ACSC - Essential 8 Maturity Model (ACSC : modèle de maturité « Essential Eight ») : examen des lignes directrices 2023

Clause de non-responsabilité

Les conseils sont uniquement fournis pour expliquer aux clients cloud du secteur public et aux entreprises considérées comme des entités réglementées par l'Australian Cyber Security Center (ANCSC) comment les appliquer dans le cadre des produits Atlassian Cloud et des services associés.

Ce rapport est uniquement destiné à des fins d'information et de conseil pour expliquer aux clients cloud comment Atlassian se conforme aux principes de sécurité du cloud computing pour les fournisseurs de services cloud. Parallèlement, nous avons publié un livre blanc consacré aux responsabilités partagées qui aborde les différentes responsabilités recommandées à la fois aux fournisseurs de services cloud (CSP) et aux clients. Le modèle de responsabilité partagée n'élimine pas la responsabilité ni les risques liés à l'utilisation des produits Atlassian Cloud, mais il contribue à alléger la charge de travail liée à la gestion et au contrôle des composants du système et au contrôle physique des installations ; il répercute également une partie des coûts de sécurité et de conformité qui incombaient à nos clients sur Atlassian.

Pour en savoir plus sur notre engagement à protéger les données client, consultez notre page Pratiques de sécurité.

