Organisation de la sécurité
Politique de sécurité
Opendatasoft possède un corpus documentaire régissant l’organisation de la sécurité. Cette politique définit les objectifs de sécurité, l’organisation associée pour atteindre ces objectifs et décline de façon opérationnelle les mesures organisationnelles et techniques associées.
Cette politique de sécurité s’appuie sur les standard ISO 27001 et ISO 27002.
Gestion des incidents de sécurité
En cas d’incident de sécurité, un processus et une organisation sont en place pour le traiter au plus vite. Si l’incident concerne les données de nos clients, nous nous engageons à prévenir les clients concernés dans les meilleurs délais.
Il est à noter qu’aucun incident de ce type n’a été identifié dans les trois dernières années.
Veille sécurité
Une veille sécurité est réalisée de façon quotidienne sur les vulnérabilités concernant les serveurs d’Opendatasoft mis en œuvre dans le cadre de la mise à disposition d’un domaine. En cas d’identification d’une vulnérabilité avec un impact majeur, la mise à jour est déployée le plus rapidement possible, généralement dans la journée au plus tard.
Sécurité applicative
Sécurité dans les développements
L’application est conçue avec une procédure de développement sécurisé s’assurant de la qualité de la sécurité de son code avant son déploiement.
De plus, l’application est régulièrement testée en conditions réelles dans le cadre de notre programme de tests d’intrusion afin d’identifier et corriger d’éventuels défauts liés aux développements et/ou à l’infrastructure.
Protection des mots de passe
Les mots de passe utilisateurs sont stockés de façon irréversible sous forme « hashée » avec l’algorithme PBKDF2.
Par ailleurs, nous proposons à nos clients d’utiliser un Identity Provider (IDP) personnalisé pour l’authentification de leurs utilisateurs. Ainsi, les comptes (et leurs mots de passe) sont gérés uniquement par ce référentiel externe.
Évaluation de la sécurité de notre plateforme
Des tests d’intrusion sur la plateforme Opendatasoft sont réalisés de façon annuelle et les recommandations sont appliquées pour réduire les risques identifiés. En complément de ce programme de tests d’intrusion, en moyenne, 3 tests d’intrusion par an sont menés par nos clients sur leur plateforme. Leurs recommandations sont ensuite prises en considération pour renforcer la sécurité de la plateforme.
Si vous souhaitez signaler une faille de sécurité, vous pouvez contacter l’équipe sécurité d’Opendatasoft à l’adresse security@opendatasoft.com.
Contrôle d’accès et configuration
Protection de l’accès aux données
Les données de nos clients sont protégées d’un point de vue infrastructure (nos clients ne sont pas tous sur les mêmes serveurs), logique (l’application n’autorise l’accès qu’à ses propres données) et physique (les disques durs des serveurs sont chiffrés).
Paramétrage de l’outil
La plateforme permet un paramétrage fin du contrôle d’accès et des paramétrages de sécurité (gestion des utilisateurs, durée de session, authentification avec SAML à un référentiel tiers, etc.) à la main des administrateurs de domaine.
Traçabilité
Les accès à la plateforme sont tracés et accessibles en toute autonomie par nos clients. Voir le jeu de données sous-jacent contenant les données détaillées d’accès.
Ces données sont conservées jusqu’à un an.
Sécurité physique et réseau
Datacenters
Nous avons deux fournisseurs cloud : Amazon Web Service (AWS) et Outscale.
- Nos datacenters chez AWS sont dans le monde entier (Europe – Irlande et Allemagne, Amérique du Nord – États-Unis et Canada, Australie)
- Nos datacenters chez Outscale sont en France (hébergement garanti en France par Outscale)
Nos clients peuvent choisir le pays du datacenter de leur choix (parmi nos datacenters existants). En particulier :
- Un client souhaitant que ses données restent en Union Européenne peut choisir un hébergement en Irlande ou en Allemagne (AWS)
- Un client souhaitant que ses données restent en France peut choisir un hébergement en France (Outscale)
- En l’absence de préférence émise par le client, Opendatasoft choisit le datacenter le plus pertinent (en général choisi par proximité géographique)
Haute disponibilité
Notre infrastructure est dupliquée et redondée entre les zones des datacenter de nos fournisseurs de façon à ce qu’en cas de perte d’un datacenter (incendie, coupure de courant ou d’accès réseau, etc.) l’infrastructure dans l’autre zone continue à fonctionner de façon autonome.
Protection des flux
Les connexions à notre service sont chiffrées en HTTPS, garantissant qu’elles ne peuvent pas être interceptées et lues par un tiers. La configuration HTTPS déployée chez Opendatasoft a la note maximale A+ sur Qualys SSL Labs.
Par ailleurs, un Web Application Firewall (WAF) est déployé sur l’infrastructure et bloque automatiquement les requêtes correspondant à des motifs malveillants grâce à un ensemble de règles précises.
Protection des données
Les disque dur des serveurs d’Opendatasoft sont chiffrés en AES 256 avec clef aléatoire de 32 caractères. Cela garantit qu’un accès au disque dur de nos serveurs ne permet pas d’accéder au contenu de nos serveurs.
De même, les postes de travail des collaborateurs Opendatasoft sont chiffrés et le stockage externe n’est pas utilisé afin de garantir la confidentialité des données manipulées.