Pratiques de sécurité

Nous pensons que toutes les équipes ont le potentiel de réaliser de grandes choses. Notre mission est de libérer le potentiel de toutes les équipes, quels que soient leur taille et leur secteur, et d'aider à faire progresser l'humanité grâce à la puissance des logiciels.

Nous savons que votre mission est aussi importante pour vous que pour nous, et l'information est au cœur de toutes nos entreprises et de nos vies. C'est pourquoi nous plaçons la confiance des clients au centre de tout ce que nous entreprenons, et la sécurité est notre priorité absolue. Nous sommes transparents sur notre programme de sécurité, afin que vous vous sentiez informés et en sécurité pour utiliser nos produits et services.

Découvrez-en plus sur notre approche de la sécurité et sur la manière dont les clients peuvent jouer leur rôle.

Les informations sur cette page s'appliquent aux produits Atlassian Cloud, Jira, Confluence et Bitbucket, sauf indication contraire.

Notre offre

Notre système ATMS (Atlassian Trust Management System) tient compte des exigences de sécurité de chacun de nos clients pour proposer un ensemble d'exigences et d'initiatives qui nous sont propres, à nous et à notre environnement. Vous trouverez plus d'informations sur nos initiatives sur le site Atlassian Trust, où vous pouvez télécharger ou demander nos rapports de certification pour les normes ISO 27001 et SOC 2, et passer en revue notre questionnaire CSA STAR, ainsi que d'autres informations sur notre système ATMS.

Intégrer la sécurité

Nous ne considérons pas la sécurité comme une destination à atteindre, mais comme un parcours continu. Nous nous efforçons continuellement d'améliorer nos processus de développement logiciel et nos processus opérationnels internes dans le but d'accroître la sécurité de nos logiciels et services. La voie de la sécurité devrait être la voie de la facilité, et c'est pourquoi la sécurité fait partie intégrante du tissu de nos produits et de notre infrastructure. Voici quelques façons d'intégrer la sécurité à notre travail, au quotidien.

Architecture

La sécurité est notre priorité lors de la conception de nos apps, réseaux et processus métier

L'architecture de sécurité Atlassian Cloud est conçue en tenant compte d'un large éventail de normes et de frameworks du secteur et de pair avec notre processus de modélisation interne des menaces. L'objectif est de trouver le juste équilibre entre la nécessité de flexibilité et de contrôles efficaces pour assurer la confidentialité, l'intégrité et la disponibilité des données de nos clients.

Apps

Sécurité en matière de développement d'apps, sécurité des données et gestion du cycle de vie de l'information

Sécurité

Cryptographie et chiffrement, gestion des menaces et des vulnérabilités, gestion des incidents de sécurité

Infrastructure

Gestion des actifs, contrôle des accès, opérations, sécurité des communications

Data center et bureaux

Sécurité physique et environnementale

Corporate

Gouvernance de la sécurité, organisation de la sécurité, sécurité du personnel, gestion des données des fournisseurs et des tiers, sécurité mobile, continuité des opérations, audit/conformité, confidentialité.

Les contrôles de sécurité qui sous-tendent notre architecture sont conçus pour s'aligner sur un certain nombre de normes différentes, et en raison des nombreux chevauchements entre ces normes, nous avons développé notre propre framework de contrôle. Ce framework nous fournit une liste unique d'éléments sur lesquels nous devons nous concentrer et cartographie efficacement les diverses normes auxquelles nous nous conformons, comme le montre le tableau 1 ci-dessous.

Standard Sponsor Contrôles Domaines

ISO 27001

Organisation internationale de normalisation

26 exigences

6 clauses

ISO 27002

Organisation internationale de normalisation

114 exigences

14 domaines

PCI-DSS

Secteur des cartes de paiement

247 exigences

6 domaines

CSA CCM

Cloud Security Alliance

133 contrôles

16 domaines

SOC2

Service Organisation Controls

116 exigences

5 principes

SOX 404 (IT)

Loi fédérale américaine

22 exigences

5 domaines

GAPP

AICPA

106 exigences

10 domaines

Si les détails vous intéressent, découvrez-en plus sur notre framework de contrôles communs.

Réseau

Nous pratiquons une approche par couches de l'accès réseau, avec des contrôles à chaque couche de la stack

Nous implémentons des contrôles à chaque couche de la stack, en divisant notre infrastructure par zones, environnements et services.

Les restrictions de zone comprennent la limitation du trafic dans les bureaux, dans les data centers et sur les plateformes réseau. La séparation de l'environnement limite la connectivité de production et de développement. Les services doivent être explicitement autorisés à communiquer avec d'autres services par le biais d'une liste verte d'authentification.

Nous contrôlons l'accès à nos réseaux sensibles par le biais d'un routage de cloud privé virtuel (VPC), de règles de pare-feu et de réseaux définis par logiciel. Toute la connectivité est chiffrée par défaut.

La connectivité du personnel nécessite des certificats d'appareil, une authentification multifacteur et l'utilisation de proxies pour un accès réseau sensible. L'accès aux données client nécessite un examen et une approbation explicites.

Nous avons également mis en place des systèmes de détection et de prévention des intrusions dans nos bureaux et nos réseaux de production pour identifier les problèmes de sécurité potentiels.

Application

Grâce à la modélisation des menaces, nous nous assurons que nous concevons des contrôles appropriés pour les menaces auxquelles nous sommes confrontés

Pendant la phase de planification et de conception du produit, nous utilisons la modélisation des menaces pour comprendre les risques de sécurité spécifiques associés à un produit ou à une fonctionnalité. En général, la modélisation des menaces consiste en une session de brainstorming entre ingénieurs, ingénieurs de sécurité, architectes et responsables produit d'une app ou d'un service. Les menaces sont identifiées et classées par ordre de priorité, puis ces informations alimentent les contrôles dans le processus de conception et appuient l'examen et les tests ciblés dans les phases ultérieures du développement.

Nous utilisons l'outil de modélisation des menaces de Microsoft et le framework de modèle de menaces STRIDE STRIDE est un acronyme désignant une série de préoccupations communes en matière de sécurité : Spoofing (usurpation), Tampering (altération), Reputation (réputation), Information Disclosure (divulgation d'informations), Denial of Service (déni de service) et Elevation of Privilege (élévation des privilèges).

