Centre d'aide
Connexion
Connexion

Comment pouvons-nous vous aider?

Thèmes communs :

AI, Tickets, Agents
Centre de support
In this Article:
    1. Atera Support
    2. Bibliothèque
    3. Avis spéciaux

    Sécurité chez Atera

    Dragos Gabriel Tulbure

    La sécurité robuste et intégrée d'Atera est au cœur de tout ce que nous faisons — vous pouvez donc être sûr que vos données sont toujours en sécurité et protégées.

     

    CONFORMITÉ

    Atera a obtenu les conformités ISO/IEC 27001, 27017, 27018 et 27032.

     

    ISO/IEC 27001:2013

    ISO 27001 est une norme de sécurité de l'information publiée initialement en 2005 par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). En septembre 2013, l'ISO 27001:2013 a été publiée, remplaçant la norme originale de 2005. ISO 27001 est une approche de sécurité reconnue mondialement, basée sur des normes, qui définit les exigences pour le système de gestion de la sécurité de l'information (SGSI) d'une organisation.

     

    ISO/IEC 27017:2015

    ISO 27017 est une norme de sécurité développée pour les fournisseurs et utilisateurs de services cloud afin de créer un environnement basé sur le cloud plus sûr et de réduire le risque de problèmes de sécurité.

     

    ISO/IEC 27018:2019

    ISO 27018 est la première norme internationale créée spécifiquement pour la confidentialité des données dans le cloud computing. Son principal objectif, selon l'Organisation internationale de normalisation (ISO), est d'établir des « objectifs de contrôle, contrôles et lignes directrices communément acceptés pour la mise en œuvre de mesures visant à protéger les informations personnellement identifiables (PII). »

     

    ISO/IEC 27032:2012

    ISO 27032 est une norme internationale qui fournit des conseils pour améliorer l'état de la cybersécurité, en mettant en évidence les aspects uniques de cette activité et ses dépendances avec d'autres domaines de sécurité, en particulier : la sécurité de l'information, la sécurité des réseaux, la sécurité Internet et la protection des infrastructures d'information critiques (CIIP).

    Cliquez ici pour télécharger les certifications.

     

    SOC 2 Type 2

    Atera est accréditée avec SOC 2 Type 2. Cette certification implique une évaluation rigoureuse de l'efficacité opérationnelle de nos contrôles sur une période prolongée, garantissant que notre engagement envers la sécurité des données n'est pas simplement théorique mais constamment maintenu. Cette accréditation reflète l'approche proactive d'Atera pour répondre et dépasser les normes reconnues par l'industrie, offrant à nos clients la confiance que leurs informations sensibles sont traitées avec le plus grand soin et conformité.

     

    HIPAA

    La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) établit la norme pour la protection des données sensibles des patients.
    Atera a reçu son sceau de conformité HIPAA. Cette vérification valide l'« effort de bonne foi » d'Atera pour satisfaire à la loi et aux règlements HIPAA et témoigne de notre engagement à maintenir les normes les plus élevées de sécurité et de confidentialité.
    Cliquez ici pour télécharger le certificat de conformité HIPAA d'Atera.
    Si vous êtes un client du plan Enterprise ou Superpower et avez besoin d'un BAA signé, veuillez envoyer une demande à success@atera.com et notre BAA vous sera envoyé pour signature.
    Pour recevoir la lettre de conformité, veuillez envoyer une demande à success@atera.com.

     

    Programme de gestion des risques et d'autorisation du Texas (TX-RAMP)

    Atera a obtenu la certification de niveau 2 du Texas Risk and Authorization Management Program (TX-RAMP). Le Texas Risk and Authorization Management Program fournit une approche standardisée pour l'évaluation de la sécurité, la certification et la surveillance continue des services de cloud computing qui traitent les données des agences de l'État du Texas.
    Cliquez ici pour télécharger la certification.

     

    PCI-DSS

    Les services d'abonnement Atera ne sont pas concernés par le PCI-DSS car nous ne traitons pas les données de carte pour le compte de nos clients.

     

    SÉCURITÉ DU PRODUIT

    Journaux d'audit

    Atera maintient des journaux administratifs ainsi que des journaux pour l'établissement et les modifications de compte, y compris l'ajout ou la suppression d'utilisateurs, de segments, de sources et de destinations.

    Les clients d'Atera peuvent obtenir des journaux des affaires internes d'Atera liées aux changements internes de l'état de leurs comptes Atera respectifs. Les changements courants sont les opérations CRUD (Créer, Mettre à jour, Supprimer) des comptes, des utilisateurs administrateurs, etc.

