Sécurité de l'information

Contrôle d'accès et authentification

Concept de rôles et de droits

Un concept de rôles et de droits adaptable aux besoins du client offre les conditions nécessaires pour limiter l'accès aux données ou aux informations à la personne autorisée.

Single-Sign-On

BCS prend en charge l'authentification via SAML, Active Directory (LDAP/KERBEROS) ou OAuth 2.0 avec OpenID Connect.

Directives pour les mots de passe

Projektron BCS prend en charge les directives pour les mots de passe concernant la complexité des mots de passe et la fréquence des modifications.

Authentification à 2 facteurs

La connexion peut être sécurisée de manière supplémentaire par un deuxième facteur généré selon le procédé TOTP.

Clés de passe

BCS prend en charge les Passkeys, une méthode d'authentification sans mot de passe qui remplace les mots de passe par une procédure asymétrique, ce qui améliore la convivialité et remédie aux points faibles tels que l'hameçonnage, le vol de mots de passe et les mots de passe faibles.

Sécurité des données et mécanismes de protection

Connexions cryptées

Pour sécuriser le transfert de données entre Projektron BCS et les utilisateurs ou les systèmes tiers, une communication cryptée est possible (https, imaps, smtps).

Coffre-fort de mots de passe

Les mots de passe nécessaires aux systèmes tiers peuvent être stockés de manière sécurisée dans un coffre-fort de mots de passe.

Mots de passe sécurisés

Les mots de passe sont sécurisés dans Projektron BCS avec l'algorithme PBKDF2 ainsi que Salt et Pepper.

Attaques par force brute

Les comptes d'utilisateurs sont protégés par des temps d'attente ou par un blocage du compte d'utilisateur en cas d'échec de plusieurs tentatives de connexion. L'accès à des comptes individuels peut être limité à des adresses IP et des plages d'IP spécifiques.

Test et vérification

Analyse des vulnérabilités

Le logiciel est régulièrement scanné pour détecter les vulnérabilités connues.

Pentests

Des pentests sont régulièrement effectués en collaboration avec nos clients. Les résultats de ces tests sont continuellement pris en compte dans le développement et la protection de Projektron BCS.

Tests automatisés

Projektron BCS est testé tant au niveau des fonctionnalités que de la facilité d'utilisation. Les modèles d'attaque courants peuvent être vérifiés de manière automatisée. Les tests automatisés sont intégrés dans le pipeline d'intégration continue (CI) afin de garantir que chaque modification du code est immédiatement testée.

Tests d'intégration

Nous effectuons des tests d'intégration pour nous assurer que les différents composants du logiciel fonctionnent ensemble en toute sécurité et qu'aucune nouvelle faille de sécurité n'apparaît.

Tests unitaires

Pour chaque User Story, nous développons des tests unitaires afin de vérifier la fonctionnalité et la sécurité correctes au niveau du code.

Rapports de couverture de test

Nous élaborons des rapports de couverture de test qui indiquent la couverture des user stories par les tests et garantissent qu'aucune zone critique pour la sécurité ne reste non testée.

Tests de bout en bout

Nous créons des tests de bout en bout qui couvrent l'ensemble des user stories et garantissent que l'application fonctionne comme prévu et est sûre.

Mesures de sécurité internes

Définition des exigences de sécurité

Les objectifs et les exigences en matière de sécurité sont clairement définis au début du projet.

Planification de la sécurité

Nous suivons un plan de sécurité détaillé qui décrit les mesures et les procédures de sécurité.

Équipe d'experts en développement de produits

Une équipe spécialisée se penche en permanence sur les thèmes actuels de la sécurité informatique et met en œuvre les mesures de sécurité les plus récentes dans Projektron BCS. Cela permet de garantir que nos logiciels répondent toujours aux normes de sécurité les plus élevées.

Directive interne « Développement de logiciels en toute sécurité ».

