Sécurité du cloud AMCS

Cet article est conçu pour donner un aperçu de la sécurité cloud utilisée par AMCS. Il couvre deux domaines, à savoir les fonctionnalités de sécurité des applications et les systèmes de sécurité opérationnels utilisés dans l’organisation, pour soutenir le développement et la gestion des produits.

1. Fonctionnalités de sécurité des applications

La sécurité du cloud AMCS est assurée à l’aide des meilleures pratiques et technologies de l’industrie.  Nous utilisons également plusieurs systèmes et contrôles opérationnels pour nous assurer que nous surveillons en permanence les nouvelles menaces ou attaques, tout en préservant la sécurité de vos données.

1.1 Chiffrement des données en transit

La transmission de toutes les données vers notre environnement cloud est forcée d’être cryptée avec des protocoles standard de l’industrie et des suites de chiffrement.  Cela comprend :

• Informations d’identification de l’utilisateur
• Données opérationnelles et financières
• Informations personnelles identifiables (PII)

Les systèmes tiers qui tentent d’envoyer des données à nos API sans ces niveaux de cryptage sont rejetés.

Nous appliquons un minimum de TLS 1.2 pour nous assurer que toutes les données que nous acceptons sont cryptées, authentifiées et n’ont pas été falsifiées pendant le transit entre les applications.

1.2 Chiffrement des données au repos

Une fois que vos données ont été acceptées dans notre environnement cloud, elles sont stockées dans des services de stockage sécurisés.  Ces services peuvent varier en fonction du type et de l’application liés aux données.  Les trois principaux types sont la base de données, le stockage de fichiers et le stockage BLOB.

Ces trois services sont configurés pour chiffrer vos données au repos, ce qui signifie que si un attaquant obtient l’accès au disque physique ou au périphérique, les données seront chiffrées.

1.3 Authentification, autorisation et vérification des utilisateurs

Toutes les informations d’identification de l’utilisateur sont transmises et stockées en toute sécurité.  Les mots de passe sont stockés à l’aide d’un algorithme de hachage unidirectionnel.

Le système fournit la fonctionnalité permettant à vos administrateurs utilisateurs de gérer les niveaux d’accès par groupes et les droits d’accès.

Toutes les activités des utilisateurs sont auditées afin que vous ayez une traçabilité complète de l’activité sur votre système.

1.4 Authentification unique (SSO) et authentification multifacteur (MFA)

Dans la mesure du possible, AMCS fournit une intégration complète avec votre fournisseur d’identité pour mettre en œuvre une expérience d’authentification unique pour vos utilisateurs.  Ces implémentations prennent en charge tous les contrôles MFA que vous avez configurés à l’aide des fournisseurs d’identification suivants :

• Okta
• Azure AD
• Google (en anglais)

1.5 Protection DDoS

Tous les points de terminaison réseau sont protégés contre les attaques réseau courantes, y compris les attaques par déni de service distribué.  Une atténuation est automatiquement mise en place lorsqu’une attaque se produit et garantit ainsi que le service est disponible pour les utilisateurs valides.

2. Systèmes de sécurité opérationnels

2.1 Politique de sauvegarde et de conservation des bases de données

AMCS dispose d’une politique de sauvegarde et de rétention des données qui est implémentée en standard pour toutes les instances de la plate-forme AMCS. Cette politique inclut la sauvegarde ponctuelle régulière des bases de données de production toutes les 5 minutes en continu. Ces instantanés sont stockés hors site dans un emplacement géographique différent à des fins de reprise après sinistre, mais à l’intérieur de la même limite géopolitique pour respecter les exigences de souveraineté des données.  Les instantanés sont stockés pendant 35 jours et peuvent être utilisés pour restaurer le système à un point dans le temps avec une précision d’une seconde. En outre, la sauvegarde et la rétention à long terme sont effectuées en standard. Il y a des sauvegardes mensuelles qui sont conservées pendant 12 mois, et les sauvegardes annuelles sont conservées pendant 10 ans.

2.2 Surveillance et alertes continues

Tous les systèmes de production sont intégrés à notre système de surveillance mondial 24h/24 et 7j/7.  Cela garantit que toutes les applications et leurs dépendances critiques sont disponibles.  En cas de panne, une alerte est déclenchée qui lance le processus de support.

2.3 Système de détection des menaces et d’alerte d’intrusion

Le système de sécurité s’adapte au comportement habituel des utilisateurs et des systèmes externes qui interagissent directement avec l’environnement.  Lorsque se produit une activité qui ne correspond pas au modèle habituel, elle est signalée de manière appropriée.  Par exemple, si une API publique qui dessert normalement le trafic d’une région européenne est soudainement appelée depuis l’Amérique du Nord, cette anomalie est signalée à l’équipe de cybersécurité d’AMCS.

2.4 Évaluation de la vulnérabilité

Les agents d’évaluation des vulnérabilités sont utilisés pour analyser en permanence tous les serveurs et terminaux à la recherche des dernières vulnérabilités connues, et celles-ci sont signalées de manière centralisée à l’équipe de cybersécurité d’AMCS.  Les vulnérabilités sont notées à l’aide du CVSS et sont traitées conformément au SLA (voir l’annexe A).

2.5 Analyse dynamique des applications

Nous testons continuellement notre dernière version logicielle pour toutes les vulnérabilités OWASP connues.  Ces analyses explorent automatiquement un environnement de production déployé et testent les points de terminaison pour détecter toute faiblesse ou mauvaise configuration.  Les vulnérabilités sont notées à l’aide du CVSS et sont traitées conformément au SLA (voir l’annexe A). 

2.6 Tests de sécurité effectués par des tiers indépendants

Le Cloud AMCS est soumis à un test de sécurité régulier effectué par un fournisseur indépendant certifié CREST.  Les résultats des tests sont examinés par l’équipe de cybersécurité d’AMCS et sont mis en œuvre conformément à l’ENS (voir l’annexe A).

2.7 Protection des terminaux

Tous les terminaux sont protégés à l’aide des meilleurs logiciels de sécurité pour fournir une protection en temps réel contre les logiciels malveillants, les logiciels espions et autres logiciels malveillants.

2.8 Gestion des mises à jour

Les mises à jour et les correctifs du système d’exploitation sont déployés automatiquement sur tous les serveurs, et cela se produit tous les mois.  Les vulnérabilités importantes telles que les attaques zero-day sont traitées au cas par cas.

3. Annexe

3.1 Annexe A – ENS sur la cote CVSS