Politique de sécurité

Nos utilisateurs et leur sécurité sont au cœur de tout ce que nous faisons. Il est donc essentiel pour nous de protéger Elium ainsi que vos données, tout en assurant une expérience fluide et disponibilité optimale de nos services.

Mesures de sécurité logicielle

Afin de garantir la protection des données de nos clients, nous mettons en place des mesures techniques de sécurité, et cela, dans la mesure du possible, dès le processus de développement (protection by design and by default). Nous validons ces mesures de sécurité à l’aide d’exécution régulier de tests de vulnérabilité.

Accès Elium

L’accès à Elium est crypté par connexion HTTPS (supportant TLS1.1/TLS1.2 basé sur RSA avec AES128/AES256/CHACHA20). Notre objectif est de fournir un bon équilibre entre compatibilité et sécurité pour les clients d’Elium (note A+ sur SSLlabs).

Elium fournit une gestion administrative des droits d’accès et des rôles des utilisateurs ou des groupes d’utilisateurs, ainsi qu’une traçabilité complète des activités des utilisateurs et des tentatives d’abus.

Elium permet également aux administrateurs du client d’appliquer des options de sécurité avancées à leur instance :

  • niveau de complexité multiple des mots de passe utilisateurs
  • seuil de téléchargement
  • pare-feu virtuel
  • etc.

Dans tous les cas, tous les mots de passe d’Elium sont stockés hachés avec une forte fonction de hachage et de salage.

Séparation des services.

Il existe différents groupes de services utilisés par Elium. Chaque groupe de services est séparé logiquement (dans des VLAN différents) des autres et possède des mesures de sécurité différentes.

Services vitrine

Ces services internes sont utilisés pour accéder à Elium. Ils sont directement connectés à Internet et ont un impact sur la disponibilité, la confidentialité et l’intégrité de Elium. Il s’agit de services situés dans une zone DMZ. Seuls les ports de service nécessaires sont ouverts à Internet (HTTP(S), SMTP(S), IMAP(S), POP3(S)).

Ces services sont configurés pour être redondants et fournir une haute disponibilité.

Services de support

Ces services internes sont utilisés pour soutenir Elium. Ils ne sont pas directement exposés à Internet. Certains de ces services sont accessibles au travers des services vitrines, comme les serveurs d’applications, tandis que d’autres ne sont accessibles qu’au travers des autres services de support, comme les accès au données.

Services tiers

Ces services externes sont utilisés pour soutenir Elium. Nous ne sommes pas responsables de la gestion de ces services et n’avons donc aucune incidence sur leur disponibilité, leur confidentialité et leur intégrité. Lorsque nous sélectionnons un service externe, nous procédons à une vérification des mesures techniques de sécurité que celui-ci offre. Dans tous les cas, nous choisissons des services externes pouvant nous garantir un niveau de sécurité égale ou supérieur à nos exigences.

Sécurité d’exploitation

La gestion et la maintenance des services Elium sont supervisées par une équipe d’ingénieurs qualifiés et responsables des tâches quotidiennes dans le but de fournir une stabilité, disponibilité et sécurité optimales à Elium.

Mises à jour et correctifs de sécurité

Nous restons informés des risques de sécurité ou des brèches nécessitant des correctifs de sécurité pour les logiciels utilisés par les services Elium. Dans tous les cas, nous appliquons ces correctifs dès que possible.

Mesures de sécurité des données

La sécurité des données clients d’Elium est une priorité pour nous. Nous utilisons une série de mesures de sécurité pour assurer la disponibilité, la confidentialité et l’intégrité des données des clients.

Stockage des données

Afin de garantir la disponibilité des données clients d’Elium, celles-ci sont stockées sur un système distribué. Chaque donnée est répliquée sur différents disques sur différents serveurs.

Cryptage des données

Afin de garantir la confidentialité des données clients d’Elium, celles-ci peuvent être cryptées sur le disque. Lors de transfert des données en dehors de l’infrastructure de production, les données sont cryptées (cfr. Accès Elium). De plus, en cas de traitement de données confidentielles (comme l’exportation des données clients en dehors de l’infrastructure de production), elles sont cryptées à l’aide d’un mécanisme fort et robuste. Toutes les clés de cryptage sont stockées dans une zone sécurisée/protégée.

