Close

Pratiques de sécurité

Nous pensons que toutes les équipes ont le potentiel de réaliser de grandes choses. Notre mission est de libérer le potentiel de toutes les équipes, quels que soient leur taille et leur secteur, et d'aider à faire progresser l'humanité grâce à la puissance des logiciels. 

Nous savons que votre mission est aussi importante pour vous que pour nous, et l'information est au cœur de toutes nos entreprises et de nos vies. C'est pourquoi nous plaçons la confiance des clients au centre de tout ce que nous entreprenons, et la sécurité est notre priorité absolue. Nous sommes transparents sur notre programme de sécurité, afin que vous vous sentiez informés et en sécurité pour utiliser nos produits et services.

Découvrez-en plus sur notre approche de la sécurité et sur la manière dont les clients peuvent jouer leur rôle.

Les informations sur cette page s'appliquent aux produits Atlassian Cloud, Jira, Confluence et Bitbucket, sauf indication contraire.

Notre offre

Notre système ATMS (Atlassian Trust Management System) tient compte des exigences de sécurité de chacun de nos clients pour proposer un ensemble d'exigences et d'initiatives qui nous sont propres, à nous et à notre environnement. Vous trouverez plus d'informations sur nos initiatives sur le site Atlassian Trust, où vous pouvez télécharger ou demander nos rapports de certification pour les normes ISO 27001 et SOC2, et passer en revue notre questionnaire CSA STAR, ainsi que d'autres informations sur notre système ATMS.

Intégrer la sécurité

Nous ne considérons pas la sécurité comme une destination à atteindre, mais comme un parcours continu. Nous nous efforçons continuellement d'améliorer nos processus de développement logiciel et nos processus opérationnels internes dans le but d'accroître la sécurité de nos logiciels et services. La voie de la sécurité devrait être la voie de la facilité, et c'est pourquoi la sécurité fait partie intégrante du tissu de nos produits et de notre infrastructure. Voici quelques façons d'intégrer la sécurité à notre travail, au quotidien.

Architecture

La sécurité est notre priorité lors de la conception de nos applications, de nos réseaux et de nos processus métier

L'architecture de sécurité Atlassian Cloud est conçue en tenant compte d'un large éventail de normes et de frameworks du secteur et en tandem avec notre processus de modélisation interne des menaces. Elle est conçue pour trouver un équilibre entre le besoin de flexibilité et le besoin de contrôles efficaces pour assurer la confidentialité, l'intégrité et la disponibilité des données de nos clients. 

Applications

Sécurité en matière de développement d'apps, sécurité des données et gestion du cycle de vie de l'information.

Sécurité

Cryptographie et chiffrement, gestion des menaces et des vulnérabilités, gestion des incidents de sécurité

Infrastructure

Gestion des actifs, contrôle des accès, opérations, sécurité des communications

Data center et bureaux

Sécurité physique et environnementale

Entreprise

Gouvernance de la sécurité, organisation de la sécurité, sécurité du personnel, gestion des données des fournisseurs et des tiers, sécurité mobile, continuité des opérations, audit/conformité, confidentialité.

Les contrôles de sécurité qui sous-tendent notre architecture sont conçus pour s'aligner sur un certain nombre de normes différentes, et en raison des nombreux chevauchements entre ces normes, nous avons construit notre propre framework de contrôle. Ce framework nous fournit une liste unique d'éléments sur lesquels nous devons nous concentrer et qui correspondent efficacement aux diverses normes auxquelles nous nous conformons, comme le montre le tableau 1 ci-dessous.

Norme Sponsor Contrôles Domaines

ISO 27001

Organisation internationale de normalisation

26 exigences

6 clauses

ISO 27002

Organisation internationale de normalisation

114 exigences

14 domaines

PCI-DSS

Secteur des cartes de paiement

247 exigences

6 domaines

CSA CCM

Cloud Security Alliance

133 contrôles

16 domaines

SOC2

Service Organisation Controls

116 exigences

5 principes

SOX 404 (IT)

Loi fédérale américaine

22 exigences

5 domaines

GAPP

AICPA

106 exigences

10 domaines

Pour de plus amples détails, découvrez-en plus sur notre framework de contrôles communs.

 

Réseau

Nous pratiquons une approche par couches de l'accès au réseau, avec des contrôles à chaque couche du stack

Nous implémentons des contrôles à chaque couche du stack, en divisant notre infrastructure par zones, environnements et services.

Les restrictions de zone comprennent la limitation du trafic sur les bureaux, les data centers et les plateformes réseau. La séparation de l'environnement limite la connectivité de production et de développement. Les services doivent être explicitement autorisés à communiquer avec d'autres services par le biais d'une liste blanche d'authentification.

Nous contrôlons l'accès à nos réseaux sensibles par l'utilisation d'un routage de cloud privé virtuel (VPC), de règles de pare-feu et de réseaux définis par logiciel. Toute la connectivité est chiffrée par défaut.

La connectivité du personnel nécessite des certificats d'appareil, une authentification multifacteur et l'utilisation de proxies pour un accès réseau sensible. L'accès aux données client nécessite un examen et une approbation explicites.

Nous avons également mis en place des systèmes de détection et de prévention des intrusions dans nos bureaux et nos réseaux de production pour identifier les problèmes de sécurité potentiels.

Application

La modélisation des menaces est utilisée pour s'assurer que nous concevons des contrôles appropriés pour les menaces auxquelles nous sommes confrontés

Pendant la phase de planification et de conception du produit, nous utilisons la modélisation des menaces pour comprendre les risques de sécurité spécifiques associés à un produit ou à une fonctionnalité. En général, la modélisation des menaces est une session de brainstorming entre ingénieurs, ingénieurs de sécurité, architectes et responsables produit d'une application ou d'un service. Les menaces sont identifiées et classées par ordre de priorité, puis cette information alimente les contrôles dans le processus de conception et appuie l'examen et les tests ciblés dans les phases ultérieures du développement.

Nous utilisons l'outil de modélisation des menaces de Microsoft et le framework de modèle de menaces STRIDE. STRIDE est un acronyme désignant une série de préoccupations communes en matière de sécurité : Spoofing (spoofing), Tampering (altération), Reputation (réputation), Information Disclosure (divulgation d'informations), Denial of Service (déni de service) et Elevation of Privilege (élévation des privilèges).