     

    Authentification multi-facteurs

    Atera vous permet facilement d'ajouter une authentification multi-facteurs au processus de connexion de votre compte Atera pour renforcer la sécurité du compte.

     

    Contrôle d'accès basé sur les rôles (RBAC)

    Les administrateurs de compte client peuvent facilement ajouter et supprimer des utilisateurs de compte. Atera dispose de divers rôles d'utilisateur définis avec des autorisations respectives.

     

    Transmission et sessions sécurisées

    La connexion à l'environnement Atera se fait via des protocoles cryptographiques SSL/TLS, utilisant des certificats de montée en gamme mondiaux, garantissant que nos utilisateurs ont une connexion sécurisée de leurs navigateurs à notre service.

    Les sessions utilisateur individuelles sont identifiées et revérifiées à chaque transaction, en utilisant un jeton unique créé lors de la connexion.

     

    Restrictions IP de connexion dans Atera

    Les plages d'adresses IP de la liste d'accès limitent l'accès non autorisé en exigeant que les utilisateurs se connectent à Atera à partir d'adresses IP désignées — généralement votre réseau d'entreprise, les réseaux clients désignés ou le VPN. En utilisant les plages d'adresses IP de connexion, les administrateurs peuvent définir une plage d'adresses IP autorisées pour contrôler l'accès à Atera. Ceux qui essaient de se connecter à Atera depuis l'extérieur des adresses IP désignées ne se verront pas accorder l'accès.

     

    Sécurité des agents

    Une fois qu'un agent est déployé, une clé unique lui est attribuée. Cette clé est utilisée à des fins d'authentification. Toutes les communications entre les agents et le cloud d'Atera sont vérifiées par cette clé unique et effectuées via une couche de sockets sécurisés/sécurité de la couche de transport (SSL/TLS).

     

    Tunneling de contrôle à distance

    Lors de l'utilisation de l'outil de contrôle à distance Atera, un tunnel virtuel est créé entre l'utilisateur Atera et l'ordinateur cible. Toutes les données transférées entre l'utilisateur et l'agent sont cryptées. L'utilisateur et l'agent Atera se connectent uniquement via le port TCP 443.

     

    SÉCURITÉ DES DONNÉES

    Données cryptées au repos

    Les données sont cryptées au repos en utilisant AES-256.

     

    Données cryptées en transit

    Nous cryptons les données en transit en utilisant HTTPS/TLS. La version TLS prise en charge est actuellement TLS 1.2 ou plus récente.

     

    Cryptage des mots de passe

    Les mots de passe des comptes utilisateurs sont cryptés et hachés avec un algorithme SHA 256.

     

    CONFIDENTIALITÉ

    Politique de confidentialité

    La politique de confidentialité d'Atera décrit comment nous collectons, utilisons et traitons les informations personnelles lorsque vous utilisez notre plateforme, site(s) web, application(s), logiciel d'analyse de données et autres services.

    Consultez notre politique de confidentialité ici.

     

    IA RESPONSABLE

    Atera s'engage à protéger la confiance et la confidentialité de nos clients et au développement responsable de notre solution d'IA.

    Vos entrées, sorties, embeddings et contenu de base de connaissances (KB) sont inaccessibles aux autres clients, et ils ne sont pas utilisés pour entraîner les algorithmes d'IA d'Atera ou d'Azure OpenAI, ni aucun produit Microsoft ou tiers. Découvrez nos principes d'IA responsable ici.

     

    RGPD

    Atera s'engage à respecter votre vie privée et, le cas échéant, adhère au Règlement Général sur la Protection des Données de l'UE, connu sous le nom de RGPD. Pour plus d'informations sur Atera et le RGPD, consultez notre avis de sensibilisation au RGPD à https://www.atera.com/fr/gdpr-awareness-notice/

     

    Addendum de traitement des données

    Nous abordons le traitement des données dans les termes de notre accord de service et proposons un addendum de traitement des données à nos clients.

    Pour demander un DPA, veuillez contacter : success@atera.com

     

    Demandes de suppression de données

    Les clients peuvent demander la suppression de données en contactant le support de confidentialité d'Atera. Toute demande de suppression de données reçue d'une personne concernée associée à un client sera renvoyée au client en question.

