ACSC - Sécurité du cloud computing pour les fournisseurs de services cloud : examen des lignes directrices 2023

1 - Généralités

Évaluer le service cloud et l'infrastructure sous-jacente (en abordant explicitement les mesures d'atténuation figurant dans cette publication) par rapport au système de management de la sécurité de l'information [1] au niveau de classification approprié pour gérer les données du locataire.

Atlassian a mis en place des mécanismes solides pour garantir le respect des principes-cadres en matière de confidentialité des données, des recours pour les personnes concernées par le non-respect de ces principes et des conséquences en cas de non-respect de ces principes. Pour ce faire, nous procédons à des auto-évaluations périodiques et ad hoc, ainsi qu'à des audits externes et à des examens de conformité de temps à autre, selon les besoins. En particulier, nous travaillons chaque année avec TrustArc, un fournisseur tiers qui certifie que nos pratiques en matière de confidentialité sont conformes aux principes-cadres de confidentialité des données. Ils soutiennent notre autocertification et fournissent également des services indépendants de médiation des litiges pour les plaintes des clients liées à la confidentialité. Nous suivons et contrôlons également la conformité avec les tickets Jira, qui peuvent être utilisés comme piste d'audit, ainsi que nos auto-évaluations, nos audits externes/examens de conformité et tous les plans de remédiation que nous pourrions avoir de temps à autre. Nous surveillons les pratiques de traitement des données et gérons un programme d'atteintes à la confidentialité des données pour suivre les incidents/violations de confidentialité des données.

2 - Généralités

Mettre en œuvre la gouvernance de la sécurité en impliquant la direction et la coordination des activités liées à la sécurité, y compris une gestion des changements rigoureuse, et la mise en place de personnel techniquement qualifié dans des rôles de sécurité définis.

Le CISO d'Atlassian, Bala Sathiamurthy, est basé dans nos bureaux de San Francisco. Notre équipe de sécurité compte plus de 230 membres répartis entre la sécurité des produits, l'intelligence sécuritaire, l'architecture de sécurité, la confiance, le risque et la conformité, ainsi qu'une équipe de développement et de SRE dans nos bureaux de Sydney, Amsterdam, Austin, Bengarulu, Mountain View, San Francisco et New York, ainsi qu'un certain nombre de membres de l'équipe travaillant à distance.

3 - Généralités

Mettre en œuvre et tester chaque année un plan de réponse aux incidents de cybersécurité fournissant au locataire les coordonnées d'urgence, la possibilité d'accéder à des preuves forensiques qui lui sont normalement inaccessibles et de signaler les incidents.

Nous disposons d'une politique et d'un plan de réponse aux incidents de sécurité documentés, dont les principes clés sont les suivants :

• Anticiper les incidents de sécurité et préparer la réponse aux incidents
• Maîtriser les incidents, les éradiquer et redevenir opérationnel
• Investir dans notre personnel, nos processus et nos technologies pour nous assurer d'être en mesure de détecter et d'analyser un incident de sécurité lorsqu'il se produit
• Faire de la protection des données personnelles et des données client la priorité absolue durant les incidents de sécurité
• Exécuter régulièrement le processus de réponse aux incidents de sécurité
• Tirer des leçons et améliorer la fonction de gestion des incidents de sécurité
• Communiquer les incidents de sécurité critiques à l'Atlassian Leadership Group

4 - Généralités

Prendre en charge et utiliser les contrôles cryptographiques approuvés par l'ASD pour protéger les données en transit entre le locataire et le CSP, par exemple la couche d'application TLS ou le VPN IPsec avec des algorithmes, une longueur de clé et une gestion de clé approuvés.

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur.

Pour le chiffrement au repos, nous chiffrons spécifiquement les données client stockées sur un disque comme les données des tickets Jira (détails, commentaires, pièces jointes) ou les données de page Confluence (contenu des pages, commentaires, pièces jointes). Le chiffrement des données au repos aide à prévenir tout accès non autorisé et garantit que les données ne sont accessibles que par des rôles et des services autorisés avec accès contrôlé aux clés de chiffrement.

Atlassian utilise le service AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est affecté à chaque clé et est responsable de s'assurer qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

5 - Généralités

Utiliser des contrôles cryptographiques approuvés par l'ASD pour protéger les données en transit entre les data centers du CSP via des canaux de communication non sécurisés tels que l'infrastructure Internet publique.