Nous utilisons la modélisation des menaces rapidement et fréquemment, et nous pouvons nous assurer que la configuration et les contrôles de sécurité pertinents sont conçus pour atténuer les menaces spécifiques à chaque produit ou fonctionnalité que nous développons. 

Fiabilité

La criticité de nos produits varie d'un client à l'autre. En parlant avec nos clients, nous savons que des produits comme Jira et Confluence finissent souvent par faire partie de processus métier clés. Nous gérons nos activités avec notre propre gamme de produits, ce qui nous permet de comprendre l'importance de la fiabilité et de la capacité de récupération.

Disponibilité et redondance à l'échelle de la plateforme

Nous exploitons plusieurs data centers géographiquement diversifiés

Nous hébergeons toutes nos applications cloud auprès de nos partenaires d'hébergement cloud, AWS et NTT. Ces data centers ont été conçus et optimisés pour héberger des applications, disposent de plusieurs niveaux de redondance intégrés et fonctionnent sur un nœud matériel frontal séparé sur lequel les données des applications sont stockées.

Nous nous soucions de la haute disponibilité de vos données et de vos services. Nous mettons l'accent sur la résilience des produits par le biais de normes et de pratiques qui nous permettent de minimiser les temps d'arrêt. Nos pratiques de résilience sont basées sur les normes SOC2, ISO 27002 et ISO 22301.

Jira, Confluence, Statuspage, Trello, Opsgenie et Jira Align sont hébergés auprès du fournisseur d'hébergement leader du secteur, Amazon Web Services (AWS), ce qui se traduit par des performances optimales avec des options de redondance et de basculement à l'échelle mondiale. Nous maintenons de multiples régions et zones de disponibilité dans les régions de l'est et de l'ouest des États-Unis, au sein de l'Union européenne et dans la région APAC.

Notre partenaire d'hébergement pour Bitbucket Data Center est NTT, qui est certifié SOC2 et ISO 27001 pour la sécurité et la disponibilité, et nous fournit également l'assurance suffisante que des aspects tels que la sécurité physique, l'accès au réseau et au réseau fédérateur IP, l'approvisionnement des clients et la gestion des problèmes sont contrôlés au niveau dont nous avons besoin et que nous exigeons.

Pour plus d'informations sur la façon dont nous utilisons plusieurs data centers et zones de disponibilité pour une haute disponibilité, consultez notre page relative à la gestion des données client et notre page relative à l'infrastructure d'hébergement cloud.

Sauvegardes

Nous disposons d'un programme de sauvegarde étendu

Les données des applications sont stockées sur un espace de stockage résilient qui est répliqué dans tous les data centers. Outre la résilience à l'échelle de la plateforme, nous disposons également d'un programme de sauvegarde complet pour nos offres Atlassian Cloud. Cependant, la restauration et la récupération de ces sauvegardes ne seront fournies que sur notre propre plateforme Atlassian Cloud. 

Les sauvegardes des bases de données d'applications pour Atlassian Cloud se produisent aux fréquences suivantes : des sauvegardes automatisées quotidiennes sont effectuées et conservées pendant 30 jours avec prise en charge de la reprise à un instant de référence. Toutes les données des instantanés et des sauvegardes sont chiffrées. Les données de sauvegarde ne sont pas stockées hors site, mais sont répliquées dans plusieurs data centers au sein d'une région AWS spécifique. Nous effectuons des tests trimestriels de nos sauvegardes. Pour plus d'informations, consultez notre page relative à l'infrastructure. Pour en savoir plus sur la façon dont nous avons implémenté un programme de sauvegarde robuste, consultez notre page relative à la gestion des données client.

Continuité des opérations et reprise d'activité

Nous disposons de plans complets et éprouvés de continuité des opérations et de reprise d'activité

Nous sommes déterminés à  ne pas baratiner nos clients, nous nous efforçons de maintenir de solides capacités de continuité des opérations et de reprise d'activité pour nous assurer que l'impact sur nos clients est réduit au minimum en cas d'interruption de nos activités.

Notre programme de reprise d'activité comprend quelques pratiques clés pour assurer les niveaux appropriés de gouvernance, de surveillance et de test :

  1. Gouvernance. L'implication de la direction est essentielle à la façon dont nous gérons notre programme de reprise d'activité.  Forts de cette implication, nous avons tenu compte des facteurs commerciaux et techniques dans sa stratégie de résilience.
  2. Supervision et maintenance. Nous adoptons une approche disciplinée en matière de gouvernance, de risque et de conformité lorsque nous surveillons et gérons notre programme de reprise d'activité. Cette approche nous permet de fonctionner de façon plus efficiente et plus efficace lorsque nous surveillons, mesurons, signalons et corrigeons des activités clés de notre programme de reprise d'activité. Les ingénieurs chargés de la fiabilité du site s'engagent à tenir des réunions continues de reprise d'activité et représentent leurs services stratégiques. Ils discutent des lacunes identifiées en matière de reprise d'activité avec l'équipe chargée des risques et de la conformité et mettent l'accent sur les niveaux de résolution appropriés, au besoin.
  3. Test. Nous procédons régulièrement à des tests et nous nous efforçons d'améliorer continuellement notre cycle de vie de reprise d'activité pour assurer la disponibilité de vos données et d'excellentes performances lors de leur utilisation.
    1. Nous testons les niveaux de résilience dans les zones de disponibilité AWS afin de pouvoir faire face à une panne de zone de disponibilité avec un temps d'interruption minimal.
    2. Nous effectuons nos sauvegardes de données dans des data centers AWS régionaux. Si une région est en panne, nous protégeons vos données dans une région secondaire en cas d'incident catastrophique. 
    3. Nous effectuons des tests pour déceler les pannes de la région AWS. Nous comprenons qu'une panne complète de la région est hautement improbable. Toutefois, nous continuons à tester notre capacité de basculement des services et à perfectionner notre résilience régionale.
    4. Des procédures de sauvegarde et de restauration ont été mises en place et sont testées régulièrement. Autrement dit, lorsque des données doivent être restaurées, nous sommes parés pour vous rendre rapidement opérationnels grâce à une équipe de support bien formée et des procédures entièrement éprouvées.

