Skip to main content

La sécurité chez Atera

La sécurité robuste et inhérente à Atera est au cœur de tout ce que nous faisons – vous pouvez donc être sûr que vos données sont toujours en sécurité et protégées.

CONFORMITÉ

Atera a obtenu les certifications ISO/IEC 27001, 27017, 27018 et 27032.

ISO/IEC 27001:2013

La norme ISO 27001 est une norme de sécurité de l’information publiée à l’origine en 2005 par l’Organisation internationale de standardisation (ISO) et la Commission électrotechnique internationale (CEI). En septembre 2013, la norme ISO 27001:2013 a été publiée et remplace la norme originale de 2005. La norme ISO 27001 est une approche de la sécurité fondée sur des normes et reconnue à l’échelle mondiale, qui définit les exigences relatives au système de gestion de la sécurité de l’information (SGSI) d’une organisation.

ISO/IEC 27017:2015

ISO 27017 est une norme de sécurité élaborée à l’intention des fournisseurs et des utilisateurs de services cloud afin de rendre plus sûr l’environnement basé sur le cloud et de réduire le risque de problèmes de sécurité.

ISO/IEC 27018:2019

La norme ISO 27018 est la première norme internationale créée spécifiquement pour la confidentialité des données dans l’informatique cloud. Son principal objectif, selon l’Organisation internationale de standardisation (ISO), est d’établir “des objectifs de contrôle, des contrôles et des lignes directrices communément acceptés pour la mise en œuvre de mesures visant à protéger les informations personnellement identifiables (PII)”.

ISO/IEC 27032:2012

L’ISO 27032 est une norme internationale qui fournit des lignes directrices pour améliorer l’état de la cybersécurité, en soulignant les aspects uniques de cette activité et ses dépendances avec d’autres domaines de sécurité, en particulier : la sécurité de l’information, la sécurité des réseaux, la sécurité de l’internet et la protection des infrastructures d’information critiques (PIIC).

Cliquez ici pour télécharger les certifications.

SOC 2 Type 2

Atera est accréditée SOC 2 Type 2. Cette certification implique une évaluation rigoureuse de l’efficacité opérationnelle de nos contrôles sur une période prolongée, ce qui garantit que notre engagement en matière de sécurité des données n’est pas simplement théorique, mais qu’il est constamment maintenu. Cette accréditation reflète l’approche proactive d’Atera qui consiste à respecter et à dépasser les normes reconnues par l’industrie, ce qui donne à nos clients l’assurance que leurs informations sensibles sont traitées avec le plus grand soin et dans le respect de la conformité.

HIPAA

La loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) établit la norme en matière de protection des données sensibles des patients.

Atera a reçu le sceau de conformité HIPAA. Ce sceau atteste des efforts déployés de bonne foi par Atera pour se conformer à la loi et aux règlements de l’HIPAA et témoigne de son engagement à respecter les normes les plus strictes en matière de sécurité et de protection de la vie privée.

Cliquez ici pour télécharger le certificat de conformité HIPAA d’Atera.

Si vous êtes un client du Plan Entreprise ou du Plan Superpower et que vous avez besoin d’un BAA signé, veuillez envoyer une demande à [email protected] et notre BAA vous sera envoyé pour être signé.

Pour recevoir la lettre de conformité, veuillez envoyer une demande à [email protected].

PCI-DSS

Les services d’abonnement d’Atera sont hors du champ d’application de la norme PCI-DSS, car nous ne traitons pas de données de cartes pour le compte de nos clients.

SÉCURITÉ DES PRODUITS

Journaux d’audit

Atera tient des registres administratifs ainsi que des registres relatifs à la création et à la modification de comptes, y compris l’ajout ou la suppression d’utilisateurs, de segments, de sources et de destinations.

Les clients d’Atera peuvent obtenir des registres concernant des questions internes à Atera liées à des modifications internes de l’état de leurs comptes Atera respectifs. Les changements les plus courants sont les opérations CRUD (création, mise à jour, suppression) des comptes, de l’utilisateur administrateur, etc.

Authentification multifactorielle

Atera vous propose d’ajouter facilement l’authentification multifactorielle au processus de connexion à votre compte Atera afin d’en renforcer la sécurité.

Contrôle d’accès basé sur les rôles (RBAC)

Les administrateurs de comptes clients peuvent facilement ajouter et supprimer des utilisateurs de comptes. Atera dispose de plusieurs rôles d’utilisateur définis, assortis des autorisations correspondantes.