Nous utilisons la modélisation des menaces de façon rapide et fréquente, et nous pouvons nous assurer que la configuration et les contrôles de sécurité pertinents sont conçus pour atténuer les menaces propres à chaque produit ou fonctionnalité que nous développons.

Fiabilité

La criticité de nos produits varie d'un client à l'autre. En parlant avec nos clients, nous savons que des produits comme Jira et Confluence finissent souvent par faire partie de processus métier clés. Nous gérons nos activités avec notre propre gamme de produits, ce qui nous permet de comprendre l'importance de la fiabilité et de la capacité de récupération.

Disponibilité et redondance à l'échelle de la plateforme

Nous exploitons plusieurs data centers géographiquement répartis

Nous hébergeons toutes nos apps cloud auprès de nos partenaires d'hébergement cloud, AWS et NTT. Leurs data centers ont été conçus et optimisés pour héberger des apps, disposent de plusieurs niveaux de redondance intégrés et fonctionnent sur un nœud matériel frontal séparé, sur lequel les données applicatives sont stockées.

Nous nous soucions de la haute disponibilité de vos données et de vos services. Nous mettons l'accent sur la résilience des produits par le biais de normes et de pratiques qui nous permettent de minimiser les temps d'arrêt. Nos pratiques de résilience sont basées sur les normes SOC 2, ISO 27002 et ISO 22301.

Jira, Confluence, Statuspage, Trello, Opsgenie et Jira Align sont hébergés auprès du fournisseur d'hébergement cloud leader du secteur, Amazon Web Services (AWS). Nous offrons ainsi des performances optimales avec des options de redondance et de basculement à l'échelle mondiale. Nous maintenons de multiples régions et zones de disponibilité dans l'est et l'ouest des États-Unis, au sein de l'Union européenne et dans la région APAC.

Notre partenaire d'hébergement pour Bitbucket Data Center est NTT. Certifié conforme aux normes SOC 2 et ISO 27001 pour la sécurité et la disponibilité, ce dernier nous fournit également les garanties suffisantes que des aspects tels que la sécurité physique, l'accès au réseau et à la dorsale IP, le provisionnement des clients et la gestion des problèmes sont contrôlés au niveau dont nous avons besoin et que nous exigeons.

Pour plus d'informations sur la façon dont nous utilisons plusieurs data centers et zones de disponibilité pour une haute disponibilité, consultez nos pages Gestion des données client et Infrastructure d'hébergement cloud.

Sauvegardes

Nous disposons d'un programme de sauvegarde étendu

Les données applicatives sont stockées sur un espace de stockage résilient, qui est répliqué dans tous les data centers. Outre la résilience à l'échelle de la plateforme, nous disposons également d'un programme de sauvegarde complet pour nos offres Atlassian Cloud. Cependant, la restauration et la récupération de ces sauvegardes ne seront fournies que sur notre propre plateforme Atlassian Cloud.

Les sauvegardes des bases de données applicatives pour Atlassian Cloud se produisent aux fréquences suivantes : des sauvegardes automatisées quotidiennes sont effectuées et conservées pendant 30 jours avec prise en charge de la reprise à un instant de référence. Toutes les données des instantanés et des sauvegardes sont chiffrées. Les données de sauvegarde ne sont pas stockées hors site, mais sont répliquées dans plusieurs data centers au sein d'une région AWS spécifique. Nous effectuons des tests trimestriels de nos sauvegardes. Pour plus d'informations, consultez notre page Infrastructure. Pour en savoir plus sur la façon dont nous avons implémenté un programme de sauvegarde robuste, consultez notre page Gestion des données client.

Continuité des opérations et reprise d'activité

Nous disposons de plans complets et éprouvés de continuité des opérations et de reprise d'activité

Nous sommes déterminés à ne pas baratiner nos clients, nous nous efforçons de maintenir de solides capacités de continuité des opérations et de reprise d'activité pour nous assurer que l'impact sur nos clients est réduit au minimum en cas d'interruption de nos activités.

Notre programme de reprise d'activité comprend quelques pratiques clés pour assurer les niveaux appropriés de gouvernance, de surveillance et de test :

  1. Gouvernance. L'implication de la direction est essentielle à la façon dont nous gérons notre programme de reprise d'activité. Forts de cette implication, nous avons tenu compte des facteurs commerciaux et techniques dans notre stratégie de résilience.
  2. Supervision et maintenance. Nous adoptons une approche disciplinée en matière de gouvernance, de risque et de conformité lorsque nous surveillons et gérons notre programme de reprise d'activité. Cette approche nous permet de fonctionner de façon plus efficiente et plus efficace lorsque nous surveillons, mesurons, signalons et corrigeons des activités clés de notre programme de reprise d'activité. Les ingénieurs chargés de la fiabilité du site s'engagent à tenir des réunions continues de reprise d'activité et représentent leurs services stratégiques. Ils discutent des lacunes identifiées en matière de reprise d'activité avec l'équipe chargée des risques et de la conformité et mettent l'accent sur les niveaux de remédiation appropriés, au besoin.
  3. Tests. Nous procédons régulièrement à des tests et nous nous efforçons d'améliorer continuellement notre cycle de vie de reprise d'activité pour assurer la disponibilité de vos données et d'excellentes performances lors de leur utilisation.
    1. Nous testons les niveaux de résilience dans les zones de disponibilité AWS afin de pouvoir faire face à une panne avec un minimum d'interruption.
    2. Nous effectuons nos sauvegardes de données dans des data centers AWS régionaux. Si une région est en panne, nous protégeons vos données dans une région secondaire en cas d'incident catastrophique.
    3. Nous effectuons des tests pour déceler les pannes de la région AWS. Nous comprenons qu'une panne complète de la région est hautement improbable. Toutefois, nous continuons à tester notre capacité de basculement des services et à perfectionner notre résilience régionale.
    4. Des procédures de sauvegarde et de restauration ont été mises en place et sont testées régulièrement. Autrement dit, lorsque des données doivent être restaurées, nous sommes parés pour vous permettre de reprendre vos activités grâce à une équipe de support bien formée et des procédures entièrement éprouvées.

