La sécurité robuste et inhérente à Atera est au cœur de tout ce que nous faisons – vous pouvez donc être sûr que vos données sont toujours en sécurité et protégées.
Atera a obtenu les certifications ISO/IEC 27001, 27017, 27018 et 27032.
La norme ISO 27001 est une norme de sécurité de l’information publiée à l’origine en 2005 par l’Organisation internationale de standardisation (ISO) et la Commission électrotechnique internationale (CEI). En septembre 2013, la norme ISO 27001:2013 a été publiée et remplace la norme originale de 2005. La norme ISO 27001 est une approche de la sécurité fondée sur des normes et reconnue à l’échelle mondiale, qui définit les exigences relatives au système de gestion de la sécurité de l’information (SGSI) d’une organisation.
ISO 27017 est une norme de sécurité élaborée à l’intention des fournisseurs et des utilisateurs de services cloud afin de rendre plus sûr l’environnement basé sur le cloud et de réduire le risque de problèmes de sécurité.
La norme ISO 27018 est la première norme internationale créée spécifiquement pour la confidentialité des données dans l’informatique cloud. Son principal objectif, selon l’Organisation internationale de standardisation (ISO), est d’établir “des objectifs de contrôle, des contrôles et des lignes directrices communément acceptés pour la mise en œuvre de mesures visant à protéger les informations personnellement identifiables (PII)”.
L’ISO 27032 est une norme internationale qui fournit des lignes directrices pour améliorer l’état de la cybersécurité, en soulignant les aspects uniques de cette activité et ses dépendances avec d’autres domaines de sécurité, en particulier : la sécurité de l’information, la sécurité des réseaux, la sécurité de l’internet et la protection des infrastructures d’information critiques (PIIC).
Cliquez ici pour télécharger les certifications.
Atera est accréditée SOC 2 Type 2. Cette certification implique une évaluation rigoureuse de l’efficacité opérationnelle de nos contrôles sur une période prolongée, ce qui garantit que notre engagement en matière de sécurité des données n’est pas simplement théorique, mais qu’il est constamment maintenu. Cette accréditation reflète l’approche proactive d’Atera qui consiste à respecter et à dépasser les normes reconnues par l’industrie, ce qui donne à nos clients l’assurance que leurs informations sensibles sont traitées avec le plus grand soin et dans le respect de la conformité.
La loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) établit la norme en matière de protection des données sensibles des patients.
Atera a reçu le sceau de conformité HIPAA. Ce sceau atteste des efforts déployés de bonne foi par Atera pour se conformer à la loi et aux règlements de l’HIPAA et témoigne de son engagement à respecter les normes les plus strictes en matière de sécurité et de protection de la vie privée.
Cliquez ici pour télécharger le certificat de conformité HIPAA d’Atera.
Si vous êtes un client du Plan Entreprise ou du Plan Superpower et que vous avez besoin d’un BAA signé, veuillez envoyer une demande à [email protected] et notre BAA vous sera envoyé pour être signé.
Pour recevoir la lettre de conformité, veuillez envoyer une demande à [email protected].
Les services d’abonnement d’Atera sont hors du champ d’application de la norme PCI-DSS, car nous ne traitons pas de données de cartes pour le compte de nos clients.
Atera tient des registres administratifs ainsi que des registres relatifs à la création et à la modification de comptes, y compris l’ajout ou la suppression d’utilisateurs, de segments, de sources et de destinations.
Les clients d’Atera peuvent obtenir des registres concernant des questions internes à Atera liées à des modifications internes de l’état de leurs comptes Atera respectifs. Les changements les plus courants sont les opérations CRUD (création, mise à jour, suppression) des comptes, de l’utilisateur administrateur, etc.
Atera vous propose d’ajouter facilement l’authentification multifactorielle au processus de connexion à votre compte Atera afin d’en renforcer la sécurité.
Les administrateurs de comptes clients peuvent facilement ajouter et supprimer des utilisateurs de comptes. Atera dispose de plusieurs rôles d’utilisateur définis, assortis des autorisations correspondantes.
La connexion à l’environnement d’Atera se fait par l’intermédiaire des protocoles cryptographiques SSL/TLS, à l’aide de certificats globaux de niveau supérieur, ce qui garantit à nos utilisateurs une connexion sécurisée entre leurs navigateurs et notre service.
Les sessions individuelles des utilisateurs sont identifiées et revérifiées à chaque transaction, à l’aide d’un jeton unique créé lors de l’ouverture de session.