    Pour toute préoccupation, demande ou pour exercer vos droits de protection des données, veuillez contacter : privacy@atera.com

     

    Délégué à la Protection des Données (DPD)

    Notre Délégué à la Protection des Données désigné est responsable de s'assurer que toutes nos mesures de protection des données sont à jour et que toutes les procédures sont suivies. Le DPD travaille avec des professionnels de la sécurité expérimentés (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).

     

    GESTION ET RÉPONSE AUX INCIDENTS

    Notification de violation de données

    En cas de violation réelle ou raisonnablement suspectée de la sécurité de l'information ou d'un autre incident affectant la sécurité ou l'intégrité de vos données, Atera adhérera aux politiques définies dans le Plan de Réponse aux Incidents de Sécurité de l'Information d'Atera et vous notifiera conformément à la loi applicable.

     

    Plan de Réponse aux Incidents (PRI)

    Atera opère un processus formel de gestion des incidents de sécurité sous une politique et une procédure connexes. Des procédures d'escalade existent pour assurer la communication en temps opportun de tout incident de sécurité à travers la chaîne de gestion et à tout client affecté sans retard indu.

     

    Disponibilité et fiabilité

    Atera utilise l'infrastructure de la plateforme Microsoft Azure car elle a été conçue pour être l'un des environnements cloud les plus flexibles, fiables et sécurisés disponibles aujourd'hui, permettant à nos clients de bénéficier de cette infrastructure de données.

    Notre infrastructure est divisée en plusieurs installations géographiquement dispersées dans des centres de données conçus pour une sécurité et une disponibilité maximales. Tous les emplacements appliquent les meilleures pratiques de l'industrie, y compris les systèmes d'entrée par badge et biométriques, des sources d'alimentation supplémentaires, des unités de climatisation supplémentaires et des systèmes de suppression d'incendie. Le personnel de sécurité et les caméras surveillent ces emplacements 24 heures sur 24, 365 jours par an. Seul le personnel autorisé est autorisé à entrer dans ces centres de données et toutes les visites sont enregistrées.

    Nous avons conçu notre environnement de collecte de données de service d'abonnement pour une haute disponibilité ; pas moins de 99,75 %.

     

    Mise à l'échelle automatique

    Nous activons la mise à l'échelle automatique dans le cloud.

    L'infrastructure cloud d'Atera peut évoluer pour traiter les données de millions d'appareils. Une véritable mise à l'échelle cloud est réalisée en mettant à l'échelle automatiquement l'infrastructure cloud sans impact pour l'utilisateur final accédant ou écrivant des données.

     

    Protection contre le déni de service (DoS)

    Atera a déployé les services de sécurité Cloudflare pour le pare-feu d'application Web, la protection contre le déni de service et le réseau de distribution de contenu.

     

    Redondance de l'infrastructure

    Les services Atera sont déployés pour bénéficier de la redondance de l'infrastructure de la plateforme Microsoft Azure.

     

    Tests d'assurance qualité

    Atera suit un processus de gestion des changements pour les modifications de l'environnement de production. Tous les changements de code doivent faire l'objet d'une révision par les pairs et inclure des tests automatisés unitaires, fonctionnels et de sécurité. Les tests sont effectués après les déploiements pour valider la fonctionnalité de l'application. Si la validation échoue, l'application est restaurée à sa version précédente.

     

    Surveillance du service

    Atera utilise Azure Log Analytics et les insights d'application pour surveiller ses systèmes afin de détecter les problèmes liés aux services. L'équipe Atera est alertée 24h/24 et 7j/7 lorsque les critères de seuil sont dépassés.

     

    SÉCURITÉ ORGANISATIONNELLE

    Accords de confidentialité

    Nos accords de service permettent le traitement confidentiel des informations confidentielles des clients, y compris les données des clients. Nous exigeons que tous nos employés et sous-traitants ainsi que les fournisseurs signent des accords de confidentialité pour garantir la protection absolue des informations confidentielles.

     

    Formation à la sécurité des employés

    Nous formons tous les nouveaux employés sur leurs obligations de confidentialité, de protection de la vie privée et de sécurité de l'information dans le cadre de leur formation d'intégration. Une formation annuelle obligatoire sur la sécurité et la confidentialité garantit que les employés rafraîchissent leurs connaissances et leur compréhension. Les équipes d'ingénierie reçoivent une formation supplémentaire liée à leurs fonctions de travail et à leur accès.

