Politique de sécurité

Dernière mise à jour le 01/06/2024
Amalia's Security infrastructure

Une infrastructure sécurisée, fiable et évolutive

La sécurité et la conformité sont des priorités absolues pour Amalia, car elles sont fondamentales pour votre expérience avec le produit. Amalia s'engage à sécuriser les données de votre application, à éliminer la vulnérabilité des systèmes et à garantir la continuité de l'accès.

Amalia utilise une variété de technologies et de services conformes aux normes de l'industrie pour protéger vos données contre l'accès, la divulgation, l'utilisation et la perte non autorisés. Tous les employés d'Amalia sont soumis à des vérifications d'antécédents avant leur embauche et reçoivent une formation sur les pratiques de sécurité lors de l'intégration dans l'entreprise et sur une base annuelle.

La sécurité est dirigée par le directeur de la technologie d'Amalia et maintenue par l'équipe chargée de la sécurité et des opérations d'Amalia.

Amalia est certifiée SOC2 Type 2 depuis 2022, ce qui équivaut à la norme ISO27001. Cette certification est renouvelée chaque année par un auditeur indépendant. Le rapport SOC2 Type 2 complet est disponible à la demande.

Sécurité de l'infrastructure et du réseau

Contrôle d'accès physique

La finalité définie permet de déterminer la pertinence des données que nous allons collecter. Seules les données adéquates et strictement nécessaires pour atteindre l'objectif seront collectées et traitées. Ainsi, nous collectons uniquement des données permettant de :

- Cartes d'accès électroniques conçues sur mesure

- Alarmes

- Barrières d'accès pour véhicules

- Clôture périmétrique

- Détecteurs de métaux

- Biométrie

Selon le Livre blanc sur la sécurité de Google: « L'étage du centre de données est équipé d'un système de détection d'intrusion par faisceau laser. Les centres de données sont surveillés 24 h/24 et 7 j/7 par des caméras intérieures et extérieures haute résolution capables de détecter et de suivre les intrus. Les journaux d'accès, les enregistrements d'activité et les images des caméras sont examinés en cas d'incident. Les centres de données sont également régulièrement surveillés par des agents de sécurité professionnels qui ont suivi des vérifications d'antécédents et une formation rigoureuses. »

Les employés d'Amalia n'ont pas d'accès physique aux centres de données, aux serveurs, à l'équipement réseau ou au stockage de Google.

Plateforme Google Cloud est régulièrement soumis à divers audits indépendants par des tiers et peut vérifier les contrôles de conformité de ses centres de données, de son infrastructure et de ses opérations. Cela inclut, sans s'y limiter, la certification SOC 2 conforme à la norme SSAE 16 et les certifications ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701.

Contrôle d'accès logique

Amalia est l'administratrice attitrée de son infrastructure sur Google Cloud Platform, et seuls les membres autorisés de l'équipe opérationnelle d'Amalia ont accès à la configuration de l'infrastructure selon les besoins, derrière un réseau privé virtuel.

Enregistrement et surveillance

La journalisation est un élément essentiel de l'infrastructure d'Amalia. La journalisation est largement utilisée pour le dépannage des applications et l'investigation des problèmes. Les journaux sont diffusés en temps réel et gérés par Google Cloud Logging. L'accès au journal est configuré par rôle pour notre équipe opérationnelle.

Amalia utilise diverses stratégies de surveillance. Nous surveillons les performances de nos applications via Google Cloud Monitoring et Sentry. Les alarmes de tous nos serveurs sont déclenchées lorsque le seuil est atteint pour différents indicateurs (utilisation de la mémoire/du processeur, connexions, temps d'arrêt,...). Cela informera notre équipe des opérations. Les temps d'arrêt ne sont pas causés par la panne d'un serveur, car nous diffusons l'application sur plusieurs serveurs à l'aide d'un équilibreur de charge.

Détection et prévention des intrusions

Les modèles de réseau inhabituels ou les comportements suspects figurent parmi les principales préoccupations d'Amalia en matière d'hébergement et de gestion de l'infrastructure. Amalia et Plateformes Google Cloud les systèmes de détection et de prévention des intrusions (IDS/IPS) s'appuient à la fois sur une sécurité basée sur les signatures et une sécurité basée sur des algorithmes pour identifier les modèles de trafic similaires aux méthodes d'attaque connues.