Stratégie d'atténuation	Niveau de maturité 1	Niveau de maturité 2	Niveau de maturité 3	Réponse d'Atlassian
Contrôle des applications	Niveau de maturité 1 Le lancement d'exécutables, de bibliothèques logicielles, de scripts, de programmes d'installation, de fichiers HTML compilés, d'applications HTML et d'applets du panneau de configuration est empêchée sur les postes de travail depuis les profils utilisateur standard et les dossiers temporaires utilisés par le système d'exploitation, les navigateurs web et les clients de messagerie.	Niveau de maturité 2 Le contrôle des applications est implémenté sur les postes de travail et les serveurs connectés à Internet. Le contrôle des applications limite le lancement des exécutables, des bibliothèques logicielles, des scripts, des programmes d'installation, des fichiers HTML compilés, des applications HTML et des applets du panneau de configuration à un ensemble approuvé par l'organisation. Les événements d'exécution autorisés et bloqués sur les postes de travail et les serveurs connectés à Internet sont consignés.	Niveau de maturité 3 Le contrôle des applications est implémenté sur les postes de travail et les serveurs. Le contrôle des applications limite le lancement des exécutables, des bibliothèques logicielles, des scripts, des programmes d'installation, des fichiers HTML compilés, des applications HTML, des applets du panneau de configuration et des pilotes à un ensemble approuvé par l'organisation. Les « règles de blocage recommandées » de Microsoft sont implémentées. Les « règles de blocage des pilotes recommandées » de Microsoft sont implémentées. Les ensembles de règles de contrôle des applications sont validés une fois par an ou plus fréquemment. Les événements d'exécution autorisés et bloqués sur les postes de travail et les serveurs sont consignés de manière centralisée. Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées. Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.	Réponse d'Atlassian L'utilisation d'utilitaires dans l'environnement de production est restreinte et contrôlée. Tous les serveurs sont configurés à l'aide de notre système de configuration Puppet centralisé dans notre environnement d'exploitation standard, y compris pour la suppression de certains packages de l'image par défaut et les mises à jour de packages critiques. Tous les rôles serveur sont refusés par défaut aux demandes réseau entrantes. Par ailleurs, certains ports ne sont accessibles que par les rôles serveur qui doivent accéder à ce port pour fonctionner. Le réseau d'entreprise d'Atlassian est séparé de notre réseau de production, et les images de nos machines sont renforcées pour n'autoriser que les ports et protocoles nécessaires. Tous les systèmes de production sont actuellement hébergés dans les régions américaines de notre fournisseur de cloud. Toutes les données qui transitent en dehors des réseaux cloud privés virtuels (VPC) renforcés sont chiffrées sur des canaux standard de l'industrie. Un système de détection d'intrusion est en outre installé sur tous les serveurs de production. Celui-ci effectue une surveillance en temps réel et envoie des alertes en cas de modification des fichiers ou de la configuration du système de production ainsi que d'événements de sécurité anormaux.
Corriger les applications	Niveau de maturité 1 Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures. Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un analyseur de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des services connectés à Internet. Un analyseur de vulnérabilité est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants concernant les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité sont appliqués dans le mois suivant leur sortie. Les services connectés à Internet, les suites bureautiques, les navigateurs web et leurs extensions, les clients de messagerie, les logiciels PDF, Adobe Flash Player et les produits de sécurité qui ne sont plus pris en charge par les fournisseurs sont supprimés.	Niveau de maturité 2 Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures. Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un analyseur de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des services connectés à Internet. Un analyseur de vulnérabilité est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants concernant les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité. Un analyseur de vulnérabilité est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités d'autres applications. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité sont appliqués dans les deux semaines suivant leur sortie. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour corriger les vulnérabilités d'autres applications sont appliqués dans le mois suivant leur sortie. Les services connectés à Internet, les suites bureautiques, les navigateurs web et leurs extensions, les clients de messagerie, les logiciels PDF, Adobe Flash Player et les produits de sécurité qui ne sont plus pris en charge par les fournisseurs sont supprimés.	Niveau de maturité 3 Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures. Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un analyseur de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des services connectés à Internet. Un analyseur de vulnérabilité est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants concernant les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité. Un analyseur de vulnérabilité est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités d'autres applications. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour corriger les vulnérabilités d'autres applications sont appliqués dans le mois suivant leur sortie. Les applications qui ne sont plus prises en charge par les fournisseurs sont supprimées.	Réponse d'Atlassian Pour toutes nos offres de produits et de services, nous avons mis en place un processus complet de correction des bugs (en utilisant notre propre produit Jira, qui détecte les tickets et nous aide à gérer les demandes de résolution). Ce processus repose sur de nombreuses politiques de correction des bugs de sécurité, des services de conseil et des SLO que nous respectons. Nous recevons les rapports de bug via notre canal de support, notre programme Bug Bounty et l'adresse security@atlassian.com. De plus amples informations sont disponibles sur notre Trust Center à propos de nos SLO de correction des bugs de sécurité. Pour plus d'informations sur notre approche des tests de sécurité, consultez également notre Trust Center ici : Notre approche en matière de tests de sécurité externes Notre équipe Atlassian chargée de la sécurité utilise plusieurs méthodes pour détecter les vulnérabilités des infrastructures internes et externes. Des tickets Jira sont créés à des fins de suivi et de remédiation, et les dates d'échéance sont assignées conformément à notre SLO en fonction de la gravité et de la source de la vulnérabilité. Nous avons un processus continu pour envoyer aux propriétaires de systèmes des tickets concernant les vulnérabilités identifiées, et notre équipe de gestion de la sécurité examine toutes les vulnérabilités signalées et veille à ce que des mesures soient prises pour y remédier.
Configurer les paramètres de macros Microsoft Office	Niveau de maturité 1 Les macros Microsoft Office sont désactivées pour les utilisateurs qui n'ont pas un besoin professionnel avéré. Les macros Microsoft Office présentes dans des fichiers provenant d'Internet sont bloquées. L'analyse antivirus des macros Microsoft Office est activée. Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs.	Niveau de maturité 2 Les macros Microsoft Office sont désactivées pour les utilisateurs qui n'ont pas un besoin professionnel avéré. Les macros Microsoft Office présentes dans des fichiers provenant d'Internet sont bloquées. L'analyse antivirus des macros Microsoft Office est activée. Les macros Microsoft Office ne peuvent pas effectuer d'appels d'API Win32. Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs. Les événements d'exécution de macros Microsoft Office autorisés et bloqués sont enregistrés.	Niveau de maturité 3 Les macros Microsoft Office sont désactivées pour les utilisateurs qui n'ont pas un besoin professionnel avéré. Seules les macros Microsoft Office exécutées depuis un environnement de sandbox ou un emplacement sécurisé, ou signées numériquement par un éditeur fiable peuvent être exécutées. Seuls les utilisateurs privilégiés chargés de vérifier que les macros Microsoft Office sont exemptes de code malveillant peuvent écrire et modifier du contenu dans les emplacements sécurisés. Les macros Microsoft Office signées numériquement par un éditeur non fiable ne peuvent pas être activées via la barre de message ou la vue Backstage. La liste des éditeurs fiables de Microsoft Office est validée une fois par an ou plus fréquemment. Les macros Microsoft Office présentes dans des fichiers provenant d'Internet sont bloquées. L'analyse antivirus des macros Microsoft Office est activée. Les macros Microsoft Office ne peuvent pas effectuer d'appels d'API Win32. Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs. Les événements d'exécution de macros Microsoft Office autorisés et bloqués sont enregistrés de manière centralisée. Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées. Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.	Réponse d'Atlassian Atlassian travaille avec des sous-traitants pour dans le cadre de la fourniture de site web, le développement d'apps, l'hébergement, la maintenance, la sauvegarde, le stockage, l'infrastructure virtuelle, le traitement des paiements, l'analyse, ainsi que d'autres services. Ces fournisseurs de services peuvent avoir accès à des informations d'identification personnelle (PII) ou en traiter dans le cadre de la prestation de ces services pour nous. Atlassian divulgue à ses clients concernés tout recours à des sous-traitants susceptibles de traiter leurs informations personnelles, par le biais d'une notification préalable au traitement. Une liste externe des sous-traitants avec lesquels Atlassian travaille est disponible sur la page Atlassian Subprocessors : Liste des sous-traitants de données. Sur cette page, les visiteurs sont invités à s'abonner à un flux RSS pour être avertis lorsque nous ajouterons de nouveaux sous-traitants Atlassian. Nous avons implémenté une solution de gestion centralisée du système (gestion des appareils mobiles) pour notre parc d'ordinateurs portables Mac. Nous avons implémenté une solution de gestion des appareils mobiles pour nos smartphones et nos terminaux Windows (VMware Workplace ONE).