En plus d'assurer la résilience par la gouvernance, la surveillance et les tests, Atlassian met l'accent sur l'amélioration continue dans l'ensemble de son programme de reprise d'activité. Pour en savoir plus sur nos tests de reprise d'activité et sur notre programme de continuité des opérations, consultez notre page Gestion des données client.

Nous publions l'état de disponibilité de nos services en temps réel afin de vous garantir l'accès à vos données quand vous en avez besoin.

Sécurité des produits

L'un des défis de notre secteur est de livrer des produits sûrs tout en maintenant une vitesse de mise sur le marché saine. Notre objectif est d'atteindre le juste équilibre entre vitesse et sécurité. Après tout, chez Atlassian, nous exécutons presque toutes nos applications sur notre propre logiciel. Nous mettons en place toute une gamme de contrôles de sécurité pour assurer la sécurité de nos produits et de vos données.

Chiffrement et gestion des clés

Chiffrement en transit

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Chiffrement au repos

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur. Bitbucket ne propose pas le chiffrement au repos pour les dépôts.

Pour le chiffrement au repos, nous chiffrons spécifiquement les données client stockées sur un disque comme les données des tickets Jira (détails, commentaires, pièces jointes) ou les données de page Confluence (contenu des pages, commentaires, pièces jointes). Le chiffrement des données au repos aide à prévenir tout accès non autorisé et garantit que les données ne sont accessibles que par des rôles et des services autorisés avec accès contrôlé aux clés de chiffrement.

Gestion des clés de chiffrement

Atlassian utilise le service AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est assigné à chaque clé et est responsable de s'assurer qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

Isolement des locataires

Grâce à l'isolement des locataires, même si les clients partagent une infrastructure informatique commune, ils sont séparés de façon logique, de sorte que les actions d'un locataire ne peuvent compromettre les données ou le service d'un autre.

Chez Atlassian, notre approche de l'isolement des locataires varie selon les apps, et nous ferons part des différences au fil du temps. Pour Jira et Confluence Cloud, qui ont évolué au fil des ans pour devenir de véritables apps SaaS multi-locataires, Atlassian adopte un concept appelé « Contexte de locataire ». Ce concept est implémenté à la fois dans le code applicatif et géré par ce que nous appelons un service de contexte de locataire (Tenant Context Service, TCS). Ainsi, dans cet environnement partagé, nous nous assurons que :

  • les données de chaque client sont logiquement séparées de celles des autres locataires au repos ; et
  • toutes les demandes traitées par Jira ou Confluence offrent une vue « propre au locataire » afin que les autres locataires ne soient pas impactés.

Le TCS est indépendant de Jira et de Confluence, mais il joue un rôle essentiel dans leur fonctionnement. Dans les grandes lignes, le TCS stocke un « contexte » pour les différents locataires du client. Ce contexte inclut diverses métadonnées associées à ce locataire (comme les bases de données dans lesquelles le locataire se trouve, les licences dont il dispose, les fonctionnalités auxquelles il a accès, et tout un éventail d'autres informations de configuration) ainsi que des identifiants uniques chiffrés. Le contexte de chaque locataire est associé à un identifiant unique stocké de façon centralisée par le TCS.

Lorsqu'un client accède à Jira ou Confluence Cloud, le TCS utilise l'identifiant du locataire pour rassembler ces métadonnées, qui sont ensuite associées à toutes les opérations effectuées par le locataire dans l'app tout au long de sa session. Qui plus est, le contexte fourni par le TCS fait office d'« objectif » par l'intermédiaire duquel ont lieu toutes les interactions avec les données client, et cet objectif est toujours limité à un locataire donné. Ainsi, nous avons la certitude qu'un locataire du client n'a pas accès aux données d'un autre locataire ou qu'un locataire ne peut affecter le service d'un autre locataire par ses actions.

Découvrez-en plus sur notre architecture Atlassian Cloud.

Test de la sécurité des produits

Nous disposons de programmes de tests de sécurité internes et externes dans notre programme Bug Bounty

Notre approche de la gestion des vulnérabilités de nos produits consiste en des tests de sécurité internes et externes. Les problèmes connus sont mis à disposition par l'intermédiaire de notre outil public de suivi des bugs.

Tests internes

Cette approche s'étend sur les phases de planification, de développement et de test, chaque test s'appuyant sur le travail antérieur et gagnant progressivement en rigueur. Nous adoptons une approche bien définie de l'analyse statique et dynamique du code aux phases de développement et de test. Dans la phase de développement, nous nous concentrons sur l'intégration de l'analyse du code pour supprimer tout problème de sécurité fonctionnel et facilement identifiable ou non fonctionnel.

Au cours de la phase de test, notre équipe de développement et d'ingénierie en sécurité adopte une approche contradictoire pour tenter de détourner les fonctionnalités à l'aide de techniques de test automatisées et manuelles.

Notre équipe d'ingénierie en sécurité a développé une large gamme d'outils de test de sécurité pour automatiser les tâches courantes et mettre des outils de test spécialisés à la disposition de nos équipes produit. Ces outils sont bénéfiques pour l'équipe de sécurité et permettent aux développeurs d'effectuer des analyses de sécurité « en libre-service » et d'agir en fonction des résultats. Notre équipe d'ingénierie en sécurité est composée d'experts en la matière, mais en fin de compte, chaque développeur de notre société est responsable de son propre code.

Tests externes

Une fois qu'une version passe en production, les tests externes prennent le relais. Cette approche repose sur le concept d'« assurance continue » : plutôt que d'effectuer un test d'intrusion ponctuel, nous appliquons un modèle de test disponible en continu à l'aide d'un programme Bug Bounty crowdsourcé.

Lorsque l'un de nos utilisateurs identifie une vulnérabilité dans le cadre de son utilisation standard du produit, nous l'invitons à nous en informer. Nous répondons dans les meilleurs délais à tous les signalements de vulnérabilités (détaillés dans notre rapport sur les vulnérabilités).Nous tenons informé l'auteur du signalement au fur et à mesure de notre enquête et nous répondons au ticket.

Nous faisons appel à des sociétés de conseil spécialisées dans la sécurité pour effectuer des tests d'intrusion dans nos produits et notre infrastructure à haut risque. Ces tests peuvent concerner une nouvelle infrastructure (p. ex., notre environnement Cloud), un nouveau produit ou un changement profond dans l'architecture (p. ex., l'utilisation extensive de microservices).

