Politique de sécurité
Dernière mise à jour: 4 octobre 2018
Sécurité d'Elium
Single Sign-On et authentification à 2 facteurs
Le standard SAML Single Sign-On (SSO) vous permet d’identifier les utilisateurs sur vos propres systèmes sans qu’ils ne doivent introduire leur nom d’utilisateur ou leur mot de passe sur Elium. Néanmoins, si vous utilisez l’identification basé sur un mot de passe, vous pouvez renforcer la sécurité d'Elium en activant l’authentification à 2 facteurs. Plus de détails sur notre documentation.
Permissions
Elium fournit plusieurs niveaux de permissions et des droits d’accès dans la plateforme afin de s’adapter à vos besoins.
Mot de passe
Elium fournit 3 niveaux de complexité de mot de passe et ceux-ci sont enregistrés à l’aide de fonctions de hashing et salting (bcrypt).
Disponibilité et monitoring
Nous avons un taux de disponibilité historique de 99,9 % ou plus. Nous surveillons notre temps de disponibilité ainsi que l’utilisation des ressources de nos services à l'aide d'outils externes (Datadog, Pingdom).
Réseau, Stockage et sécurité de l'infrastructure
Hébergement et stockage des données
Les services et les données d'Elium sont hébergés dans les installations de Google Cloud Platform (GCP) (eu-west1-b) en Belgique (Europe) à l'aide de la solution de stockage distribué à haute disponibilité Google Cloud Storage.
Failover et plan de secours
L'infrastructure d'Elium a été construit dans l'optique d'une reprise après un sinistre. Toute notre infrastructure et nos données sont réparties sur plusieurs zones de disponibilité de Google Cloud Platform en Belgique. L'approvisionnement de nos services est scénarisé et peut être restauré en moins d'une heure dans n'importe quel autre centre de données Google Cloud Platform en cas de problème majeur sur le centre de données principal.
Cloud privé virtuel
Tous nos services se trouvent dans notre propre Cloud privé virtuel (Kubernetes) géré avec des listes de contrôle d'accès au réseau (ACL) qui empêchent les demandes non autorisées d'accéder à notre réseau interne.
Logging et Tracing
Au niveau de l'application, nous produisons des journaux d'audit pour toutes les activités, nous envoyons les journaux à un service externe centralisé pour analyse et nous utilisons Amazon S3 à des fins d'archivage. Toutes les actions effectuées sur les consoles de production ou dans l'application Elium sont consignées.
Permissions et authentification
L'accès aux données des clients est limité aux employés autorisés qui ont besoin d’y accéder dans le cadre de leur travail. Elium est servi à 100% sur https. Nous avons mis en place un système de connexion unique SAML (SSO), une authentification à deux facteurs (2FA) et des règles de mots de passe forts sur GitHub, Google et d'autres services pour garantir la protection de l'accès aux services Cloud.
Chiffrement
Toutes les données envoyées vers ou depuis Elium sont chiffrées en transit à l'aide d'un cryptage de 256 bits. Nos API et nos applications sont uniquement accessibles via le protocole TLS et obtiennent la note "A+" aux tests du Qualys SSL Labs. Cela signifie que nous n'utilisons que des suites de chiffrement fort et que des fonctionnalités telles que HSTS et Perfect Forward Secrecy sont pleinement activées. Nous chiffrons également les données au repos à l'aide d'un algorithme de chiffrement AES-256 conforme aux normes standards.
Tests de pénétration et vulnérabilités
Elium utilise des outils de sécurité tiers (Qualys, OpenVAS) pour rechercher en permanence les vulnérabilités pouvant affecter nos services. Notre équipe de sécurité spécialisée répond aux questions soulevées.
Mise à jour et patches de sécurité
Nous mettons régulièrement à jour les systèmes et les services qui exploitent Elium et appliquons des correctifs de sécurité lorsque cela est nécessaire. Nous gérons toutes les modifications grâce à un système de gestion des changements qui nous permet de les annuler rapidement en cas de problèmes non résolus.
Réponse aux incidents
Nous mettons en œuvre un protocole pour la gestion des événements de sécurité qui comprend des procédures d'escalade, d'atténuation et d’analyse.
Points de sécurité additionnels
Formations
Tous les employés suivent régulièrement une formation sur la sensibilisation à la sécurité.
Politiques
Elium a mis au point un ensemble complet de politiques de sécurité couvrant toute une série de sujets. Ces politiques sont fréquemment mises à jour et partagées avec tous les employés.
Contrôle des employés
Elium procède à la vérification des antécédents de tous les nouveaux employés conformément aux lois locales.
Confidentialité
Tous les contrats des employés comprennent un accord de confidentialité.
Vous avez des questions ?
Si vous pensez avoir trouvé une faille de sécurité, veuillez contacter notre équipe de sécurité à l'adresse privacy@elium.com
Pour en savoir plus sur Elium, lisez nos conditions d'utilisation et notre politique de confidentialité.