Security French

Sécurité

Dernière mise à jour : 21 décembre 2023

La présente déclaration de sécurité s'applique aux plates-formes et aux services proposés par inter-Val Inc. (« interVal »). La protection et la sécurité des données de nos clients sont essentielles à l'exploitation de notre entreprise, et intégrées de manière inhérente à nos plates-formes dès le départ. Afin d'assurer la transparence de nos processus de sécurité avec nos partenaires et nos clients, vous trouverez ci-dessous un résumé détaillé de notre position en matière de sécurité.

Contrôle d'accès

Accès AWS

Toutes les plates-formes d'interVal sont hébergées dans AWS. L'accès direct aux serveurs d'interVal hébergés dans AWS est protégé par une authentification multifactorielle et un accès VPN aux serveurs et aux bases de données sur liste blanche. L'accès à AWS est limité par un contrôle d'accès basé sur les rôles et les autorisations d'accès au moindre privilège.

Révisions du contrôle d'accès

Les autorisations d'accès sont revues au moins une fois par trimestre par les responsables des systèmes d'information et le groupe de travail sur la sécurité, et l'accès est révoqué immédiatement en cas de licenciement d'un employé.

Politiques en matière de mots de passe

Des politiques relatives aux mots de passe sont mises en œuvre pour assurer la complexité, la rotation et la réutilisation des mots de passe. Tous les champs de mots de passe masquent la saisie de l'utilisateur.

Sécurité des applications

Infrastructure AWS

Les plates-formes interVal sont logiquement isolées au niveau du réseau dans AWS dans un nuage privé virtuel AWS (VPC) où les ressources AWS sont lancées dans un réseau virtuel défini par interVal. interVal a un contrôle total sur son environnement de réseau virtuel, y compris la sélection de votre propre plage d'adresses IP, la création de sous-réseaux et la configuration des tables de routage et des passerelles réseau.
AWS a identifié les composants critiques du système nécessaires pour maintenir la disponibilité du système et rétablir le service en cas de panne. Les composants critiques du système sont sauvegardés sur plusieurs sites isolés, appelés zones de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. Les zones de disponibilité sont connectées les unes aux autres par un réseau de fibres optiques privé et rapide, ce qui vous permet de concevoir facilement des applications qui basculent automatiquement entre les zones de disponibilité sans interruption.
Les répartiteurs de charge élastiques AWS sont utilisés pour distribuer automatiquement le trafic d'application entrant entre les conteneurs gérés par AWS ECS, déployés sur plusieurs instances Amazon EC2 dans le nuage. Nous pouvons ainsi atteindre de plus grands niveaux de tolérance aux pannes dans les plates-formes interVal, en fournissant de manière transparente la quantité requise de capacité d'équilibrage de charge nécessaire pour distribuer le trafic des applications.
Les pare-feu, les routeurs, les commutateurs et les connexions Internet sont tous maintenus avec redondance et haute disponibilité sur une base 24 heures sur 24, 7 jours sur 7 et toutes les semaines de l'année par AWS.
AWS gère l'alimentation redondante de tous les routeurs et commutateurs de l'infrastructure, ainsi que des centres de données eux-mêmes; les connexions redondantes par fibre optique aux fournisseurs de connectivité de l'épine dorsale Internet; et la technologie avancée d'optimisation des routes pour fournir un routage efficace parmi les multiples transporteurs de l'épine dorsale connectés aux centres de données.

Sécurité du réseau

interVal utilise des groupes de sécurité et des tables de routage équivalents aux pare-feux AWS pour limiter le trafic aux serveurs et aux sous-réseaux en fonction de la source, de la destination, du port et du protocole.
Les bases de données sont chiffrées et déployées dans des sous-réseaux privés protégés par des groupes de sécurité équivalents aux pare-feu AWS.
L'accès aux serveurs de la plate-forme, lorsqu'il est nécessaire, est uniquement disponible via un accès VPN chiffré, authentifié + MFA.

