Des mesures pour assurer la sécurité des postes de travail standards du personnel d'Aster sont mises en place :

Les services Aster sont proposés sur un logiciel accessible en ligne, sous la forme d’un service d’application. Les utilisateurs peuvent accéder à leurs données depuis un navigateur Internet.

Les services et composants qui forment Aster sont essentiellement écrits en code JavaScript, TypeScript et se basent sur les cadres d’applications Angular et NodeJS (FeatherJS).

Le développement d'Aster se fait dans le respect des bonnes pratiques de sécurité recommandées par la fondation OWASP, en adoptant une approche systématique de sécurité dès la conception. Aster a donc mis en place des mécanismes rigoureux pour maîtriser les risques de sécurité, dont voici une liste non-exhaustive :

Tous les ans minimum, Aster passe des audits de sécurité pour les 10 principales menaces identifiées par OWASP dans le cadre d'audits applicatifs et infras déroulés par ces clients.

Les résultats des scans et prises en comptes sont accessibles sur demande.

Aster suit un processus de gestion des risques qui a pour but d’identifier par avance d’éventuelles vulnérabilités au sein de ses systèmes et d’évaluer l’émergence de nouveaux risques pour les opérations de l’entreprise.

Aster suit un processus visant à réaliser des analyses de vulnérabilité sur les systèmes internes et externes de son environnement de production.

L’équipe de sécurité d'Aster effectue ces analyses au moins une fois tous les deux mois et les vulnérabilités sont corrigées suite aux résultats de l’évaluation.

Chaque évolution importante de l’environnement de production s’accompagne également d’analyses de vulnérabilité déterminées par le responsable de la sécurité.

Aster s’associe à des experts de la sécurité indépendants pour tester son code face aux failles de sécurité les plus courantes et pour soumettre ses serveurs de production à des outils d’analyse de réseau.

Des tests d’intrusion sont réalisés chaque année minimum.

Les vulnérabilités vérifiables sont corrigées, puis testées de nouveau.

Les résultats des scans et prises en comptes sont accessibles sur demande.

Aster emploie le système de contrôle de révisions Git. Les modifications apportées au code base d'Aster passent par une série de tests automatisés, puis par des révisions manuelles.

Après avoir réussi les tests du système automatisé, les modifications sont envoyées sur un serveur de simulation, où des employés d'Aster peuvent procéder à des tests (au minimum une Peer Review par un autre ingénieur + une QA pour vérification des non régressions) avant de les appliquer aux serveurs de production et aux clients.

Les modifications et fonctionnalités particulièrement sensibles sont également soumis à un examen de sécurité spécifique (Code Review), menées par le responsable sécurité.

Enfin, les ingénieurs d'Aster peuvent sélectionner certaines mises à jour critiques (résolutions de bugs en production) et les appliquer instantanément aux serveurs de production.

Les données sensibles (coordonnées des utilisateurs, nom et données des réunions) sont chiffrées en AES 256 bits (si activé lors du paramétrage avec le client).

Une sauvegarde complète et distante bi-quotidienne de la base de données et de

l’application, jusqu’à 100Go par défaut, dans un espace privé en France, redondé, propre au client et accessible uniquement depuis le serveur du client en SSL (TLS 1.2).

Tout chez Aster est tourné vers la continuité de la stabilité et la disponibilité de l'application.

Pour cela, tout est mis en œuvre chez Aster pour assurer un support continu (durant les heures de travail)

Au sein de l'équipe d'ingénieurs, tout le monde est formé pour pouvoir monter en support (et est en charge de ce support, seul ou en équipe, en moyenne 70 jours par an.

Cela autorise une mobilisation d'urgence en cas de crise, ou plus simplement en cas de besoin de renfort côté support.

Du côté de l'interface support Chat, une organisation a été mise en place afin que l'équipe puisse être suppléée.

En cas de crise ou de demande de support intense, chaque personne de l'équipe a été sensibilisée et engagée côté Produit pour pouvoir assurer le contact et le support auprès des utilisateurs.

Enfin, toute l'équipe d'Aster est habilitée et équipée pour travailler à distance (et est autorisée à le faire sans limite au cours de la semaine).

Aster dispose d'un système d'alerting automatique détectant les interruptions de service des tenants des clients. L'équipe d'ingénieurs est automatiquement mobilisée en cas de notification (directement sollicitée via le système de messagerie interne).

Un chat de support et à disposition de tous les utilisateurs d'Aster, afin de déclencher au besoin des demandes de support.

Enfin, un CSM est assigné à nos clients plan Enterprise afin de déclencher des demandes au besoin.

Les données sont accessibles et redondées, comme décrit dans la partie "Politique de chiffrement et de backup".

Le temps de récupération des données d'une instance Aster est de 4h maximum.