Pratiques de sécurité

Notre équipe

La plupart des entreprises seraient du même avis, mais nous sommes extrêmement fiers de notre équipe de sécurité. Nous sommes convaincus que nous avons recruté et formé une équipe constituée de certains des talents les plus brillants du secteur. Notre équipe de sécurité est pilotée par notre CISO basé à San Francisco et comprend plus de 100 personnes dans nos bureaux de Sydney, d'Amsterdam, de Bangalore, d'Austin, de Mountain View, de San Francisco et de New York (quelques-uns de ses membres travaillent à distance). L'équipe ne cesse de s'agrandir, ce qui montre bien la priorité qu'Atlassian accorde à la sécurité. Nous avons plusieurs équipes subordonnées, notamment :

• Sécurité des produits : chargée de la sécurité de nos produits et plateformes
• Sécurité de l'écosystème : chargée de la sécurité de notre Marketplace et de nos extensions
• Detection and Response – responsible for detecting and responding to security incidents
• Red team - responsible for adversary emulation and exercising Detection and Response
• Architecture de sécurité : chargée de définir les exigences de sécurité applicables à nos produits et plateformes
• Sécurité d'entreprise : chargée de notre sécurité interne en ce qui concerne le réseau et les apps d'entreprise
• Confiance : chargée de suivre les attentes des clients et d'y répondre, mais aussi de créer de la transparence sur nos processus et pratiques
• Développement et SRE : chargée de développer et d'exécuter les outils pour l'équipe de sécurité
• Sensibilisation et formation : chargée de s'assurer que nos employés et partenaires savent comment travailler en toute sécurité

Alors que notre équipe de sécurité continue de se développer, tous les employés Atlassian font partie intégrante de notre mission qui vise à renforcer la sécurité, et tous en ont conscience durant toute leur carrière au sein d'Atlassian. Nous voulons donner l'exemple à nos pairs en matière de sécurité dans le cloud, répondre à toutes les exigences des clients à cet égard, dépasser les exigences de toutes les normes et certifications de sécurité du secteur, et être fiers de publier des informations sur les mécanismes que nous mettons en place pour protéger les données client. Nos objectifs et notre vision sont clairs pour l'ensemble de nos employés durant toute leur carrière au sein d'Atlassian.

Programmes supplémentaires mis en place pour soutenir la sécurité

Même si nous nous concentrons sur les principes fondamentaux de la sécurité, nous avons également mis en place tout un éventail de programmes pour nous assurer que notre approche de la sécurité demeure vaste et proactive, notamment :

Amélioration continue de notre programme de sécurité

Nous avons l'intention de veiller à ce que notre programme de sécurité demeure à l'avant-garde et de donner l'exemple à nos pairs dans le secteur. Pour ce faire, nous devons constamment évaluer notre approche actuelle de la sécurité (notamment par rapport à nos pairs) et identifier les possibilités d'amélioration.

À cette fin, nous avons entrepris (et continuerons d'entreprendre) de nombreuses évaluations de la maturité de notre programme de sécurité en faisant appel à des sociétés de conseil en sécurité indépendantes et réputées. En 2020, nous avons également demandé à nos pairs d'évaluer notre programme global de confiance et de sécurité. Nous tirons parti des résultats de ces processus, y compris leurs recommandations clés, pour combler les lacunes relevées et saisir les possibilités d'amélioration.

We have also defined a series of programs across our various security – such as Product Security and Detection and Response – to guide our internal improvement. We have defined metrics to support each of these programs which we review through our Security Management Team. We use these metrics to identify and target areas for improvement across each of our core capabilities.