En plus d'assurer la résilience par la gouvernance, la surveillance et les tests, Atlassian met l'accent sur l'amélioration continue dans l'ensemble de son programme de reprise d'activité. Pour en savoir plus sur nos tests de reprise d'activité et sur notre programme de continuité des opérations, consultez notre page relative à la gestion des données client.

Nous publions l'état de disponibilité de nos services en temps réel pour que vous puissiez accéder à vos données quand vous le souhaitez. 

Sécurité des produits

L'un des défis de notre secteur est de livrer des produits sûrs tout en maintenant une vitesse de mise sur le marché saine. Notre objectif est d'atteindre le juste équilibre entre vitesse et sécurité. Après tout, chez Atlassian, nous exécutons presque toutes nos applications sur notre propre logiciel. Nous mettons en place toute une gamme de contrôles de sécurité pour assurer la sécurité de nos produits et de vos données.

Chiffrement et gestion des clés

Chiffrement en transit

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Chiffrement au repos

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur. Pour le moment, Bitbucket ne propose pas le chiffrement au repos pour les dépôts.

Pour le chiffrement au repos, nous chiffrons spécifiquement les données client stockées sur un disque comme les données des tickets Jira (détails, commentaires, pièces jointes) ou les données de page Confluence (contenu des pages, commentaires, pièces jointes). Le chiffrement des données au repos aide à prévenir tout accès non autorisé et garantit que les données ne sont accessibles que par des rôles et des services autorisés avec accès contrôlé aux clés de chiffrement.

Gestion des clés de chiffrement

Atlassian utilise AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est assigné à chaque clé et est responsable de s'assurer qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

Isolement des locataires

Grâce à l'isolement des locataires, même si les clients partagent une infrastructure informatique commune, ils sont séparés de façon logique, de sorte que les actions d'un locataire ne peuvent compromettre les données ou le service d'un autre.

Chez Atlassian, notre approche de l'isolement des locataires varie selon les applications, et nous ferons part des différences au fil du temps. Pour Jira et Confluence Cloud, qui ont évolué au fil des ans pour devenir de véritables applications SaaS multi-locataires, Atlassian adopte un concept appelé « Contexte de locataire ». Ce concept est implémenté à la fois dans le code applicatif et géré par ce que nous appelons un service de contexte de locataire (Tenant Context Service, TCS). Ainsi, dans cet environnement partagé, nous nous assurons que :

  • les données de chaque client sont logiquement séparées de celles des autres locataires au repos ; et
  • toutes les demandes traitées par Jira ou Confluence offrent une vue « propre au locataire » afin que les autres locataires ne soient pas impactés.

Le TCS est indépendant de Jira et de Confluence, mais il joue un rôle essentiel dans leur fonctionnement. Dans les grandes lignes, le TCS stocke un « contexte » pour les différents locataires du client. Ce contexte inclut diverses métadonnées associées à ce locataire (comme les bases de données dans lesquelles le locataire se trouve, les licences dont il dispose, les fonctionnalités auxquelles il a accès, et tout un éventail d'autres informations de configuration) ainsi que des identifiants uniques chiffrés. Le contexte de chaque locataire est associé à un identifiant unique stocké de façon centralisée par le TCS.

Lorsqu'un client accède à Jira ou Confluence Cloud, le TCS utilise l'identifiant du locataire pour rassembler ces métadonnées, qui sont ensuite associées à toutes les opérations effectuées par le locataire dans l'application tout au long de sa session. Qui plus est, le contexte fourni par le TCS fait office d'« objectif » par l'intermédiaire duquel ont lieu toutes les interactions avec les données client, et cet objectif est toujours limité à un locataire donné. Ainsi, nous avons la certitude qu'un locataire du client n'a pas accès aux données d'un autre locataire ou qu'un locataire ne peut affecter le service d'un autre locataire par ses actions.

Découvrez-en plus sur notre architecture Atlassian Cloud.

Test de la sécurité des produits

Nous disposons de programmes de tests de sécurité internes et externes dans notre programme Bug Bounty

Notre approche de la gestion des vulnérabilités de nos produits consiste en des tests de sécurité internes et externes. Les problèmes connus sont mis à disposition par l'intermédiaire de notre outil de suivi des bugs public.

Tests internes

Cette approche s'étend sur les phases de planification, de développement et de test, chaque test s'appuyant sur le travail antérieur et gagnant progressivement en rigueur. Nous adoptons une approche bien définie de l'analyse statique et dynamique du code aux phases de développement et de test. Dans la phase de développement, nous nous concentrons sur l'intégration de l'analyse du code pour supprimer tout problème de sécurité fonctionnel et facilement identifiable ou non fonctionnel.

Au cours de la phase de test, notre équipe de développement et d'ingénierie en sécurité adopte une approche contradictoire pour tenter de détourner les fonctionnalités à l'aide de techniques de test automatisées et manuelles.

Notre équipe d'ingénierie en sécurité a développé une large gamme d'outils de test de sécurité pour automatiser les tâches courantes et mettre des outils de test spécialisés à la disposition de nos équipes produit. Ces outils sont bénéfiques pour l'équipe de sécurité et permettent aux développeurs d'effectuer des analyses de sécurité « en libre-service » et d'agir en fonction des résultats. Notre équipe d'ingénierie en sécurité est composée d'experts en la matière, mais en fin de compte, chaque développeur de notre société est responsable de son propre code.

Tests externes

Une fois qu'une version passe en production, les tests externes prennent le relais. Cette approche repose sur le concept d'« assurance continue » : plutôt que d'effectuer un test d'intrusion ponctuel, nous appliquons un modèle de test disponible en continu à l'aide d'un programme Bug Bounty crowdsourcé.

Lorsqu'une vulnérabilité est identifiée par l'un de nos utilisateurs durant l'utilisation standard d'un produit, nous accueillons les notifications et répondons rapidement à tous les signalements de vulnérabilités (détaillés dans notre rapport d'information sur les vulnérabilités). Nous tenons informé l'auteur du signalement au fur et à mesure de notre enquête et nous répondons au ticket.

