La sécurité chez CloudLock

Présentation

Le contenu de cette page détaille les mécanismes et processus de sécurité mis en place par CloudLock afin d'assurer et de renforcer la sécurité, la protection et la confidentialité des données de nos clients. Les mesures de sécurité mises en place par CloudLock couvrent les aspects technologiques, opérationnels et légaux de la protection des données des clients.

CloudLock est une application SaaS qui tourne sur la plateforme Google App Engine. Chez CloudLock, nous savons que quand une entreprise examine la sécurité de ses applications SaaS, elle doit établir un profil de risque lui permettant de déterminer si l'application améliore ou diminue son exposition. Comme c'est le cas pour toute autre application SaaS, le profile de risque est constitué de deux composantes essentielles :

  • les contrôles de sécurité opérationnelle mis en place par l'équipe technique de l'éditeur de SaaS (ce qui nécessite une gestion mature et de lourds investissements en termes de processus, politiques, de documentation et de moyens technologiques) ;
  • les contrôles de sécurité au niveau de la solution elle-même.

La sécurité opérationnelle CloudLock

Ces contrôles de sécurité sont mis en place et soumis aux audits des plus grands clients Google dans les sphères commerciale et fédérale. CloudLock a également été certifié conforme à l'audit SSAE16 de type I (déclaration sur les normes de satisfaction aux exigences).

Contrôles internes, processus et outils

CloudLock assure la sécurité des données de ses clients en maintenant ses standards opérationnels au plus haut niveau existant. Quelques exemples des démarches entreprises pour y parvenir :

  • l'activité des administrateurs est entièrement journalisée et fait l'objet d'audits ;
  • l'accès pour les utilisateurs à faibles privilèges et séparation des tâches - seuls les membres autorisés et spécifiés du personnel bénéficient de l'accès aux systèmes de production ;
  • des analyses de sécurité et des tests d'intrusion sont effectués selon une fréquence planifiée ;
  • la gestion des changements et des configurations ;
  • le contrôle et la maintenance des accès ;
  • SSP – notre politique de sécurité des systèmes d'information répertorie les centaines de contrôles mis en place chez CloudLock ;
  • en marge de leur contrat de travail, tous nos employés signent un document légal qui aborde explicitement les exigences de sécurité, de confidentialité et de conformité, et leur interdit tout accès aux données de nos clients sans obtention préalable de leur consentement par écrit ;
  • l'identification unique sur des systèmes de production utilisant des comptes CloudLock pour Googe Apps ;
  • l'authentification forte pour empêcher l'accès par des personnes extérieures dans le cas où l'intégrité d'un compte serait compromise ;
  • les comptes fonctionnels sont changés deux fois par mois.

Des analyses de sécurité et des tests d'intrusion sont effectués selon une fréquence planifiée

Conditions légales et confidentialité

La protection des données de nos clients va au-delà de la technologie et des processus. CloudLock offre également les assurances ci-dessous :

CloudLock est hébergé sur Google App Engine

CloudLock est hébergé sur Google App Engine, la plateforme d'hébergement d'applications web de Google certifié conforme aux audits SAS 70 de Type II, SSAE 16 de Type II et ISAE 3402.
Quelques exemples des avantages de Google App Engine :

  • une application hébergée sur App Engine tourne sur la même infrastructure qui sous-tend d'autres applications Google telles que Gmail et Google Apps ;
  • les politiques de sécurité, de confidentialité et de protection des données dont vous bénéficiez avec Google Apps s'appliquent également à toutes les applications App Engine ;
  • grâce à l'hébergement sur App Engine, vos données ne quittent jamais l'infrastructure de Google.

La sécurité au sein de la solution CloudLock

Technologie

La pile de sécurité CloudLock

CloudLock a été intégralement conçu avec la sécurité pour objectif. Un ensemble de composantes d'architecture ont été mises en places au niveau de l'infrastructure afin d'assurer le standard de sécurité et de confidentialité le plus élevé possible pour les données de nos clients :

  • l'identification unique (SSO) pour un accès authentifié à l'application ;
  • l'accès sécurisé à l'application grâce au protocole https ;
  • des contrôles d'accès basés sur les rôles (RBAC) ;
  • l'audit de toutes l'activité des utilisateurs au niveau applicatif à l'aide d'un utilitaire d'audit inviolable ;
  • l'utilisation de l'environnement d'exécution sécurisé de Google App Engine.

Collecte de métadonnées

CloudLock collecte les métadonnées uniquement à partir du domaine Google Apps du client grâce aux interfaces de programmation d'application (API) sécurisées et authentifiées de Google Apps. CloudLock opère sans ouvrir ni lire le contenu de vos documents ou sites.

Installation et autorisation d'accès aux API

CloudLock étant une application de Google Apps Marketplace, son intégration à un domaine Google Apps est simple et sécurisée. L'installation se fait en deux étapes clefs :

  1. autoriser l'application CloudLock à authentifier et à accéder à votre domaine à l'aide d'une clef d'authentification sécurisée
  2. autoriser CloudLock à accéder aux API suivantes :
  • docsFeed – accès aux documents du domaine
  • provReadOnlyFeed – accès aux utilisateurs du domaine
  • provReadOnlyGroupsFeed – accès aux groupes du domaine
  • sitesDataFeed – accès aux sites du domaine.

Les administrateurs peuvent supprimer ou désactiver l'application de l'interface d'administration de domaine à tout moment.

Les pratiques de gestion et confidentialité des données de CloudLock ont fait l'objet d'audits et sont certifiés par l'organisme leader TRUSTe en conformité avec les normes les plus exigeantes du secteur.

CloudLock est certifié par le programme TRUSTe

Accès sécurisé à l'application

CloudLock prend en charge l'authentification unique Open ID, qui permet une gestion simplifiée et centralisée des accès au service CloudLock. CloudLock respecte les standards de l'industrie pour l'authentification des utilisateurs finaux et l'autorisation d'accès à l'application :

  • authentification intégrée pour une identification sécurisée sur le domaine Google Apps grâce à Google Open ID ;
  • chiffrage des accès à l'application CloudLock grâce au protocole https (chiffrage AES 256) ;
  • accès à l'application autorisé uniquement aux administrateurs de domaines ;
  • contrôles d'accès basés sur les rôles pour les nouveaux utilisateurs ; possibilité pour les administrateurs de domaines d'ajouter de nouveaux utilisateurs pour l'application CloudLock et de leur attribuer des rôles spécifiques.

Audit au niveau applicatif

Toutes les modifications apportées à un domaine Google Apps via l'application CloudLock font l'objet d'audits complets enregistrés en continu dans un journal d'audit inviolable.

Contrôles clients

Nos clients disposent d'un contrôle total leur permettant de retirer les autorisations d'accès aux API accordées par CloudLock via le panneau d'administration Google Apps (panneau de configuration). CloudLock permet aux grandes entreprises un déploiement privé sur une instance dédiée sans passer par Google Apps Marketplace.

Vous pouvez nous faire part de vos question ou commentaires à cette adresse :
security@cloudlock.com

Voir le site complet (en anglais)>>
Propulsé par Olark