Notre approche des tests d'intrusion est hautement ciblée. Voici la liste des tests que nous menons généralement :

Boîte blanche : les testeurs reçoivent de la documentation sur la conception de nos produits et sont briefés par nos ingénieurs produit pour les aider dans leurs tests
Approche assistée par le code : les testeurs disposent d'un accès total à la base de code pertinente pour les aider à diagnostiquer les comportements inattendus du système durant les tests et à identifier les cibles potentielles
Approche basée sur la menace : les tests se concentrent sur un scénario de menace donné, comme l'existence supposée d'une instance compromise, et évaluent les mouvements latéraux possibles à partir de ce point

Nous ne mettons pas les rapports ou extraits à disposition à des fins d'utilisation externe en raison de l'exhaustivité des informations fournies aux testeurs pour mener leurs évaluations. La majorité de ces systèmes et produits seront ensuite inclus à notre programme Bug Bounty public, offrant ainsi la garantie externe recherchée par nos clients. Pour plus d'informations sur la validation des tests de sécurité des produits, consultez notre page Approche des tests de sécurité externes.

Gestion des vulnérabilités des produits

Nous adoptons des approches innovantes pour développer des logiciels de qualité

Nous sortons du domaine traditionnel de l'Assurance Qualité (QA) pour nous assurer que de nouvelles fonctionnalités sont introduites rapidement et en toute sécurité en adoptant la notion d'Assistance Qualité*. Nous essayons d'insuffler un esprit d'« équipe entière » à la qualité en transformant le rôle des équipes de QA en celui d'un facilitateur plutôt qu'en simple responsable du travail de QA en soi. Nous travaillons aussi activement à l'autonomisation et à la formation des développeurs pour qu'ils puissent tester leurs propres fonctionnalités conformément à nos normes de qualité.

Bien que nous nous efforcions constamment de réduire le nombre de vulnérabilités de nos produits, nous reconnaissons qu'elles sont, dans une certaine mesure, une partie inévitable du processus de développement. Par le biais de notre partenariat Bug Bounty, nous visons à augmenter le coût de la recherche et de l'exploitation des vulnérabilités au fil du temps, afin que l'investissement en temps et en ressources nécessaire aux personnes malintentionnées pour trouver des vulnérabilités supplémentaires perde toute attractivité. Pour plus d'informations sur la façon dont nous validons la gestion des vulnérabilités des produits, consultez notre page Approche des tests de sécurité externes.

*Remarque : Cem Kaner est à l'origine du terme Assistance Qualité, et si vous souhaitez en savoir plus sur ce terme et sur l'ensemble de notre processus qualité, parcourez notre série de billets de blog sur les étapes de QA.

Pratiques opérationnelles

Bien que la sécurité de nos produits soit une priorité, nous comprenons également l'importance d'être conscients de la façon dont nous menons nos opérations internes quotidiennes. L'idée d'« intégrer la sécurité » ne fait qu'un avec la philosophie que nous utilisons pour nos processus internes et qui influence la façon dont nous menons nos activités.

Accès aux données client

L'accès aux données client stockées dans les apps est limité selon le principe du « besoin d'accéder »

Au sein de notre plateforme SaaS, nous traitons toutes les données client comme également sensibles et avons mis en place des contrôles stricts régissant ces données. Une formation de sensibilisation est dispensée à nos employés internes et à nos sous-traitants pendant le processus d'intégration. Celle-ci couvre l'importance des données client et les bonnes pratiques de traitement.

Au sein d'Atlassian, seuls les employés autorisés ont accès aux données client stockées dans nos apps. L'authentification se fait par l'intermédiaire de clés publiques individuelles protégées par mot de passe, et les serveurs n'acceptent que les connexions SSH entrantes provenant de data centers Atlassian et internes.

Tout accès non autorisé ou inapproprié aux données client est traité comme un incident de sécurité et est géré par notre processus de gestion des incidents. Celui-ci comprend des instructions pour aviser les clients concernés si une violation de la politique est observée.

L'accès physique à nos data centers, où sont hébergées les données client, se limite au personnel autorisé, l'accès étant vérifié au moyen de mesures biométriques. Les mesures de sécurité physique de nos data centers comprennent des gardes de sécurité sur place, une surveillance vidéo en circuit fermé, des pièges humains et des mesures supplémentaires de protection contre les intrusions.

Une politique plus large régissant l'accès aux données client et aux métadonnées est incluse dans notre politique de confidentialité.

Accès au support

Nos équipes de support n'accèdent aux données client que lorsque cela est nécessaire pour résoudre un ticket ouvert

Notre équipe de support mondiale a accès à nos systèmes et apps dans le cloud pour faciliter les processus de maintenance et de support. L'accès aux apps et aux données hébergées n'est possible qu'à des fins de contrôle de l'intégrité des apps et de maintenance du système ou des apps, et sur demande des clients via notre système de support.

Formation et sensibilisation

Notre programme de formation et de sensibilisation à la sécurité ne se contente pas de vérifier la conformité, il permet également d'améliorer les connaissances au sein de l'entreprise

Notre programme de sensibilisation repose sur le principe selon lequel la sécurité est la responsabilité de tous. Cette responsabilité est définie dans notre programme de politique de sécurité interne, et le programme de formation et de sensibilisation est utilisé comme principal moyen pour la communiquer à notre personnel.

Les candidats et les sous-traitants doivent signer un accord de confidentialité avant de commencer à travailler avec nous et, par la suite, au cours du processus d'intégration, des cours de sensibilisation à la sécurité sont dispensés à ces nouveaux employés.

Conformément au thème de l'amélioration continue, nous diffusons des messages de sécurité par le biais d'e-mails et de billets de blog à l'échelle de l'entreprise. Ces derniers véhiculent généralement un message qui est pertinent à ce moment-là, par exemple une menace récemment identifiée et rendue publique, et renforcent l'importance de suivre les bonnes pratiques de sécurité.

