Sécurité des postes de travail

Des mesures pour assurer la sécurité des postes de travail standards du personnel d'Aster sont mises en place :

  • Gestion automatique des mises à jour ;
  • Installation et mise à jour des antivirus, avec des scans réguliers ;• installation uniquement des applications issues d'un catalogue validé ;
  • Chiffrement systématique des disques durs ;
  • Absence de droits d'administration pour les salariés sur leur poste de travail ;
  • Procédure de traitement d'un poste de travail potentiellement compromis ;
  • Standardisation des équipements ;
  • Procédure de suppression des sessions et de réinitialisation des postes lors des départs des salariés.

Sécurité de l’application - gestion des vulnérabilités

Les services Aster sont proposés sur un logiciel accessible en ligne, sous la forme d’un service d’application. Les utilisateurs peuvent accéder à leurs données depuis un navigateur Internet.

Les services et composants qui forment Aster sont essentiellement écrits en code JavaScript, TypeScript et se basent sur les cadres d’applications Angular et NodeJS (FeatherJS).

Le développement d'Aster se fait dans le respect des bonnes pratiques de sécurité recommandées par la fondation OWASP, en adoptant une approche systématique de sécurité dès la conception. Aster a donc mis en place des mécanismes rigoureux pour maîtriser les risques de sécurité, dont voici une liste non-exhaustive :

  • Faille d’injection
  • Violation de gestion d’authentification et de session
  • Fuite d’informations sensibles
  • Attaque XML External Entities (XXE)
  • Violation de contrôle d’accès
  • Faille de sécurité due à une mauvaise configuration
  • Faille Cross-Site Scripting (XSS)
  • Désérialisation non sécurisée
  • Utilisation de composants tiers vulnérables
  • Journalisation et surveillance insuffisantes
  • Falsification de requête inter-site (CSRF)
  • Faille de redirection et renvoi non validé

Tous les ans minimum, Aster passe des audits de sécurité pour les 10 principales menaces identifiées par OWASP dans le cadre d'audits applicatifs et infras déroulés par ces clients.

Les résultats des scans et prises en comptes sont accessibles sur demande.

Gestion des risques et vulnérabilités

Aster suit un processus de gestion des risques qui a pour but d’identifier par avance d’éventuelles vulnérabilités au sein de ses systèmes et d’évaluer l’émergence de nouveaux risques pour les opérations de l’entreprise.

Aster suit un processus visant à réaliser des analyses de vulnérabilité sur les systèmes internes et externes de son environnement de production.

L’équipe de sécurité d'Aster effectue ces analyses au moins une fois tous les deux mois et les vulnérabilités sont corrigées suite aux résultats de l’évaluation.

Chaque évolution importante de l’environnement de production s’accompagne également d’analyses de vulnérabilité déterminées par le responsable de la sécurité.

Tests d’intrusion

Aster s’associe à des experts de la sécurité indépendants pour tester son code face aux failles de sécurité les plus courantes et pour soumettre ses serveurs de production à des outils d’analyse de réseau.

Des tests d’intrusion sont réalisés chaque année minimum.

Les vulnérabilités vérifiables sont corrigées, puis testées de nouveau.

Les résultats des scans et prises en comptes sont accessibles sur demande.

Cycle de vie du développement logiciel

Aster emploie le système de contrôle de révisions Git. Les modifications apportées au code base d'Aster passent par une série de tests automatisés, puis par des révisions manuelles.

Après avoir réussi les tests du système automatisé, les modifications sont envoyées sur un serveur de simulation, où des employés d'Aster peuvent procéder à des tests (au minimum une Peer Review par un autre ingénieur + une QA pour vérification des non régressions) avant de les appliquer aux serveurs de production et aux clients.

Les modifications et fonctionnalités particulièrement sensibles sont également soumis à un examen de sécurité spécifique (Code Review), menées par le responsable sécurité.

Enfin, les ingénieurs d'Aster peuvent sélectionner certaines mises à jour critiques (résolutions de bugs en production) et les appliquer instantanément aux serveurs de production.

Gestion de la sécurité des données – Politique de chiffrement et de backup

Les données sensibles (coordonnées des utilisateurs, nom et données des réunions) sont chiffrées en AES 256 bits.

Une sauvegarde complète et distante bi-quotidienne de la base de données et de

l’application, jusqu’à 100Go par défaut, dans un espace privé en France, redondé, propre au client et accessible uniquement depuis le serveur du client en SSL (TLS 1.2).

Plan de Continuité d'Activité

L’organisation de l’activité

Tout chez Aster est tourné vers la continuité de la stabilité et la disponibilité de l'application.

Pour cela, tout est mis en œuvre chez Aster pour assurer un support continu (durant les heures de travail)

L’organisation du travail

Au sein de l'équipe d'ingénieurs, tout le monde est formé pour pouvoir monter en support (et est en charge de ce support, seul ou en équipe, en moyenne 70 jours par an.

Cela autorise une mobilisation d'urgence en cas de crise, ou plus simplement en cas de besoin de renfort côté support.

Du côté de l'interface support Chat, une organisation a été mise en place afin que l'équipe puisse être suppléée.

En cas de crise ou de demande de support intense, chaque personne de l'équipe a été sensibilisée et engagée côté Produit pour pouvoir assurer le contact et le support auprès des utilisateurs.

Enfin, toute l'équipe d'Aster est habilitée et équipée pour travailler à distance (et est autorisée à le faire sans limite au cours de la semaine).

La mise en place des alertes et notifications

Aster dispose d'un système d'alerting automatique détectant les interruptions de service des tenants des clients. L'équipe d'ingénieurs est automatiquement mobilisée en cas de notification (directement sollicitée via le système de messagerie interne).

Un chat de support et à disposition de tous les utilisateurs d'Aster, afin de déclencher au besoin des demandes de support.

Enfin, un CSM est assigné à nos clients plan Enterprise afin de déclencher des demandes au besoin.

La mise en place des procédures de reprise

Les données sont accessibles et redondées, comme décrit dans la partie "Politique de chiffrement et de backup".

Le temps de récupération des données d'une instance Aster est de 4h maximum.

Avez-vous trouvé votre réponse?