La directive interne vise à minimiser les déficits de sécurité et les points faibles dans le développement de Projektron BCS et à y réagir de manière appropriée. Pour ce faire, elle tient compte du SANS Top 25, qui répertorie les 25 vulnérabilités les plus dangereuses et les plus pertinentes dans les logiciels, et du OWASP Top 10, qui décrit les dix vulnérabilités les plus répandues et les plus importantes pour les applications web.

Formation des employés

Nos développeurs sont régulièrement formés et sensibilisés aux aspects de la sécurité et aux meilleures pratiques.

Programmes de sensibilisation

Nous menons des programmes de sensibilisation à la sécurité dans toute l'équipe de développement.

Documentation de sécurité

Toutes les exigences, mesures et tests de sécurité sont documentés en détail.

Rapports

Des rapports réguliers sur l'état de la sécurité et les incidents survenus sont transmis aux parties prenantes concernées.

Programmation sécurisée et directives de développement

Normes et directives de codage

Nous respectons les normes et directives de codage éprouvées afin d'éviter les failles de sécurité.

Revues de code et examens par les pairs

Le code est régulièrement examiné par des pairs afin d'identifier rapidement les problèmes de sécurité potentiels.

Analyse statique du code

Des outils sont utilisés pour l'analyse statique du code afin de trouver des points faibles dans le code source.

Évaluation des risques

Tout au long du processus de développement, les risques de sécurité potentiels sont identifiés et évalués.

Gestion des vulnérabilités

Un processus a été mis en place pour détecter, évaluer et corriger les failles de sécurité.

Contrôle des versions et gestion de la configuration

Contrôle de version

Nous utilisons des systèmes de contrôle de version (par exemple Git) pour suivre les modifications du code et assurer la traçabilité.

Gestion de la configuration

Nous veillons à ce que toutes les configurations soient gérées et documentées de manière sûre.

Réponse aux incidents et planification d'urgence

Plans d'urgence

Des plans d'urgence ont été mis en place et sont gérés en permanence afin de pouvoir réagir rapidement et efficacement en cas d'incident de sécurité.

Réponse aux incidents

Nous avons établi un processus pour répondre aux incidents de sécurité, y compris l'analyse et la résolution des causes.

Emplacement et disponibilité

Centre de calcul en Allemagne

Le centre de données se trouve en Allemagne et est soumis à des niveaux de sécurité élevés. Il appartient à la classe Tier IV avec des ISP POP redondants.

Sauvegarde et restauration

L'hébergement offre des sauvegardes et, si nécessaire, une restauration rapide.

Certifié

Notre centre de données et les secteurs de Projektron liés à la sécurité sont certifiés ISO 27001. Le centre informatique possède également d'autres certificats : VdS ISO 9001 NSL et IS, DIN 14675 pour BMA et DIN EN 50518.

Disponibilité

Nous garantissons la disponibilité convenue, qui est surveillée en permanence.

Sécurité physique et contrôle d'accès

Contrôle d'accès

Seules les personnes autorisées chargées de l'exécution des tâches peuvent pénétrer dans le centre de calcul, après s'être inscrites au préalable.

Protection par gardiennage

Le centre de calcul est surveillé 24 heures sur 24, 7 jours sur 7 et 365 jours par an par un service de sécurité sur place.

Tests de sécurité et mises à jour

Mises à jour automatisées

Les machines virtuelles ainsi que Projektron BCS sont mises à jour de manière automatisée afin que vous soyez toujours à jour et en sécurité.

Fenêtres de maintenance

Il existe des fenêtres de maintenance régulières et planifiées pour l'installation des mises à jour et des correctifs. En cas de faille de sécurité aiguë, des mises à jour non planifiées sont effectuées et annoncées deux heures à l'avance.

Pentest

Notre hébergement est soumis chaque année à un pentest.

Sécurité des données et des accès

Serveurs de base de données séparés

Les données des clients se trouvent sur des serveurs de base de données séparés. Cela permet une meilleure performance et la mise en place d'interfaces individuelles.

SSL

Lors de l'hébergement, vous accédez à Projektron BCS via un accès crypté avec un certificat SSL.

Tunnel VPN

Les machines virtuelles ne sont pas accessibles via Internet. Projektron n'y accède que via un tunnel VPN.