     

    Verrouillage automatique des postes de travail des employés

    Nos postes de travail des employés sont automatiquement verrouillés après une période prédéterminée de non-utilisation via le système MDM que nous avons mis en place.

     

    Chiffrement des postes de travail des employés

    Tous les postes de travail des employés sont chiffrés et effacés au moment de la mise hors service selon les normes DoD.

     

    Accès limité des employés (principe du moindre privilège)

    Atera suit le principe du "moindre privilège" pour régir l'accès des employés à nos systèmes. L'accès aux données de nos clients est limité aux besoins commerciaux légitimes, y compris les activités nécessaires pour soutenir l'utilisation de nos services par nos clients.

    Nous associons directement les comptes réseau à nos employés en utilisant un identifiant unique ; les comptes administratifs génériques ne sont pas utilisés. Nous examinons périodiquement l'accès des employés aux systèmes internes pour nous assurer que les droits d'accès et les modèles des employés sont en adéquation avec leurs postes actuels.

    Un processus formel de notification de cessation d'emploi existe, qui est initié par notre département des ressources humaines (« RH »). Dès notification par les RH, tous les accès physiques et systèmes sont rapidement révoqués.

     

    Contrôle d'accès physique

    Atera a mis en place des contrôles appropriés pour restreindre l'accès physique à ses bureaux.

    Nos fournisseurs de services cloud ont mis en œuvre des mesures de sécurité robustes pour contrôler l'accès physique aux installations de traitement des données que nous utilisons.

     

    Accès réseau sécurisé à distance

    Les postes de travail des employés d'Atera utilisent des contrôles Zero Trust pour fournir un chiffrement réseau de bout en bout, une sécurité en couches et une gestion des accès identitaires avec MFA afin de fournir une connexion privée et sécurisée à la fois à Internet et aux actifs réseau liés au travail d'Atera.

    Toutes les connexions à distance sont régulièrement surveillées, et les employés sont alertés s'ils sont déconnectés du réseau ou si d'autres notifications de sécurité sont déclenchées.

     

    Stockage et transfert de données sécurisés

    Pour garantir que les données sont stockées, reçues et transférées entre les postes de travail de manière sécurisée, les employés d'Atera utilisent des coffres-forts.

     

    Gestionnaire de mots de passe

    Atera comprend l'importance de gérer les mots de passe des utilisateurs et a mis en place un système de gestion des mots de passe sécurisé à l'échelle de l'entreprise afin de protéger et de gérer les mots de passe des employés et de l'organisation.

     

    CONTINUITÉ DES ACTIVITÉS

    Plan de continuité des activités

    Atera a mis en place une politique intégrée de continuité des activités et de reprise après sinistre et maintient des plans connexes dans le cadre de cette politique. Veuillez consulter le texte sous « Plan de reprise après sinistre » pour plus d'informations sur ce sujet.

     

    Plan de reprise après sinistre

    Atera maintient des capacités essentielles d'évitement, de préparation et de récupération en cas de sinistre grâce à l'utilisation de plusieurs centres de données géographiquement dispersés, notre architecture de plateforme, la sauvegarde de données hors site et les capacités d'accès à distance. Nous maintenons également une politique de continuité des activités et de reprise après sinistre et des plans connexes, et les testons régulièrement.

     

    Sauvegardes de données

    Atera stocke toutes les données des clients sur les systèmes de stockage Microsoft Azure, en utilisant des sauvegardes à chaud stockées dans des installations Azure sécurisées hors site des installations de production. L'accès aux supports de sauvegarde est hautement restreint.

     

    Mesures de protection environnementales

    Atera héberge ses données et applications sur Microsoft Azure, pour son environnement d'infrastructure de production.

    Azure utilise les mesures de protection mentionnées ici qui incluent également :

     

    Contrôle d'accès et sécurité physique

    • Sécurité assurée 24 heures sur 24, y compris des patrouilles à pied et des inspections du périmètre
    • Scan biométrique pour l'accès
    • Salles de centre de données dédiées avec murs en béton
    • Équipements informatiques dans des cages en acier à accès contrôlé
    • Surveillance vidéo dans toute l'installation et le périmètre
    • Bâtiment conçu pour les risques sismiques, de tempête et d'inondation locaux
    • Suivi du retrait des actifs

    Contrôles environnementaux

    • Contrôle de l'humidité et de la température
    • Système de refroidissement redondant (N+1)