Access List IP Ranges Les plages d’IP de la liste d’accès limitent l’accès non autorisé en exigeant des utilisateurs qu’ils se connectent à Atera à partir d’adresses IP désignées – généralement le réseau de votre entreprise, les réseaux désignés de vos clients ou un VPN. En utilisant les plages d’IP de connexion, les administrateurs peuvent définir une plage d’adresses IP autorisées pour contrôler l’accès à Atera. Les personnes qui tentent de se connecter à Atera à partir d’adresses IP autres que celles désignées ne se verront pas accorder l’accès.
Une fois qu’un agent est déployé, une clé unique lui est attribuée. Cette clé est utilisée à des fins d’authentification. Toutes les communications entre les agents et le cloud d’Atera sont vérifiées à l’aide de cette clé unique et effectuées par l’intermédiaire des systèmes de sécurité SSL/TLS (Secure Socket Layer/Transport Layer Security).
Lors de l’utilisation de l’outil de contrôle à distance d’Atera, un tunnel virtuel est créé entre l’utilisateur d’Atera et l’ordinateur cible. Toutes les données transférées entre l’utilisateur et l’agent sont cryptées. L’utilisateur et l’agent Atera se connectent uniquement via le port TCP 443.
Les données sont cryptées au repos à l’aide de l’AES-256.
Nous cryptons les données en transit à l’aide de HTTPS/TLS. La version TLS prise en charge est actuellement TLS 1.2 ou plus récente.
Les mots de passe des utilisateurs sont cryptés et hachés avec un algorithme SHA 256.
La politique de confidentialité d’Atera décrit la manière dont nous recueillons, utilisons et traitons les informations personnelles lorsque vous utilisez notre plateforme, notre (nos) site(s) web, notre (nos) application(s), notre logiciel d’analyse de données et d’autres services.
Consultez notre politique de confidentialité ici.
Atera s’engage à respecter votre vie privée et, le cas échéant, adhère au Règlement général sur la protection des données de l’UE, connu sous le nom de GDPR. Pour de plus amples informations sur Atera et le GDPR, consultez notre avis de sensibilisation au GDPR à l’adresse https://www.atera.com/gdpr-awareness-notice/
Atera conserve les données de ses clients conformément aux instructions de ces derniers contenues dans leurs accords de services respectifs. À la suite de la résiliation d’un compte client, l’accès est supprimé et les données du client associées au compte sont supprimées logiquement, puis écrasées. Lorsque les supports hébergeant les données des clients ne sont plus utiles, ils sont détruits conformément à la norme NIST SP 800-88 Revision 1 Guidelines for Media Sanitation et aux directives de sécurité du DoD.
Nous abordons la question du traitement des données dans les termes de notre contrat de service et proposons à nos clients un addendum sur le traitement des données.
Pour demander un DPA, veuillez contacter : [email protected]
Les clients peuvent demander la suppression de données en contactant le service d’assistance à la protection de la vie privée d’Atera. Toute demande de suppression de données reçue d’une personne concernée associée à un client sera renvoyée au client en question.
Pour toute préoccupation, demande ou pour exercer vos droits en matière de protection des données, veuillez contacter : [email protected]
Le délégué à la protection des données que nous avons désigné est chargé de veiller à ce que toutes nos mesures de protection des données soient à jour et à ce que toutes les procédures soient respectées. Le DPD travaille avec des professionnels de la sécurité expérimentés (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).
En cas de violation réelle ou raisonnablement soupçonnée de la sécurité de l’information ou de tout autre incident affectant la sécurité ou l’intégrité de vos données, Atera se conformera aux politiques définies dans le plan d’intervention en cas d’incident lié à la sécurité de l’information d’Atera et vous en informera conformément à la législation en vigueur.
Atera applique un processus formel de gestion des incidents de sécurité dans le cadre d’une politique et d’une procédure connexes. Des procédures d’escalade sont en place pour assurer la communication en temps opportun de tout incident de sécurité par l’entremise de la chaîne de gestion et à tout client touché, sans délai indu.
Atera utilise l’infrastructure de la plateforme Microsoft Azure parce qu’elle a été conçue pour être l’un des environnements cloud les plus souples, les plus fiables et les plus sûrs disponibles à l’heure actuelle, ce qui permet à nos clients de tirer parti de cette infrastructure de données.
Notre infrastructure est divisée en plusieurs installations géographiquement dispersées dans des centres de données conçus pour une sécurité et une disponibilité maximale. Tous les sites utilisent les meilleures pratiques de l’industrie, y compris des systèmes d’accès par badge et biométrie, des sources d’énergie supplémentaires, des unités de climatisation supplémentaires et des systèmes d’extinction d’incendie. Le personnel de sécurité et les caméras surveillent ces sites 24 heures sur 24, 365 jours par an. Seul le personnel autorisé peut pénétrer dans ces centres de données et toutes les visites sont enregistrées.