Atlassian applique des politiques de chiffrement et de cryptographie, ainsi que des règles de mise en œuvre. Ces politiques sont revues et mises à jour chaque année conformément à notre Policy Management Program. Pour plus d'informations, voir : Notre Atlassian Trust Management System (ATMS)

6 - Généralités

Soutenir et utiliser les contrôles cryptographiques approuvés par l'ASD pour protéger les données stockées sur les supports de stockage lors du transfert par la poste ou par coursier entre le locataire et le CSP lors du transfert de données dans le cadre de l'intégration ou de la sortie.

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur.

Pour le chiffrement au repos, nous chiffrons spécifiquement les données client stockées sur un disque comme les données des tickets Jira (détails, commentaires, pièces jointes) ou les données de page Confluence (contenu des pages, commentaires, pièces jointes). Le chiffrement des données au repos aide à prévenir tout accès non autorisé et garantit que les données ne sont accessibles que par des rôles et des services autorisés avec accès contrôlé aux clés de chiffrement.

Atlassian utilise le service AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est affecté à chaque clé et est responsable de s'assurer qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

7 - Généralités

Fournir une gestion des identités et des accès, par exemple une authentification multifactorielle et des rôles de compte avec différents privilèges [6] pour que le locataire puisse utiliser et administrer le service cloud via le panneau de configuration du site Web et l'API du CSP.

Oui. En ce qui concerne Confluence et Jira, l'authentification multifactorielle est disponible pour les comptes individuels. Pour plus d'informations sur la manière d'activer l'authentification multifactorielle, voir : Appliquer la validation en deux étapes

La BBC prend toujours en charge l'authentification à deux facteurs depuis février 2022 et, en général, est intégrée à Atlassian Access et prend en charge les fonctionnalités supplémentaires proposées par Access. L'authentification multifactorielle forcée peut être configurée au niveau de l'organisation avec Atlassian Access. Pour plus d'informations, voir : Appliquer la validation en deux étapes

Concernant les produits spécifiques, Bitbucket prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle. Pour plus d'informations, voir : Appliquer la validation en deux étapes | Bitbucket Cloud

Halp utilise le SSO via Slack OAuth et MS Teams. Slack et MS Teams proposent de nombreuses options d'authentification multifactorielle. Pour plus d'informations, consultez : Authentification unique SAML & Azure AD Connect : authentification unique fluide
prise en charge par Opsgenie à l'aide d'options SSO basées sur l'authentification multifactorielle. Pour plus d'informations, voir : Configurer le SSO pour Opsgenie
Statuspage prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle.
Trello prend en charge l'authentification multifactorielle. Pour plus d'informations sur la manière d'activer l'authentification multifactorielle, voir : Activation de l'authentification à deux facteurs pour votre compte Trello, Jira Align prend en charge les options SSO basées sur l'authentification multifactorielle.

8 - Généralités

Soutenir et utiliser les contrôles cryptographiques approuvés par l'ASD pour protéger les identifiants et les activités administratives en transit lorsque le locataire utilise et administre le service cloud via le panneau de configuration du site Web et l'API du CSP.

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur.

Pour le chiffrement au repos, nous chiffrons spécifiquement les données client stockées sur un disque comme les données des tickets Jira (détails, commentaires, pièces jointes) ou les données de page Confluence (contenu des pages, commentaires, pièces jointes). Le chiffrement des données au repos aide à prévenir tout accès non autorisé et garantit que les données ne sont accessibles que par des rôles et des services autorisés avec accès contrôlé aux clés de chiffrement.

Atlassian utilise le service AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est affecté à chaque clé et est responsable de s'assurer qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

9 - Généralités

Permettre au locataire de télécharger des journaux détaillés synchronisés dans le temps et de recevoir des alertes en temps réel générées pour les comptes de service cloud du locataire utilisés pour accéder au service cloud et surtout pour l'administrer.

Les journaux système clés sont transférés à partir de chaque système vers une plateforme de journaux centralisée où ils sont disponibles en lecture seule. L'équipe Atlassian chargée de la sécurité crée des alertes sur notre plateforme d'analyse de sécurité (Splunk) et surveille les indicateurs de compromission. Nos équipes SRE utilisent cette plateforme pour surveiller les problèmes de disponibilité ou de performance. Les journaux sont conservés pendant 30 jours en sauvegarde à chaud et pendant 365 jours en sauvegarde à froid.