L'IDS/IPS implique un contrôle strict de la taille et de la composition de la surface d'attaque, l'utilisation de contrôles de détection intelligents aux points d'entrée des données, le développement et le déploiement de technologies qui remédient automatiquement aux situations dangereuses, tout en empêchant les menaces connues d'accéder au système en premier lieu.

Amalia ne fournit pas d'accès direct à l'analyse des événements de sécurité, mais donne accès aux équipes d'ingénierie et de support client pendant et après toute interruption imprévue.

Procédure de réponse aux violations de données et aux incidents

En cas de violation de données, l'équipe d'Amalia suivra la procédure suivante :

  1. Identification. Au cours de cette phase, nous aborderons différentes questions : Quand l'événement a-t-il eu lieu ? Comment a-t-il été découvert ? Qui l'a découvert ? D'autres zones ont-elles été touchées ? Quelle est la portée du compromis ? Cela affecte-t-il les opérations ? La source (point d'entrée) de l'événement a-t-elle été découverte ?
  2. Communiquez. Au cours de cette phase, nous communiquerons par e-mail à nos clients concernés la violation identifiée.
  3. Confinement. Au cours de cette phase, nous aborderons différentes questions : qu'est-ce qui a été fait pour contenir la violation à court terme ? Quelles mesures ont été prises pour contenir la violation à long terme ? Un logiciel malveillant découvert a-t-il été mis en quarantaine dans le reste de l'environnement ? Quels types de sauvegardes sont en place ? Tous les identifiants d'accès ont-ils été vérifiés pour en vérifier la légitimité, renforcés et modifiés ?
  4. Éradication. Au cours de cette phase, nous aborderons différentes questions : les artéfacts/programmes malveillants de l'attaquant ont-ils été supprimés de manière sécurisée ? Le système a-t-il été renforcé, corrigé et des mises à jour ont-elles été appliquées ? Le système peut-il être reconfiguré ?
  5. Récupération. Au cours de cette phase, nous aborderons différentes questions : quand les systèmes peuvent-ils être remis en production ? Les systèmes ont-ils été corrigés, renforcés et testés ? Le système peut-il être restauré à partir d'une sauvegarde fiable ? Pendant combien de temps les systèmes concernés seront-ils surveillés et que rechercherons-nous lors de la surveillance ? Quels outils garantiront que des attaques similaires ne se reproduiront pas ?
  6. Leçons apprises. Au cours de cette phase, nous aborderons différentes questions : Quels changements doivent être apportés à la sécurité ? Comment les employés devraient-ils être formés différemment ? Quelle faiblesse a été exploitée par la faille ? Comment pouvons-nous nous assurer qu'une telle violation ne se reproduise pas ?

Test de pénétration

Amalia est soumise à des tests de pénétration en boîte grise effectués chaque année par une agence tierce indépendante. Pour les tests en boîte grise, Amalia fournit à l'agence un clone isolé d'amalia.io, un accès utilisateur au système et un schéma de haut niveau de l'architecture de l'application.

Les informations relatives à toutes les failles de sécurité exploitées avec succès par le biais de tests d'intrusion sont utilisées pour définir les priorités en matière d'atténuation et de correction. Amalia fournira un résumé des résultats des tests d'intrusion sur demande aux clients Enterprise.

Continuité des activités et reprise après sinistre

Haute disponibilité

Chaque partie du service Amalia utilise des serveurs redondants correctement provisionnés (par exemple, plusieurs équilibreurs de charge, serveurs Web, bases de données répliques) en cas de panne. Dans le cadre de la maintenance régulière, les serveurs sont mis hors service sans que cela n'affecte leur disponibilité.

Continuité des activités

Amalia effectue des sauvegardes chiffrées quotidiennes des données dans plusieurs régions sur Google Cloud Platform. Bien que cela n'ait jamais été prévu, en cas de perte de données de production (c'est-à-dire de perte de magasins de données principaux), nous restaurerons les données organisationnelles à partir de ces sauvegardes.

Reprise après sinistre

En cas de panne à l'échelle d'une région, Amalia créera un environnement dupliqué dans une autre région de Google Cloud Platform. L'équipe des opérations d'Amalia possède une vaste expérience dans la réalisation de migrations régionales complètes.

RTO ET RO

Notre objectif de temps de rétablissement (RTO) est de 4 heures.

Notre objectif de point de reprise (RPO) est de 24 heures.