Nous avons conçu notre environnement de collecte de données par abonnement pour une haute disponibilité, au moins 99,75 %.
Nous permettons une mise à l’échelle automatique dans le cloud.
L’infrastructure cloud d’Atera peut évoluer pour traiter des données provenant de millions d’appareils. La véritable mise à l’échelle de l’infrastructure cloud est obtenue par une mise à l’échelle automatique de l’infrastructure cloud, sans impact sur l’utilisateur qui accède aux données ou les écrit.
Atera a déployé les services de sécurité de Cloudflare pour le pare-feu d’application Web, la protection contre le déni de service et le réseau de diffusion de contenu.
Les services d’Atera sont déployés de manière à tirer parti de la superfluité de l’infrastructure de la plateforme Microsoft Azure.
Atera suit un processus de gestion du changement pour les modifications apportées à l’environnement de production. Toutes les modifications de code doivent faire l’objet d’un examen par les pairs et comprendre des tests automatisés unitaires, fonctionnels et de sécurité. Les tests sont effectués après les déploiements afin de valider la fonctionnalité de l’application. En cas d’échec de la validation, l’application est ramenée à sa version précédente.
Atera utilise Azure Log Analytics et Application Insights pour surveiller ses systèmes et détecter les problèmes liés aux services. L’équipe d’Atera est alertée 24 heures sur 24 et 7 jours sur 7 lorsque les critères de seuil sont dépassés.
Nos accords de service permettent le traitement confidentiel des informations confidentielles des clients, y compris leurs données. Nous exigeons de tous nos employés et sous-traitants, ainsi que des fournisseurs, qu’ils signent des accords de confidentialité afin de garantir la protection absolue des informations confidentielles.
Nous formons tous les nouveaux employés à leurs obligations en matière de confidentialité, de respect de la vie privée et de sécurité de l’information dans le cadre de leur formation initiale. Une formation annuelle obligatoire à la sécurité et à la protection de la vie privée permet aux employés de rafraîchir leurs connaissances et leur compréhension. Les équipes d’ingénieurs reçoivent une formation complémentaire liée à leurs tâches et à leur accès.
Les postes de travail de nos employés sont automatiquement verrouillés après une période prédéterminée de non-utilisation grâce au système MDM que nous avons mis en place.
Tous les postes de travail des employés sont cryptés et effacés au moment de la mise hors service, conformément aux normes DoD.
Atera applique le principe du “moindre privilège” pour régir l’accès de ses employés à ses systèmes. L’accès aux données de nos clients est limité aux besoins commerciaux légitimes, y compris les activités nécessaires à l’utilisation de nos services par nos clients.
Nous attribuons des comptes réseau directement à nos employés à l’aide d’un identifiant unique ; les comptes administratifs génériques ne sont pas utilisés. Nous examinons périodiquement l’accès des employés aux systèmes internes afin de nous assurer que les droits d’accès et les schémas d’utilisation des employés correspondent à leur poste actuel.
Il existe une procédure formelle de notification de licenciement des employés, qui est initiée par notre département des ressources humaines (“RH”). Sur notification des RH, tous les accès physiques et aux systèmes sont rapidement révoqués.
Atera a mis en place des contrôles appropriés pour restreindre l’accès physique à ses bureaux.
Nos fournisseurs de services de cloud computing ont mis en œuvre des mesures de sécurité robustes pour contrôler l’accès physique aux installations de traitement des données que nous utilisons.
Les postes de travail des employés d’Atera utilisent des contrôles Zero Trust pour assurer le cryptage de bout en bout du réseau, la sécurité à plusieurs niveaux et la gestion de l’accès à l’identité avec MFA afin de fournir une connexion privée et sécurisée à la fois à l’internet et aux actifs du réseau d’Atera liés à l’activité professionnelle.
Toutes les connexions à distance font l’objet d’un contrôle régulier et les employés sont alertés s’ils sont déconnectés du réseau ou si d’autres notifications de sécurité sont déclenchées.
Les employés d’Atera utilisent des chambres fortes pour garantir le stockage, la réception et le transfert sécurisés des données entre les postes de travail.
Atera est consciente de l’importance de la gestion des mots de passe des utilisateurs et a mis en place un système sécurisé de gestion des mots de passe au sein de l’entreprise afin de protéger et de gérer les mots de passe des employés et de l’organisation.