Nous avons recours à des consultants spécialisés en sécurité pour effectuer des tests d'intrusion dans nos produits et notre infrastructure à haut risque. Ces tests peuvent concerner une nouvelle architecture d'infrastructure (par exemple, notre environnement de cloud computing), un nouveau produit ou changement profond dans l'architecture (par exemple, l'utilisation extensive des microservices).

Notre approche des tests d'intrusion est hautement ciblée. Voici la liste des tests que nous menons généralement :

Boîte blanche : les testeurs reçoivent de la documentation sur la conception de nos produits et sont briefés par nos ingénieurs produit pour les aider dans leurs tests
Approche assistée par le code : les testeurs disposent d'un accès total à la base de code pertinente pour les aider à diagnostiquer les comportements inattendus du système durant les tests et à identifier les cibles potentielles
Approche basée sur la menace : les tests se concentrent sur un scénario de menace donné, comme l'existence supposée d'une instance compromise, et évaluent les mouvements latéraux possibles à partir de ce point

Nous ne mettons pas les rapports ou extraits à disposition à des fins d'utilisation externe en raison de l'exhaustivité des informations fournies aux testeurs pour mener leurs évaluations. La majorité de ces systèmes et produits seront ensuite inclus à notre programme Bug Bounty public, offrant ainsi la garantie externe recherchée par nos clients. Pour plus d'informations sur la validation les tests de sécurité des produits, consultez notre page Approche des tests de sécurité externes.

Gestion des vulnérabilités des produits

Nous adoptons des approches innovantes pour développer des logiciels de qualité

Nous sortons du domaine traditionnel de l'Assurance Qualité (AQ) pour nous assurer que de nouvelles fonctionnalités sont introduites rapidement et en toute sécurité en adoptant la notion d'Assistance Qualité*. Nous essayons d'insuffler un esprit d'« équipe entière » à la qualité en transformant le rôle de l'AQ en celui d'un facilitateur plutôt qu'en simple responsable du travail d'AQ en soi. Nous travaillons aussi activement à l'autonomisation et à la formation des développeurs pour qu'ils puissent tester leurs propres fonctionnalités conformément à nos normes de qualité.

Bien que nous nous efforcions constamment de réduire le nombre de vulnérabilités de nos produits, nous reconnaissons qu'elles sont, dans une certaine mesure, une partie inévitable du processus de développement. Par le biais de notre partenariat Bug Bounty, nous visons à augmenter le coût de la recherche et de l'exploitation des vulnérabilités au fil du temps, afin que l'investissement en temps et en ressources nécessaire aux personnes malintentionnées pour trouver des vulnérabilités supplémentaires perde toute attractivité. Pour plus d'informations sur la façon dont nous validons la gestion des vulnérabilités des produits, consultez notre page Approche des tests de sécurité externes.

*Remarque : Cem Kaner est à l'origine du terme Assistance Qualité, et si vous souhaitez en savoir plus sur ce terme et sur l'ensemble de notre processus qualité, parcourez notre série de billets de blog sur l'AQ.

Pratiques opérationnelles

Bien que la sécurité de nos produits soit une priorité, nous comprenons également l'importance d'être conscients de la façon dont nous menons nos opérations internes quotidiennes. L'idée d'« intégrer la sécurité » ne fait qu'un avec la philosophie que nous utilisons pour nos processus internes et qui influence la façon dont nous menons nos activités.

Accès aux données client

L'accès aux données client stockées dans les applications est limité selon le principe du « besoin d'accéder »

Au sein de notre plateforme SaaS, nous traitons toutes les données client comme également sensibles et avons mis en place des contrôles stricts régissant ces données. Une formation de sensibilisation est dispensée à nos employés internes et à nos sous-traitants pendant le processus d'intégration. Celle-ci couvre l'importance des données client et les bonnes pratiques pour leur traitement.  

Au sein d'Atlassian, seuls les employés autorisés ont accès aux données client stockées dans nos applications. L'authentification se fait par l'intermédiaire de clés publiques individuelles protégées par mot de passe, et les serveurs n'acceptent que les connexions SSH entrantes provenant d'emplacements de data centers Atlassian et internes.

Tout accès non autorisé ou inapproprié aux données client est traité comme un incident de sécurité et est géré par notre processus de gestion des incidents. Ce processus comprend des instructions pour aviser les clients concernés si une violation de la politique est observée.

L'accès physique à nos data centers, où sont hébergées les données client, se limite au personnel autorisé, l'accès étant vérifié au moyen de mesures biométriques. Les mesures de sécurité physique de nos data centers comprennent des gardes de sécurité sur place, une surveillance vidéo en circuit fermé, des pièges humains et des mesures supplémentaires de protection contre les intrusions.

Une politique plus large régissant l'accès aux données client et aux métadonnées est incluse dans notre politique de confidentialité.

Accès au support

Nos équipes de support n'accèdent aux données client que lorsque cela est nécessaire pour résoudre un ticket ouvert

Notre équipe de support mondiale a accès à nos systèmes et applications dans le cloud pour faciliter les processus de maintenance et de support. L'accès aux applications et aux données hébergées n'est possible qu'à des fins de contrôle de santé des applications et de maintenance du système ou des applications, et sur demande des clients via notre système de support.

Formation et sensibilisation

Notre programme de formation et de sensibilisation à la sécurité ne se contente pas de vérifier la conformité, il permet également d'améliorer les connaissances au sein de l'entreprise

Notre programme de sensibilisation repose sur la prémisse que la sécurité est la responsabilité de tous. Cette responsabilité provient de notre programme de politique de sécurité interne, et le programme de formation et de sensibilisation est utilisé comme principal moyen de communiquer cette responsabilité à notre personnel.

Les candidats et les sous-traitants doivent signer un accord de confidentialité avant de commencer à travailler avec nous et, par la suite, au cours du processus d'intégration, des cours de sensibilisation à la sécurité sont dispensés à ces nouveaux employés.