Champions de la sécurité

Nous reconnaissons qu'il y a de grands théoriciens de la sécurité en dehors de l'équipe de sécurité, et nous cherchons à tirer parti de leur enthousiasme et de leurs connaissances

Outre notre programme de sensibilisation, nous avons également mis sur pied un programme interne de « Champions de la sécurité ». L'idée derrière ce programme est d'essayer d'intégrer la sécurité dans chaque équipe Atlassian. Nous voulons également rendre la sécurité plus accessible, et l'une des façons d'y parvenir est de former des gens à l'échelle de l'organisation qui possèdent des connaissances de base en sécurité, qu'elles soient liées aux opérations ou au développement. Il s'agit d'intégrer dans l'équipe, à temps partiel, des experts passionnés et compétents en matière de sécurité et d'en faire nos porte-paroles dans le reste de l'entreprise.

Gestion des changements

Nous avons adopté la gestion des changements open source

Les processus traditionnels de gestion des changements reposent sur une hiérarchie de contrôle des changements de type pyramidale. Quand quelqu'un souhaite apporter un changement, il doit le présenter à un conseil qui l'approuve ou le refuse. Nous avons adopté ce que nous appelons « Peer Review, Green Build » (Examen par les pairs, build vert). Chaque changement, dans notre code ou notre infrastructure, doit être examiné par un ou plusieurs pairs afin d'identifier tout problème potentiel. Nous augmentons le nombre d'évaluations en fonction de la criticité du changement ou du produit. Nous faisons confiance à nos équipes de développement et à nos ingénieurs pour identifier les problèmes de sécurité et de performance, et pour signaler un changement problématique avant qu'il ne se produise. Dans le même ordre d'idées, nous utilisons notre propre outil d'intégration continue, Bamboo, pour déterminer si les changements, une fois mergés dans la branche principale, créeront des tickets grâce à nos tests d'intégration, unitaires, fonctionnels ou de sécurité. Si aucun problème n'est identifié dans les phases de développement et de test, Bamboo indiquera un point vert et signalera le build comme réussi. En cas de problèmes, Bamboo indiquera un point rouge, et le merge sera alors réévalué pour identifier les changements qui en sont la cause. Notre contrôle « Peer Review, Green Build » permet d'identifier les milliers de changements que nous apportons chaque semaine.

Recrutement d'employés

Nous nous efforçons de recruter les meilleurs

Comme toute entreprise, nous souhaitons attirer et embaucher les candidats les meilleurs et les plus brillants. Lors de nos réunions « Global Town Hall » (assemblées virtuelles internationales) hebdomadaires, nous accueillons tous les nouveaux employés et les mettons au défi de « faire le meilleur travail de leur vie » et de « chercher à changer Atlassian, pour le mieux ». Nous voulons que la richesse de leur talent améliore notre entreprise chaque jour et chaque semaine. Lors du recrutement, nous effectuons des vérifications en matière d'emploi, de visa, d'antécédents et de finances. Dès l'acceptation d'une offre, nous nous assurons que chaque nouvel employé dispose d'un plan d'intégration de 90 jours et d'un accès à une formation continue en fonction de son rôle.

Procédure de résiliation client

En cas de rupture d'un contrat entre Atlassian et l'un de ses clients à l'aide de notre formulaire de résiliation de produits Cloud, les données client seront supprimées de notre environnement Cloud conformément au calendrier ci-dessous :

Scénarios selon lesquels un contrat client peut être résilié :

  • Paiements manqués : lorsqu'un client existant manque un paiement pour son abonnement à un produit (mensuel ou annuel).
  • Annulation de l'abonnement : lorsqu'un client existant annule son abonnement.
  • Fin de la période d'évaluation : lorsqu'un client évaluant l'un de nos produits choisit de ne pas passer à un abonnement payant au terme de sa période d'essai.

Paiements manqués

Lorsqu'un client manque un paiement ou que le paiement ne peut être effectué, il est désabonné de tous les produits 15 jours après la date d'échéance du paiement. Ensuite, ses données sont conservées dans une sauvegarde à froid pendant 60 jours. Passé ce délai, elles sont supprimées. Les clients peuvent s'assurer que leurs données ne sont pas supprimées en régularisant les paiements manqués dans les 15 jours. Il est impossible de restaurer les données client passé ce délai, même si le paiement a été effectué.

Annulation de l'abonnement

Si un client résilie son abonnement volontairement, ses données sont supprimées 60 jours après la fin de la période d'abonnement actuelle (pour les sites payants).

Pour Jira, si un client se désabonne d'un produit Jira (par exemple, Jira Software) et en conserve un autre (par exemple, Jira Service Desk), ses données Jira ne sont pas supprimées. Cela inclut les cas impliquant des évaluations : si la période d'évaluation d'un produit Jira se termine, mais que le client est toujours abonné à d'autres produits Jira, ses données Jira sont conservées. Cependant, s'il se désabonne de tous les produits Jira, ses données Jira sont immédiatement supprimées.

De même, si un client supprime Confluence de son abonnement produit Atlassian, ses données Confluence sont immédiatement supprimées, et il perd l'accès à Confluence pour tous ses utilisateurs.

Fin de la période d'évaluation

Lorsque la période d'évaluation d'un client se termine et qu'il choisit de ne pas passer à un abonnement payant, ses données sont supprimées après 15 jours (pour les sites d'évaluation).

Une fois les données client supprimées dans l'un des scénarios ci-dessus, elles ne peuvent plus être récupérées.

Destruction des données

Vos données seront supprimées 15 jours (pour les sites d'évaluation) ou 60 jours (pour les sites avec abonnement payant) après votre désabonnement en raison d'un paiement manqué (lorsque vous êtes abonné à un produit Atlassian) ou d'une annulation de votre abonnement.

Que se passe-t-il si je manque un paiement ou si j'annule un abonnement à un produit individuel ?

Si vous manquez un paiement pour votre abonnement à un produit Atlassian, vous serez désabonné de tous les produits 15 jours après la date d'échéance du paiement. Ensuite, les utilisateurs n'auront plus accès au produit.

L'annulation de votre abonnement à un produit Atlassian empêche le traitement de tout renouvellement supplémentaire du site. Votre site restera accessible jusqu'à 15 jours après la fin de votre période d'abonnement actuelle. Ensuite, il sera désactivé.

Conservation des données

Votre site sera désactivé 15 jours après la fin de votre période d'abonnement actuelle. Atlassian conserve les données des sites désactivés pendant 15 jours (pour les sites d'évaluation) ou 60 jours (pour les sites avec abonnement payant) après la fin de votre période d'abonnement actuelle.

