Vous trouverez ci-dessous une description générale des normes et pratiques de sécurité d’Aura en date des présentes. Aura révise continuellement ses pratiques et les éléments suivants peuvent changer sans préavis, comme Aura le juge raisonnablement nécessaire pour améliorer ses normes et pratiques de sécurité.
Architecture sécurisée
- Toutes les données personnelles des clients des produits ou services d’Aura (« Données client ») ne sont accessibles que par les membres autorisés de l’équipe Aura et uniquement en cas de besoin de savoir.
- Les Données client ne quittent jamais l’environnement de production, sauf si cela est nécessaire pour fournir des produits et services Aura au client ou autrement conformément à la politique de confidentialité d’Aura.
- L’accès au Web, où les utilisateurs finaux accèdent à leurs Données clients, est entièrement séparé du reste de l’architecture technique d’Aura.
- Aucun accès administratif à l’architecture d’Aura n’est disponible directement sur Internet public.
Gestion des politiques et des programmes de sécurité de l’information
Le programme de sécurité Aura est supervisé par la haute direction d’Aura. L’exécution du programme de sécurité est déléguée au chef de la sécurité de l’information (CISO). La direction délègue la mise à jour des politiques propres aux problèmes au CISO. Les politiques spécifiques sont examinées chaque année et comprennent les éléments suivants :
- Politique d’utilisation acceptable
- Politique de gestion des comptes
- Politique de développement d’applications
- Politique sur les logiciels approuvés
- Politique de gestion du changement
- Politique sur l’informatique en nuage
- Politique de gestion de la configuration
- Politique de classification et de traitement des données
- Politique de protection des données
- Politique relative au courrier électronique
- Politique d’intégration et de départ des employés
- Politique de gestion des coupe-feu
- Politique sur les normes de renforcement
- Plan d’intervention en cas d’incident
- Politique de sauvegarde des informations
- Politique de sécurité de l’information
- Politique de gestion des actifs informatiques
- Politique de journalisation et de surveillance
- Politique sur les contrôles du réseau
- Politique de gestion des mots de passe
- Politique de gestion des correctifs
- Document de portée PCI
- Politique d’utilisation des appareils personnels
- Politique de sécurité physique
- Politique sur les politiques de sécurité de l’information
- Politique d’accès à distance
- Politique de gestion des risques
- Politique de sensibilisation à la sécurité
- Politique de gestion des tiers (fournisseurs)
- Politique de gestion des vulnérabilités
Gestion des vulnérabilités
Les mesures suivantes sont prises pour identifier les vulnérabilités des logiciels et des services hébergés par Aura, selon ce qui est jugé nécessaire par Aura.
- Analyses régulières de vulnérabilité internes
- Analyses trimestrielles des vulnérabilités externes
- Balayages statiques continus de tous les codes sources de production Aura
- Balayages de code de bibliothèque tiers de tous les codes sources de production Aura
- Tests de pénétration au moins annuels des produits et services Aura
- Toutes les constatations critiques et élevées sont corrigées dès que raisonnablement possible. Les systèmes sont testés à nouveau jusqu’à ce que les résultats soient résolus.
Gestion des actifs
- Aura identifie tous les actifs (matériel informatique et logiciels) et tient une liste active.
- Les cycles de vie des actifs sont contrôlés et gérés. Le département des TI est responsable de la gestion du cycle de vie et de la destruction sécurisée des actifs physiques mis hors service.
Classification des données
La protection des données commence par une compréhension des types et des emplacements des données au sein d’une organisation. Aura classe toutes les données en trois catégories :
- Données publiques : Tout élément de données qui a été approuvé par le service juridique pour la consommation publique. Il s’agit notamment des pages Web publiques, des communiqués de presse, des offres d’emploi, des rapports financiers publics, etc. Ces renseignements peuvent être librement partagés.
- Usage interne seulement : Toute donnée qui ne fait pas partie de la catégorie Public ou Sensible. Ces renseignements ne quittent en aucun cas le contrôle de l’entreprise. L’accès à ces données est limité par les besoins de l’entreprise.