Plus d'informations

Ce document donne un aperçu général de notre approche de la sécurité. Vous trouverez plus d'informations sur notre programme de sécurité sur l'Atlassian Trust Center. Nous proposons également tout un éventail de livres blancs dédiés aux différents domaines de notre programme de sécurité, notamment :

• Comment Atlassian gère les données des clients
• Notre approche en matière de tests de sécurité externes
• Notre approche de la gestion des incidents de sécurité
• Notre approche de la gestion des vulnérabilités
• Responsabilités partagées en matière de sécurité dans le cloud
• Notre système ATMS (Atlassian Trust Management System)
• Politiques Atlassian en matière de sécurité et de technologie

Sécurisation de l'accès à nos réseaux par le biais de l'approche « Zero Trust »

Atlassian sécurise l'accès à son réseau d'entreprise, à ses apps internes et à ses environnements cloud grâce à un concept appelé « Zero Trust ». Autrement dit, le principe fondamental de l'approche « Zero Trust » est le suivant : « Ne jamais faire confiance, toujours vérifier ».

« Zero Trust » se détache des approches traditionnelles de la sécurité réseau qui reposent uniquement sur l'authentification d'un utilisateur pour déterminer s'il peut ou non accéder aux ressources de notre réseau. Une telle approche entraîne le risque qu'un appareil non fiable et non sécurisé compromette la sécurité. Par conséquent, de nombreuses organisations commencent à migrer vers un modèle dans lequel seuls les appareils de confiance sont en mesure d'accéder à leur réseau en utilisant des approches telles que les technologies de gestion des appareils mobiles ou en limitant l'accès au niveau du réseau à une liste d'appareils connus.

Bien qu'utiles, ces approches manquent de granularité. L'approche « Zero Trust » d'Atlassian garantit vraiment que la décision autorisant ou non les utilisateurs à accéder aux ressources et services sur nos réseaux repose non seulement sur leurs identifiants d'authentification, mais aussi sur une stratégie dynamique qui prend en compte une série de facteurs pour refuser ou autoriser l'accès aux ressources en fonction de la configuration de sécurité de l'appareil de l'utilisateur (quel que soit son emplacement).

Pour faire simple, nous avons créé trois tiers de ressources (en fonction de leur criticité relative et de leur sensibilité) sur notre réseau qui servent de base à l'approche « Zero Trust » :

• Tier Ouvert : tout utilisateur d'entreprise qui s'authentifie avec succès sur notre réseau peut accéder à ces services
• Tier Faible : l'accès à ces ressources est uniquement possible pour un utilisateur d'entreprise authentifié qui accède à notre réseau à partir d'un appareil d'entreprise fiable (appareils détenus et gérés par Atlassian) ou d'un BYOD géré (appareil personnel inscrit au programme MDM d'Atlassian)
• Tier Élevé : ces ressources ne sont disponibles que lorsqu'un utilisateur d'entreprise authentifié y accède à partir d'un appareil d'entreprise émis par Atlassian. L'accès à nos services de production à partir de notre réseau d'entreprise n'est possible que via un appareil appartenant au tier Élevé et permettant l'authentification SAML

Gestion sécurisée de l'accès à nos systèmes et services

Atlassian dispose d'un processus bien défini de provisionnement (assignation ou révocation) de l'accès utilisateur pour tous les systèmes et services. Nous avons mis en place un workflow (synchronisation toutes les 8 heures) reliant notre système de gestion des ressources humaines à notre système de provisionnement des accès. Nous utilisons un contrôle d'accès basé sur les rôles qui fait appel à des profils utilisateur prédéfinis pour nous assurer que le personnel a uniquement accès aux ressources appropriées pour son rôle. Tous les comptes utilisateur doivent être approuvés par la direction avant d'avoir accès aux données, aux apps, à l'infrastructure ou aux composants réseau.

Pour soutenir notre architecture « Zero Trust », nous contrôlons l'accès à nos apps d'entreprise par le biais d'une plateforme d'authentification unique. Pour accéder à l'une de nos apps, le personnel doit s'authentifier via cette plateforme, notamment en utilisant un deuxième facteur d'authentification. Les utilisateurs doivent s'authentifier au moyen de clés U2F ou d'un authentificateur d'app mobile fourni aux employés Atlassian. Nous avons supprimé les méthodes d'authentification moins sécurisées telles que les SMS et les OTP téléphoniques. Atlassian a adopté cette approche pour s'assurer que son processus d'authentification est particulièrement résistant aux attaques basées sur le hameçonnage et aux attaques de l'intercepteur. Tout système qui envoie des codes dans un SMS peut être compromis par un attaquant habile.