Les évaluations de produits individuelles avec un abonnement Atlassian annuel durent 30 jours. Si nous ne recevons pas votre paiement, vous serez désabonné des produits Jira et Confluence 17 jours après la date d'échéance du paiement. Ensuite, les utilisateurs perdront l'accès à Jira et à Confluence.

Les données Confluence seront supprimées 15 jours après le désabonnement du produit. Si votre évaluation d'un produit Jira (par exemple, Jira Service Desk) se termine, mais que vous avez encore d'autres produits Jira (par exemple, Jira Software) dans votre abonnement annuel, vos données Jira ne seront pas supprimées. Les données Jira seront uniquement supprimées si vous vous désabonnez de tous les produits Jira.

Vos données ne peuvent plus être récupérées après leur suppression. Nous vous recommandons vivement de créer une sauvegarde de votre site Confluence ou Jira, comme indiqué ci-dessous.

Comment dois-je préparer la migration de mes données vers un autre site ?

Processus de sécurité

Nous reconnaissons qu'une marge d'erreur est toujours possible. Nous voulons être proactifs dans la détection des problèmes de sécurité, ce qui nous permet de combler les lacunes identifiées le plus tôt possible afin de minimiser leurs répercussions.

Gestion des incidents de sécurité

Des incidents se produiront, mais la rapidité et l'efficacité de notre réaction permettront de limiter au maximum les répercussions

L'équipe de sécurité Atlassian rassemble les journaux de diverses sources dans l'infrastructure d'hébergement et utilise une plateforme SIEM pour surveiller et signaler toute activité suspecte. Nos processus internes définissent la façon dont ces alertes sont triées, font l'objet d'une enquête plus approfondie et sont transmises de façon appropriée. Nous encourageons nos clients et l'ensemble de la communauté à signaler les incidents de sécurité suspectés par le biais du support Atlassian.

En cas d'incident de sécurité grave, Atlassian a accès à une expertise en interne (et par l'intermédiaire d'experts en la matière) pour enquêter sur les incidents et les suivre jusqu'à leur résolution. La base de données de nos incidents de sécurité est classée par rapport à la base de données du framework VERIS.

Découvrez-en plus sur notre processus de gestion des incidents de sécurité et sur nos responsabilités partagées lors d'un incident de sécurité.

Gestion des vulnérabilités

Nous disposons d'un programme de gestion des vulnérabilités afin de nous assurer que nous recherchons activement les faiblesses potentiellement présentes dans notre environnement.

Outre nos pratiques de gestion des vulnérabilités propres à nos produits (voir plus haut), notre équipe de sécurité effectue des analyses de vulnérabilité réseau continues pour notre infrastructure interne et externe en s'appuyant sur un analyseur de vulnérabilité de pointe. Plus d'informations sur ce processus sont disponibles dans notre FAQ sur la confiance.

Nous faisons également appel à des sociétés de conseil spécialisées dans la sécurité pour effectuer des tests d'intrusion dans nos produits et notre infrastructure à haut risque. Par exemple, une nouvelle infrastructure configurée pour nous (p. ex., notre environnement Cloud), un nouveau produit (p. ex., Stride) ou un changement profond dans l'architecture (p. ex., l'utilisation extensive de microservices).

Des processus internes sont en place pour examiner les vulnérabilités signalées et y donner suite. Le processus inclut des SLA prédéfinis pour corriger les vulnérabilités en fonction du niveau de gravité CVSS. Découvrez-en plus sur notre politique de correction des bugs de sécurité.

Pour en savoir plus sur nos tests de sécurité, consultez notre approche en matière de tests de sécurité externes.

Pour plus d'informations sur notre programme de gestion des vulnérabilités, consultez la page Notre approche de la gestion des vulnérabilités.

Programme Bug Bounty

Notre programme Bug Bounty garantit que nos systèmes sont constamment testés

Au cœur de notre approche de la gestion des bugs de sécurité se trouve notre programme Bug Bounty qui garantit que nos produits sont constamment testés pour détecter les failles de sécurité. Dans un environnement de développement véritablement Agile, où les livraisons sont fréquentes, les tests continus sont indispensables. Nous sommes persuadés que les nombreux chercheurs indépendants en sécurité qui participent à notre programme Bug Bounty constituent le processus de test de sécurité externe et le moyen d'y parvenir les plus efficaces.

Plus de 25 de nos produits ou environnements (qu'il s'agisse de nos produits Server ou Cloud, ou encore de nos apps mobiles) entrent dans le périmètre de notre programme Bug Bounty, auquel plus de 500 testeurs sont inscrits. Tous les détails relatifs au nombre de vulnérabilités signalées, à notre temps de réponse moyen et à la rémunération moyenne sont inclus dans notre programme Bug Bounty.

Pour en savoir plus sur nos tests de sécurité, consultez notre approche en matière de tests de sécurité externes.

Téléchargez les derniers rapports de test

Toute faille de sécurité identifiée dans les rapports ci-dessous est suivie dans notre instance Jira interne à mesure qu'elle est réceptionnée dans le processus Bug Bounty et est clôturée conformément aux délais SLA stipulés dans notre politique de correction des bugs de sécurité.

Conformité

Nous gérons notre programme de sécurité en conformité avec une série de normes reconnues dans le secteur. Nous apprécions l'importance de ces attestations, car elles fournissent à nos clients l'assurance indépendante que nous sommes sur la bonne voie. Découvrez-en plus sur notre programme de gestion de la sécurité.

SOC 2, ISO 27001, PCI DSS et CSA STAR sont les normes pour lesquelles nous sommes actuellement certifiés. Vous trouverez de plus amples informations sur ces programmes sur notre page Conformité.

Standard

Sponsor

État

ISO 27001

Organisation internationale de normalisation

Atlassian a obtenu une accréditation ISO 27001 pour le périmètre des opérations décrites dans notre certificat d'accréditation. En un mot, notre équipe de sécurité est actuellement certifiée pour ses fonctions d'ingénierie de sécurité, de veille de sécurité et de projets de sécurité. Le périmètre de cette accréditation est en voie d'être élargi à l'échelle de l'organisation.