- Données sensibles : Cela comprend toutes les Données Client et toutes les données personnelles reçues par Aura de ses partenaires commerciaux. Ces données sont stockées dans des endroits sécurisés et chiffrées conformément aux normes de pointe de l’industrie. L’accès est limité par les rôles et les besoins de l’entreprise et surveillé quotidiennement pour une utilisation appropriée.
Traitement des données
- Les données électroniques sensibles sont stockées dans l’environnement de production uniquement et dans des emplacements de stockage autorisés et sécurisés
- Les données sensibles ne quittent pas l’environnement de production à moins d’être requises pour fournir des produits ou des services Aura, ou de toute autre manière énoncée dans la politique de confidentialité d’Aura.
- Tout mouvement des Données Client à l’extérieur de l’environnement de production est en format chiffré.
- La destruction des données électroniques est effectuée à l’aide de méthodes approuvées pour une destruction sécurisée
Chiffrement
Toutes les données sensibles sont transmises chiffrées lorsque vous voyagez au-delà des réseaux Aura.
- TLS ver. 1.3 pour les sites Web et l’échange de données avec les fournisseurs et les associés
- sftp pour les transferts de fichiers lorsqu’ils sont spécifiquement demandés et authentifiés au moyen de clés
Chiffrement du stockage
- Stockage structuré : Chiffrement de la base de données à l’aide d’AES-256
- Stockage non structuré : Chiffrement du système de fichiers à l’aide de l’AES-256
Chiffrement de l’appareil
- Tous les ordinateurs portables sont chiffrés à l’aide de Bitlocker ou de FileVault
Gestion des clés
- La gestion des clés d’Aura utilise les clés gérées par Aura (si possible)
Gestion de compte Aura interne
- L’attribution des privilèges de compte dans l’ensemble de l’organisation est guidée par le « principe du moindre privilège », le « besoin de savoir » et l’utilisation de l’accès basé sur le rôle. Le principe du privilège le moins élevé stipule que chaque utilisateur se verra attribuer les privilèges de compte minimums nécessaires pour faire son travail et plus.
- Tous les rôles sont préapprouvés par le responsable des données d’Aura concerné
- La demande d’accès aux données ad hoc est approuvée individuellement par le propriétaire des données en fonction d’un besoin commercial
- Tout accès aux Données client est examiné par le propriétaire des données et la sécurité de l’information
- Les rôles sont établis au moment de l’embauche par les Relations humaines et sont fournis automatiquement par le système SIRH et le système d’identité du fournisseur (IdP).
- À la cessation d’emploi, tout accès est supprimé avant la fin de la journée, souvent dans l’heure qui suit.
- Les comptes sont toujours retraçables à une personne.
- Les comptes partagés ne sont pas autorisés et, lorsqu’ils ne sont pas évitables, les mots de passe sont définis sur des valeurs non mémorables et stockés dans une base de données de gestion des mots de passe vérifiables.
- Les exigences relatives au mot de passe sont : au moins 12 caractères, contient des chiffres et des lettres, ne peut pas être identique aux 4 mots de passe précédents. Ces règles sont appliquées par une solution de fournisseur d’identité.
- Conformément aux normes modernes de l’industrie, nous n’expirons pas automatiquement les mots de passe en fonction du temps. Ceci est conforme aux recommandations du NIST, SP 800-63B.
Sensibilisation à la sécurité
- Tous les employés suivent une orientation sur la sécurité de l’information et la protection de la vie privée au moment de l’embauche et annuellement
- Tous les employés et sous-traitants reçoivent un site Web interne qui contient les politiques de sécurité de l’organisation.
Détection de logiciels malveillants
- Tous les points d’extrémité sont protégés par un logiciel standard de prévention et de détection des logiciels malveillants. Les signatures du logiciel sont mises à jour au moins une fois par jour. La configuration empêche l’utilisateur de désactiver le logiciel.
- De plus, la détection des logiciels malveillants est effectuée par la passerelle Internet sortante et la passerelle de courriel.