Journaux clés détaillés : suivez les activités de l'organisation à partir du journal d'audit

10 - Généralités

Permettre au locataire de télécharger des journaux détaillés synchronisés dans le temps et de recevoir des alertes en temps réel générées par le service cloud utilisé par le locataire, par exemple les journaux du système d'exploitation, du serveur Web et des applications.

Nous utilisons Casper (https://www.jamf.com) et OSQuery (https://osquery.io/) pour gérer les informations enregistrées et la durée de conservation des journaux. Les journaux sont stockés dans un système logiquement distinct, et l'accès en écriture aux journaux est limité aux membres de l'équipe de sécurité. Des alertes sont envoyées à l'équipe de sécurité ou au centre de services lorsque des actions ou des événements spécifiques sont identifiés dans les journaux. Notre service de journalisation centralisé (Splunk) est intégré à notre infrastructure d'analyse de sécurité pour des analyses automatisées, et des alertes sont créées pour identifier les problèmes potentiels.

Nos scanners de vulnérabilité internes et externes incluent des alertes en cas d'ouverture inattendue de ports ou d'autres changements de configuration (par exemple, les profils TLS des serveurs d'écoute). Des alertes sont envoyées à l'équipe de sécurité ou au centre de services lorsque des actions ou des événements spécifiques sont identifiés dans les journaux.

11 - Généralités

Divulguer les pays et juridictions où les données des locataires sont (ou seront dans les mois à venir) stockées, sauvegardées, traitées et consultées par le personnel du CSP à des fins de dépannage, d'administration à distance et d'assistance client.

Atlassian utilise Amazon Web Services (AWS) dans les régions USA Est, USA Ouest, en Irlande, à Francfort, à Singapour et à Sydney (Confluence et Jira). Pour plus d'informations, voir : Infrastructure d'hébergement cloud

En ce qui concerne les produits spécifiques, Trello est disponible sur AWS USA Est (Ohio). Jira Align : la localisation physique des données clients peut être demandée via une demande de ticket d'assistance. Voir : Assistance Jira Align

Statuspage est disponible dans les régions AWS USA Ouest (Oregon, Californie) et USA Est (Ohio). Opsgenie dispose de comptes AWS aux États-Unis et en Europe. Les clients doivent s'abonner à AWS pour les États-Unis (Oregon, Californie) ou pour l'Europe (Francfort) lors de leur inscription.

Halp est hébergé chez AWS dans les régions USA-Est-2 et USA-Ouest 2. Les dépôts et les principales fonctionnalités de Bitbucket sont hébergés sur AWS dans les régions de l'Est et de l'Ouest des États-Unis.

12 - Généralités

Vérifier les antécédents du personnel du CSP en fonction de son niveau d'accès aux systèmes et aux données. Maintenir les autorisations de sécurité pour le personnel ayant accès à des données hautement sensibles [7].

Oui. Les antécédents des nouveaux employés d'Atlassian du monde entier doivent être vérifiés. Les employés embauchés à la suite d'une acquisition sont soumis à une vérification de leurs antécédents après la date d'acquisition. Les nouvelles recrues et les sous-traitants indépendants font l'objet d'un contrôle du casier judiciaire. Une vérification des diplômes, et une vérification des références professionnelles ou de la solvabilité sont ajoutées si le poste ou le niveau du poste l'exige. Nous procédons à des vérifications complètes des antécédents pour les postes de cadre supérieur et les postes liés à la comptabilité.

13 - Généralités

Utiliser des Data Centers et des bureaux physiquement sécurisés qui stockent les données des locataires ou qui peuvent accéder aux données des locataires [8]. Vérifier et enregistrer l'identité de tous les membres du personnel et des visiteurs. Accompagner les visiteurs afin d'éviter qu'ils n'accèdent à des données sans autorisation.

