Framework de contrôles communs Atlassian
Comme c'est le cas pour de nombreuses entreprises, Atlassian doit se soumettre à un certain nombre de normes de contrôle internationales qui s'appliquent au développement de produits et aux environnements opérationnels. Nous avons décidé d'évaluer le chevauchement entre bon nombre de ces normes indépendantes afin de nous assurer d'avoir une vue synthétique de ces normes applicables à nos environnements internes. Notre plateforme d'hébergement dans le cloud constitue l'environnement principal dans lequel nous suivons ces normes, et nous comprenons que nous devons prouver que nous prenons les mesures appropriées pour protéger nos clients et leurs données. Cependant, toutes les normes ne sont pas applicables à tous les environnements. Par exemple, la loi Sarbanes-Oxley (SOX) se concentre sur les systèmes qui sous-tendent nos rapports financiers, pour lesquels nos services cloud sont, au mieux, secondaires. Examinons les normes que nous évaluons et pourquoi.
Normes internationales applicables
Voici une liste des normes que nous avons intégrées à notre framework interne de contrôles communs :
Standard | Sponsor |
| ISO 27001 | Organisation internationale de normalisation |
| ISO 27002 | Organisation internationale de normalisation |
| ISO 27018 | Organisation internationale de normalisation |
| SOC2 | American Institute of Certified Public Accountants (AICPA) |
| NIST SP 800.53 rév. 4 | National Institute of Standards and Technology (NIST) |
| FedRAMP | Gouvernement fédéral des États-Unis |
| CSA CCM | Cloud Security Alliance |
| HIPAA | Gouvernement fédéral des États-Unis |
| SOX 404 (IT) | Gouvernement fédéral des États-Unis |
| PCI DSS | Conseil des normes de sécurité PCI |
Framework de contrôles communs
Comme vous pouvez le voir dans le tableau ci-dessus, il existe des exigences différentes et disparates, beaucoup étant appliquées aux mêmes environnements, systèmes ou équipes. Afin de mieux comprendre le chevauchement et les similitudes entre beaucoup de ces normes applicables à nos équipes, nous avons évalué chacune des exigences en matière de contrôle et déterminé les chevauchements (les situations dans lesquelles chacune des normes évaluait le même domaine). En conséquence de quoi, nous avons élaboré un framework de contrôles communs facilement mappable à chacune des normes.
Conclusion
Le framework de contrôles communs d'Atlassian a joué un rôle essentiel pour permettre à nos équipes d'adopter la mentalité « évaluer plusieurs fois, exécuter une fois ». Au lieu de demander à plusieurs équipes différentes, à plusieurs reprises, nous avons tiré parti de ce framework efficace pour définir les domaines dans lesquels nous allions mettre en place et appliquer des contrôles, afin que toute l'entreprise puisse comprendre les exigences et la performance collective de chaque composante de notre organisation pour inspirer confiance à tous nos clients.