Assurez la sécurité des données de votre intranet d'entreprise

Avec notre plateforme collaborative Silverpeas

Vos données intranet sont en sécurité

Révisée régulièrement notre politique de sécurité a été mise en place en 2011, lors de l’ouverture en Open Source du code de la plateforme. Elle se base sur les normes de sécurité ISO 27001 et ISO 27002, et est totalement intégrée dans le système de management de la qualité.

Elle couvre :

  • Risque d’indisponibilité des informations et applications, et des systèmes les traitant.
  • Risque de divulgation, ou perte de confidentialité, accidentelle ou volontaire des informations fournies par nos clients.
  • Risque d’altération, ou perte d’intégrité, qui pourrait amener à une perte d’information pour nos clients.

 

Les normes de sécurité des systèmes informatiques

  • ISO 9001 : Systèmes de Management de la Qualité
  • ISO 27001 : Système de Management de la Sécurité de l’Information (SMSI).
  • ISO 27002 : Code de bonne pratique pour la gestion de la sécurité de l’information

 

securite-1

Le contrôle des accès

Single Sign On

Silverpeas s’intègre dans un contexte d’authentification Single Sign-On (SSO). Ainsi, cette méthode d’authentification, permet à un utilisateur d’accéder à plusieurs applications informatiques en ne procédant qu’à une seule authentification.

✔ Moins de mots de passe sont à retenir pour l’utilisateur

✔ Le niveau de sécurité s’en trouve renforcé.

Silverpeas est compatible avec les protocoles les plus couramment utilisés comme Kerberos (Microsoft Azure AD) et SAMLv2 ( Google).

Politique de mot de passe

Chaque utilisateur est identifié par un identifiant unique et un mot de passe fort.

La politique de mot de passe pour les utilisateurs des services hébergés est la suivante :

  • Personnalisation par l’utilisateur lors de sa 1ère connexion
  • Taille minimale : 8 caractères
  • Complexité : lettre, chiffre et symbole
  • Fréquence de changement : toutes les 100 connexions (nombre paramétrable)
  • Pas de réutilisation du dernier mot de passe
  • Verrouillage après 3 tentatives infructueuses (chiffre paramétrable)

Les mots de passe sont stockés dans une base sécurisée et chiffrée. En cas d’oubli, un renouvellement est nécessaire, envoyant un mot de passe temporaire à l’utilisateur lui permettant à sa connexion de le réinitialiser.

securite-mot-de-passe-5

Cryptographie

Transfert de données

Tout transfert de données vers la plateforme d’hébergement est réalisé par l’intermédiaire de liens VPN. Si des données confidentielles doivent transiter soit sur un média amovible, soit dans un mail, ces données doivent être chiffrées en respectant les règles en vigueur.

Certificats

Les certificats utilisés par les équipes techniques Silverpeas proviennent d’autorités de certifications publiques et reconnues.

 

securite-3

Sécurité physique et environnementale

Sécurité des datacenters

Les datacenters utilisés par Silverpeas (Scaleway et OVH) sont situés en France.

Le datacenter est de type Tier 3 +, avec les principales caractéristiques suivantes :

  • Localisation : zone non inondable, non sismique, hors couloirs aériens, hors zones Seveso
  • Sécurité électrique : double alimentation 20 000 volts EDF, onduleurs et groupe électrogène N+1, baies en double alimentation
  • Haute densité
  • Sécurité physique : présence sur site, télésurveillance 365j x 24h, portes blindées, accès par badge, traçabilité des accès
  • Sécurité incendie
  • Accès opérateurs : site multi-opérateurs, double induction et double pénétration fibres optiques
  • Service 365j x 24h
  • Ecoresponsable : bâtiment HQE, récupération de la chaleur pour chauffer les bureaux, choix technologiques Green IT et écologiques, gaz inertes

Redondance matérielle et réseau

Les matériels et liens d’accès à ceux-ci ont été redondés afin d’éviter toute rupture de service suite à un dysfonctionnement d’un de ces matériels.

Duplications des routeurs, switchs,  cartes réseaux, chemin d’accès au SAN …
Redondance des liens LAN, serveurs physiques, alimentations, ventilateurs, …

Virtualisation

Virtualisation des serveurs : Déplacement automatique des serveurs virtuels en cas de défaillance d’un serveur physique

securite-4

Sécurité liée à l’exploitation

Logiciels malveillants

Tous les serveurs et postes de travail connectés à la forge logicielle de Silverpeas, sont équipés d’une suite logicielle contre les logiciels malveillants. La disponibilité de mises à jour est vérifiée quotidiennement, elles sont automatiquement téléchargées et déployés sur les équipements.
Dans notre offre SaaS, la supervision et la console centralisée d’administration permettent de détecter immédiatement toute anomalie (mise à jour non déployée, infection, …).

Sauvegardes

Les données des clients (hébergés par nos soins) sont sauvegardées tous les jours avec une rétention de 6 semaines, plus les 5 dernières sauvegardes mensuelles et les 3 dernières sauvegardes annuelles.
Toutes les sauvegardes sont dupliquées dans un Datacenter distant.

Supervision

Les serveurs, moyens de communication et services sont supervisés en permanence. Des alertes sont positionnées afin que les équipes soient immédiatement informées de toute anomalie potentielle, ou de toute situation pouvant amener à une dégradation du service.

 

backup

Gestion des vulnérabilités

Nos outils de développement SonarCloud et Github analyse quotidiennement notre code. Ainsi les vulnérabilités « Common Vulnerabilities and Exposures« , les vulnérabilités des dépendances logicielles et autre nous sont automatiquement remontées. Chaque découverte de vulnérabilités est prise en charge par l’équipe de développement.

Gestion des mises à jour des applications

Services SaaS : Les mises à jour critiques et de sécurité sont déployées dès leur mise à disposition dès leur validation dans un environnement de tests.

Services hébergés : les mises à jour sont déployées si ce service optionnel a été souscrit, et selon les modalités prévues au contrat.

« on premise » : les mise à jour sont déployées en accord avec l’équipe d’exploitation et l’administrateur général de la plateforme.

Détection d’intrusion

Tous les flux d’accès à la plateforme sont analysés afin d’identifier et bloquer les flux anormaux et les programmes malveillants.

Données Personnelles

Le Délégué à la Protection des Données Personnelles est le garant du respect par Silverpeas de ses obligations. Il est joignable à l’adresse : dpo@silverpeas.com

Désireux d’en savoir plus ? Demandez-nous notre plan assurance sécurité