Conformément au thème de l'amélioration continue, nous diffusons des messages de sécurité par le biais d'e-mails et de blogs à l'échelle de l'entreprise. Ces derniers véhiculent généralement un message qui est pertinent à ce moment-là, par exemple une menace récemment identifiée et rendue publique, et renforcent l'importance de suivre les bonnes pratiques de sécurité.

Champions de la sécurité

Nous reconnaissons qu'il y a de grands théoriciens de la sécurité en dehors de l'équipe de sécurité, et nous cherchons à utiliser leur enthousiasme et leurs connaissances

Outre notre programme de sensibilisation, nous avons également mis sur pied un programme interne de « Champions de la sécurité ».  L'idée derrière ce programme est d'essayer d'intégrer la sécurité dans chaque équipe d'Atlassian. Nous voulons également rendre la sécurité plus accessible, et l'une des façons d'y parvenir est de former des gens à l'échelle de l'organisation qui possèdent des connaissances de base en sécurité, qu'elles soient liées aux opérations ou au développement. Il s'agit d'intégrer dans l'équipe, à temps partiel, des experts passionnés et compétents en matière de sécurité et d'en faire nos porte-paroles dans le reste de l'entreprise.

Gestion des changements

Nous avons adopté la gestion des changements open source

Les processus traditionnels de gestion des changements reposent sur une hiérarchie de contrôle des changements de type pyramidale. Quand quelqu'un souhaite apporter un changement, il doit le présenter à un conseil qui l'approuve ou le refuse. Nous avons adopté ce que nous appelons « Peer Review, Green Build » (Examen par les pairs, développement vert). Chaque changement, dans notre code ou notre infrastructure, doit être examiné par un ou plusieurs pairs afin d'identifier tout problème potentiel. Nous augmentons le nombre d'évaluations en fonction de la criticité du changement ou du produit. Nous faisons confiance à nos équipes de développement et à nos ingénieurs pour identifier les problèmes de sécurité et de performance, et pour signaler un changement problématique avant qu'il ne se produise. Dans le même ordre d'idées, nous utilisons notre propre outil d'intégration continue, Bamboo, pour déterminer si les changements, une fois mergés dans la branche principale, créeront des tickets grâce à nos tests d'intégration, unitaires, fonctionnels ou de sécurité. Si aucun problème n'est identifié dans les phases de développement et de test, Bamboo indiquera un point vert et signalera le processus de développement comme réussi. En cas de problèmes, Bamboo indiquera un point rouge et le merge sera alors réévalué pour identifier les changements qui en sont la cause. Notre contrôle « Peer Review, Green Build » permet d'identifier les milliers de changements que nous apportons chaque semaine.

Recrutement d'employés

Nous nous efforçons de recruter les meilleurs

Comme toute entreprise, nous voulons attirer et embaucher les candidats les meilleurs et les plus brillants pour travailler pour nous. Lors de nos réunions « Global Town Hall » hebdomadaires, nous accueillons tous les nouveaux employés et les mettons au défi de « faire le meilleur travail de leur vie » et de « chercher à changer Atlassian, pour le mieux ». Nous voulons que la richesse de leur talent améliore notre entreprise chaque jour et chaque semaine. Lors du recrutement, nous effectuons des vérifications en matière d'emploi, de visa, d'antécédents et de finances. Dès l'acceptation d'une offre, nous nous assurons que chaque nouvel employé dispose d'un plan d'intégration de 90 jours et d'un accès à une formation continue en fonction de son rôle. 

Customer Exit Procedure

If a contract between Atlassian and one of our customers using our cloud products ends, customer data will be removed from our cloud environment according to the timelines below.

Scenarios where customer contract can end include:

  • Missed payments: Where an existing customer misses a payment for their product subscription (whether monthly or annually);
  • Subscription cancellation: Where an existing customer cancels their subscription;
  • Evaluation period ends: Where the trial period for a customer evaluating one of our products chooses not to proceed to a paid subscription.

Missed payments

Where a customer misses a payment or the payment cannot be made, they are unsubscribed from all products 15 days after the due date for the payment. Once this occurs, their data is retained in cold backup for 60 days, after which it is deleted. Customers can ensure their data is not deleted by rectifying any missed payments within the 15 days. It is not possible to restore customer data after this timeline even if payment has been made.

Subscription cancellation

If a customer ends their subscription intentionally, customer data is deleted 60 days after current subscription period ends (for paid sites).

For Jira, if a customer unsubscribes from one Jira product (e.g. Jira Software) and retains another (e.g. Jira Service Desk), their Jira data will be retained. This includes situations involving evaluations; if the evaluation period for one Jira product ends, but the customer still has other Jira products on their subscription, their Jira data is retained. However, if they unsubscribe from all Jira products, their Jira data will be deleted immediately.

Similarly, if a customer removes Confluence from their Atlassian product subscription, this will immediately delete their Confluence data and remove Confluence access for all users.

Evaluation period ends

Where a customer’s evaluation period ends, and they choose not to proceed with a paid subscription, their data is deleted after 15 days (for evaluation sites)

Once customer data is deleted in any of the above scenarios, it cannot be recovered.

Data Destruction

Your data will be deleted 15 days (for evaluation sites) or 60 days (for paid subscription sites) after you have been unsubscribed due to missed payment for an Atlassian product subscription or you cancel your subscription.

What happens if I miss a payment or cancel an individual product subscription?

If payment fails for your Atlassian product subscription, you will be unsubscribed from all products 15 days after the payment due date, at which point users will no longer be able to access the product.

Canceling your Atlassian product subscription will prevent any further site renewals from being processed. Your site will remain accessible until 15 days after the end of your current subscription period, at which point your site will be deactivated. 

Data retention

Your site will be deactivated 15 days after the end of your current subscription period. Atlassian retains data for deactivated sites for 15 days (for evaluation sites) or 60 days (for paid subscription sites) after the end of your current subscription period. 

Evaluations for individual products on an annual Atlassian product subscription last for 30 days. If we fail to receive payment, you will be unsubscribed from Jira and Confluence products 17 days after the payment due date, at which point users will lose access to Jira and Confluence.