Transmission et sessions sécurisées

La connexion à l’environnement d’Atera se fait par l’intermédiaire des protocoles cryptographiques SSL/TLS, à l’aide de certificats globaux de niveau supérieur, ce qui garantit à nos utilisateurs une connexion sécurisée entre leurs navigateurs et notre service.

Les sessions individuelles des utilisateurs sont identifiées et revérifiées à chaque transaction, à l’aide d’un jeton unique créé lors de l’ouverture de session.

Restrictions de l’IP de connexion dans Atera

Access List IP Ranges Les plages d’IP de la liste d’accès limitent l’accès non autorisé en exigeant des utilisateurs qu’ils se connectent à Atera à partir d’adresses IP désignées – généralement le réseau de votre entreprise, les réseaux désignés de vos clients ou un VPN. En utilisant les plages d’IP de connexion, les administrateurs peuvent définir une plage d’adresses IP autorisées pour contrôler l’accès à Atera. Les personnes qui tentent de se connecter à Atera à partir d’adresses IP autres que celles désignées ne se verront pas accorder l’accès.

Sécurité des agents

Une fois qu’un agent est déployé, une clé unique lui est attribuée.  Cette clé est utilisée à des fins d’authentification. Toutes les communications entre les agents et le cloud d’Atera sont vérifiées à l’aide de cette clé unique et effectuées par l’intermédiaire des systèmes de sécurité SSL/TLS (Secure Socket Layer/Transport Layer Security).

Tunnel de commande à distance

Lors de l’utilisation de l’outil de contrôle à distance d’Atera, un tunnel virtuel est créé entre l’utilisateur d’Atera et l’ordinateur cible. Toutes les données transférées entre l’utilisateur et l’agent sont cryptées. L’utilisateur et l’agent Atera se connectent uniquement via le port TCP 443.

 

SÉCURITÉ DES DONNÉES

Données cryptées au repos

Les données sont cryptées au repos à l’aide de l’AES-256.

Données cryptées en transit

Nous cryptons les données en transit à l’aide de HTTPS/TLS. La version TLS prise en charge est actuellement TLS 1.2 ou plus récente.

Cryptage des mots de passe

Les mots de passe des utilisateurs sont cryptés et hachés avec un algorithme SHA 256.

 

CONFIDENTIALITÉ

Politique de confidentialité

La politique de confidentialité d’Atera décrit la manière dont nous recueillons, utilisons et traitons les informations personnelles lorsque vous utilisez notre plateforme, notre (nos) site(s) web, notre (nos) application(s), notre logiciel d’analyse de données et d’autres services.

Consultez notre politique de confidentialité ici.

 

GDPR

Atera s’engage à respecter votre vie privée et, le cas échéant, adhère au Règlement général sur la protection des données de l’UE, connu sous le nom de GDPR. Pour de plus amples informations sur Atera et le GDPR, consultez notre avis de sensibilisation au GDPR à l’adresse https://www.atera.com/gdpr-awareness-notice/

Politique de conservation des données

Atera conserve les données de ses clients conformément aux instructions de ces derniers contenues dans leurs accords de services respectifs. À la suite de la résiliation d’un compte client, l’accès est supprimé et les données du client associées au compte sont supprimées logiquement, puis écrasées. Lorsque les supports hébergeant les données des clients ne sont plus utiles, ils sont détruits conformément à la norme NIST SP 800-88 Revision 1 Guidelines for Media Sanitation et aux directives de sécurité du DoD.

Addendum sur le traitement des données

Nous abordons la question du traitement des données dans les termes de notre contrat de service et proposons à nos clients un addendum sur le traitement des données.

Pour demander un DPA, veuillez contacter : [email protected]

Demandes de suppression de données

Les clients peuvent demander la suppression de données en contactant le service d’assistance à la protection de la vie privée d’Atera. Toute demande de suppression de données reçue d’une personne concernée associée à un client sera renvoyée au client en question.

Pour toute préoccupation, demande ou pour exercer vos droits en matière de protection des données, veuillez contacter : [email protected]

 

Délégué à la protection des données (DPD)

Le délégué à la protection des données que nous avons désigné est chargé de veiller à ce que toutes nos mesures de protection des données soient à jour et à ce que toutes les procédures soient respectées. Le DPD travaille avec des professionnels de la sécurité expérimentés (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).