Renforcement des applications utilisateur	Niveau de maturité 1 Les navigateurs Web ne traitent pas Java depuis Internet. Les navigateurs Web ne traitent pas les publicités Web provenant d'Internet. Internet Explorer 11 ne traite pas le contenu provenant d'Internet. Les paramètres de sécurité du navigateur Web ne peuvent pas être modifiés par les utilisateurs.	Niveau de maturité 2 Les navigateurs Web ne traitent pas Java depuis Internet. Les navigateurs Web ne traitent pas les publicités Web provenant d'Internet. Internet Explorer 11 ne traite pas le contenu provenant d'Internet. Les directives de renforcement de l'ACSC ou des fournisseurs pour les navigateurs Web sont mises en œuvre. Les paramètres de sécurité du navigateur Web ne peuvent pas être modifiés par les utilisateurs. Microsoft Office ne peut pas créer de processus enfants. Microsoft Office ne peut pas créer de contenu exécutable. Microsoft Office ne peut pas injecter de code dans d'autres processus. Microsoft Office est configuré pour empêcher l'activation des packages OLE. Les directives de renforcement de l'ACSC ou des fournisseurs pour Microsoft Office sont mises en œuvre. Les paramètres de sécurité de Microsoft Office ne peuvent pas être modifiés par les utilisateurs. Le logiciel PDF ne peut pas créer de processus enfants. Les directives de renforcement de l'ACSC ou du fournisseur pour les logiciels PDF sont mises en œuvre. Les paramètres de sécurité du logiciel PDF ne peuvent pas être modifiés par les utilisateurs. Les événements d'exécution de scripts PowerShell bloqués sont enregistrés.	Niveau de maturité 3 Les navigateurs Web ne traitent pas Java depuis Internet. Les navigateurs Web ne traitent pas les publicités Web provenant d'Internet. Internet Explorer 11 est désactivé ou supprimé. Les directives de renforcement de l'ACSC ou des fournisseurs pour les navigateurs Web sont mises en œuvre. Les paramètres de sécurité du navigateur Web ne peuvent pas être modifiés par les utilisateurs. Microsoft Office ne peut pas créer de processus enfants. Microsoft Office ne peut pas créer de contenu exécutable. Microsoft Office ne peut pas injecter de code dans d'autres processus. Microsoft Office est configuré pour empêcher l'activation des packages OLE. Les directives de renforcement de l'ACSC ou des fournisseurs pour Microsoft Office sont mises en œuvre. Les paramètres de sécurité de Microsoft Office ne peuvent pas être modifiés par les utilisateurs. Le logiciel PDF ne peut pas créer de processus enfants. Les directives de renforcement de l'ACSC ou du fournisseur pour les logiciels PDF sont mises en œuvre. Les paramètres de sécurité du logiciel PDF ne peuvent pas être modifiés par les utilisateurs. .NET Framework 3.5 (y compris .NET 2.0 et 3.0) est désactivé ou supprimé. Windows PowerShell 2.0 est désactivé ou supprimé. PowerShell est configuré pour utiliser le mode langage restreint. Les événements d'exécution de scripts PowerShell bloqués sont enregistrés de manière centralisée. Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées. Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.	Réponse d'Atlassian Les builds d'image du système d'exploitation de base AWS Linux AMI présentent des ports, des protocoles et des services limités. Nous comparons nos builds à la version AMI actuelle afin de garantir des paramètres appropriés. Nos images Docker sont gérées dans un environnement de changement étroitement contrôlé afin de garantir un examen et une approbation adéquats de tous les changements. Nos terminaux sont renforcés pour protéger nos utilisateurs, mais nous ne limitons pas l'accès aux ports matériels. Nous utilisons un produit proxy HTTP tiers pour notre interface publique Jira/Confluence et nous y avons mis en œuvre des règles de sécurité HTTP L7 (on pourrait l'appeler WAF, les fonctionnalités sont essentiellement les mêmes).
Restreindre les privilèges administratifs	Niveau de maturité 1 Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès la première demande. Les comptes privilégiés (à l'exception des comptes de service privilégiés) ne peuvent pas accéder à Internet, à la messagerie et aux services Web. Les utilisateurs privilégiés utilisent des environnements d'exploitation distincts, privilégiés et non privilégiés. Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés. Les comptes privilégiés (à l'exception des comptes d'administrateur locaux) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés.	Niveau de maturité 2 Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès la première demande. L'accès privilégié aux systèmes et aux applications est automatiquement désactivé au bout de 12 mois, sauf revalidation. L'accès privilégié aux systèmes et aux applications est automatiquement désactivé après 45 jours d'inactivité. Les comptes privilégiés (à l'exception des comptes de service privilégiés) ne peuvent pas accéder à Internet, à la messagerie et aux services Web. Les utilisateurs privilégiés utilisent des environnements d'exploitation distincts, privilégiés et non privilégiés. Les environnements d'exploitation privilégiés ne sont pas virtualisés dans les environnements d'exploitation non privilégiés. Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés. Les comptes privilégiés (à l'exception des comptes d'administrateur locaux) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés. Les activités administratives sont menées par le biais de serveurs de saut. Les identifiants des comptes d'administrateur locaux et des comptes de service sont longs, uniques, imprévisibles et gérés. Les événements d'accès privilégié sont enregistrés. Les événements liés à la gestion des comptes et des groupes privilégiés sont enregistrés.	Niveau de maturité 3 Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès la première demande. L'accès privilégié aux systèmes et aux applications est automatiquement désactivé au bout de 12 mois, sauf revalidation. L'accès privilégié aux systèmes et aux applications est automatiquement désactivé après 45 jours d'inactivité. L'accès privilégié aux systèmes et aux applications est limité à ce qui est nécessaire pour que les utilisateurs et les services puissent s'acquitter de leurs tâches. Les comptes privilégiés ne peuvent pas accéder à Internet, à la messagerie et aux services Web. Les utilisateurs privilégiés utilisent des environnements d'exploitation distincts, privilégiés et non privilégiés. Les environnements d'exploitation privilégiés ne sont pas virtualisés dans les environnements d'exploitation non privilégiés. Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés. Les comptes privilégiés (à l'exception des comptes d'administrateur locaux) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés. L'administration juste à temps est utilisée pour administrer les systèmes et les applications. Les activités administratives sont menées par le biais de serveurs de saut. Les identifiants des comptes d'administrateur locaux et des comptes de service sont longs, uniques, imprévisibles et gérés. Windows Defender Credential Guard et Windows Defender Remote Credential Guard sont activés. Les événements à accès privilégié sont enregistrés de manière centralisée. Les événements liés à la gestion des comptes et des groupes privilégiés sont enregistrés de manière centralisée. Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées. Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.	Réponse d'Atlassian Atlassian impose des restrictions au personnel qui a besoin de cet accès dans le cadre de son travail, de son rôle et de ses responsabilités. Tous les systèmes de niveau 1 sont gérés via une solution d'authentification unique (SSO) et d'annuaire centralisée Atlassian. Les utilisateurs disposent de droits d'accès appropriés en fonction de ces profils, conformément au workflow de notre système de gestion des ressources humaines. Atlassian utilise l'authentification multifacteur pour accéder à tous les systèmes de niveau 1. Nous avons activé l'authentification à deux facteurs pour la console de gestion de l'hyperviseur et l'API AWS, ainsi qu'un rapport d'audit quotidien sur tous les accès aux fonctions de gestion de l'hyperviseur. Les listes d'accès à la console de gestion de l'hyperviseur et à l'API AWS sont revues tous les trimestres. Nous assurons également une synchronisation de 8 heures entre notre système RH et notre magasin d'identités. Nous maintenons un cycle d'évaluation semestriel pour les services essentiels dans le cadre de notre processus de révision des droits. La validation de l'accès des utilisateurs a lieu régulièrement auprès des propriétaires du système pour les comptes utilisateurs internes de l'entreprise.
