Notre système ATMS (Atlassian Trust Management System)
Présentation de notre système ATMS (Atlassian Trust Management System)
Chez Atlassian, nous sommes très fiers de nos valeurs d'entreprise. Elles guident toutes nos actions. L'une d'elles se distingue particulièrement : Oui à la transparence, non au baratin. La définition qu'en donne la page relative à nos valeurs en est très représentative :
Par ailleurs, nous comprenons que pour exprimer son opinion, chacun doit faire preuve de raison (ce qui est dit), de prévenance (à quel moment) et d'empathie (dans quels termes).
Vous, nos clients, nous avez à maintes reprises demandé de vous en dire plus sur la façon dont nous gérons notre entreprise et dont nous menons nos activités. Nous aimerions prendre un peu de temps pour vous expliquer comment nous gérons notre programme Atlassian Trust Management Program (ATMS), comme l'appelle la norme ISO 27001 relative à la gestion de la sécurité.
Chez Atlassian, nous sommes fiers d'être un peu différents, de par notre approche commerciale unique, les valeurs de notre entreprise ou notre approche de la philanthropie. Nous avons étendu cette approche à notre programme Trust Management Program.
Quelle est l'importance d'un programme de gestion structuré ?
Les systèmes de gestion sont utiles, qu'il s'agisse d'évaluer des systèmes de gestion de la qualité, des systèmes de gestion des défauts, la méthode Kaizen d'amélioration continue ou une méthodologie structurée pour évaluer la maturité des capacités. Les programmes de gestion ont été testés sur le terrain, publiés, passés en revue par des pairs et peaufinés. Notre Atlassian Trust Management Program repose sur la norme ISO 27001, Système de management de la sécurité de l'information. La base de la norme ISO 27001 est la suivante :
La présente Norme internationale peut être utilisée par les parties internes et externes pour évaluer la capacité de l'organisation à répondre à ses propres exigences en matière de sécurité de l'information.
Valeur des normes internationales en tant que recommandations (et pas nécessairement en tant qu'obligations)
Comme toute organisation, en particulier celles qui sont responsables de l'hébergement et du traitement de nos données client, il est compréhensible que nos clients se demandent si Atlassian, en tant que fournisseur de services cloud, veille à la protection et à la confidentialité de ses données client. Tout client qui envisage d'utiliser les services cloud est confronté à des décisions similaires en choisissant d'héberger des applications ou des services clés.
Bien que chacun de nos clients ait ses propres exigences en matière de sécurité, l'Atlassian Trust Management Program tient compte de ces exigences et en déduit un ensemble d'exigences uniques pour notre entreprise et notre environnement. L'approche ISO 27001 de la planification, de l'exploitation, de l'évaluation des performances et de l'amélioration permet d'évaluer en permanence le fonctionnement de notre programme et de l'améliorer au fil du temps pour tenir compte des nouvelles menaces, des nouvelles exigences ou pour améliorer les performances globales de nos opérations.
Nous évaluons les normes internationales comme un ensemble de recommandations bien structurées, mais nous prenons en considération chacun des contrôles et sa pertinence pour notre environnement particulier. Nous adoptons une approche similaire quant à l'applicabilité globale de ces normes internationales à notre environnement.
Programme de gestion des risques
Le Trust Management System repose sur notre Policy Management Program (PMP). Nous avons structuré nos politiques pour couvrir les domaines inclus dans la norme ISO 27001 ainsi que dans la CCM (Cloud Controls Matrix) de la CSA (Cloud Security Alliance). Nous avons élaboré une série de principes fondamentaux pour notre programme PMP :
- Être informé et disponible : nous n'essayons de piéger personne, nous indiquons clairement l'objectif que nos équipes sont censées atteindre.
- Être soutenu par l'équipe de sécurité pour vous faciliter la mise en conformité : nous sommes là pour aider nos équipes, aidez-nous.
- Définir nos objectifs en matière de sécurité : nous aimons avoir des objectifs et les énoncer clairement.
- Faire preuve d'engagement pour respecter nos obligations réglementaires : nous ne voulons pas aller en prison.