Sécurité physique
- Aura utilise un très petit nombre d’espaces de collaboration, où les employés peuvent se rencontrer et interagir avec les autres. Il n’y a pas de centres de données sur place et aucune donnée n’est stockée dans ces zones collaboratives.
- Il n’y a pas de réseaux de confiance dans ces domaines de collaboration. Tous les accès réseau aux données de l’entreprise doivent être authentifiés et autorisés par une passerelle SASE.
- Les zones sécurisées sont protégées par des contrôles d’entrée appropriés pour s’assurer que seul le personnel autorisé y avoir accès. Les visiteurs sont autorisés avec pré-enregistrement.
- Nos systèmes infonuagiques sont hébergés dans des centres de données AWS qui sont protégés par des contrôles appropriés et vérifiés régulièrement. Nous passons en revue les résultats de ces vérifications lorsque nous menons nos vérifications internes.
Sécurité des applications
- Aura utilise une méthodologie de développement Agile et les déploiements sont gérés dans un modèle de livraison continue.
- Aura maintient un cycle de vie de développement de logiciels (SDLC) en tenant compte des principes de sécurité en matière de développement de logiciels et en offrant une formation sur ceux-ci.
- Tous les produits et services de production sont testés par rapport aux 10 principales vulnérabilités de l’OWASP
- Le développement et les essais sont effectués dans un environnement distinct à l’aide d’un ensemble de données d’essai. Aucune donnée de production n’est jamais utilisée dans le développement ou les essais.
- L’analyse du code statique est effectuée dans le cadre du pipeline de développement.
- L’analyse dynamique du code est effectuée chaque semaine.
Gestion du changement
- L’entreprise utilise une méthodologie agile pour l’ingénierie et un modèle de livraison continue des changements à la production.
- Tous les changements suivent un processus de gestion des changements défini.
- Tous les changements sont approuvés avant leur libération, avec une séparation claire des tâches.
Contrôles du réseau
- Le réseau Aura est conçu avec une philosophie de défense en profondeur. Les produits utilisent une architecture sans serveur et divers composants n’ont pas de connectivité directe à des niveaux inférieurs de la pile réseau.
- Les segments de réseau sont séparés par des pare-feu de réseau ou des pare-feu d’application.
- La périphérie est protégée par des pare-feu d’applications Web. Il n’y a pas d’options de connectivité directe à une couche réseau à nos limites de périphérie.
- Les systèmes de prévention des pertes de données sont utilisés sur les points d’extrémité et les couches réseau
- Les modifications apportées aux règles de pare-feu (souvent sous forme de groupes de sécurité ou de pare-feu d’applications Web) sont consignées et examinées.
- Toutes les connexions des terminaux à Internet passent par une passerelle Web qui fournit des listes de blocage, la prévention de la perte de données et des services d’hygiène de sécurité.
- L’accès sans fil est fourni dans les zones de collaboration, mais n’est pas considéré comme un réseau de confiance et n’a pas de connectivité à l’environnement de production.
Accès à distance
- La plupart des applications de l’entreprise sont livrées par le biais du modèle SaaS et les membres de l’équipe y accèdent sans passer par un centre de données d’entreprise ou un concentrateur physique de réseau central.
- Tous les accès à l’environnement interne passent par une passerelle SASE, qui nécessite une authentification multifacteur et qui est enregistrée et surveillée.
Surveillance de la sécurité
- La sécurité de l’information est responsable de la surveillance de tous les événements de sécurité
- Tous les journaux sont centralisés et gérés exclusivement par le service de sécurité de l’information, avec une surveillance et une réponse appropriées qui se produisent sur une base continue
Traitement des incidents de sécurité
- Les incidents de sécurité sont gérés par les équipes de sécurité de l’information et d’ingénierie, le cas échéant.
- Les incidents sont classés selon le plan d’intervention en cas d’incident
- Le plan d’intervention en cas d’incident est défini et révisé annuellement. Le plan comprend des considérations pour la notification, la réponse et l’utilisation de ressources tierces.
- Les exercices de table sont effectués au moins une fois par an.
Conformité
Aura Suite est certifiée conforme aux normes de sécurité suivantes :
- PCI DSS
- SSAE 18 SOC2 Type II