Sécurité des serveurs et des bases de données

interVal utilise les groupes AWS de mise à l'échelle automatique pour mettre à l'échelle automatiquement à la demande, remplacer les instances défaillantes et déployer de manière transparente de nouveaux déploiements.
Les défaillances matérielles sont remplacées rapidement en utilisant les capacités natives d'AWS pour mettre en service de nouveaux serveurs ou volumes dans AWS à la demande.
Les bases de données déployées sur AWS RDS Managed Services contribuent à réduire la charge opérationnelle et les risques en automatisant les activités courantes telles que les demandes de changement, la surveillance, la gestion des correctifs, la sécurité et les services de sauvegarde/restauration, et fournissent des services de cycle de vie complet pour provisionner, exécuter et soutenir l'infrastructure.

Surveillance et journalisation

Les plates-formes interVal sont constamment surveillées avec New Relic pour la surveillance des applications et de l'infrastructure; AWS CloudWatch pour l'agrégation centralisée des journaux (avec des journaux chiffrés à l'aide d'AES-256 pendant le transport et au repos); AWS CloudWatch pour les alarmes; AWS GuardDuty pour la détection et la surveillance intelligentes des menaces; les systèmes de détection d'intrusion basés sur l'hôte et la surveillance de l'intégrité des fichiers; AWS Shield pour la remédiation aux menaces; AWS CloudWatch pour l'audit; et divers autres systèmes pour la surveillance en temps réel, les alertes, la criminalistique et la sécurité.

Gestion des actifs

Inventaire des actifs

Un système central de gestion informatique est utilisé pour suivre et maintenir les actifs informatiques et les ordinateurs portables de l'entreprise.

Licences

Les licences payantes des fournisseurs sont soumises à un processus formel d'évaluation et d'examen. Les licences libres doivent être conformes aux politiques internes en matière de licences acceptables et non restrictives.

Continuité des activités et reprise après sinistre

Tests annuels

Les plates-formes interVal et les services d'entreprise sont tous basés sur l'informatique en nuage et peuvent être entièrement mis en œuvre à la fois dans un bureau et à distance.

Continuité des activités

interVal platforms and corporate services are all cloud-based, and can be fully implemented in both an office and remote setting.

Reprise après sinistre

Les plates-formes interVal sont déployées dans plusieurs zones de disponibilité (centres de données). En cas de panne dans une zone de disponibilité, le trafic est automatiquement redirigé vers l'autre zone.
En cas de défaillance catastrophique, l'automatisation terraform sera utilisée pour redéployer les environnements; les processus d'intégration et de déploiement continus (CI/CD) sont utilisés pour redéployer les services et les bases de données, et les données seront récupérées à partir de sauvegardes chiffrées hébergées dans AWS.

Stockage et sauvegardes

Les sauvegardes des bases de données sont effectuées au moins une fois par jour et conservées pendant au moins sept jours. Toutes les sauvegardes sont chiffrées pendant le stockage et le transfert.
Les disques durs sont stockés sur des volumes AWS SSD EBS qui sont répliqués sur plusieurs serveurs dans une zone de disponibilité afin d'éviter toute perte de données.
Les données stockées dans les buckets AWS S3 sont répliquées sur plusieurs zones de disponibilité, ce qui garantit une durabilité de 99,999999999 % sur une année donnée. AWS S3 est conçue pour supporter les défaillances simultanées de périphériques en détectant et en réparant rapidement toute redondance perdue, et vérifie régulièrement l'intégrité des données à l'aide de sommes de contrôle.

Sécurité des données

Chiffrement des données

Les données des clients sont chiffrées en transit à l'aide de HTTPS/TLS et chiffrées au repos.
Les bases de données des clients sont situées dans des niveaux de données dans des sous-réseaux privés et sont chiffrées au repos.
Toutes les sauvegardes de bases de données sont chiffrées en transit et au repos. Les sauvegardes restent dans AWS, et restent le pays associé à la plate-forme.
Les mots de passe sont transmis sur des canaux chiffrés TLS.

Classification des données

interVal maintient un système de classification des données pour les données publiques, internes, confidentielles, les informations personnelles identifiables et les données des informations personnelles identifiables sensibles.

Élimination du matériel et des supports

Les politiques et procédures relatives aux équipements de bureau d'interVal et aux centres de données AWS mettent en œuvre l'effacement et l'élimination appropriés des données sur les ordinateurs portables, les disques durs et autres matériels et supports, y compris des techniques telles que l'écrasement, la démagnétisation et l'effacement en deux étapes.

Gestion des clés

Les clés chiffrées sont gérées via AWS Key Management Service (KMS), avec des clés distinctes pour les environnements de développement et de production. Comme il s'agit d'un service AWS géré, aucun utilisateur humain n'a accès aux clés.