Elle exploite également les contrôles de sécurité complets qui sont détaillés dans l'ISO/IEC 27002. Cette certification repose sur la conception et la mise en œuvre d'un programme strict en matière de management de la sécurité, lequel inclut également un système de management de la sécurité de l'information (SMSI). Cette norme de sécurité internationale largement reconnue et respectée stipule que les entreprises qui obtiennent la certification :

  • évaluent systématiquement leurs risques en matière de sécurité de l'information, tout en tenant compte de l'impact des menaces de sécurité et des vulnérabilités ;
  • conçoivent et mettent en œuvre tout un ensemble de contrôles en matière de sécurité de l'information afin d'éliminer les risques connexes ;
  • mettent en œuvre un processus global de management des audits et de la conformité afin de s'assurer que les contrôles répondent à leurs besoins de façon continue.

Afficher le certificat ISO/IEC 27001 d'Atlassian.

ISO 27018

Organisation internationale de normalisation

Atlassian étend actuellement ses contrôles de sécurité et de confidentialité à l'ensemble de ses activités pour répondre aux exigences de la norme ISO 27018 dans le cadre de son programme de conformité au RGPD.

L'ISO/IEC 27018 est un code de bonnes pratiques qui se concentre sur la protection des données personnelles dans le cloud. Il repose sur la norme ISO/IEC 27002 relative à la sécurité de l'information et fournit des conseils supplémentaires en matière d'implémentation des contrôles de l'ISO/IEC 27002 applicables aux informations personnelles identifiables (PII). Il procure également un ensemble de contrôles supplémentaires et des conseils associés dans le but de répondre aux exigences de protection des PII dans le cloud public non visées par l'ensemble existant de contrôles de l'ISO/IEC 27002.

Afficher le certificat ISO/IEC 27018 d'Atlassian.

PCI-DSS

Secteur des cartes de paiement

En tant que vendeur, Atlassian est conforme à la norme PCI DSS pour la réception d'achats liés à nos produits. Toutefois, les produits Atlassian ne sont pas destinés à traiter ou stocker des données de carte de crédit pour nos clients.

Lorsque vous payez des produits ou des services Atlassian avec votre carte de crédit, vous avez l'assurance que nous accordons toute l'attention nécessaire à la sécurité de cette transaction. Nous sommes certifiés « Level 2 Merchant » et nous collaborons avec un fournisseur certifié de services d'évaluation (QSA) pour évaluer notre conformité à la norme PCI DSS. Nous sommes actuellement en conformité avec la norme PCI DSS 3.2, SAQ A.

Consulter ou télécharger nos attestations de conformité PCI :

CSA CCM/STAR

Cloud Security Alliance

Un questionnaire CSA STAR niveau 1 relatif à Atlassian est disponible au téléchargement sur le site web du registre STAR de CSA (Cloud Security Alliance).

Le registre STAR (Security, Trust & Assurance Registry) de CSA est un registre gratuit et public qui documente les contrôles de sécurité fournis par diverses offres de cloud computing. Il aide ainsi les clients à évaluer la sécurité des fournisseurs de cloud auxquels ils font actuellement (ou songent à faire) appel. Atlassian est inscrit au registre STAR de CSA. Membre moral de CSA, Atlassian a rempli le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) associé. La dernière version de ce questionnaire, qui s'aligne sur la version 3.0.1 de la matrice CCM (Cloud Controls Matrix) de CSA, apporte une réponse à plus de 300 questions susceptibles d'être posées à un fournisseur de cloud par un client ou par un auditeur en matière de sécurité du cloud.

Découvrez les réponses d'Atlassian au questionnaire CAIQ dans le registre STAR de CSA.

SOC 2/SOC 3

Service Organisation Controls

Les rapports SOC (Service Organization Control) d'Atlassian sont certifiés par un tiers. Ils montrent dans quelle mesure Atlassian atteint les contrôles et objectifs clés en matière de conformité. Ils ont pour objectif d'aider vos auditeurs et vous-même à comprendre les contrôles mis en place pour soutenir les équipes responsables des opérations et de la conformité chez Atlassian.

Atlassian a obtenu des certifications SOC 2 pour un grand nombre de ses produits. Téléchargez les certifications SOC 2 et SOC 3 d'Atlassian ici.

Nous effectuons également des audits de sécurité complets par l'intermédiaire de cabinets d'audit renommés, au moins une fois par an.

Les résultats de ces programmes d'audit et de certification, ainsi que les résultats de nos processus internes, comme la gestion des vulnérabilités, sont tous intégrés à un cycle d'amélioration continue qui nous aide à améliorer en permanence l'ensemble du programme de sécurité.

Conformité au RGPD

Nous sommes pleinement engagés dans la réussite de nos clients et dans la protection de leurs données. L'une des façons de tenir cette promesse consiste à aider les clients et utilisateurs d'Atlassian à comprendre le règlement général sur la protection des données (RGPD) et, le cas échéant, à s'y conformer. Le RGPD constitue le changement le plus important apporté à la législation européenne sur la protection des données au cours des 20 dernières années et est entré en vigueur le 25 mai 2018.

Nous comprenons que nos clients sont tenus à des obligations en vertu du RGPD qui influencent directement leur utilisation des produits et services Atlassian, c'est pourquoi nous déployons des efforts importants pour les aider à remplir leurs obligations en vertu du RGPD et de la législation locale.

Voici plusieurs initiatives du RGPD pour nos produits de cloud computing :

  • Nous avons réalisé d'importants investissements dans notre infrastructure de sécurité et nos certifications (consultez la section Sécurité et certifications).
  • Nous prenons en charge des mécanismes appropriés de transfert international des données en maintenant nos certifications Privacy Shield, et en exécutant des clauses contractuelles types par le biais de notre avenant sur le traitement des données mis à jour.
  • Nous offrons des outils de portabilité et de gestion des données, notamment :
  • Nous avons veillé à ce que le personnel Atlassian qui accède à des données personnelles de clients Atlassian et qui les traite ait été formé au traitement de ces données et soit tenu d'assurer leur confidentialité et leur sécurité.
  • Nous soumettons tous les fournisseurs qui traitent des données personnelles aux mêmes pratiques et normes de gestion des données, de sécurité et de confidentialité que nous respectons nous-mêmes.
  • Nous nous engageons à effectuer des études d'impact des données et à consulter les organismes de réglementation de l'UE le cas échéant.