Nos bureaux Atlassian sont guidés par notre politique interne de sécurité physique et environnementale, y compris la surveillance des points d'entrée et de sortie physiques. Les data centers de nos partenaires disposent de nombreuses certifications de conformité. Ces certifications portent sur la sécurité physique, la disponibilité des systèmes, l'accès au réseau et à la dorsale IP, le provisionnement des clients et la gestion des problèmes. L'accès aux data centers est limité au personnel autorisé et vérifié par des mesures biométriques de contrôle de l'identité. Les mesures de sécurité physique comprennent des gardes de sécurité sur site, une surveillance vidéo en circuit fermé, des pièges humains et des mesures supplémentaires de protection contre les intrusions. AWS possède de nombreuses certifications pour la protection de ses data centers. Les informations relatives à l'assurance de protection physique d'AWS se trouvent à l'adresse suivante : https://aws.amazon.com/fr/compliance/

14 - Généralités

Restreindre l'accès privilégié du personnel du CSP aux systèmes et aux données en fonction de ses tâches [9]. Exiger une nouvelle approbation tous les trois mois pour le personnel du CSP qui a besoin d'un accès privilégié. Révoquer l'accès en cas de licenciement du personnel du CSP.

Atlassian impose des restrictions au personnel qui a besoin de cet accès dans le cadre de son travail, de son rôle et de ses responsabilités. Tous les systèmes de niveau 1 sont gérés via une solution d'authentification unique (SSO) et d'annuaire centralisée Atlassian. Les utilisateurs disposent de droits d'accès appropriés en fonction de ces profils, conformément au workflow de notre système de gestion des ressources humaines. Atlassian utilise l'authentification multifacteur pour accéder à tous les systèmes de niveau 1. Nous avons activé l'authentification à deux facteurs pour la console de gestion de l'hyperviseur et l'API AWS, ainsi qu'un rapport d'audit quotidien sur tous les accès aux fonctions de gestion de l'hyperviseur. Les listes d'accès à la console de gestion de l'hyperviseur et à l'API AWS sont revues tous les trimestres. Nous assurons également une synchronisation de 8 heures entre notre système RH et notre magasin d'identités.

15 - Généralités

Analyser rapidement les journaux des actions du personnel du CSP qui sont enregistrés sur un serveur de journaux sécurisé et isolé. Mettre en œuvre la séparation des tâches en exigeant que l'analyse des journaux soit effectuée par du personnel du CSP qui n'a pas d'autres privilèges ou rôles professionnels.

Des contrôles de séparation des tâches sont en place pour les principaux produits Atlassian et incluent notamment les éléments suivants :

• Révision des contrôles d'accès
• Groupes de sécurité gérés par les applications RH
• Approbation des changements/revue par des pairs/implémentation (PRGB)
• Contrôles de workflow

16 - Généralités

Procéder à un contrôle préalable des fournisseurs avant de se procurer des logiciels, du matériel ou des services, afin d'évaluer l'augmentation potentielle du profil de risque de sécurité du CSP.

Les nouveaux fournisseurs d'Atlassian sont tenus d'accepter notre avenant et nos politiques de confidentialité et de sécurité de nos contrats. Le service juridique et le service des achats d'Atlassian examinent les contrats, les SLA et les politiques internes des fournisseurs afin de déterminer s'ils répondent aux exigences de sécurité, de disponibilité et de confidentialité. Atlassian maintient cette page publique : Liste des sous-traitants de données

17 - Généralités

Utiliser des contrôles cryptographiques approuvés par l'ASD pour protéger les données hautement sensibles au repos. Assainir les supports de stockage avant la réparation, la mise au rebut et l'intégration des locataires, avec un accord de non-divulgation pour les données contenues dans les sauvegardes résiduelles.

Ce processus est géré par Workplace Technology : les équipements sont nettoyés et démagnétisés de manière appropriée. Atlassian n'est pas responsable de la gestion des supports physiques utilisés avec nos produits et services cloud.

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur.

18 - Généralités

Mettre en place des mécanismes de multilocation pour empêcher l'accès aux données du locataire par d'autres locataires. Isoler le trafic réseau, le stockage, la mémoire et le traitement informatique. Assainir les supports de stockage avant de les réutiliser.