Politiques en matière de systèmes d'information (SI)

Politiques de nettoyage et de supports amovibles

Les politiques relatives aux systèmes d'information comprennent une politique de bureau propre appliquée à tous les ordinateurs portables des employés par l'intermédiaire d'un système de gestion informatique central, ainsi qu'une interdiction de tout support amovible.

Évaluation des risques

interVal procède au moins une fois par an à une évaluation des risques en interne et auprès des principaux fournisseurs tiers.

Groupe de travail sur la sécurité

interVal dispose d'un groupe de travail formel sur la sécurité composé de représentants de la direction et du leadership technique de l'ingénierie, de la finance, du marketing, de la conformité et des ressources humaines. Ce groupe se réunit au moins une fois par trimestre pour examiner la position globale en matière de sécurité, les événements majeurs, les tendances et les escalades, l'examen des procédures et des politiques, ainsi que divers tests de procédures, y compris la reprise après sinistre, la continuité des activités et la réponse aux atteintes à la sécurité.

Ressources humaines et sécurité organisationnelle

Vérification des antécédents et confidentialité

Dans le cadre du processus d'embauche, tous les employés font l'objet d'une vérification de leurs antécédents sur une période de plus de sept ans, y compris des vérifications en matière de criminalité et d'emploi. La portée spécifique de toute vérification des antécédents est toujours soumise aux lois et réglementations locales applicables.
Tous les employés sont soumis à des accords de confidentialité dans le cadre de leur contrat de travail.

Discipline des employés

Les employés qui enfreignent les politiques d'interVal feront l'objet d'un examen et de mesures disciplinaires.

Embarquement et débarquement des employés

Les procédures d'intégration et de désintoxication des employés utilisent des notifications, des rappels et des audits automatisés par notre système de gestion des ressources humaines.
Ces procédures comprennent l'activation et la révocation du contrôle d'accès, ainsi que le retrait de l'équipement et la destruction des données.

Formation à la sécurité et à la protection de la vie privée

Tous les employés participent à une formation sur la sécurité et la protection de la vie privée dans le cadre de leur processus d'intégration, ainsi qu'une fois par an. Ce processus est géré par les équipes chargées de la conformité et des opérations, et des enregistrements d'audit sont conservés pour toutes les formations suivies.

Sécurité physique

Centres de données AWS : accès physique

Les plates-formes d'interVal Canada sont entièrement hébergées dans des centres de données AWS aux États-Unis et au Canada.
Le personnel de sécurité d'AWS est en service 24 heures sur 24, 7 jours sur 7 et toutes les semaines de l'année.
L'accès physique aux centres de données AWS est contrôlé aux points d'entrée des bâtiments par un personnel de sécurité professionnel utilisant des systèmes de surveillance et de détection, ainsi que d'autres moyens électroniques. Le personnel autorisé utilise des mécanismes d'authentification à plusieurs facteurs pour accéder aux centres de données. Les entrées des salles de serveurs sont sécurisées par des dispositifs qui déclenchent des alarmes afin d'initier une réponse en cas d'incident si la porte est forcée ou maintenue ouverte.

Centres de données AWS : alarmes, vidéosurveillance, inspection

Des systèmes électroniques de détection des intrusions sont installés dans la couche de données pour surveiller, détecter et alerter automatiquement le personnel concerné en cas d'incident de sécurité. Les points d'entrée et de sortie des salles de serveurs sont sécurisés par des dispositifs qui exigent que chaque personne fournisse une authentification multifactorielle avant d'autoriser l'entrée ou la sortie. Ces dispositifs déclenchent des alarmes si la porte est forcée sans authentification ou maintenue ouverte. Les dispositifs d'alarme de porte sont également configurés pour détecter les cas où une personne sort ou entre dans une couche de données sans fournir d'authentification multifactorielle. Les alarmes sont immédiatement transmises aux centres d'opérations de sécurité d'AWS, ouverts 24 heures sur 24 et 7 jours sur 7, pour enregistrement, analyse et réponse immédiats.
Des systèmes électroniques de détection des intrusions sont installés dans la couche de données pour surveiller, détecter et alerter automatiquement les équipes et les centres d'opérations de sécurité 24 heures sur 24 et 7 jours sur 7 d'AWS.
Vidéosurveillance en circuit fermé (CCTV) à tous les points d'entrée à l'intérieur et à l'extérieur du bâtiment abritant les installations du centre de données.
Les alarmes de sécurité des centres de données AWS sont testées tous les mois, conformément aux exigences des normes ISO 27001 et SOC
.