Découvrez-en plus sur notre approche et nos investissements dans le RGPD sur notre page L'engagement d'Atlassian à l'égard du RGPD.

Confidentialité

Nous comprenons les préoccupations de nos clients en matière de confidentialité, et sommes conscients que ces préoccupations sont probablement les mêmes que celles que nous éprouvons nous-mêmes lorsque nous utilisons des apps SaaS. Nous nous efforçons donc de traiter vos données personnelles identifiables et autres données sensibles de la même manière que nous voudrions que nos fournisseurs de services traitent nos données.

Atlassian et ses filiales se conforment au framework de bouclier de protection des données UE-États-Unis (EU-US Privacy Shield Framework) et aux principes associés pour la collecte, l'utilisation et la conservation des informations personnelles transférées depuis l'Union européenne vers les États-Unis.

Notre approche en matière de confidentialité est exposée en détail dans notre politique de confidentialité.

Gestion des demandes des autorités policières

Atlassian publie un rapport de transparence annuel qui détaille les demandes du gouvernement que nous recevons concernant les données de nos utilisateurs, ainsi que les demandes de suppression de contenu ou de suspension de comptes d'utilisateur.

Responsabilité partagée

Dans le cloud, la sécurité de vos données sur nos systèmes est une responsabilité commune. Cette responsabilité partagée est abordée plus en détail dans notre livre blanc récemment publié « The Atlassian Cloud Security Team (You're part of it) » (L'équipe de sécurité Atlassian Cloud : vous en faites partie).

De manière générale, Atlassian s'occupe de la sécurité des apps elles-mêmes, des systèmes sur lesquels elles fonctionnent et des environnements dans lesquels ces systèmes sont hébergés. Nous nous assurons que ces systèmes et environnements sont conformes aux normes pertinentes, y compris les normes PCI DSS et SOC 2, s'il y a lieu.

Vous, nos clients, gérez les informations de vos comptes, les utilisateurs accédant à vos comptes et les informations d'identification associées, et vous contrôlez les apps que vous installez et auxquelles vous faites confiance. Vous devez également vous assurer que votre entreprise respecte ses obligations de conformité en utilisant nos systèmes.

Arbre des responsabilités

En bref, voici quelques points que nous aimerions que nos clients prennent en considération :

Décisions clés

Les décisions que vous prenez sur la façon dont vous configurez nos produits ont une influence significative sur la façon dont la sécurité est mise en œuvre. Les décisions clés incluent :

  • Tous les produits : vérification des domaines et gestion centralisée. Vous pouvez vérifier un ou plusieurs domaines pour prouver que votre organisation ou vous-même en êtes propriétaire. La vérification de domaine permet à votre organisation de gérer de manière centralisée les comptes Atlassian de tous ses employés et d'appliquer des politiques d'authentification (y compris des exigences de mots de passe et SAML). Après avoir vérifié votre domaine, tous les utilisateurs ayant déjà des comptes Atlassian sous ce domaine recevront un e-mail expliquant qu'ils passent à un compte géré. Toute personne s'inscrivant à un nouveau compte Atlassian avec ce domaine verra qu'elle obtient un compte géré.
  • Bitbucket : dépôts publics et privés. Vous indiquez si les dépôts sont publics (c'est-à-dire que n'importe qui sur Internet peut les consulter) ou privés (c'est-à-dire que l'accès à ces dépôts sera limité à ceux qui y sont autorisés).
  • Trello : tableaux et équipes publics et privés. Dans Trello, vous pouvez choisir les paramètres de visibilité des tableaux, y compris la possibilité de rendre des tableaux publics (avec certaines limitations si votre compte Trello est géré). Si un tableau est défini comme public, cela signifie que n'importe qui sur Internet peut le voir, et il peut apparaître dans les résultats des moteurs de recherche comme Google. Découvrez-en plus sur les paramètres de visibilité des tableaux Trello ici. Vous pouvez également choisir de rendre votre équipe publique afin que votre profil d'équipe puisse être consulté par n'importe qui sur Internet. Découvrez-en plus sur les paramètres de visibilité des équipes Trello ici.
  • Tous les produits : octroi de l'accès. Nos produits sont conçus pour permettre la collaboration. La collaboration exige l'accès. Mais vous devez être prudent lorsque vous accordez des autorisations d'accès à vos données à d'autres utilisateurs et à des apps. Une fois ces autorisations accordées, nous ne pourrons plus empêcher ces utilisateurs de réaliser des actions permises par ces autorisations, même si vous ne les approuvez pas.

Accès des utilisateurs

En tant que solution SaaS, nous déléguons à nos clients la responsabilité de la pertinence de l'accès des utilisateurs à leurs données. Dans ce contexte, comprendre la classification des données qui entrent dans le système et s'assurer que les utilisateurs qui ont accès au système sont autorisés à accéder à ces données sont des considérations clés.

Le cas échéant, l'utilisation de l'authentification basée sur les rôles facilitera l'alignement sur les restrictions d'accès qui pourraient devoir être imposées pour se conformer aux exigences de classification et de traitement des données.

Encourager les utilisateurs à adopter de bonnes pratiques de mot de passe atténuera également la concrétisation de menaces telles que la découverte de mots de passe et la réutilisation des informations d'identification divulguées par des personnes malveillantes.

Écosystème

L'écosystème Atlassian se compose d'Atlassian en tant que fournisseur de services, des clients et de leurs utilisateurs respectifs, et du Marketplace. Nos clients disposent d'un contrôle total sur les apps qu'ils choisissent d'installer. La personne qui effectue l'installation (généralement un administrateur d'utilisateurs) peut examiner les autorisations accordées aux apps. Il est important que les administrateurs des clients soient attentifs à ces autorisations. Une fois une autorisation accordée, nous aurons très peu de visibilité sur la façon dont l'app utilise les données client.

Les clients sont tenus de vérifier le développeur de l'app, ainsi que la pertinence et le caractère raisonnable des autorisations demandées par les apps avant de les installer. Une fois l'extension installée, la surveillance de l'activité de l'app et le signalement de toute activité suspecte nous aideront à préserver l'intégrité de l'écosystème.

Vous voulez aller plus loin ?

Cette page fait référence à de nombreux autres documents et ressources. Nous vous encourageons à les consulter en détail si vous souhaitez en savoir plus sur notre approche en matière de sécurité et de confiance.