 

GESTION DES INCIDENTS ET RÉPONSE

Notification d’atteinte à la sécurité des données

En cas de violation réelle ou raisonnablement soupçonnée de la sécurité de l’information ou de tout autre incident affectant la sécurité ou l’intégrité de vos données, Atera se conformera aux politiques définies dans le plan d’intervention en cas d’incident lié à la sécurité de l’information d’Atera et vous en informera conformément à la législation en vigueur.

Plan d’intervention en cas d’incident (IRP)

Atera applique un processus formel de gestion des incidents de sécurité dans le cadre d’une politique et d’une procédure connexes. Des procédures d’escalade sont en place pour assurer la communication en temps opportun de tout incident de sécurité par l’entremise de la chaîne de gestion et à tout client touché, sans délai indu.

Disponibilité et fiabilité

Atera utilise l’infrastructure de la plateforme Microsoft Azure parce qu’elle a été conçue pour être l’un des environnements cloud les plus souples, les plus fiables et les plus sûrs disponibles à l’heure actuelle, ce qui permet à nos clients de tirer parti de cette infrastructure de données.

Notre infrastructure est divisée en plusieurs installations géographiquement dispersées dans des centres de données conçus pour une sécurité et une disponibilité maximale. Tous les sites utilisent les meilleures pratiques de l’industrie, y compris des systèmes d’accès par badge et biométrie, des sources d’énergie supplémentaires, des unités de climatisation supplémentaires et des systèmes d’extinction d’incendie. Le personnel de sécurité et les caméras surveillent ces sites 24 heures sur 24, 365 jours par an. Seul le personnel autorisé peut pénétrer dans ces centres de données et toutes les visites sont enregistrées.

Nous avons conçu notre environnement de collecte de données par abonnement pour une haute disponibilité, au moins 99,75 %.

Mise à l’échelle automatique

Nous permettons une mise à l’échelle automatique dans le cloud.

L’infrastructure cloud d’Atera peut évoluer pour traiter des données provenant de millions d’appareils. La véritable mise à l’échelle de l’infrastructure cloud est obtenue par une mise à l’échelle automatique de l’infrastructure cloud, sans impact sur l’utilisateur qui accède aux données ou les écrit.

Protection contre les dénis de service

Atera a déployé les services de sécurité de Cloudflare pour le pare-feu d’application Web, la protection contre le déni de service et le réseau de diffusion de contenu.

Redondance de l’infrastructure

Les services d’Atera sont déployés de manière à tirer parti de la superfluité de l’infrastructure de la plateforme Microsoft Azure.

Tests d’assurance qualité

Atera suit un processus de gestion du changement pour les modifications apportées à l’environnement de production. Toutes les modifications de code doivent faire l’objet d’un examen par les pairs et comprendre des tests automatisés unitaires, fonctionnels et de sécurité. Les tests sont effectués après les déploiements afin de valider la fonctionnalité de l’application. En cas d’échec de la validation, l’application est ramenée à sa version précédente.

Surveillance des services

Atera utilise Azure Log Analytics et Application Insights pour surveiller ses systèmes et détecter les problèmes liés aux services. L’équipe d’Atera est alertée 24 heures sur 24 et 7 jours sur 7 lorsque les critères de seuil sont dépassés.

Statut de la page

 

SÉCURITÉ DE L’ORGANISATION

Accords de confidentialité

Nos accords de service permettent le traitement confidentiel des informations confidentielles des clients, y compris leurs données. Nous exigeons de tous nos employés et sous-traitants, ainsi que des fournisseurs, qu’ils signent des accords de confidentialité afin de garantir la protection absolue des informations confidentielles.

Formation des employés à la sécurité

Nous formons tous les nouveaux employés à leurs obligations en matière de confidentialité, de respect de la vie privée et de sécurité de l’information dans le cadre de leur formation initiale. Une formation annuelle obligatoire à la sécurité et à la protection de la vie privée permet aux employés de rafraîchir leurs connaissances et leur compréhension. Les équipes d’ingénieurs reçoivent une formation complémentaire liée à leurs tâches et à leur accès.

Verrouillage automatique des postes de travail des employés

Les postes de travail de nos employés sont automatiquement verrouillés après une période prédéterminée de non-utilisation grâce au système MDM que nous avons mis en place.