Sécurisation de nos terminaux

Atlassian combine des méthodologies de gestion des terminaux pour déployer des mises à jour et des correctifs sur les systèmes d'exploitation et les apps clés de son parc de terminaux. Nous avons également implémenté plusieurs solutions de protection des terminaux pour nous prémunir contre les menaces telles que les logiciels malveillants.

Dans le cadre de notre approche « Zero Trust », les employés Atlassian qui souhaitent accéder à la plupart de nos services par l'intermédiaire de leurs appareils mobiles personnels doivent s'inscrire à notre programme de gestion des appareils mobiles (MDM). Cela nous permet de nous assurer que tous les appareils mobiles qui se connectent à notre réseau répondent à nos exigences minimales de sécurité, lesquelles couvrent des aspects tels que le chiffrement, le verrouillage des appareils, les logiciels anti-programme malveillant et les versions du système d'exploitation.

Tous les employés éligibles qui s'inscrivent à notre programme MDM et qui garantissent leur conformité reçoivent une indemnité mensuelle d'Atlassian pour leur participation.

Pour tout appareil identifié comme non conforme, le membre du personnel recevra un e-mail l'informant de la non-conformité. Il dispose d'un délai de grâce de 24 heures pour remédier à la non-conformité avant que son accès à partir de cet appareil ne soit supprimé.

Gestion des configurations dans nos systèmes

Nous disposons d'un nombre limité d'ingénieurs et d'architectes autorisés à installer des logiciels dans notre environnement de production. Dans la plupart des cas, l'installation de logiciels n'est pas possible. Les outils de gestion des configurations sont utilisés dans nos environnements de production pour gérer les configurations et les changements apportés aux serveurs. Les changements directs apportés à ces systèmes doivent être remplacés par la configuration approuvée qui est transmise par le biais des outils de gestion des configurations, ce qui assure une certaine cohérence. Nous nous appuyons sur des AMI (Amazon Machine Images) standard, tous les changements apportés à nos AMI ou à nos systèmes d'exploitation doivent être effectués par le biais de notre processus standard de gestion des changements. Nous suivons les configurations d'exception, et celles-ci font l'objet de rapports. Par ailleurs, nous avons implémenté l'isolement des ressources afin que les problèmes liés à des services n'impactent pas les autres services. Nous nous appuyons également sur notre processus PRGB pour garantir que plusieurs réviseurs approuvent les changements de configuration transmis par les outils de gestion des configurations. Tous les builds sont signés de manière cryptographique, et seuls les builds signés sont autorisés à s'exécuter dans notre environnement de production.

Utilisation des journaux

Nous utilisons une plateforme SIEM pour agréger les journaux provenant de diverses sources, leur appliquer des règles de surveillance, puis signaler toute activité suspecte. Nos processus internes définissent la façon dont ces alertes sont triées, font l'objet d'une enquête plus approfondie et sont transmises de façon appropriée. Les journaux système clés sont transférés à partir de chaque système dans lequel ils sont en lecture seule. L'équipe Atlassian chargée de la sécurité crée des alertes sur notre plateforme d'analyse de sécurité et surveille les indicateurs de compromission. Nos équipes SRE utilisent cette plateforme pour surveiller les problèmes de disponibilité ou de performance. Les journaux sont conservés pendant 30 jours en sauvegarde à chaud et pendant 365 jours en sauvegarde à froid.

Les journaux système clés sont combinés à la fois en un système interne d'analyse des journaux et en un système de détection des intrusions.

Les journaux sont un composant clé de notre stratégie globale de détection des incidents et de réponse, qui est décrite en détail dans la section « Comment identifier les menaces de sécurité, s'en prémunir et y répondre ».

Gestion de la continuité de l'activité et de la reprise d'activité

Nous sommes très attachés à la résilience de nos produits, notamment parce qu'en interne, chez Atlassian, nous dépendons de ces mêmes produits. Nous sommes conscients que des perturbations peuvent survenir. Nous sommes donc déterminés à mettre en place des processus pour planifier les interruptions et les gérer avec le minimum d'impact sur nos clients. Nos programmes de continuité de l'activité et de reprise d'activité reprennent les diverses activités menées pour atteindre ces objectifs.