Confluence data will be deleted 15 days after the product is unsubscribed. If your evaluation for one Jira product (e.g. Jira Service Desk) ends but you still have other Jira products (e.g. Jira Software) on your annual subscription, your Jira data will not be deleted. Jira data will only be deleted if you unsubscribe from all Jira products. 

Your data cannot be recovered after it's deleted. We strongly recommend creating a Confluence site backup or Jira site backup, as noted below.

How should I prepare my data to move to another site?

Processus de sécurité

Nous reconnaissons qu'une marge d'erreur est toujours possible. Nous voulons être proactifs dans la détection des problèmes de sécurité, ce qui nous permet de combler les lacunes identifiées le plus tôt possible afin de minimiser leurs répercussions.

Gestion des incidents de sécurité

Des incidents se produiront, mais la rapidité et l'efficacité de notre réaction permettront de limiter au maximum les répercussions

L'équipe de sécurité d'Atlassian rassemble les journaux de diverses sources dans l'infrastructure d'hébergement et utilise une plateforme SIEM pour surveiller et signaler toute activité suspecte. Nos processus internes définissent la façon dont ces alertes sont triées, font l'objet d'une enquête plus approfondie et sont transmises de façon appropriée. Nous encourageons nos clients et l'ensemble de la communauté à signaler les incidents de sécurité suspectés par le biais du support Atlassian.  

En cas d'incident de sécurité grave, Atlassian a accès à une expertise en interne (et par l'intermédiaire d'experts externes) pour enquêter sur les incidents et les suivre jusqu'à leur résolution. La base de données de nos incidents de sécurité est cataloguée par rapport à la base de données du framework VERIS.

Découvrez-en plus sur notre processus de gestion des incidents de sécurité et sur nos responsabilités partagées lors d'un incident de sécurité.

Gestion des vulnérabilités

Nous disposons d'un programme de gestion des vulnérabilités afin de nous assurer que nous recherchons activement les faiblesses potentiellement présentes dans notre environnement

Outre nos pratiques de gestion des vulnérabilités propres à nos produits (voir plus haut), notre équipe de sécurité effectue des analyses continues des vulnérabilités réseau de notre infrastructure interne et externe à l'aide d'un analyseur de vulnérabilité de pointe. Plus d'informations sur ce processus sont disponibles dans notre FAQ sur la confiance.

Nous faisons également appel à des sociétés de conseil spécialisées dans la sécurité pour effectuer des tests d'intrusion dans nos produits et notre infrastructure à haut risque. Par exemple, une nouvelle infrastructure configurée pour nous (p. ex., notre environnement Cloud), un nouveau produit (p. ex., Stride) ou un changement profond dans l'architecture (p. ex., l'utilisation extensive de microservices). 

Des processus internes sont en place pour examiner les vulnérabilités signalées et y donner suite. Le processus inclut des SLA prédéfinis pour corriger les vulnérabilités en fonction du niveau de sévérité du CVSS. Découvrez-en plus sur notre Politique de correction des bugs de sécurité.

Pour en savoir plus sur nos tests de sécurité, consultez notre approche en matière de tests de sécurité externes.

Pour plus d'informations sur notre programme de gestion des vulnérabilités, consultez la gestion des vulnérabilités chez Atlassian.

Programme Bug Bounty

Notre programme Bug Bounty garantit que nos systèmes sont constamment testés

Au cœur de notre approche de la gestion des bugs de sécurité se trouve notre programme Bug Bounty qui garantit que nos produits sont constamment testés pour détecter les vulnérabilités de sécurité. Dans un environnement de développement véritablement Agile, où les livraisons sont fréquentes, les tests continus sont indispensables. Nous croyons que la foule de chercheurs indépendants en sécurité qui participent à notre programme Bug Bounty constitue le processus de test de sécurité externe le plus efficace et le moyen d'y parvenir.

Plus de 25 de nos produits ou environnements (qu'il s'agisse de nos produits Server ou Cloud, ou encore de nos apps mobiles) entrent dans le champ d'application de notre programme Bug Bounty, auquel plus de 500 testeurs sont inscrits.  Tous les détails relatifs au nombre de vulnérabilités signalées, à notre temps de réponse moyen et à la rémunération moyenne sont inclus dans notre programme Bug Bounty.  

Pour en savoir plus sur nos tests de sécurité, consultez notre approche en matière de tests de sécurité externes.

Téléchargez les derniers rapports de test

Toutes les vulnérabilités de sécurité identifiées dans les rapports ci-dessous font l'objet d'un suivi dans notre Jira interne à mesure qu'elles suivent le processus de réception Bug Bounty et sont clôturées selon les échéances SLA spécifiées dans notre Politique de correction des bugs de sécurité.

 

Conformité

Nous gérons notre programme de sécurité en conformité avec une série de normes reconnues dans l'industrie. Nous apprécions l'importance de ces attestations, car elles fournissent à nos clients l'assurance indépendante que nous sommes sur la bonne voie. Découvrez-en plus sur notre programme de gestion de la sécurité.

SOC 2, ISO 27001, PCI DSS et CSA STAR sont les normes pour lesquelles nous sommes actuellement certifiés. Vous trouverez de plus amples informations sur ces programmes sur notre page relative à la conformité.

Norme

Sponsor

État

ISO 27001

Organisation internationale de normalisation

Atlassian a été accrédité ISO 27001, pour la portée des opérations décrites dans notre certificat d'accréditation. En un mot, notre équipe de sécurité est actuellement certifiée pour ses fonctions d'ingénierie de sécurité, de veille de sécurité et de projets de sécurité. La portée de cette accréditation est en voie d'être élargie à l'échelle de l'organisation.

La norme ISO/IEC 27001 s'appuie également sur les contrôles de sécurité détaillés dans la norme ISO/IEC 27002. La base de cette certification est l'élaboration et la mise en œuvre d'un programme rigoureux de gestion de la sécurité, y compris l'élaboration et la mise en œuvre d'un système de management de la sécurité de l'information (SMSI). Cette norme de sécurité internationale largement reconnue et respectée spécifie que les entreprises qui obtiennent la certification doivent également :

  • évaluer systématiquement les risques liés à la sécurité de l'information, en tenant compte de l'incidence des menaces et des vulnérabilités en matière de sécurité ;
  • concevoir et mettre en œuvre une série complète de contrôles de sécurité de l'information pour faire face aux risques en matière de sécurité ;
  • mettre en œuvre un processus global de gestion de la vérification et de la conformité pour s'assurer que les contrôles répondent à nos besoins sur une base continue.