Pare-feu

Un pare-feu centralisé avec des règles de filtrage strictes individuellement par client vous protège contre les attaques extérieures. Un pare-feu pour les applications web peut être mis à disposition sur demande.

Connexions sécurisées via HTTPS/SFTP/SSH & SCP

En règle générale, vous n'accédez à votre machine virtuelle que via des connexions sécurisées (via HTTPS/SFTP/SSH) et réalisez ainsi par exemple des sauvegardes ou des copies de données (via SCP).

Services supplémentaires et formations continues

KVD

Nos clients sont automatiquement connectés au service de versionnement des configurations (KVD). Cela signifie que leurs configurations sont gérées au sein d'un référentiel SVN.

Formations continues

Les collaborateurs reçoivent des formations continues adaptées à leurs besoins en matière de sécurité des services d'hébergement.

Portail d'assistance

Sécurité du transport

La sécurité de transport du portail de support est assurée par l'utilisation optionnelle, mais recommandée, de HTTPS.

Échange de messages et authentification

L'échange de messages s'effectue via SOAP, l'authentification étant assurée par un nom d'utilisateur et un mot de passe dans l'en-tête SOAP. L'utilisateur de synchronisation devrait être protégé par un mot de passe fort, car il dispose de droits étendus. Ce mot de passe devrait être déposé dans le coffre-fort des mots de passe.

Configuration des attributs à synchroniser

Les attributs à synchroniser peuvent être configurés, les attributs sensibles pouvant être exclus de la synchronisation.

Restrictions de port

Des restrictions de port peuvent être appliquées afin de limiter de manière ciblée l'échange HTTP entre les systèmes concernés.

Application web

Sécurité du transport

La sécurité de transport de la Web App est garantie, car elle ne peut être utilisée qu'en liaison avec HTTPS.

Authentification et gestion des cookies

L'authentification s'effectue par le biais d'un nom d'utilisateur et d'un mot de passe, suivis de l'utilisation d'un cookie durable qui est conservé en toute sécurité dans la mémoire et supprimé de l'app en cas de déconnexion explicite.

Application des droits lors de la synchronisation

Lors de la synchronisation de la Web App vers Projektron BCS, les droits définis dans BCS sont appliqués.

Microsoft Exchange On-Premises

Sécurité du transport

La sécurité de transport pour Microsoft Exchange On-Premises est assurée par l'utilisation optionnelle, mais recommandée, de HTTPS.

Authentification

Projektron BCS prend en charge les modes d'authentification BASIC, DIGEST et NTLM, qui sont toutefois vulnérables à certains modèles d'attaque. BCS ne prend pas encore en charge le mode d'authentification moderne AD FS, basé sur OAuth 2.0, qui sera utilisé par Exchange 2019.

Microsoft Exchange Online

Sécurité du transport

La sécurité de transport lors de l'utilisation de Microsoft Exchange Online est garantie par l'utilisation exclusive de HTTPS.

Authentification

L'authentification sécurisée basée sur un jeton assure une protection supplémentaire lors de l'utilisation d'Exchange Online.

Jira On-Premises

Sécurité de transport

La sécurité de transport pour Jira On-Premises est assurée par l'utilisation optionnelle, mais recommandée, de HTTPS.

Échange de messages

L'échange de messages s'effectue via SOAP, le mot de passe de l'utilisateur Sync devant être protégé de manière sécurisée.

Impersonation et sécurité

Après la connexion via l'utilisateur Sync, l'impersonnalisation est utilisée pour enregistrer les actions dans le contexte de l'utilisateur connecté.

Jira Cloud

Authentification

Dans Jira Cloud, l'authentification se fait par une clé API à l'utilisateur via l'interface REST dans BCS, la clé API étant créée et stockée de manière sécurisée.

Gestion des utilisateurs

La gestion des mappings d'affectation des utilisateurs dans BCS est exclusivement possible par l'administrateur.

Recommandation de sécurité

Il est recommandé d'installer Jira Cloud et Projektron BCS sur le même système afin de pouvoir bloquer les ports par un pare-feu.