La participation de la direction aux activités de planification de la continuité des opérations et de la reprise d'activité assure le contrôle requis pour garantir que toutes les équipes sont responsables de la résilience. Ces activités visent à atteindre le juste équilibre entre les coûts, les avantages et les risques grâce à une analyse de la « durée maximale d’interruption admissible » (RTO) et des « objectifs de point de reprise » (RPO) des services. Cette analyse nous a permis d'établir un système simple à 4 tiers pour regrouper les services en fonction de leurs besoins respectifs en matière de récupération. Cette approche est détaillée sur notre page Comment Atlassian gère les données des clients.

Nos programmes de continuité des opérations et de reprise d'activité englobent les activités suivantes :

1. Renforcer les mesures de redondance pour répondre aux exigences de résilience

2. Tester et vérifier ces mesures de redondance

3. Tirer des enseignements des tests pour continuer à améliorer en permanence les mesures de continuité des opérations et de reprise d'activité

Nous développons nos produits de sorte à utiliser au mieux les capacités de redondance, telles que les zones et régions de disponibilité, proposées par nos fournisseurs de services cloud.

Nous surveillons en permanence un large éventail d'indicateurs dans le but de détecter rapidement les problèmes potentiels. Sur la base de ces indicateurs, les alertes sont configurées pour notifier les ingénieurs chargés de la fiabilité des sites (SRE) ou les équipes d'ingénierie produit concernées en cas de violation des seuils afin que des mesures rapides puissent être prises par le biais de notre processus de réponse aux incidents. Les SRE jouent également un rôle clé dans l'identification des lacunes du programme de reprise d'activité et collaborent avec notre équipe chargée des risques et de la conformité pour les combler. Chacune de nos équipes comprend également un champion de la reprise d'activité qui a pour mission de superviser et de gérer les aspects de la reprise d'activité au sein de cette équipe.

Nos tests de reprise d'activité couvrent les aspects liés aux processus et à la technologie, y compris la documentation pertinente. La fréquence des tests de reprise d'activité dépend de la criticité de chaque service. Par exemple, les processus de sauvegarde et de récupération des principaux systèmes destinés aux clients sont testés chaque trimestre. Nous effectuons des tests de basculement manuels et ad hoc sur nos systèmes, qui vont des exercices de simulation sur maquette moins complexes à des tests de zone de disponibilité ou de basculement régional plus complexes. Indépendamment de la complexité des tests, nous veillons à capturer et à documenter les résultats, à analyser et à identifier les améliorations ou lacunes possibles, et nous les résolvons à l'aide de tickets Jira afin d'assurer une amélioration continue du processus global.

Nous effectuons chaque année des évaluations d'impact métier (BIA) afin de mesurer les risques associés aux services critiques. Les résultats de ces BIA contribuent à la mise en œuvre de la stratégie de reprise d'activité et de continuité des opérations. Par conséquent, nous sommes en mesure d'élaborer des plans efficaces de reprise d'activité et de continuité des opérations pour les services critiques.

Disponibilité des services

En plus des mesures ci-dessus, nous publions également l'état de disponibilité de nos services en temps réel pour nos clients à l'aide de notre produit Statuspage. En cas de problème avec l'un de nos produits, nos clients en seront informés en même temps que nous.

Back-ups

Atlassian met en œuvre un programme de sauvegarde complet. Ce dernier inclut nos systèmes internes, dans lesquels nos mesures de sauvegarde sont conçues conformément aux exigences de récupération du système. En ce qui concerne nos offres Atlassian Cloud et, plus particulièrement, les données client et applicatives, nous avons également mis en place des mesures de sauvegarde étendues. Atlassian utilise la fonction d'instantané Amazon RDS (Amazon Relational Database Service) pour créer des sauvegardes quotidiennes automatisées de chaque instance RDS.