Atlassian est une application SaaS multilocataire. La multilocation est une fonctionnalité clé d'Atlassian Cloud qui permet à plusieurs clients de partager une instance de la couche applicative Jira ou Confluence, tout en isolant les données d'application du locataire de chaque client. Atlassian Cloud y parvient grâce au service de contexte de locataire (Tenant Context Service ou TCS). Chaque ID utilisateur est associé à un seul locataire, qui permet ensuite d'accéder aux applications Atlassian Cloud. Pour en savoir plus, consultez la page : Pratiques de sécurité
Nous maintenons également un cloisonnement logique et physique entre les environnements de production et hors production (développement). Des méthodes sont également employées pour les isoler.
Notre environnement de staging est séparé logiquement, mais pas physiquement. Il est géré par des processus de contrôle des changements et d'accès de niveau production.

19 - Généralités

Autorisez le locataire à effectuer des sauvegardes à jour dans un format qui évite le verrouillage du CSP. Si un compte ou un service cloud est résilié, prévenez immédiatement le locataire et donnez-lui au moins un mois pour télécharger ses données.

Atlassian applique une norme de conservation et de destruction des données, qui indique la durée pendant laquelle nous devons conserver des données de différents types. Les données sont classées conformément à la politique relative à la sécurité des données et à la gestion du cycle de vie de l'information Atlassian, et des contrôles sont implémentés sur cette base. Pour les données client, à la fin d'un contrat Atlassian, les données appartenant à une équipe client seront supprimées de la base de données de production en direct, et toutes les pièces jointes importées directement sur Atlassian seront supprimées dans les 14 jours. Les données de l'équipe seront conservées dans des sauvegardes chiffrées jusqu'à ce que ces sauvegardes soient supprimées après la période de conservation des données de 60 jours et soient détruites conformément à la politique de conservation des données Atlassian. Si une restauration de la base de données est nécessaire dans les 60 jours suivant la demande de suppression des données, l'équipe des opérations supprimera à nouveau les données dès que possible après la restauration complète du système de production en direct. Pour en savoir plus, consultez la page : Suivre le stockage et déplacer des données entre des produits

20 - Généralités

Les clients Atlassian sont toujours tenus de s'assurer que leur utilisation de notre service respecte les lois et réglementations applicables. Pour en savoir plus sur nos accords et politiques juridiques spécifiques, consultez notre page dédiée aux ressources juridiques : https://www.atlassian.com/legal

21 - Généralités

Prenez en charge une bande passante élevée, une faible latence et une connectivité réseau fiable entre le locataire et le service cloud pour satisfaire le niveau de disponibilité déclaré requis par le locataire.

Nous surveillons les performances et la disponibilité de toutes les instances Cloud, mais nous ne proposons pas de SLA de disponibilité des applications officiel pour le moment. Notre équipe de support fournit un SLA sur le temps de réponse initial, et bien que nous n'ayons pas de SLA officiel de résolution du support, notre objectif interne est de résoudre tous les cas assignés dans les 48 heures. Atlassian affiche les statistiques sur l'état actuel de notre système Cloud sur la page : https://status.atlassian.com.

Si vous décidez d'utiliser nos offres Premium ou Enterprise, alors oui, nous offrons des garanties SLA.

22 - Généralités

Concevez votre architecture pour satisfaire le niveau de disponibilité déclaré requis par le locataire, par ex. des points de défaillance uniques minimaux, une mise en cluster et un équilibrage de charge, une réplication des données, un basculement automatisé et une surveillance de la disponibilité en temps réel.

Concernant nos services Atlassian Cloud, les plans de continuité de l'activité et de reprise d'activité sont testés au moins une fois par trimestre. La disponibilité de plusieurs régions est surveillée en temps réel. Des tests automatisés de basculement de région sont effectués chaque semaine sur l'environnement de pré-production. Des tests automatisés de restauration des données de configuration sont effectués quotidiennement sur l'environnement de production.

Tous les services Atlassian effectuent des tests de résilience de la zone de disponibilité sur l'environnement de pré-production tous les trimestres. Pour en savoir plus sur notre programme de continuité de l'activité, consultez la page : https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Nos plans de reprise d'activité sont testés et validés par nos auditeurs externes dans le cadre de notre programme de conformité. Pour en savoir plus, consultez la page : https://www.atlassian.com/trust/compliance/resources.

23 - Généralités

Élaborez et testez chaque année un plan de reprise d'activité et de continuité de l'activité pour satisfaire le niveau de disponibilité déclaré requis par le locataire, par ex. pour les incidents qui entraînent une perte durable de personnel ou d'infrastructure pour le CSP.