Sauvegarde des données

Afin d’assurer la résilience contre les pannes de matériel, les données clients d’Elium sont stockées de manière redondante en temps quasi réel (avec au moins 3 copies) sur différents serveurs. De plus, nous effectuons régulièrement des snapshots incrémentaux et les stockons de manière cryptés sur un espace externe sécurisé.

Isolation des données

Afin de garantir la confidentialité des données clients d’Elium, celles-ci sont logiquement séparées. Cela signifie que les données de chaque client sont stockées sur un même dispositif physique, mais dans des bases de données logiques ou des zones de stockage différents.

Portabilité des données

Nous garantissons la restitution complète du contenu stocké par les clients dans leur instance Elium. Soit à des fins d’archivage interne pendant la durée de vie du projet, soit pour le réinjecter dans une autre plate-forme (généralement à la fin du projet).

Suppression de données

Nous n’avons aucune obligation de conserver les données du client après toute date effective de résiliation, et nous nous engageons à détruire tout contenu après au plus tard 30 jours suivant la demande du client.

Gestion des incidents

Dans le cas d’un incident, nous informons rapidement (dans un délai minimum de 24h) nos clients concernés. Nous utilisons dés lors toutes les moyens possibles afin de collecter et sauvegarder toutes les informations utiles à la gestion de cet incident et mettons en place les mesures nécessaires afin de minimiser et corriger le problème. Nous tenons également à jour un registre des incidents.

Mesures de sécurité physique

Tous les équipements informatiques supportant la plate-forme Elium sont stockés dans des baies sécurisées hébergées dans des Centres de Données situés en Belgique.

La protection contre les intrusions illégales, le vol ou tout autre risque ayant une incidence sur la disponibilité et la confidentialité de notre matériel est garantie par les mesures de sécurité prises par les centres de données, telles que la présence de gardes de sécurité, de clôtures et de barrières extérieures, de portes sécurisées/blindées, d’accès individuel aux salles et aux cages par badge, de vidéosurveillance extérieure et intérieure avec 1 semaine d’enregistrement, de système de détection des intrusions avec surveillance extérieure. Les centres de données disposent d’installations TIER 3+ avec toutes les mesures de sécurité requises contre les catastrophes naturelles ou industrielles, telles que la détection d’incendie, les planchers surélevés, le câblage au plafond, une génératrice de secours, le CVC. Les centres de données principaux sont certifiés ISO27001.

Mesures de sécurité du matériel

Afin de fournir une solution de haute disponibilité, notre architecture assure, dans la mesure du possible, une redondance au niveau matériel.

Le réseau et les lignes électriques sont physiquement séparés pour des raisons de sécurité.

Pour les équipements réseau et les serveurs (physiques et logiques), nous fournissons au moins une redondance N+1, assurant que le service soit pris en charge par les autres en cas de panne, ou de maintenance programmée.

L’accès au matériel informatique est restreints aux personnes ayant le niveau de compétence nécessaire pour leur gestion.

Mesures de sécurité du réseau

Afin de garantir à nos clients une disponibilité de plus de 99% à leur platefome, nous disons de deux lignes d’accès Internet individuelles et séparées aux centres de données. L’une est l’accès Internet actif au réseau Elium, et l’autre est utilisée en cas d’émission ou d’attaque sur la première. En cas d’attaque du réseau, nous sommes en mesure de basculer entre les deux lignes d’accès Internet.

Nous examinons régulièrement la configuration du réseau pour l’accès aux services en ligne. Chaque fois qu’un changement principal est appliqué à la configuration du réseau, nous effectuons un test de pénétration et enregistrons le résultat.

L’accès à Internet est protégé contre les intrusions illégales à distance à l’aide de règles sur les périphériques réseau qui limitent l’accès uniquement au trafic autorisé. Seuls les ports de service « facing » nécessaires (voir ci-dessous) sont ouverts à Internet (HTTP, HTTPS, SMTP,…)

Nous exécutons régulièrement des tests de pénétration sur nos infrastructures afin de garantir qu’uniquement les services devant être accessibles le sont. 

Intéressé
d'aller plus loin ?