Les instantanés Amazon RDS sont conservés pendant 30 jours avec prise en charge de la reprise à un instant de référence et sont chiffrés avec l'algorithme AES-256. Les données de sauvegarde ne sont pas stockées hors site, mais sont répliquées dans plusieurs data centers au sein d'une région AWS spécifique. Nous effectuons également des tests trimestriels de nos sauvegardes.

Pour Bitbucket, les données sont répliquées vers une autre région AWS, et des sauvegardes indépendantes sont effectuées quotidiennement dans chaque région.

Nous n'utilisons pas ces sauvegardes pour annuler les changements destructeurs initiés par le client, comme l'écrasement de champs à l'aide de scripts ou la suppression de tickets, projets ou sites. Pour éviter la perte de données, nous vous recommandons de faire des sauvegardes régulières. Découvrez-en plus sur la création de sauvegardes dans la documentation de support propre à votre produit.

Sécurité physique

Les contrôles de sécurité physique dans nos bureaux sont axés sur notre politique de sécurité physique et environnementale, laquelle garantit l'implémentation de mécanismes de sécurité physique robustes dans nos environnements sur site et dans le cloud. Cette politique couvre des domaines tels que les zones de travail sécurisées, la sécurisation de notre équipement informatique où qu'il se trouve, la restriction de l'accès à nos immeubles et bureaux au personnel approprié, ainsi que la surveillance des points d'entrée et de sortie physiques. Nos pratiques de sécurité physique englobent la présence de réceptionnistes pendant les heures de travail, l'inscription obligatoire des visiteurs, l'accès aux badges dans tous les espaces non publics. Par ailleurs, nous collaborons avec le service de gestion de notre immeuble pour l'accès en dehors des heures d'ouverture et l'enregistrement vidéo aux points d'entrée et de sortie, tant pour les entrées principales que pour les zones de chargement.

Nos data centers partenaires sont au minimum conformes à la norme SOC2. Ces certifications portent sur un éventail de contrôles de sécurité, y compris la sécurité physique et environnementale ainsi que la protection. L'accès aux data centers est limité au personnel autorisé et vérifié par des mesures biométriques de contrôle de l'identité. Les mesures de sécurité physique comprennent des gardes de sécurité sur place, une surveillance vidéo en circuit fermé, des pièges humains et des mesures supplémentaires de protection contre les intrusions.

Chiffrement des données

Toutes les données client stockées dans les produits et services Atlassian Cloud sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée. Notre implémentation de TLS impose l'utilisation de chiffrements forts et de longueurs de clé quand le navigateur les prend en charge.

Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Cloud, Jira Service Management Cloud, Jira, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur. Veuillez vous reporter à la feuille de route Atlassian Trust pour vous tenir informé des mises à jour apportées à notre plateforme.

Gestion des clés

Atlassian utilise le service AWS Key Management Service (KMS) pour la gestion des clés. Le processus de chiffrement, de déchiffrement et de gestion des clés est inspecté et vérifié régulièrement en interne par AWS dans le cadre de ses processus de validation interne existants. Un propriétaire est affecté à chaque clé et est responsable de s'assurer qu'un niveau de contrôle de sécurité approprié est appliqué aux clés.

Isolement des locataires

Bien que nos clients partagent une infrastructure informatique commune basée dans le cloud lorsqu'ils utilisent des produits Atlassian, nous avons mis en place des mesures pour nous assurer qu'ils sont logiquement isolés afin que les actions d'un client ne puissent compromettre les données ou le service d'autres clients.

L'approche d'Atlassian varie selon les applications. Pour Jira et Confluence Cloud, nous adoptons un concept appelé « Contexte de locataire » pour parvenir à l'isolement logique de nos clients. Ce concept est implémenté à la fois dans le code applicatif et géré par ce que nous appelons un service de contexte de locataire (Tenant Context Service, TCS). Celui-ci assure que :

• les données de chaque client sont logiquement isolées de celles des autres locataires au repos ;
• toutes les demandes traitées par Jira ou Confluence offrent une vue « propre au locataire » afin que les autres locataires ne soient pas impactés.