Une politique et un plan de continuité de l'activité et de reprise d'activité sont en place et sont examinés chaque année par le comité directeur qui en est chargé. Tous les propriétaires de systèmes, de processus ou de services stratégiques assurent la continuité de l'activité et/ou la reprise d'activité en fonction de la tolérance aux perturbations en cas de sinistre. Les plans de continuité de l'activité et de reprise d'activité sont testés chaque trimestre et les problèmes identifiés sont résolus. Pour en savoir plus, consultez les pratiques de sécurité et l'approche d'Atlassian en matière de résilience.

24 - Généralités

Implémentez des mesures d'atténuation du déni de service pour satisfaire le niveau de disponibilité déclaré requis par le locataire, par ex. une connectivité réseau externe et interne à bande passante élevée redondante avec régulation et filtrage du trafic.

Atlassian Security Engineering utilise les technologies IPS implémentées dans nos environnements de bureau. La protection contre les menaces réseau est assurée par AWS, y compris la protection contre les attaques DDoS et certaines fonctionnalités de pare-feu pour apps web.

À propos de produits spécifiques, Jira Align utilise Cloudflare pour le WAF, les attaques DDoS et les DNS-SEC. Nous utilisons les systèmes de détection des intrusions Alert Logic, l'analyse de journaux et CloudTrail. Nous avons recours à Nexpose pour scanner les composants réseau partagés avec la stack Atlassian Cloud. Nous utilisons l'analyse de journaux Splunk personnalisée.

25 - Généralités

Fournissez une capacité d'infrastructure et une évolutivité automatisée et réactive pour satisfaire le niveau de disponibilité déclaré requis par le locataire.

Atlassian planifie ses capacités 6 à 12 mois à l'avance, avec une planification stratégique globale sur 36 mois.

SLA/SLO : les systèmes Atlassian s'accordent sur des objectifs concernant leurs caractéristiques opérationnelles :
(1) Tous les systèmes disposent d'un ensemble de SLO liés à leurs capacités de base.
(2) Ces SLO sont régulièrement revus tous les trimestres (ou plus fréquemment).
(3) Certains clients Atlassian bénéficient de SLA pour les services fournis par Atlassian. Ces SLA doivent être soutenus par des SLO internes.
(4) Une équipe qui n'atteint pas un ou plusieurs SLO doit prioriser la restauration de la métrique avant toute autre tâche.

26 - Généralités

Autorisez le locataire à gérer le coût d'un véritable pic dans la demande ou d'un déni de service grâce à des limites de dépenses contractuelles, à des alertes en temps réel et à des limites maximales configurables pour son utilisation de la capacité d'infrastructure du CSP.

Pour nos offres SaaS, nous ne facturons pas les clients en fonction de leur utilisation. Actuellement, nous ne partageons pas les rapports sur la capacité ou les utilisateurs avec les locataires.

27 - Généralités

Utilisez des ordinateurs approuvés et sécurisés par l'entreprise, des serveurs de saut, des comptes dédiés, des phrases secrètes fortes et une authentification multifacteur, pour fournir un support client et gérer les services et l'infrastructure cloud.

Les collaborateurs sont tenus d'appliquer l'authentification à deux facteurs (2FA) lorsqu'elle est disponible et d'utiliser un gestionnaire de mots de passe avec des mots de passe aléatoires et sécurisés. Les collaborateurs autorisés accèdent à l'environnement de production en s'authentifiant sur le VPN à l'aide de mots de passe forts uniques et d'une authentification à deux facteurs reposant sur un mot de passe à usage unique basé sur le temps (TOTP), puis uniquement via des connexions de terminaux SSH utilisant des certificats RSA personnels protégés par mot de passe. SSO, SSH, 2FA et VPN requis.

28 - Généralités

Utilisez des contrôles cryptographiques approuvés par l'ASD pour protéger les identifiants et l'activité administrative en transit via des canaux de communication non sécurisés entre le data center du CSP et l'administrateur/le personnel de support client du CSP.

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur.

Pour le chiffrement au repos, nous chiffrons spécifiquement les données client stockées sur un disque comme les données des tickets Jira (détails, commentaires, pièces jointes) ou les données de page Confluence (contenu des pages, commentaires, pièces jointes). Le chiffrement des données au repos aide à prévenir tout accès non autorisé et garantit que les données ne sont accessibles que par des rôles et des services autorisés avec accès contrôlé aux clés de chiffrement.