Correctif pour les systèmes d'exploitation	Niveau de maturité 1 Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures. Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un scanner de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des services en contact avec Internet. Un scanner de vulnérabilités est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau. Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour corriger les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau sont appliqués dans le mois suivant leur sortie. Les systèmes d'exploitation qui ne sont plus pris en charge par les fournisseurs sont remplacés.	Niveau de maturité 2 Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures. Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un scanner de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des services en contact avec Internet. Un scanner de vulnérabilités est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau. Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau sont appliqués dans les deux semaines suivant leur sortie. Les systèmes d'exploitation qui ne sont plus pris en charge par les fournisseurs sont remplacés.	Niveau de maturité 3 Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures. Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un scanner de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des services en contact avec Internet. Un scanner de vulnérabilités est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau. Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit. La dernière version, ou la version précédente, des systèmes d'exploitation est utilisée. Les systèmes d'exploitation qui ne sont plus pris en charge par les fournisseurs sont remplacés.	Réponse d'Atlassian Pour toutes nos offres de produits et de services, nous avons mis en place un processus complet de correction des bugs (en utilisant notre propre produit Jira, qui détecte les tickets et nous aide à gérer les demandes de résolution). Ce processus repose sur de nombreuses politiques de correction des bugs de sécurité, des services de conseil et des SLO que nous respectons. Nous recevons les rapports de bug via notre canal de support, notre programme Bug Bounty et l'adresse security@atlassian.com. De plus amples informations sont disponibles sur notre Trust Center à propos de nos SLO de correction des bugs de sécurité. Pour plus d'informations sur notre approche des tests de sécurité, consultez également notre Trust Center ici : Notre approche en matière de tests de sécurité externes Notre équipe Atlassian chargée de la sécurité utilise plusieurs méthodes pour détecter les vulnérabilités des infrastructures internes et externes. Des tickets Jira sont créés à des fins de suivi et de remédiation, et les dates d'échéance sont assignées conformément à notre SLO en fonction de la gravité et de la source de la vulnérabilité. Nous avons un processus continu pour envoyer aux propriétaires de systèmes des tickets concernant les vulnérabilités identifiées, et notre équipe de gestion de la sécurité examine toutes les vulnérabilités signalées et veille à ce que des mesures soient prises pour y remédier.
Authentification multifactorielle	Niveau de maturité 1 L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès des services Internet de leur organisation. L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données sensibles de leur organisation. L'authentification multifactorielle (lorsqu'elle est disponible) est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données non sensibles de leur organisation. L'authentification multifactorielle est activée par défaut pour les utilisateurs non professionnels d'une organisation (mais ils peuvent choisir de se désinscrire) lorsqu'ils s'authentifient auprès des services Internet de l'organisation.	Niveau de maturité 2 L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès des services Internet de leur organisation. L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données sensibles de leur organisation. L'authentification multifactorielle (lorsqu'elle est disponible) est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données non sensibles de leur organisation. L'authentification multifactorielle est activée par défaut pour les utilisateurs non professionnels d'une organisation (mais ils peuvent choisir de se désinscrire) lorsqu'ils s'authentifient auprès des services Internet de l'organisation. L'authentification multifactorielle est utilisée pour authentifier les utilisateurs privilégiés des systèmes. L'authentification multifactorielle utilise soit : quelque chose que les utilisateurs possèdent et connaissent, soit un élément déverrouillé par un élément connu ou connu des utilisateurs. Les événements d'authentification multifactorielle réussis et infructueux sont enregistrés.	Niveau de maturité 3 L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès des services Internet de leur organisation. L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données sensibles de leur organisation. L'authentification multifactorielle (lorsqu'elle est disponible) est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données non sensibles de leur organisation. L'authentification multifactorielle est activée par défaut pour les utilisateurs non professionnels d'une organisation (mais ils peuvent choisir de se désinscrire) lorsqu'ils s'authentifient auprès des services Internet de l'organisation. L'authentification multifactorielle est utilisée pour authentifier les utilisateurs privilégiés des systèmes. L'authentification multifactorielle est utilisée pour authentifier les utilisateurs de dépôts de données importants. L'authentification multifactorielle résiste aux hameçonnages et utilise soit un élément que les utilisateurs possèdent et connaissent, soit un élément déverrouillé par un élément connu ou connu des utilisateurs. Les événements d'authentification multifactorielle réussis et infructueux sont enregistrés de manière centralisée. Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées. Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.	Réponse d'Atlassian En ce qui concerne Confluence et Jira, l'authentification multifactorielle est disponible pour les comptes individuels. Pour plus d'informations sur la manière d'activer l'authentification multifactorielle, voir : Appliquer la validation en deux étapes La BBC prend toujours en charge l'authentification à deux facteurs depuis février 2022 et, en général, est intégrée à Atlassian Access et prend en charge les fonctionnalités supplémentaires proposées par Access. L'authentification multifactorielle forcée peut être configurée au niveau de l'organisation avec Atlassian Access. Pour plus d'informations, voir : Appliquer la validation en deux étapes Concernant les produits spécifiques Bitbucket prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle. Pour plus d'informations, voir : Appliquer la validation en deux étapes \| Bitbucket Cloud Halp utilise le SSO via Slack OAuth et MS Teams. Slack et MS Teams proposent de nombreuses options d'authentification multifactorielle. Pour plus d'informations, consultez : Authentification unique SAML & Azure AD Connect : authentification unique fluide Opsgenie prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle. Pour plus d'informations, voir : Configurer le SSO pour Opsgenie Statuspage prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle. Trello prend en charge l'authentification multifactorielle. Pour plus d'informations sur la manière d'activer l'authentification multifactorielle, voir : Activation de l'authentification à deux facteurs pour votre compte Trello Jira Align prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle.
Sauvegardes régulières	Niveau de maturité 1 Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont effectuées et conservées selon une fréquence et dans un délai conformes aux exigences de continuité des activités. Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont synchronisées pour permettre la restauration à un moment précis. Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont conservées de manière sécurisée et résiliente. La restauration des données, des logiciels et des paramètres de configuration importants à partir de sauvegardes est testée dans le cadre d'exercices de reprise d'activité. Les comptes non privilégiés ne peuvent pas accéder aux sauvegardes d'autres comptes. Les comptes non privilégiés ne peuvent pas modifier et supprimer des sauvegardes.	Niveau de maturité 2 Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont effectuées et conservées selon une fréquence et dans un délai conformes aux exigences de continuité des activités. Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont synchronisées pour permettre la restauration à un moment précis. Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont conservées de manière sécurisée et résiliente. La restauration des données, des logiciels et des paramètres de configuration importants à partir de sauvegardes est testée dans le cadre d'exercices de reprise d'activité. Les comptes non privilégiés ne peuvent pas accéder aux sauvegardes d'autres comptes. Les comptes privilégiés (à l'exception des comptes d'administrateur de sauvegarde) ne peuvent pas accéder aux sauvegardes appartenant à d'autres comptes. Les comptes non privilégiés ne peuvent pas modifier et supprimer des sauvegardes. Les comptes privilégiés (à l'exception des comptes d'administrateur de sauvegarde) ne peuvent pas modifier et supprimer des sauvegardes.	Niveau de maturité 3 Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont effectuées et conservées selon une fréquence et dans un délai conformes aux exigences de continuité des activités. Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont synchronisées pour permettre la restauration à un moment précis. Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont conservées de manière sécurisée et résiliente. La restauration des données, des logiciels et des paramètres de configuration importants à partir de sauvegardes est testée dans le cadre d'exercices de reprise d'activité. Les comptes non privilégiés ne peuvent pas accéder aux sauvegardes d'autres comptes ni à celles de leurs propres comptes. Les comptes privilégiés (à l'exception des comptes d'administrateur de sauvegarde) ne peuvent pas accéder aux sauvegardes appartenant à d'autres comptes ni à celles de leurs propres comptes. Les comptes non privilégiés ne peuvent pas modifier et supprimer des sauvegardes. Les comptes privilégiés (y compris les comptes d'administrateur de sauvegarde) ne peuvent pas modifier et supprimer des sauvegardes pendant leur période de conservation.	Réponse d'Atlassian Atlassian applique une norme de conservation et de destruction des données, qui indique la durée pendant laquelle nous devons conserver des données de différents types. Les données sont classées conformément à la politique relative à la sécurité des données et à la gestion du cycle de vie de l'information Atlassian, et des contrôles sont implémentés sur cette base. Pour les données client, à la fin d'un contrat Atlassian, les données appartenant à une équipe client seront supprimées de la base de données de production en direct, et toutes les pièces jointes importées directement sur Atlassian seront supprimées dans les 14 jours. Les données de l'équipe seront conservées dans des sauvegardes chiffrées jusqu'à ce que ces sauvegardes soient supprimées après la période de conservation des données de 60 jours et soient détruites conformément à la politique de conservation des données Atlassian. Si une restauration de la base de données est nécessaire dans les 60 jours suivant la demande de suppression des données, l'équipe des opérations supprimera à nouveau les données dès que possible après la restauration complète du système de production en direct. Pour en savoir plus, consultez la page : Suivre le stockage et déplacer des données entre des produits

