillance sur les programmes ou projets conçus pour gérer les risques de sécurité et la génération de rapports correspondants.
  • Soutenir la politique de gestion de la sécurité : grâce à des analyses de risque continues pour améliorer l'environnement et s'assurer que les contrôles de sécurité mis en œuvre gèrent efficacement les risques de sécurité identifiés.

Veuillez consulter notre programme de gestion des risques d'entreprise pour plus d'informations.

Atlassian Trust Management Forum (ATMF)

Finally, we maintain a structured Trust Management Forum that includes representatives from each of the pillars of our Trust program to ensure we apply not only security controls but also reliability, privacy and compliance controls and how to manage risks across each of these pillars. We have created  separate forum meetings to ensure coverage of particular topics as well as appropriate input.

The ATMF’s purpose is to:

  • Agree on priorities and actions required to protect Atlassian and our customers from security threats
  • Champion and drive activities within each business division to address deficiencies or vulnerabilities that may allow an attack to occur
  • Provide direction and support to working groups on critical security risks and compliance programs
  • Champion a security awareness culture throughout the organisation

We maintain the following forum meetings:

  • ATMF: Management Review (Annually - in line with annual budgeting)
  • ATMF: Resource Review (Annually - in line with annual budgeting)
  • ATMF: Risk Review (Quarterly)
  • ATMF: Security Health Review (Monthly)
  • ATMF: Compliance Health Review (Monthly)
  • ATMF: Management Reviews (Weekly - each function team has a Management Review)

The structure and frequency of these meetings ensure we are continuously reviewing our threat profile, as well as our response to those threats.

There are as many different approaches to manage a security organization as there are organizations out there. We, at Atlassian, believe we have set up a program to be flexible, responsive, but also with enough structure to ensure we are evaluating and addressing new threats and risks to both us, as well as our customers.