Atlassian utilise le service AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est assigné à chaque clé et s'assure qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

29 - Généralités

Implémentez la segmentation et la séparation de réseau [20] entre Internet, l'infrastructure du CSP utilisée par les locataires, le réseau utilisé par le CSP pour gérer les services et l'infrastructure cloud et le LAN d'entreprise du CSP.

Les données client ne doivent jamais être répliquées en dehors de l'environnement de production, qui est stocké sur les serveurs sécurisés d'AWS. Des règles de pare-feu strictes sont en place afin de limiter l'accès à l'environnement de production à notre réseau VPN et aux systèmes autorisés. Le VPN requiert une authentification multifacteur. Des contrôles de séparation des tâches sont en place pour les principaux produits Atlassian et incluent notamment les éléments suivants :

• Révision des contrôles d'accès
• Groupes de sécurité gérés par les applications RH
• Approbation des changements/revue par des pairs/implémentation (PRGB)
• Contrôles de workflow

30 - Généralités

Adoptez des pratiques de programmation sécurisées pour les logiciels développés par le CSP [21] [22] [23].

Atlassian applique des pratiques de développement sécurisées à toutes les phases du cycle de vie du développement. Consultez la page Sécurité du développement chez Atlassian pour en savoir plus.

Lors de la phase de design, les pratiques comprenant la modélisation des menaces, la revue de design ainsi que notre bibliothèque de normes de sécurité régulièrement mise à jour garantissent que les exigences de sécurité sont prises en compte.

Lors du développement, nous comptons sur un processus de revue par des pairs obligatoire comme première ligne d'examen de la sécurité. Cette approche est soutenue par des contrôles automatisés d'analyse statique (SAST) et des tests de sécurité manuels (réalisés par des équipes internes et des experts tiers, comme l'exige notre processus d'évaluation des risques). Le développement est également appuyé par des programmes de formation à la sécurité des applications ainsi que par une base de connaissances sur la sécurité gérée par l'équipe de sécurité.

Des processus formels de préparation opérationnelle et de contrôle des changements garantissent ensuite que seuls les changements approuvés sont déployés en production. Après le déploiement, nous utilisons régulièrement une analyse automatisée des vulnérabilités ainsi que le programme Bug Bounty leader dans le secteur (https://bugcrowd.com/atlassian) pour garantir l'assurance continue de nos applications.

31 - Généralités

Procédez à une configuration sécurisée, à une gestion continue des vulnérabilités, à des correctifs rapides, à des examens annuels de la sécurité réalisés par des tiers et à des tests d'intrusion des services cloud et de l'infrastructure sous-jacente.

Nous faisons appel à des services de conseil tiers pour effectuer des tests d'intrusion annuels sur des applications externes. Nous complétons également ces tests par des tests de sécurité continus de moindre envergure réalisés par notre équipe interne de test de sécurité. Pour obtenir les lettres d'évaluation de ces tests d'intrusion, ainsi que pour en savoir plus sur notre processus de test, consultez la page : Approche en matière de tests de sécurité externes

En outre, nous travaillons avec BugCrowd pour maintenir un programme Bug Bounty, afin de mener des évaluations continues des vulnérabilités de nos produits et services accessibles au public. Le programme est disponible à l'adresse : https://bugcrowd.com/atlassian. Nous partageons les résultats des tests d'intrusion en cours de notre programme Bug Bounty sur la page : Approche en matière de tests de sécurité externes

Toutes les vulnérabilités détectées sont soumises à notre politique de correction des bugs de sécurité, qui définit des objectifs de niveau de service (SLO), calculés en fonction du niveau de gravité de chaque problème de sécurité. Pour connaître les délais de résolution et en savoir plus sur la politique, consultez la page : Politique de correction des bugs de sécurité. Pour en savoir plus sur notre programme de gestion des vulnérabilités, consultez la page : Notre approche de la gestion des vulnérabilités.

Pour découvrir comment nous intégrons la sécurité à nos pratiques de développement, consultez la page : Sécurité du développement chez Atlassian.

32 - Généralités

Formez l'ensemble du personnel du CSP, en particulier les administrateurs, dès leur entrée en fonction et chaque année, afin de protéger les données des locataires, de maintenir la disponibilité des services cloud et d'identifier de manière proactive les incidents de sécurité, par ex. via une analyse rapide des journaux.