Centres de données AWS : cartes d'accès, insignes, visiteurs

Tous les membres du personnel et les visiteurs d'AWS doivent porter leur badge d'identité à tout moment lorsqu'ils se trouvent dans les locaux d'AWS.
Une authentification à deux facteurs est utilisée pour accéder aux salles de serveurs et aux zones sensibles du centre de données.
Seul le personnel autorisé d'AWS a accès aux installations du centre de données.
Le contrôle de l'accès des visiteurs s'applique à toutes les zones des centres de données, y compris la justification commerciale de l'accès, le moindre privilège, l'accès limité dans le temps, les badges portés en permanence, les escortes du personnel autorisé et l'accès limité uniquement aux zones justifiées.

Infrastructure et redondance des centres de données AWS

Climat et température

Les centres de données AWS utilisent des mécanismes pour contrôler le climat et maintenir une température de fonctionnement appropriée pour les serveurs et autres matériels afin d'éviter la surchauffe et de réduire les risques d'interruption de service.
Le personnel et les systèmes surveillent et contrôlent la température et l'humidité à des niveaux appropriés

Détection et suppression des incendies

Les centres de données AWS sont équipés d'un système automatique de détection et d'extinction des incendies.
Les systèmes de détection d'incendie utilisent des capteurs de détection de fumée dans les espaces réseau, mécaniques et d'infrastructure.

Détection des fuites

Afin de détecter la présence de fuites d'eau, AWS équipe les centres de données d'une fonctionnalité permettant de détecter la présence d'eau.
Si de l'eau est détectée, des mécanismes sont en place pour éliminer l'eau afin d'éviter tout dommage supplémentaire.
.

Alimentation électrique

Les systèmes d'alimentation électrique des centres de données AWS sont conçus pour être entièrement redondants et maintenables sans impact sur les opérations, 24 heures sur 24.
AWS s'assure que les centres de données sont équipés d'une alimentation de secours afin de garantir la disponibilité de l'énergie pour maintenir les opérations en cas de panne électrique pour les charges critiques et essentielles de l'installation.

Processus de développement de logiciels

Processus Agile SDLC

Les équipes d'ingénierie produit d'interVal travaillent dans un environnement agile avec des capacités de livraison continue. Les tâches passent par notre processus SDLC standard, y compris la planification du sprint, la documentation des tâches, le développement, les révisions de code, l'assurance qualité, les tests du serveur de construction, les environnements de déploiement multiples, le déploiement automatisé de la production et les capacités de retour en arrière.
Ces processus incluent le contrôle des versions, les normes de codage et les meilleures pratiques en matière de sécurité.

Environnements

interVal dispose de comptes AWS entièrement séparés pour les environnements de production et de développement de chaque plate-forme. Les données des clients en production sont totalement isolées au niveau du réseau, de la logique et du contrôle d'accès par rapport aux environnements locaux et de développement.

Séparation des tâches

interVal a mis en place une séparation des tâches entre les différents départements et les différentes étapes du cycle de développement du logiciel. Cette séparation comprend les plates-formes-formes déclenchées par les ressources humaines, l'accès aux ordinateurs portables et à l'informatique d'entreprise par les administrateurs informatiques, l'accès à l'ingénierie par la direction de l'ingénierie, les tests logiciels par l'assurance qualité, le support de la plate-forme par les équipes d'assistance, et la responsabilité partagée de la sécurité par l'ingénierie, l'informatique et le groupe de travail sur la sécurité.

Gestion des menaces

Correctifs et anti-logiciels malveillants

interVal a mis en place des processus de gestion des correctifs et des systèmes anti-logiciels malveillants pour gérer de manière proactive les mises à jour de sécurité.

Tests de vulnérabilité et de pénétration

Des tests de vulnérabilité mensuels et des tests de pénétration annuels, manuels et indépendants, sont effectués pour vérifier les risques de sécurité du classement des 10 principaux risques de l'OWASP, ainsi que d'autres considérations de sécurité. Les correctifs critiques et de haut niveau sont corrigés en priorité.