Contrôle des applications

Niveau de maturité 1

Le lancement d'exécutables, de bibliothèques logicielles, de scripts, de programmes d'installation, de fichiers HTML compilés, d'applications HTML et d'applets du panneau de configuration est empêchée sur les postes de travail depuis les profils utilisateur standard et les dossiers temporaires utilisés par le système d'exploitation, les navigateurs web et les clients de messagerie.

Niveau de maturité 2

Le contrôle des applications est implémenté sur les postes de travail et les serveurs connectés à Internet.
Le contrôle des applications limite le lancement des exécutables, des bibliothèques logicielles, des scripts, des programmes d'installation, des fichiers HTML compilés, des applications HTML et des applets du panneau de configuration à un ensemble approuvé par l'organisation.
Les événements d'exécution autorisés et bloqués sur les postes de travail et les serveurs connectés à Internet sont consignés.

Niveau de maturité 3

Le contrôle des applications est implémenté sur les postes de travail et les serveurs.
Le contrôle des applications limite le lancement des exécutables, des bibliothèques logicielles, des scripts, des programmes d'installation, des fichiers HTML compilés, des applications HTML, des applets du panneau de configuration et des pilotes à un ensemble approuvé par l'organisation.
Les « règles de blocage recommandées » de Microsoft sont implémentées. Les « règles de blocage des pilotes recommandées » de Microsoft sont implémentées.
Les ensembles de règles de contrôle des applications sont validés une fois par an ou plus fréquemment.
Les événements d'exécution autorisés et bloqués sur les postes de travail et les serveurs sont consignés de manière centralisée.
Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées. Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.

Réponse d'Atlassian

L'utilisation d'utilitaires dans l'environnement de production est restreinte et contrôlée. Tous les serveurs sont configurés à l'aide de notre système de configuration Puppet centralisé dans notre environnement d'exploitation standard, y compris pour la suppression de certains packages de l'image par défaut et les mises à jour de packages critiques. Tous les rôles serveur sont refusés par défaut aux demandes réseau entrantes. Par ailleurs, certains ports ne sont accessibles que par les rôles serveur qui doivent accéder à ce port pour fonctionner. Le réseau d'entreprise d'Atlassian est séparé de notre réseau de production, et les images de nos machines sont renforcées pour n'autoriser que les ports et protocoles nécessaires. Tous les systèmes de production sont actuellement hébergés dans les régions américaines de notre fournisseur de cloud. Toutes les données qui transitent en dehors des réseaux cloud privés virtuels (VPC) renforcés sont chiffrées sur des canaux standard de l'industrie.
Un système de détection d'intrusion est en outre installé sur tous les serveurs de production. Celui-ci effectue une surveillance en temps réel et envoie des alertes en cas de modification des fichiers ou de la configuration du système de production ainsi que d'événements de sécurité anormaux.

Corriger les applications

Niveau de maturité 1

Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures.
Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités. Un analyseur de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des services connectés à Internet.
Un analyseur de vulnérabilité est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants concernant les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité sont appliqués dans le mois suivant leur sortie.
Les services connectés à Internet, les suites bureautiques, les navigateurs web et leurs extensions, les clients de messagerie, les logiciels PDF, Adobe Flash Player et les produits de sécurité qui ne sont plus pris en charge par les fournisseurs sont supprimés.

Niveau de maturité 2

Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures.
Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités.
Un analyseur de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des services connectés à Internet.
Un analyseur de vulnérabilité est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants concernant les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité.
Un analyseur de vulnérabilité est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités d'autres applications.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité sont appliqués dans les deux semaines suivant leur sortie.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour corriger les vulnérabilités d'autres applications sont appliqués dans le mois suivant leur sortie.
Les services connectés à Internet, les suites bureautiques, les navigateurs web et leurs extensions, les clients de messagerie, les logiciels PDF, Adobe Flash Player et les produits de sécurité qui ne sont plus pris en charge par les fournisseurs sont supprimés.

Niveau de maturité 3

Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures.
Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités.
Un analyseur de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des services connectés à Internet.
Un analyseur de vulnérabilité est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants concernant les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité.
Un analyseur de vulnérabilité est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités d'autres applications.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour atténuer les vulnérabilités des suites bureautiques, des navigateurs web et de leurs extensions, des clients de messagerie, des logiciels PDF et des produits de sécurité sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour corriger les vulnérabilités d'autres applications sont appliqués dans le mois suivant leur sortie.
Les applications qui ne sont plus prises en charge par les fournisseurs sont supprimées.

Réponse d'Atlassian

Pour toutes nos offres de produits et de services, nous avons mis en place un processus complet de correction des bugs (en utilisant notre propre produit Jira, qui détecte les tickets et nous aide à gérer les demandes de résolution). Ce processus repose sur de nombreuses politiques de correction des bugs de sécurité, des services de conseil et des SLO que nous respectons. Nous recevons les rapports de bug via notre canal de support, notre programme Bug Bounty et l'adresse security@atlassian.com. De plus amples informations sont disponibles sur notre Trust Center à propos de nos SLO de correction des bugs de sécurité.

Pour plus d'informations sur notre approche des tests de sécurité, consultez également notre Trust Center ici : Notre approche en matière de tests de sécurité externes

Notre équipe Atlassian chargée de la sécurité utilise plusieurs méthodes pour détecter les vulnérabilités des infrastructures internes et externes. Des tickets Jira sont créés à des fins de suivi et de remédiation, et les dates d'échéance sont assignées conformément à notre SLO en fonction de la gravité et de la source de la vulnérabilité. Nous avons un processus continu pour envoyer aux propriétaires de systèmes des tickets concernant les vulnérabilités identifiées, et notre équipe de gestion de la sécurité examine toutes les vulnérabilités signalées et veille à ce que des mesures soient prises pour y remédier.

Configurer les paramètres de macros Microsoft Office

Niveau de maturité 1

Les macros Microsoft Office sont désactivées pour les utilisateurs qui n'ont pas un besoin professionnel avéré.
Les macros Microsoft Office présentes dans des fichiers provenant d'Internet sont bloquées.
L'analyse antivirus des macros Microsoft Office est activée.
Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs.

Niveau de maturité 2

Les macros Microsoft Office sont désactivées pour les utilisateurs qui n'ont pas un besoin professionnel avéré.
Les macros Microsoft Office présentes dans des fichiers provenant d'Internet sont bloquées. L'analyse antivirus des macros Microsoft Office est activée.
Les macros Microsoft Office ne peuvent pas effectuer d'appels d'API Win32.
Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs.
Les événements d'exécution de macros Microsoft Office autorisés et bloqués sont enregistrés.