Dans les grandes lignes, le TCS stocke un « contexte » pour les différents locataires du client. Le contexte de chaque locataire est associé à un ID unique stocké de façon centrale par le TCS et inclut diverses métadonnées associées à ce locataire (comme les bases de données dans lesquelles le locataire se trouve, les licences dont il dispose, les fonctionnalités auxquelles il a accès, et tout un éventail d'autres informations de configuration). Lorsqu'un client accède à Jira ou Confluence Cloud, le TCS utilise l'identifiant du locataire pour rassembler ces métadonnées, qui sont ensuite associées à toutes les opérations effectuées par le locataire dans l'app tout au long de sa session.

Le contexte fourni par le TCS fait office d'« objectif » par l'intermédiaire duquel ont lieu toutes les interactions avec les données client, et cet objectif est toujours limité à un locataire donné. Ainsi, nous avons la certitude qu'un locataire du client n'a pas accès aux données d'un autre locataire ou qu'un locataire ne peut affecter le service d'un autre locataire par ses actions.

Retrouvez plus d'informations sur notre architecture Cloud dans nos ressources de support Cloud.

Responsabilité partagée de la gestion des données client

Atlassian est responsable de la sécurité, de la disponibilité et des performances des apps qu'il fournit, des systèmes sur lesquels elles s'exécutent et des environnements dans lesquels ces systèmes sont hébergés. Cependant, la sécurité est une responsabilité commune entre Atlassian et ses clients dans quatre domaines en particulier :

Contrôle des accès aux données client

Nous traitons toutes les données client comme également sensibles et avons mis en place des contrôles stricts régissant ces données. Une formation de sensibilisation est dispensée à nos employés internes et à nos sous-traitants pendant le processus d'intégration. Celle-ci couvre l'importance des données client et les bonnes pratiques de traitement.

Au sein d'Atlassian, seuls les employés autorisés ont accès aux données client stockées dans nos applications. L'authentification se fait par l'intermédiaire de clés publiques individuelles protégées par mot de passe, et les serveurs n'acceptent que les connexions SSH entrantes provenant de data centers Atlassian et internes. Tous les accès sont restreints à des groupes autorisés, sauf s'ils font l'objet d'une demande et d'un examen, et nécessitent une authentification supplémentaire à l'aide d'un deuxième facteur.

Grâce aux contrôles d'authentification et d'autorisation stricts mis en place, notre équipe de support mondial facilite les processus de maintenance et de support. L'accès aux applications et aux données hébergées n'est possible qu'à des fins de surveillance de l'intégrité des applications et de maintenance du système ou des applications, et sur demande des clients via notre système de support. Nos clients disposent également d'options de consentement explicite pour déterminer les ingénieurs de support appropriés susceptibles d'accéder à leurs données via notre outil de contrôle du consentement.

Tout accès non autorisé ou inapproprié aux données client est traité comme un incident de sécurité et est géré par notre processus de gestion des incidents. Celui-ci comprend des instructions pour informer les clients concernés si une violation de la politique est observée.

Conservation et suppression des données

Nous avons pris des dispositions pour pouvoir répondre aux demandes des utilisateurs qui souhaitent supprimer leurs informations personnelles, et nous aidons également les utilisateurs finaux possédant des comptes Atlassian à supprimer leurs informations personnelles. Nous disposons également d'outils d'importation et d'exportation pour permettre à nos clients d'accéder à leurs données, de les importer et de les exporter à l'aide des outils Atlassian.

Les sites client sont désactivés 15 jours après la fin de la période d'abonnement actuelle d'un client. Atlassian conserve les données des sites désactivés pendant 15 jours (pour les sites d'évaluation) ou 60 jours (pour les sites avec abonnement payant) après la fin de la période d'abonnement actuelle du client. Notez que, dans le cas de Jira, les données seront uniquement supprimées si vous vous désabonnez de tous les produits Jira auxquels vous aviez précédemment souscrit.

Retrouvez des informations supplémentaires sur notre page Pratiques de sécurité ou dans notre FAQ sur le stockage des données.