Cryptage des postes de travail des employés

Tous les postes de travail des employés sont cryptés et effacés au moment de la mise hors service, conformément aux normes DoD.

Accès limité des employés (principe du privilège moindre)

Atera applique le principe du “moindre privilège” pour régir l’accès de ses employés à ses systèmes. L’accès aux données de nos clients est limité aux besoins commerciaux légitimes, y compris les activités nécessaires à l’utilisation de nos services par nos clients.

Nous attribuons des comptes réseau directement à nos employés à l’aide d’un identifiant unique ; les comptes administratifs génériques ne sont pas utilisés. Nous examinons périodiquement l’accès des employés aux systèmes internes afin de nous assurer que les droits d’accès et les schémas d’utilisation des employés correspondent à leur poste actuel.

Il existe une procédure formelle de notification de licenciement des employés, qui est initiée par notre département des ressources humaines (“RH”). Sur notification des RH, tous les accès physiques et aux systèmes sont rapidement révoqués.

Contrôle de l’accès physique

Atera a mis en place des contrôles appropriés pour restreindre l’accès physique à ses bureaux.

Nos fournisseurs de services de cloud computing ont mis en œuvre des mesures de sécurité robustes pour contrôler l’accès physique aux installations de traitement des données que nous utilisons.

Accès sécurisé au réseau à distance

Les postes de travail des employés d’Atera utilisent des contrôles Zero Trust pour assurer le cryptage de bout en bout du réseau, la sécurité à plusieurs niveaux et la gestion de l’accès à l’identité avec MFA afin de fournir une connexion privée et sécurisée à la fois à l’internet et aux actifs du réseau d’Atera liés à l’activité professionnelle.

Toutes les connexions à distance font l’objet d’un contrôle régulier et les employés sont alertés s’ils sont déconnectés du réseau ou si d’autres notifications de sécurité sont déclenchées.

Stockage et transfert sécurisés des données

Les employés d’Atera utilisent des chambres fortes pour garantir le stockage, la réception et le transfert sécurisés des données entre les postes de travail.

Gestionnaire de mots de passe

Atera est consciente de l’importance de la gestion des mots de passe des utilisateurs et a mis en place un système sécurisé de gestion des mots de passe au sein de l’entreprise afin de protéger et de gérer les mots de passe des employés et de l’organisation.

 

CONTINUITÉ DES ACTIVITÉS

Plan de continuité des activités

Atera a mis en œuvre une politique intégrée de continuité des activités et de reprise après sinistre et gère les plans correspondants dans le cadre de cette politique. Pour de plus amples renseignements à ce sujet, veuillez consulter le texte sous la rubrique ” Plan de reprise après sinistre “.

Plan de reprise après sinistre

Atera maintien des capacités essentielles de prévention, de préparation et de planification de la reprise après sinistre grâce à l’utilisation de plusieurs centres de données géographiquement dispersés, à l’architecture de notre plateforme, à la sauvegarde des données hors site et aux capacités d’accès à distance. Nous disposons également d’une politique de continuité des activités et de reprise après sinistre, ainsi que de plans connexes, et nous les mettons régulièrement à l’essai.

Sauvegarde des données

Atera stocke toutes les données de ses clients sur des systèmes de stockage Microsoft Azure, à l’aide de sauvegardes dynamiques stockées dans des installations Azure sécurisées, à l’écart des installations de production. L’accès aux supports de sauvegarde est très restreint.

Protection de l’environnement

Atera héberge ses données et ses applications sur Microsoft Azure, pour son environnement d’infrastructure de production.

Azure utilise les mesures de protection mentionnées ici , qui comprennent également les éléments suivants:

 

Contrôle d’accès et sécurité physique

  • Sécurité assurée par du personnel 24 heures sur 24, y compris des patrouilles à pied et des inspections du périmètre
  • Scanner biométrique pour l’accès
  • Salles dédiées au centre de données avec murs en béton
  • Matériel informatique dans des armoires en acier dont l’accès est contrôlé
  • Vidéosurveillance dans l’ensemble de l’établissement et du périmètre
  • Bâtiment conçu pour les risques sismiques, de tempête et d’inondation
  • Suivi de l’enlèvement des biens

Contrôles environnementaux

  • Contrôle de l’humidité et de la température
  • Système de refroidissement redondant (N+1)

Alimentation électrique

  • Alimentation électrique souterraine
  • Systèmes CPS/UPS redondants (N+1)
  • Unités de distribution d’énergie (PDU) redondantes
  • Générateurs diesel redondants (N+1) avec stockage de carburant diesel sur site

Network

  • Voûtes en béton pour l’entrée des fibres
  • Réseaux internes redondants
  • Réseau neutre ; connecté à tous les principaux opérateurs et situé à proximité des principaux hubs Internet
  • Grande capacité de bande passante

Détection et extinction des incendies

  • VESDA (appareil de détection précoce des fumées)Double alarme, double verrouillage, multizone, préaction, suppression des incendies à base d’eau et de tuyaux secs.