Consultez le certificat ISO/IEC 27001 d'Atlassian.

ISO 27018

Organisation internationale de normalisation

Atlassian étend actuellement ses contrôles de sécurité et de confidentialité à l'ensemble de ses activités pour répondre aux exigences de la norme ISO 27018 dans le cadre de son programme de conformité au RGPD.

La norme ISO/IEC 27018 est un code de bonnes pratiques axé sur la protection des données personnelles dans le cloud. Il est basé sur la norme de sécurité de l'information ISO/IEC 27002 et fournit des directives de mise en œuvre supplémentaires pour les contrôles ISO/IEC 27002 applicables aux informations personnelles identifiables (PII) dans le cloud public. Il procure également un ensemble de contrôles supplémentaires et des conseils associés dans le but de répondre aux exigences de protection des PII dans le cloud public non visées par l'ensemble existant de contrôles de l'ISO/IEC 27002.

Consultez le certificat ISO/IEC 27018 d'Atlassian.

PCI-DSS

Secteur des cartes de paiement

En tant que vendeur, Atlassian est conforme à la norme PCI DSS pour la réception d'achats liés à nos produits. Toutefois, les produits Atlassian ne sont pas destinés à traiter ou stocker des données de carte de crédit pour nos clients.

Lorsque vous payez avec votre carte de crédit pour des produits ou services Atlassian, vous pouvez être assuré que nous traitons la sécurité de cette transaction avec toute l'attention requise. Nous sommes certifiés « Level 2 Merchant » et nous collaborons avec un fournisseur certifié de services d'évaluation (QSA) pour évaluer notre conformité à la norme PCI DSS. Nous sommes actuellement en conformité avec la norme PCI DSS 3.2SAQ A.

Consultez ou téléchargez nos attestations de conformité PCI:

CCM/STAR de CSA

Cloud Security Alliance

Un questionnaire CSA STAR niveau 1 relatif à Atlassian est disponible au téléchargement sur le site web du registre STAR de Cloud Security Alliance.

Le registre STAR (Security, Trust & Assurance Registry) de CSA est un registre gratuit et public qui documente les contrôles de sécurité fournis par diverses offres de cloud computing. Il aide ainsi les clients à évaluer la sécurité des fournisseurs de cloud auxquels ils font actuellement (ou songent à faire) appel. Membre moral de CSA, Atlassian a rempli le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) associé. La dernière version de ce questionnaire, qui s'aligne sur la version 3.0.1 de la matrice CCM (Cloud Controls Matrix) de CSA, apporte une réponse à plus de 300 questions susceptibles d'être posées à un fournisseur de cloud par un client ou par un auditeur en matière de sécurité du cloud.

Découvrez nos entrées CAIQ relatives à Atlassian dans le registre STAR de CSA.

SOC2/SOC3 

Service Organisation Controls

Les rapports SOC (Service Organization Control) d'Atlassian sont certifiés par un tiers. Ils montrent dans quelle mesure Atlassian atteint les contrôles et objectifs clés en matière de conformité. Ils ont pour objectif d'aider vos auditeurs et vous-même à comprendre les contrôles mis en place pour soutenir les équipes responsables des opérations et de la conformité chez Atlassian. 

Atlassian a obtenu des certifications SOC2 pour un grand nombre de ses produits. Téléchargez les certifications SOC2 et SOC3 d'Atlassian ici.

Nous effectuons également des audits de sécurité complets par l'intermédiaire de cabinets d'audit renommés, qui sont effectués au moins une fois par an.

Les résultats de ces programmes d'audit et de certification, ainsi que les résultats de nos processus internes, comme la gestion des vulnérabilités, sont tous intégrés à un cycle d'amélioration continue qui nous aide à améliorer en permanence l'ensemble du programme de sécurité. 

Conformité au RGPD

Nous sommes pleinement engagés dans la réussite de nos clients et dans la protection de leurs données. L'une des façons de tenir cette promesse consiste à aider les clients et utilisateurs d'Atlassian à comprendre le règlement général sur la protection des données (RGPD) et, le cas échéant, à s'y conformer. Le RGPD constitue le changement le plus important apporté à la législation européenne sur la protection des données au cours des 20 dernières années et est entré en vigueur le 25 mai 2018.

Nous comprenons que nos clients ont des exigences relatives au RGPD directement concernées par leur utilisation des produits et services Atlassian, c'est pourquoi nous avons consacré des ressources importantes pour aider nos clients à satisfaire leurs exigences liées au RGPD et à la législation locale.

Voici plusieurs initiatives du RGPD pour nos produits de cloud computing :

  • Nous avons réalisé d'importants investissements dans notre infrastructure de sécurité et nos certifications (consultez la section Sécurité et certifications).
  • Nous prenons en charge des mécanismes appropriés de transfert international des données en maintenant nos certifications Privacy Shield, et en exécutant des clauses contractuelles types par le biais de notre avenant sur le traitement des données mis à jour.
  • Nous offrons des outils de portabilité et de gestion des données, notamment :
  • Nous avons veillé à ce que le personnel d'Atlassian qui accède à des données personnelles de clients Atlassian et qui les traite ait été formé au traitement de ces données et soit tenu d'assurer la confidentialité et la sécurité de ces données.
  • Nous soumettons tous les fournisseurs qui traitent des données personnelles aux mêmes pratiques et normes de gestion des données, de sécurité et de confidentialité que nous respectons nous-mêmes.
  • Nous nous sommes engagés à réaliser des analyses d'impact des données et à consulter les régulateurs de l'UE le cas échéant.

Découvrez-en plus sur notre approche et nos investissements dans le RGPD sur notre page relative à la conformité d'Atlassian au RGPD.