Réponse aux brèches et aux incidents

DDoS et prévention des attaques

La prévention des attaques DDoS est gérée par interVal et AWS. interVal dispose d'un support d'entreprise de premier ordre avec AWS pour une escalade et une assistance immédiates des problèmes critiques, y compris les attaques DDoS. interVal travaillera également avec des équipes tierces de réponse aux brèches cybernétiques dans le cas d'un incident majeur.
Les plates-formes interVal utilisent une combinaison de gestion des menaces et de surveillance, notamment AWS WAF, Guard Duty, les alarmes CloudWatch, la journalisation centralisée AWS CloudWatch, la surveillance des applications et de l'infrastructure Datadog, ainsi que d'autres outils pour aider à surveiller et à prévenir les attaques.

Notification de violation

En cas de violation majeure ou à signaler, les clients concernés seront informés dans les 72 heures, ou plus tôt si la loi l'exige. Les clients peuvent être informés directement par les équipes d'assistance ou de réussite client.
Les procédures de réponse aux incidents impliquent une identification claire des rôles et des responsabilités. L'incident est d'abord évalué et classé en fonction de son impact sur le système et de l'existence ou non d'une violation, puis des procédures d'escalade et des intervalles réguliers de notification aux clients concernés sont mis en place. En cas de violation majeure ou à signaler, interVal peut désigner un auditeur indépendant pour évaluer l'étendue et les conséquences de la violation, aider à remédier à la situation et rédiger un rapport complet de ses conclusions.

Assistance

interVal dispose d'une surveillance en direct et automatisée de sa plate-forme, 24 heures sur 24 et 7 jours sur 7. Des équipes dédiées à la réussite des clients sont régulièrement présentes en Amérique du Nord (heure de l'Est) par le biais d'un courriel, d'un chat en direct sur Intercom et d'un système de tickets d'assistance. Les problèmes prioritaires de la plate-forme après les heures de travail peuvent être déclenchés via des alertes Slack et des contacts d'urgence désignés après les heures de travail.

Vos responsabilités

La sécurisation de vos données est une responsabilité partagée qui implique également que vous mainteniez une sécurité appropriée sur vos comptes. Il s'agit notamment de garantir des identifiants suffisamment complexes et des politiques de rotation des mots de passe.
Ne partagez pas vos comptes ou vos identifiants avec d'autres personnes et fournissez des informations d'auto-identification exactes pour la validation de votre compte ou pour d'éventuelles demandes de données à l'avenir.

Conformité

Centres de données AWS

La plate-forme interVal Canada est entièrement hébergée dans les centres de données AWS dans les régions des États-Unis et du Canada afin de fournir une haute disponibilité.
AWS maintient des certifications annuelles et des rapports d'audit de tiers, y compris PCI DSS niveau 1, ISO 27001, FISMA modéré, FedRAMP, HIPAA, et SOC 1 et SOC 2.

Audits SOC-2

Les rapports sur les contrôles des systèmes et de l'organisation (SOC) sont des rapports d'examen indépendants, réalisés par des tiers, qui démontrent comment Inter-val Inc. réalise les contrôles et les objectifs clés en matière de conformité.
Inter-val Inc a réalisé son premier audit SOC-2 de type 2 en août 2023, et effectue un audit annuel chaque année par la suite.

Avis de non-responsabilité

Les informations contenues dans le présent document sont fournies à titre d'information générale uniquement. Bien que nous nous efforcions de maintenir les informations à jour et correctes, nous ne faisons aucune déclaration ni ne donnons aucune garantie, expresse ou implicite, quant à l'exhaustivité, l'exactitude, la fiabilité, l'adéquation ou la disponibilité des informations, des produits, des services, des processus, des activités ou du matériel connexe mentionnés dans le présent document à quelque fin que ce soit. La confiance que vous accordez à ces informations est donc strictement à vos risques et périls. En aucun cas, interVal ne sera tenu responsable de toute perte ou de tout dommage, y compris, mais sans s'y limiter, de toute perte ou de tout dommage indirect ou consécutif, ou de toute perte ou de tout dommage de quelque nature que ce soit, y compris la perte de données ou de bénéfices, résultant de la confiance accordée à ces informations ou s'y rapportant.

Vos données sont sécurisées avec interVal