Niveau de maturité 3

Les macros Microsoft Office sont désactivées pour les utilisateurs qui n'ont pas un besoin professionnel avéré.
Seules les macros Microsoft Office exécutées depuis un environnement de sandbox ou un emplacement sécurisé, ou signées numériquement par un éditeur fiable peuvent être exécutées.
Seuls les utilisateurs privilégiés chargés de vérifier que les macros Microsoft Office sont exemptes de code malveillant peuvent écrire et modifier du contenu dans les emplacements sécurisés.
Les macros Microsoft Office signées numériquement par un éditeur non fiable ne peuvent pas être activées via la barre de message ou la vue Backstage.
La liste des éditeurs fiables de Microsoft Office est validée une fois par an ou plus fréquemment.
Les macros Microsoft Office présentes dans des fichiers provenant d'Internet sont bloquées.
L'analyse antivirus des macros Microsoft Office est activée.
Les macros Microsoft Office ne peuvent pas effectuer d'appels d'API Win32.
Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs.
Les événements d'exécution de macros Microsoft Office autorisés et bloqués sont enregistrés de manière centralisée.
Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées.
Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.

Réponse d'Atlassian

Atlassian travaille avec des sous-traitants pour dans le cadre de la fourniture de site web, le développement d'apps, l'hébergement, la maintenance, la sauvegarde, le stockage, l'infrastructure virtuelle, le traitement des paiements, l'analyse, ainsi que d'autres services. Ces fournisseurs de services peuvent avoir accès à des informations d'identification personnelle (PII) ou en traiter dans le cadre de la prestation de ces services pour nous. Atlassian divulgue à ses clients concernés tout recours à des sous-traitants susceptibles de traiter leurs informations personnelles, par le biais d'une notification préalable au traitement. Une liste externe des sous-traitants avec lesquels Atlassian travaille est disponible sur la page Atlassian Subprocessors : Liste des sous-traitants de données. Sur cette page, les visiteurs sont invités à s'abonner à un flux RSS pour être avertis lorsque nous ajouterons de nouveaux sous-traitants Atlassian.

Nous avons implémenté une solution de gestion centralisée du système (gestion des appareils mobiles) pour notre parc d'ordinateurs portables Mac.
Nous avons implémenté une solution de gestion des appareils mobiles pour nos smartphones et nos terminaux Windows (VMware Workplace ONE).

Renforcement des applications utilisateur

Niveau de maturité 1

Les navigateurs Web ne traitent pas Java depuis Internet.
Les navigateurs Web ne traitent pas les publicités Web provenant d'Internet.
Internet Explorer 11 ne traite pas le contenu provenant d'Internet.
Les paramètres de sécurité du navigateur Web ne peuvent pas être modifiés par les utilisateurs.

Niveau de maturité 2

Les navigateurs Web ne traitent pas Java depuis Internet.
Les navigateurs Web ne traitent pas les publicités Web provenant d'Internet.
Internet Explorer 11 ne traite pas le contenu provenant d'Internet.
Les directives de renforcement de l'ACSC ou des fournisseurs pour les navigateurs Web sont mises en œuvre.
Les paramètres de sécurité du navigateur Web ne peuvent pas être modifiés par les utilisateurs.
Microsoft Office ne peut pas créer de processus enfants.
Microsoft Office ne peut pas créer de contenu exécutable.
Microsoft Office ne peut pas injecter de code dans d'autres processus.
Microsoft Office est configuré pour empêcher l'activation des packages OLE.
Les directives de renforcement de l'ACSC ou des fournisseurs pour Microsoft Office sont mises en œuvre.
Les paramètres de sécurité de Microsoft Office ne peuvent pas être modifiés par les utilisateurs.
Le logiciel PDF ne peut pas créer de processus enfants.
Les directives de renforcement de l'ACSC ou du fournisseur pour les logiciels PDF sont mises en œuvre.
Les paramètres de sécurité du logiciel PDF ne peuvent pas être modifiés par les utilisateurs.
Les événements d'exécution de scripts PowerShell bloqués sont enregistrés.

Niveau de maturité 3

Les navigateurs Web ne traitent pas Java depuis Internet.
Les navigateurs Web ne traitent pas les publicités Web provenant d'Internet.
Internet Explorer 11 est désactivé ou supprimé.
Les directives de renforcement de l'ACSC ou des fournisseurs pour les navigateurs Web sont mises en œuvre.
Les paramètres de sécurité du navigateur Web ne peuvent pas être modifiés par les utilisateurs.
Microsoft Office ne peut pas créer de processus enfants.
Microsoft Office ne peut pas créer de contenu exécutable.
Microsoft Office ne peut pas injecter de code dans d'autres processus.
Microsoft Office est configuré pour empêcher l'activation des packages OLE.
Les directives de renforcement de l'ACSC ou des fournisseurs pour Microsoft Office sont mises en œuvre.
Les paramètres de sécurité de Microsoft Office ne peuvent pas être modifiés par les utilisateurs.
Le logiciel PDF ne peut pas créer de processus enfants.
Les directives de renforcement de l'ACSC ou du fournisseur pour les logiciels PDF sont mises en œuvre.
Les paramètres de sécurité du logiciel PDF ne peuvent pas être modifiés par les utilisateurs.
.NET Framework 3.5 (y compris .NET 2.0 et 3.0) est désactivé ou supprimé.
Windows PowerShell 2.0 est désactivé ou supprimé.
PowerShell est configuré pour utiliser le mode langage restreint.
Les événements d'exécution de scripts PowerShell bloqués sont enregistrés de manière centralisée.
Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées.
Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.

Réponse d'Atlassian

Les builds d'image du système d'exploitation de base AWS Linux AMI présentent des ports, des protocoles et des services limités. Nous comparons nos builds à la version AMI actuelle afin de garantir des paramètres appropriés.
Nos images Docker sont gérées dans un environnement de changement étroitement contrôlé afin de garantir un examen et une approbation adéquats de tous les changements.

Nos terminaux sont renforcés pour protéger nos utilisateurs, mais nous ne limitons pas l'accès aux ports matériels.

Nous utilisons un produit proxy HTTP tiers pour notre interface publique Jira/Confluence et nous y avons mis en œuvre des règles de sécurité HTTP L7 (on pourrait l'appeler WAF, les fonctionnalités sont essentiellement les mêmes).

Restreindre les privilèges administratifs

Niveau de maturité 1

Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès la première demande.
Les comptes privilégiés (à l'exception des comptes de service privilégiés) ne peuvent pas accéder à Internet, à la messagerie et aux services Web.
Les utilisateurs privilégiés utilisent des environnements d'exploitation distincts, privilégiés et non privilégiés.
Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés.
Les comptes privilégiés (à l'exception des comptes d'administrateur locaux) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés.

Niveau de maturité 2

Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès la première demande.
L'accès privilégié aux systèmes et aux applications est automatiquement désactivé au bout de 12 mois, sauf revalidation.
L'accès privilégié aux systèmes et aux applications est automatiquement désactivé après 45 jours d'inactivité.
Les comptes privilégiés (à l'exception des comptes de service privilégiés) ne peuvent pas accéder à Internet, à la messagerie et aux services Web.
Les utilisateurs privilégiés utilisent des environnements d'exploitation distincts, privilégiés et non privilégiés.
Les environnements d'exploitation privilégiés ne sont pas virtualisés dans les environnements d'exploitation non privilégiés.
Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés.
Les comptes privilégiés (à l'exception des comptes d'administrateur locaux) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés.
Les activités administratives sont menées par le biais de serveurs de saut.
Les identifiants des comptes d'administrateur locaux et des comptes de service sont longs, uniques, imprévisibles et gérés.
Les événements d'accès privilégié sont enregistrés.
Les événements liés à la gestion des comptes et des groupes privilégiés sont enregistrés.