Confidentialité

Nous comprenons les préoccupations de nos clients en matière de confidentialité, et nous comprenons que ces préoccupations sont probablement les mêmes que celles que nous éprouvons nous-mêmes lorsque nous utilisons des applications SaaS. Donc, fondamentalement, nous essayons de traiter vos données personnelles identifiables et autres données sensibles de la même manière que nous voudrions que nos fournisseurs de services traitent nos données.

Atlassian et ses filiales se conforment au framework Privacy Shield Union européenne-États-Unis et aux principes Privacy Shield associés pour la collecte, l'utilisation et la conservation des informations personnelles transférées de l'Union européenne aux États-Unis.

Notre approche en matière de confidentialité est exposée en détail dans notre politique de confidentialité.

Gestion des demandes des autorités policières

Atlassian publie un rapport de transparence annuel qui détaille les demandes du gouvernement que nous recevons concernant les données de nos utilisateurs, ainsi que les demandes de suppression de contenu ou de suspension de comptes d'utilisateur.

Responsabilité partagée

Dans le cloud, la sécurité de vos données sur nos systèmes est une responsabilité commune.  Cette responsabilité partagée est abordée plus en détail dans notre livre blanc récemment publié « The Atlassian Cloud Security Team (You're part of it) » (L'équipe de sécurité Atlassian Cloud (Vous en faites partie)).

À un haut niveau, Atlassian s'occupe de la sécurité des applications elles-mêmes, des systèmes sur lesquels elles fonctionnent et des environnements dans lesquels ces systèmes sont hébergés.  Nous nous assurons que ces systèmes et environnements sont conformes aux normes pertinentes, y compris les normes PCI DSS et SOC2, au besoin.

Vous, nos clients, gérez les informations de vos comptes, les utilisateurs accédant à vos comptes et les informations d'identification associées, et vous contrôlez les apps que vous installez et auxquelles vous faites confiance.  Vous devez également vous assurer que votre entreprise respecte ses obligations de conformité en utilisant nos systèmes.

Arbre des responsabilités

En bref, voici quelques points que nous aimerions que nos clients prennent en considération :

Décisions clés

Les décisions que vous prenez sur la façon dont vous configurez nos produits ont une influence significative sur la façon dont la sécurité est mise en œuvre.  Les décisions clés incluent :

  • Tous les produits – Vérification des domaines et gestion centralisée. Vous pouvez vérifier un ou plusieurs domaines pour prouver que vous ou votre organisation en êtes propriétaire. La vérification de domaine permet à votre entreprise de gérer de manière centralisée les comptes Atlassian de tous ses employés et d'appliquer des politiques d'authentification (y compris des exigences de mots de passe et SAML). Après avoir vérifié votre domaine, tous les utilisateurs ayant déjà des comptes Atlassian sous ce domaine recevront un e-mail expliquant qu'ils passent à un compte géré. Toute personne s'inscrivant à un nouveau compte Atlassian avec ce domaine verra qu'elle obtient un compte géré.
  • Bitbucket – Dépôts publics et privés. Vous indiquez si les dépôts sont publics (c'est-à-dire que n'importe qui sur Internet peut les consulter) ou privés (c'est-à-dire que l'accès à ces dépôts sera limité à ceux qui ont l'autorisation d'y accéder).
  • Trello – Tableaux et équipes publics et privés. Dans Trello, vous pouvez choisir les paramètres de visibilité des tableaux, y compris la possibilité de rendre des tableaux publics (avec certaines limitations si votre compte Trello est géré). Si un tableau est défini comme public, cela signifie que n'importe qui sur Internet peut le voir, et il peut apparaître dans les résultats des moteurs de recherche comme Google. Découvrez-en plus sur les paramètres de visibilité des tableaux Trello ici. Vous pouvez également choisir de rendre votre équipe publique afin que votre profil d'équipe puisse être consulté par n'importe qui sur Internet. Découvrez-en plus sur les paramètres de visibilité des équipes Trello ici.
  • Tous les produits – Octroi de l'accès. Nos produits sont conçus pour permettre la collaboration. La collaboration exige l'accès. Mais vous devez être prudent lorsque vous accordez des autorisations d'accès à vos données à d'autres utilisateurs et à des apps. Une fois ces autorisations accordées, nous ne pourrons plus empêcher ces utilisateurs de réaliser des actions permises par ces autorisations, même si vous n'êtes pas d'accord avec ces actions.

Accès des utilisateurs

En tant que solution SaaS, nous déléguons à nos clients la responsabilité de la pertinence de l'accès des utilisateurs à leurs données. Dans ce contexte, comprendre la classification des données qui entrent dans le système et s'assurer que les utilisateurs qui ont accès au système sont autorisés à accéder à ces données sont des considérations clés.

Le cas échéant, l'utilisation de l'authentification basée sur les rôles facilitera l'alignement sur les restrictions d'accès qui pourraient devoir être imposées pour se conformer aux exigences de classification et de traitement des données.

Encourager les utilisateurs à pratiquer de bonnes pratiques des mots de passe atténuera également la concrétisation de menaces telles que la découverte de mots de passe et la réutilisation des informations d'identification divulguées par des personnes malveillantes.

Écosystème

L'écosystème Atlassian se compose d'Atlassian en tant que fournisseur de services, des clients et de leurs utilisateurs respectifs, et du Marketplace. Nos clients ont un contrôle total sur les apps qu'ils choisissent d'installer. Lors de l'installation, la personne qui effectue l'installation (généralement un administrateur d'utilisateurs) peut examiner les autorisations accordées aux apps. Il est important que les administrateurs des clients soient attentifs à ces autorisations. Une fois une autorisation accordée, nous aurons très peu de visibilité sur la façon dont l'app utilise les données client.

Les clients sont tenus de vérifier le développeur de l'app ainsi que la pertinence et le caractère raisonnable des autorisations demandées par les applications avant de les installer. Une fois l'extension installée, la surveillance de l'activité de l'app et le signalement de toute activité suspecte nous aideront à préserver la pureté de l'écosystème.

Vous voulez aller plus loin ?

Cette page fait référence à de nombreux autres documents et ressources. Nous vous encourageons à les consulter en détail si vous souhaitez en savoir plus sur notre approche en matière de sécurité et de confiance.