- Se concentrer sur l'itération et l'amélioration continues : nous continuons d'évaluer les risques dans notre environnement et dans notre programme, et nous en tenons compte dans nos politiques.
- Prévoir un processus d'exception : quand nos équipes n'ont absolument aucune chance de mettre en œuvre nos politiques dans un court laps de temps.
- Réaliser des examens annuels : notamment mettre à jour nos politiques à mesure que nous observons de nouvelles menaces et de nouveaux risques.
Poursuivez votre lecture pour découvrir une présentation et des extraits de nos politiques technologiques.
Programme de gestion des risques
Afin d'estimer continuellement les risques pour notre environnement et nos produits, nous effectuons des évaluations continues des risques. Dans de nombreux cas, en particulier dans le cas de nos produits, il s'agit d'évaluations techniques des risques ou de revues de code. Cependant, nous évaluons également chacun de nos produits ou une partie de notre organisation afin de déceler des risques métier plus élevés. En général, nous avons adopté la méthodologie de gestion des risques de la norme ISO 27005 ou ISO 31010 et l'appliquons à un périmètre particulier. Notre approche de la gestion des risques comprend :
- Réaliser des activités d'évaluation des risques : entre autres, activités d'évaluation des risques et de facilitation des décisions en matière de traitement des risques. Cela comprend l'identification du périmètre et des actifs visés, l'identification des risques, l'évaluation de l'incidence et de la probabilité, l'examen des risques et l'établissement de rapports à leur sujet.
- Surveiller les projets visant à gérer les risques pour la sécurité et générer des rapports en conséquence : continuer de surveiller les programmes ou les projets conçus pour gérer les risques pour la sécurité et de générer des rapports en conséquence.
- Soutenir le programme SMP : par le biais d'une évaluation continue des risques en tant que mécanisme permettant d'améliorer l'environnement et de veiller à ce que les contrôles de sécurité implémentés garantissent la gestion efficace des risques de sécurité identifiés.
Veuillez consulter notre Enterprise Risk Managment Program pour en savoir plus.
Atlassian Trust Management Forum (ATMF)
Enfin, nous maintenons un forum structuré de gestion de la confiance qui comprend des représentants de chacun des piliers de notre programme Trust afin d'assurer l'application intégrale non seulement des contrôles de sécurité, mais aussi des contrôles de fiabilité, de confidentialité et de conformité, et de la façon de gérer les risques dans chacun de ces piliers. Nous avons créé des réunions de forum distinctes pour assurer la couverture de sujets particuliers ainsi qu'une contribution appropriée.
Les objectifs du programme ATMF sont les suivants :
- Convenir des priorités et des actions nécessaires pour protéger Atlassian et nos clients contre les menaces pour la sécurité
- Promouvoir et organiser les activités au sein de chaque division métier afin de combler les lacunes ou les vulnérabilités susceptibles de favoriser une attaque
- Fournir une orientation et un support aux groupes de travail sur les risques critiques pour la sécurité et sur les programmes de conformité
- Promouvoir une culture de sensibilisation à la sécurité dans l'ensemble de l'entreprise
Nous organisons les réunions de forum suivantes :
- ATMF : examen de la gestion (tous les ans, conformément au budget annuel)
- ATMF : examen des ressources (tous les ans, conformément au budget annuel)
- ATMF : examen des risques (tous les trimestres)
- ATMF : examen de l'intégrité de la sécurité (tous les mois)
- ATMF : examen de l'intégrité de la conformité (tous les mois)
- ATMF : examens de la gestion (toutes les semaines, chaque équipe fonctionnelle doit réaliser un examen de la gestion)
La structure et la fréquence de ces réunions font en sorte que nous revoyons continuellement notre profil de menace, ainsi que notre réaction à ces menaces.
Il existe autant d'approches différentes pour gérer une organisation de sécurité que d'organisations. Chez Atlassian, nous pensons avoir mis en place un programme flexible, réactif, mais aussi suffisamment structuré pour nous assurer que nous évaluons et traitons les nouvelles menaces et les nouveaux risques pour nous, ainsi que pour nos clients.