Flux de données

Chiffrement

Chaque bit de données stocké par Amalia est crypté selon les normes les plus strictes (AES-256). Nous utilisons également le cryptage TLS 1.2 avec des clés RSA de 2 048 bits pour toutes les données en transit.

Le dernier rapport SSL Labs d'Amalia est disponible ici (connexion marquée « A+ » par Qualys - SSL Labs).

Locataire multiple

Avec l'architecture multi-locataires, vos ressources et vos responsabilités ne sont pas partagées avec d'autres locataires car vos données au repos restent isolées.

Sécurité de l'application Amalia

Authentification sécurisée et gestion des utilisateurs

Permettre aux employés de se connecter à l'aide des informations d'identification de l'entreprise à partir d'un répertoire unique et central : SAML2, LDAP, OAuth 2, Active Directory et autres sur demande.

Le système d'authentification Amalia repose sur Auth0.com

Contrôles d'audit

Nous savons que l'administration des utilisateurs est essentielle à la sécurité et à la gestion, et que l'audit des journaux des utilisateurs constitue souvent la première étape d'un plan d'intervention d'urgence et des exigences de conformité aux politiques. Tous les clients d'Amalia bénéficient de contrôles administratifs régissant l'identité, l'accès et l'utilisation afin de garantir la sécurité et la gestion centralisée de vos données.

L'adhésion au sein d'Amalia est gérée au niveau de l'organisation. Chaque utilisateur d'Amalia doit avoir son propre compte et peut choisir ses préférences personnelles et ses paramètres de notification. L'accès aux organisations est dicté par le rôle :

  • Administrateur
  • Directeur
  • Membre

Pour toute organisation disposant d'un forfait Amalia, le portail d'administration des projets est la plaque tournante qui permet de consulter et de gérer les utilisateurs et leur utilisation. La liste des membres comprend le nom d'utilisateur, l'adresse e-mail, le statut, la date d'ajout, les équipes et le rôle de chaque utilisateur. L'administrateur ou le propriétaire peut révoquer l'accès par organisation ou par équipe et modifier le rôle de l'utilisateur. De plus, l'administrateur peut demander l'historique des connexions et des mots de passe et révoquer les mots de passe et les sessions actives de tout utilisateur en adressant une demande à Amalia Support.

Développement d'applications sécurisé

Chaque jour, de nouvelles versions sont déployées sur la plateforme Amalia. Nous proposons en permanence des mises à niveau sécurisées. Chaque version intègre le périmètre le plus limité possible afin d'atténuer les risques. Nous mettons en œuvre des déploiements de mises à niveau progressifs afin que chaque nouvelle version de l'application soit testée avant que les visiteurs en ligne ne la découvrent. En cas de problème avec la nouvelle version déployée, le système de vérification automatique l'annulera, empêchant ainsi les visiteurs de la voir.

Sécurité de l'entreprise

Politiques de sécurité

Amalia gère un wiki interne des politiques de sécurité, qui est mis à jour en permanence et revu chaque année pour détecter les lacunes. Un aperçu des politiques de sécurité spécifiques est disponible pour les clients d'Amalia Enterprise sur demande :

  • Sécurité de l'information
  • Gestion des risques
  • Réponse aux incidents de sécurité
  • Gestion des vulnérabilités
  • Gestion et maintenance des politiques
  • Demande de données
  • Gestion du changement
  • Accès au système

Formation en matière de sécurité

Tous les nouveaux employés reçoivent une formation sur l'intégration et les systèmes, y compris la configuration de l'environnement et des autorisations, une formation officielle au développement de logiciels (le cas échéant), un examen des politiques de sécurité, un examen des politiques de l'entreprise et une formation sur les valeurs et l'éthique de l'entreprise.

Tous les ingénieurs examinent les politiques de sécurité dans le cadre de l'intégration et sont encouragés à examiner et à contribuer aux politiques par le biais de la documentation interne. Toute modification de politique affectant le produit est communiquée sous forme de pull request, afin que tous les ingénieurs puissent l'examiner et y contribuer avant la publication interne. Les principales mises à jour sont communiquées par e-mail à tous les employés d'Amalia.

Isotype Amalia

Explorez les bénéfices de la rémunération simplifiée pour votre entreprise.

En savoir plus
Calculez votre RSI
Logo Amalia
Suivez nous
AccueilDemander une démoProduitClientsRessourcesBlogCompanyContactez-nous