Niveau de maturité 3

Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès la première demande.
L'accès privilégié aux systèmes et aux applications est automatiquement désactivé au bout de 12 mois, sauf revalidation.
L'accès privilégié aux systèmes et aux applications est automatiquement désactivé après 45 jours d'inactivité.
L'accès privilégié aux systèmes et aux applications est limité à ce qui est nécessaire pour que les utilisateurs et les services puissent s'acquitter de leurs tâches.
Les comptes privilégiés ne peuvent pas accéder à Internet, à la messagerie et aux services Web.
Les utilisateurs privilégiés utilisent des environnements d'exploitation distincts, privilégiés et non privilégiés.
Les environnements d'exploitation privilégiés ne sont pas virtualisés dans les environnements d'exploitation non privilégiés.
Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés.
Les comptes privilégiés (à l'exception des comptes d'administrateur locaux) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés.
L'administration juste à temps est utilisée pour administrer les systèmes et les applications.
Les activités administratives sont menées par le biais de serveurs de saut.
Les identifiants des comptes d'administrateur locaux et des comptes de service sont longs, uniques, imprévisibles et gérés.
Windows Defender Credential Guard et Windows Defender Remote Credential Guard sont activés.
Les événements à accès privilégié sont enregistrés de manière centralisée.
Les événements liés à la gestion des comptes et des groupes privilégiés sont enregistrés de manière centralisée.
Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées.
Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.

Réponse d'Atlassian

Atlassian impose des restrictions au personnel qui a besoin de cet accès dans le cadre de son travail, de son rôle et de ses responsabilités. Tous les systèmes de niveau 1 sont gérés via une solution d'authentification unique (SSO) et d'annuaire centralisée Atlassian. Les utilisateurs disposent de droits d'accès appropriés en fonction de ces profils, conformément au workflow de notre système de gestion des ressources humaines. Atlassian utilise l'authentification multifacteur pour accéder à tous les systèmes de niveau 1. Nous avons activé l'authentification à deux facteurs pour la console de gestion de l'hyperviseur et l'API AWS, ainsi qu'un rapport d'audit quotidien sur tous les accès aux fonctions de gestion de l'hyperviseur. Les listes d'accès à la console de gestion de l'hyperviseur et à l'API AWS sont revues tous les trimestres. Nous assurons également une synchronisation de 8 heures entre notre système RH et notre magasin d'identités.

Nous maintenons un cycle d'évaluation semestriel pour les services essentiels dans le cadre de notre processus de révision des droits. La validation de l'accès des utilisateurs a lieu régulièrement auprès des propriétaires du système pour les comptes utilisateurs internes de l'entreprise.

Correctif pour les systèmes d'exploitation

Niveau de maturité 1

Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures.
Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités.
Un scanner de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des services en contact avec Internet.
Un scanner de vulnérabilités est utilisé au moins tous les quinze jours pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau.
Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures prises par les fournisseurs pour corriger les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau sont appliqués dans le mois suivant leur sortie.
Les systèmes d'exploitation qui ne sont plus pris en charge par les fournisseurs sont remplacés.

Niveau de maturité 2

Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures.
Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités.
Un scanner de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des services en contact avec Internet.
Un scanner de vulnérabilités est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau.
Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau sont appliqués dans les deux semaines suivant leur sortie.
Les systèmes d'exploitation qui ne sont plus pris en charge par les fournisseurs sont remplacés.

Niveau de maturité 3

Une méthode automatisée de découverte des actifs est utilisée au moins tous les quinze jours pour faciliter la détection des actifs en vue des activités d'analyse des vulnérabilités ultérieures.
Un analyseur de vulnérabilité doté d'une base de données des vulnérabilités à jour est utilisé pour les activités d'analyse des vulnérabilités.
Un scanner de vulnérabilité est utilisé au moins quotidiennement pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des services en contact avec Internet.
Un scanner de vulnérabilités est utilisé au moins une fois par semaine pour identifier les correctifs ou les mises à jour manquants pour les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau.
Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des services connectés à Internet sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
Les correctifs, mises à jour ou autres mesures visant à atténuer les vulnérabilités des systèmes d'exploitation des postes de travail, des serveurs et des appareils réseau sont appliqués dans les deux semaines suivant leur sortie, ou dans les 48 heures en cas d'exploit.
La dernière version, ou la version précédente, des systèmes d'exploitation est utilisée. Les systèmes d'exploitation qui ne sont plus pris en charge par les fournisseurs sont remplacés.

Réponse d'Atlassian

Authentification multifactorielle

Niveau de maturité 1

L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès des services Internet de leur organisation.
L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données sensibles de leur organisation.
L'authentification multifactorielle (lorsqu'elle est disponible) est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données non sensibles de leur organisation.
L'authentification multifactorielle est activée par défaut pour les utilisateurs non professionnels d'une organisation (mais ils peuvent choisir de se désinscrire) lorsqu'ils s'authentifient auprès des services Internet de l'organisation.

Niveau de maturité 2

L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès des services Internet de leur organisation.
L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données sensibles de leur organisation.
L'authentification multifactorielle (lorsqu'elle est disponible) est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données non sensibles de leur organisation.
L'authentification multifactorielle est activée par défaut pour les utilisateurs non professionnels d'une organisation (mais ils peuvent choisir de se désinscrire) lorsqu'ils s'authentifient auprès des services Internet de l'organisation.
L'authentification multifactorielle est utilisée pour authentifier les utilisateurs privilégiés des systèmes.
L'authentification multifactorielle utilise soit : quelque chose que les utilisateurs possèdent et connaissent, soit un élément déverrouillé par un élément connu ou connu des utilisateurs.
Les événements d'authentification multifactorielle réussis et infructueux sont enregistrés.

Niveau de maturité 3

L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès des services Internet de leur organisation.
L'authentification multifactorielle est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données sensibles de leur organisation.
L'authentification multifactorielle (lorsqu'elle est disponible) est utilisée par les utilisateurs d'une organisation lorsqu'ils s'authentifient auprès de services Internet tiers qui traitent, stockent ou communiquent les données non sensibles de leur organisation.
L'authentification multifactorielle est activée par défaut pour les utilisateurs non professionnels d'une organisation (mais ils peuvent choisir de se désinscrire) lorsqu'ils s'authentifient auprès des services Internet de l'organisation.
L'authentification multifactorielle est utilisée pour authentifier les utilisateurs privilégiés des systèmes.
L'authentification multifactorielle est utilisée pour authentifier les utilisateurs de dépôts de données importants.
L'authentification multifactorielle résiste aux hameçonnages et utilise soit un élément que les utilisateurs possèdent et connaissent, soit un élément déverrouillé par un élément connu ou connu des utilisateurs.
Les événements d'authentification multifactorielle réussis et infructueux sont enregistrés de manière centralisée.
Les journaux d'événements sont protégés contre les modifications et les suppressions non autorisées.
Les journaux d'événements sont surveillés pour détecter les signes de compromission et sont traités immédiatement le cas échéant.