    Énergie

    • Alimentation électrique souterraine des services publics
    • Systèmes CPS/UPS redondants (N+1)
    • Unités de distribution d'énergie (PDU) redondantes
    • Générateurs diesel redondants (N+1) avec stockage de carburant diesel sur site

    Réseau

    • Voûtes en béton pour l'entrée de la fibre
    • Réseaux internes redondants
    • Neutre en réseau ; se connecte à tous les principaux opérateurs et situé près des principaux hubs Internet
    • Capacité de bande passante élevée

    Détection et suppression des incendies

    • VESDA (appareil de détection de fumée très précoce)
    • Suppression des incendies à eau à tuyau sec pré-action, multi-zone, à double alarme et double verrouillage

     

    INFRASTRUCTURE

    Atera est hébergé sur la référence en matière de sécurité Cloud : Microsoft Azure.
    Les centres de données d'Atera sur Azure sont situés en Europe de l'Ouest (Amsterdam) et aux États-Unis-Central (Iowa).
    Les centres de données Azure maintiennent des normes de sécurité physique robustes et sont conformes aux normes ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 et SOC-2.

     

    Architecture multi-locataire

    Atera fournit ses services d'abonnement en utilisant une architecture multi-locataire avec les données de chaque compte client logiquement séparées des autres comptes. Les données sont cryptées au repos à l'aide de l'AES-256.

     

    ISO 27001 – Centre de données

    Les centres de données Microsoft Azure — certifiés conformes aux normes ISO suivantes : ISO 27001:2013, ISO 27017:2015, et ISO 27018:2019, ISO 27701:2020.

     

    SOC 2 Type II — Centre de données

    Les centres de données Microsoft Azure sont certifiés avec les principes de confiance en matière de sécurité, de confidentialité, de disponibilité et de confidentialité SOC 2 Type 2.

     

    Contrôle d'accès physique – Centre de données

    Pour plus d'informations, veuillez consulter le lien suivant qui décrit plus en détail la sécurité de Microsoft autour de l'infrastructure Azure.

    https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

     

    Architecture de confiance zéro

    La confiance zéro (ZT) est le terme pour un ensemble évolutif de paradigmes de cybersécurité qui déplacent les défenses des paramètres statiques basés sur le réseau pour se concentrer sur les utilisateurs, les actifs et les ressources.

    Atera applique une architecture de confiance zéro (ZTA) et utilise les principes de confiance zéro pour planifier et construire son infrastructure et ses flux de travail, de sorte qu'aucune confiance implicite n'est accordée aux actifs ou aux comptes d'utilisateurs uniquement en fonction de leur emplacement physique ou réseau.

     

    GESTION DES MENACES

    Tests de pénétration

    Nous avons un fournisseur de sécurité tiers indépendant qui effectue des tests de pénétration manuels de notre infrastructure et de nos services internes et externes sur une base trimestrielle. Ces tests manuels sont complétés par des tests automatisés utilisant une variété d'outils de test disponibles dans le commerce exécutés mensuellement.

    Si vous souhaitez recevoir une copie du dernier rapport sommaire de test de pénétration d'Atera, veuillez envoyer une demande à success@atera.com. Étant donné qu'un NDA est requis, veuillez inclure le nom complet de votre entreprise, l'adresse de l'entreprise et le lieu d'incorporation.

     

    Analyse des vulnérabilités

    Atera utilise plusieurs outils d'analyse automatisés pour rechercher fréquemment les vulnérabilités de sécurité de l'infrastructure et des applications. Les analyses sont appliquées à chaque construction de code et avant les fusions de code.

     

    Test de sécurité des applications statiques (SAST)

    Le code source est régulièrement analysé pour détecter toute vulnérabilité avant la mise en production.

     

    Demande de détails sur les clients d'Atera

    Les données et la confidentialité des clients d'Atera sont d'une importance capitale et sont traitées conformément à notre Politique de confidentialité. Pour cette raison, Atera n'est pas en mesure de fournir des informations sur ses utilisateurs ou comptes sans une ordonnance du tribunal, une assignation ou une autre forme de procédure légale. Pour plus d'informations, veuillez consulter ici.

     

    Liste des sous-traitants d'Atera

    Vous pouvez trouver une liste à jour des noms et emplacements des sous-traitants qui traitent les données personnelles des utilisateurs des clients d'Atera ici. Pour plus d'informations sur nos sous-traitants, veuillez consulter notre DPA.

     

    Copyright © Atera Networks Ltd.2023

    apple store app google play app

    AICPA SOC for Service Organizations and ISO 27001 certified