Atlassian propose une formation à la sécurité de l'information dans le cadre de sa formation d'intégration (« Rocketfuel ») pour les nouveaux collaborateurs et de manière continue, à l'ensemble du personnel. Les candidats et les sous-traitants doivent signer un accord de confidentialité avant de commencer à travailler avec l'entreprise. En cas de changement technologique ou de tout autre changement majeur, les cours sont proposés et annoncés aux collaborateurs existants via notre intranet.

En plus de cette formation générale sur la sécurité de l'information, nous proposons à nos développeurs des formations plus ciblées sur la programmation sécurisée, lesquelles sont renforcées par notre programme d'ingénieurs de sécurité intégrés. Atlassian propose également des formations thématiques continues sur les logiciels malveillants, le hameçonnage et d'autres problèmes de sécurité. Le personnel et les sous-traitants d'Atlassian sont soumis à une identification et à une vérification de l'éligibilité des travailleurs.

1 - IaaS

Garantissez des contrôles d'accès au réseau permettant au locataire d'implémenter la segmentation et la séparation de réseau [25], y compris une capacité de filtrage du réseau pour rejeter l'administration à distance de ses machines virtuelles, sauf à partir de son adresse IP.

Cela ne s'applique pas. Atlassian est un fournisseur SaaS.

2 - IaaS

Fournissez au locataire des images de modèles de machine virtuelle configurées et corrigées de manière sécurisée. Évitez d'assigner une phrase secrète administrative faible aux machines virtuelles récemment provisionnées.

Cela ne s'applique pas. Atlassian est un fournisseur SaaS.

1 - PaaS

Renforcez et configurez en toute sécurité le système d'exploitation, le serveur web et le logiciel de la plateforme. Limitez la connectivité réseau entrante et sortante aux seuls ports/protocoles requis. Procédez rapidement à l'application de correctifs et à l'analyse des journaux.

Cela ne s'applique pas. Atlassian est un fournisseur SaaS.

1 - SaaS

Implémentez des contrôles spécifiques du service cloud, notamment pour les e-mails envoyés en tant que service, fournissez des fonctionnalités comme le filtrage du contenu avec une analyse dynamique automatisée des e-mails et des pièces jointes.

C'est ce que nous proposons dans nos produits. Atlassian utilise Proofpoint (https://www.proofpoint.com/au/products/email-protection) pour analyser les pièces jointes et réécrire les URL afin de bloquer les tentatives d'hameçonnage. Atlassian utilise également les protections d'adresse e-mail intégrées à Google G-Suite (services de sécurité du cloud et de protection des données)

2 - SaaS

Implémenter les contrôles généraux [26], p. ex. connectivité réseau entrante et sortante limitée aux seuls ports et protocoles requis, logiciel antivirus mis à jour quotidiennement, systèmes de prévention des intrusions et analyse rapide des journaux.

Non applicable. Atlassian n'a pas de logiciel anti-programme malveillant sur nos serveurs de production, car ils ne sont accessibles en écriture que par notre pipeline CI/CD. Les services d'applications d'Atlassian qui hébergent Jira Cloud ou Confluence Cloud hébergent uniquement le code de l'application et rien d'autre. Les serveurs de Jira et Confluence Cloud ne sont accessibles en écriture que par le pipeline de déploiement d'Atlassian et le pipeline CI/CD.

Tout contenu généré par les clients est stocké sur les serveurs de base de données/RDS, et toutes les pièces jointes ou tous les autres éléments sont enregistrés sur un service commun de Media Services, qui n'est en fait qu'un front-end pour un compartiment S3. L'équipe d'Atlassian spécialisée dans la lutte contre les abus peut supprimer les pièces jointes dans Media Services qui sont identifiées comme des logiciels malveillants ou d'autres contenus indésirables, mais n'effectue pas une analyse active des logiciels malveillants. Nous nous appuyons sur nos propres capacités de détection des points de terminaison, ainsi que sur la détection de logiciels malveillants de nos clients.

Atlassian utilise Crowdstrike Falcon sur tous les serveurs Windows. Atlassian met à jour quotidiennement les signatures de Crowdstrike, qui comprennent tous les logiciels malveillants dont le fournisseur Crowdstrike a connaissance.