Réponse d'Atlassian

En ce qui concerne Confluence et Jira, l'authentification multifactorielle est disponible pour les comptes individuels. Pour plus d'informations sur la manière d'activer l'authentification multifactorielle, voir : Appliquer la validation en deux étapes

La BBC prend toujours en charge l'authentification à deux facteurs depuis février 2022 et, en général, est intégrée à Atlassian Access et prend en charge les fonctionnalités supplémentaires proposées par Access. L'authentification multifactorielle forcée peut être configurée au niveau de l'organisation avec Atlassian Access. Pour plus d'informations, voir : Appliquer la validation en deux étapes

Concernant les produits spécifiques

Bitbucket prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle. Pour plus d'informations, voir : Appliquer la validation en deux étapes | Bitbucket Cloud

Halp utilise le SSO via Slack OAuth et MS Teams. Slack et MS Teams proposent de nombreuses options d'authentification multifactorielle. Pour plus d'informations, consultez : Authentification unique SAML & Azure AD Connect : authentification unique fluide

Opsgenie prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle. Pour plus d'informations, voir : Configurer le SSO pour Opsgenie

Statuspage prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle.

Trello prend en charge l'authentification multifactorielle. Pour plus d'informations sur la manière d'activer l'authentification multifactorielle, voir : Activation de l'authentification à deux facteurs pour votre compte Trello

Jira Align prend en charge l'utilisation d'options SSO basées sur l'authentification multifactorielle.

Sauvegardes régulières

Niveau de maturité 1

Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont effectuées et conservées selon une fréquence et dans un délai conformes aux exigences de continuité des activités.
Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont synchronisées pour permettre la restauration à un moment précis.
Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont conservées de manière sécurisée et résiliente.
La restauration des données, des logiciels et des paramètres de configuration importants à partir de sauvegardes est testée dans le cadre d'exercices de reprise d'activité.
Les comptes non privilégiés ne peuvent pas accéder aux sauvegardes d'autres comptes.
Les comptes non privilégiés ne peuvent pas modifier et supprimer des sauvegardes.

Niveau de maturité 2

Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont effectuées et conservées selon une fréquence et dans un délai conformes aux exigences de continuité des activités.
Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont synchronisées pour permettre la restauration à un moment précis.
Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont conservées de manière sécurisée et résiliente.
La restauration des données, des logiciels et des paramètres de configuration importants à partir de sauvegardes est testée dans le cadre d'exercices de reprise d'activité.
Les comptes non privilégiés ne peuvent pas accéder aux sauvegardes d'autres comptes.
Les comptes privilégiés (à l'exception des comptes d'administrateur de sauvegarde) ne peuvent pas accéder aux sauvegardes appartenant à d'autres comptes.
Les comptes non privilégiés ne peuvent pas modifier et supprimer des sauvegardes.
Les comptes privilégiés (à l'exception des comptes d'administrateur de sauvegarde) ne peuvent pas modifier et supprimer des sauvegardes.

Niveau de maturité 3

Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont effectuées et conservées selon une fréquence et dans un délai conformes aux exigences de continuité des activités.
Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont synchronisées pour permettre la restauration à un moment précis.
Les sauvegardes des données, des logiciels et des paramètres de configuration importants sont conservées de manière sécurisée et résiliente.
La restauration des données, des logiciels et des paramètres de configuration importants à partir de sauvegardes est testée dans le cadre d'exercices de reprise d'activité.
Les comptes non privilégiés ne peuvent pas accéder aux sauvegardes d'autres comptes ni à celles de leurs propres comptes.
Les comptes privilégiés (à l'exception des comptes d'administrateur de sauvegarde) ne peuvent pas accéder aux sauvegardes appartenant à d'autres comptes ni à celles de leurs propres comptes.
Les comptes non privilégiés ne peuvent pas modifier et supprimer des sauvegardes. Les comptes privilégiés (y compris les comptes d'administrateur de sauvegarde) ne peuvent pas modifier et supprimer des sauvegardes pendant leur période de conservation.

Réponse d'Atlassian

Atlassian applique une norme de conservation et de destruction des données, qui indique la durée pendant laquelle nous devons conserver des données de différents types. Les données sont classées conformément à la politique relative à la sécurité des données et à la gestion du cycle de vie de l'information Atlassian, et des contrôles sont implémentés sur cette base.
Pour les données client, à la fin d'un contrat Atlassian, les données appartenant à une équipe client seront supprimées de la base de données de production en direct, et toutes les pièces jointes importées directement sur Atlassian seront supprimées dans les 14 jours. Les données de l'équipe seront conservées dans des sauvegardes chiffrées jusqu'à ce que ces sauvegardes soient supprimées après la période de conservation des données de 60 jours et soient détruites conformément à la politique de conservation des données Atlassian. Si une restauration de la base de données est nécessaire dans les 60 jours suivant la demande de suppression des données, l'équipe des opérations supprimera à nouveau les données dès que possible après la restauration complète du système de production en direct. Pour en savoir plus, consultez la page : Suivre le stockage et déplacer des données entre des produits

En vedette

Jira

Confluence

Jira Service Management

Trello

Rovo NOUVEAU

Jira Product Discovery NOUVEAU

Compass NOUVEAU

Guard NOUVEAU

Loom NOUVEAU

Développeurs

Jira

Bitbucket

Compass NOUVEAU

Product Owners

Jira

Confluence

Jira Product Discovery NOUVEAU

Professionnels de l'informatique

Jira Service Management

Guard NOUVEAU

Équipes métier

Jira

Confluence

Trello

Loom NOUVEAU

Équipes de direction

Jira Align

Jira

Confluence

Loom NOUVEAU

Teams

Logiciels

Marketing

Informatique

solution

Par taille d'équipe

Par secteur

Pourquoi Atlassian ?

Intégrations

Clients

FedRAMP

Résilience

Plateforme

Trust Center

Ressources

Support client

Trouver un Partenaire

Migration Program

University

Support

Apprendre

ACSC - Essential 8 Maturity Model (ACSC : modèle de maturité « Essential Eight ») : examen des lignes directrices 2023

Stratégie d'atténuation

Niveau de maturité 1

Niveau de maturité 2

Niveau de maturité 3

Réponse d'Atlassian

produits

Ressources

Apprendre