Atera a mis en œuvre une politique intégrée de continuité des activités et de reprise après sinistre et gère les plans correspondants dans le cadre de cette politique. Pour de plus amples renseignements à ce sujet, veuillez consulter le texte sous la rubrique ” Plan de reprise après sinistre “.
Atera maintien des capacités essentielles de prévention, de préparation et de planification de la reprise après sinistre grâce à l’utilisation de plusieurs centres de données géographiquement dispersés, à l’architecture de notre plateforme, à la sauvegarde des données hors site et aux capacités d’accès à distance. Nous disposons également d’une politique de continuité des activités et de reprise après sinistre, ainsi que de plans connexes, et nous les mettons régulièrement à l’essai.
Atera stocke toutes les données de ses clients sur des systèmes de stockage Microsoft Azure, à l’aide de sauvegardes dynamiques stockées dans des installations Azure sécurisées, à l’écart des installations de production. L’accès aux supports de sauvegarde est très restreint.
Atera héberge ses données et ses applications sur Microsoft Azure, pour son environnement d’infrastructure de production.
Azure utilise les mesures de protection mentionnées ici , qui comprennent également les éléments suivants:
Contrôle d’accès et sécurité physique
Contrôles environnementaux
Alimentation électrique
Network
Détection et extinction des incendies
Atera est hébergée sur l’étalon-or de la sécurité cloud : Microsoft Azure.
Les centres de données d’Atera sur Azure sont situés à l’ouest de l’UE (Amsterdam) et au centre des États-Unis (Iowa).
Les centres de données Azure respectent des normes de sécurité physique rigoureuses et sont conformes aux normes ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 et SOC-2.
Atera fournit ses services d’abonnement à l’aide d’une architecture multi-locataire, les données de chaque compte client étant logiquement séparées des autres comptes. Les données sont cryptées au repos à l’aide d’AES-256.
Les centres de données Microsoft Azure sont certifiés conformes aux normes ISO suivantes : ISO 27001:2013, ISO 27017:2015, et ISO 27018:2019, ISO 27701:2020.
Les centres de données Microsoft Azure sont certifiés SOC 2 Type 2 Security, Confidentiality, Availability, and Privacy Trust Principles (principes de confiance en matière de sécurité, de confidentialité, de disponibilité et de protection de la vie privée).
Pour plus d’informations, veuillez consulter le lien suivant qui décrit plus en détail la sécurité de Microsoft autour de l’infrastructure Azure.
https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security
Le terme “confiance zéro” (ZT) désigne un ensemble évolutif de paradigmes de cybersécurité qui font passer les défenses des paramètres statiques basés sur le réseau à une approche centrée sur les utilisateurs, les actifs et les ressources.
Atera applique une architecture de confiance zéro (ZTA) et utilise des principes de confiance zéro pour planifier et construire son infrastructure et ses flux de travail, de sorte qu’aucune confiance implicite n’est accordée aux actifs ou aux comptes d’utilisateurs sur la seule base de leur emplacement physique ou de leur emplacement sur le réseau.
Nous avons un fournisseur de sécurité tiers indépendant qui effectue des tests de pénétration manuels de notre infrastructure et de nos services internes et externes sur une base trimestrielle. Ces tests manuels sont complétés par des tests automatisés réalisés mensuellement à l’aide de divers outils de test disponibles dans le commerce.
Si vous souhaitez recevoir une copie du dernier rapport sommaire d’Atera sur les tests d’intrusion, veuillez en faire la demande à l’adresse [email protected].
Étant donné qu’un accord de confidentialité est nécessaire, veuillez indiquer le nom complet, l’adresse et le lieu de constitution en société de votre entreprise.
Atera utilise plusieurs outils d’analyse automatisés pour rechercher régulièrement les failles de sécurité des infrastructures et des applications. Les analyses sont effectuées à chaque création de code et avant les fusions de code.
Le code source est régulièrement analysé pour détecter d’éventuelles vulnérabilités avant la mise en production.
Les données des clients d’Atera et la protection de leur vie privée sont de la plus haute importance et sont traitées conformément à notre politique de protection de la vie privée. C’est pourquoi Atera n’est pas en mesure de fournir des renseignements sur ses utilisateurs ou ses comptes sans ordonnance d’un tribunal, citation à comparaître ou autre forme de procédure judiciaire. Pour de plus amples informations, veuillez cliquer ici.
Vous trouverez ici une liste actualisée des noms et lieux des sous-traitants qui traitent les données personnelles des utilisateurs des clients d’Atera. Pour de plus amples informations sur nos sous-traitants, veuillez consulter notre DPA