 

 

INFRASTRUCTURE

Atera est hébergée sur l’étalon-or de la sécurité cloud : Microsoft Azure.
Les centres de données d’Atera sur Azure sont situés à l’ouest de l’UE (Amsterdam) et au centre des États-Unis (Iowa).
Les centres de données Azure respectent des normes de sécurité physique rigoureuses et sont conformes aux normes ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 et SOC-2.

Architecture multi-tenant

Atera fournit ses services d’abonnement à l’aide d’une architecture multi-locataire, les données de chaque compte client étant logiquement séparées des autres comptes. Les données sont cryptées au repos à l’aide d’AES-256.

ISO 27001 – Centre de données

Les centres de données Microsoft Azure sont certifiés conformes aux normes ISO suivantes : ISO 27001:2013, ISO 27017:2015, et ISO 27018:2019, ISO 27701:2020.

SOC 2 Type II — Centre de données

Les centres de données Microsoft Azure sont certifiés SOC 2 Type 2 Security, Confidentiality, Availability, and Privacy Trust Principles (principes de confiance en matière de sécurité, de confidentialité, de disponibilité et de protection de la vie privée).

Contrôle d’accès physique – Centre de données

Pour plus d’informations, veuillez consulter le lien suivant qui décrit plus en détail la sécurité de Microsoft autour de l’infrastructure Azure.

https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

Architecture de confiance zéro

Le terme “confiance zéro” (ZT) désigne un ensemble évolutif de paradigmes de cybersécurité qui font passer les défenses des paramètres statiques basés sur le réseau à une approche centrée sur les utilisateurs, les actifs et les ressources.

Atera applique une architecture de confiance zéro (ZTA) et utilise des principes de confiance zéro pour planifier et construire son infrastructure et ses flux de travail, de sorte qu’aucune confiance implicite n’est accordée aux actifs ou aux comptes d’utilisateurs sur la seule base de leur emplacement physique ou de leur emplacement sur le réseau.

 

GESTION DES MENACES

Tests de pénétration

Nous avons un fournisseur de sécurité tiers indépendant qui effectue des tests de pénétration manuels de notre infrastructure et de nos services internes et externes sur une base trimestrielle. Ces tests manuels sont complétés par des tests automatisés réalisés mensuellement à l’aide de divers outils de test disponibles dans le commerce.

Si vous souhaitez recevoir une copie du dernier rapport sommaire d’Atera sur les tests d’intrusion, veuillez en faire la demande à l’adresse [email protected].

Étant donné qu’un accord de confidentialité est nécessaire, veuillez indiquer le nom complet, l’adresse et le lieu de constitution en société de votre entreprise.

Analyse des vulnérabilités

Atera utilise plusieurs outils d’analyse automatisés pour rechercher régulièrement les failles de sécurité des infrastructures et des applications. Les analyses sont effectuées à chaque création de code et avant les fusions de code.

Tests statiques de sécurité des applications (SAST)

Le code source est régulièrement analysé pour détecter d’éventuelles vulnérabilités avant la mise en production.

Demande d’informations sur les clients d’Atera

Les données des clients d’Atera et la protection de leur vie privée sont de la plus haute importance et sont traitées conformément à notre politique de protection de la vie privée. C’est pourquoi Atera n’est pas en mesure de fournir des renseignements sur ses utilisateurs ou ses comptes sans ordonnance d’un tribunal, citation à comparaître ou autre forme de procédure judiciaire. Pour de plus amples informations, veuillez cliquer ici.

 

Liste des sous-traitants d’Atera

Vous trouverez ici une liste actualisée des noms et lieux des sous-traitants qui traitent les données personnelles des utilisateurs des clients d’Atera. Pour de plus amples informations sur nos sous-traitants, veuillez consulter notre DPA