Sécurité

Concernant la sécurité et la disponibilité de vos données

Notre ambition est d’aider les entreprises à travailler plus intelligemment. Mais cela est impossible à réaliser si notre logiciel ne constitue pas un endroit sécurisé et digne de confiance pour stocker des données. C’est la raison pour laquelle la sécurité des données est pour nous une priorité absolue. Dans un objectif de transparence, voici une liste des mesures que nous mettons en place pour maintenir vos données sécurisées et disponibles 24h/24 et 7j/7.

1. Disponibilité

Advency Manager sera-t-il disponible tout le temps ?

Advency Manager s’efforce de maintenir un temps de disponibilité de 99,9 %, et nous utilisons plusieurs services pour surveiller le fonctionnement et la disponibilité de notre site. En cas d’indisponibilité ou d’urgence, notre équipe reçoit des notifications en temps réel, ce qui nous permet d’agir rapidement.

Et si quelque chose ne fonctionne pas ?

Dans les rares cas où des problèmes se produisent, nous vous tiendrons informés en continu par des notifications dans notre application. Nous ferons tout ce qui est en notre pouvoir pour résoudre le problème dès que nous le pourrons.

2. Mesures de sécurité

Cryptage des données en transit

Tout le trafic vers Advency Manager emprunte une connexion cryptée SSL, et nous acceptons uniquement le trafic sur le port 443. Un rapport de notre configuration SSL peut être consulté ici.

Lors de la première visite de notre site web, Advency Manager envoie un Strict Transport Security Header (HSTS) à l’agent utilisateur, pour garantir que toutes les demandes futures seront effectuées via HTTPS. Ce sera le cas même si un lien vers Advency Manager indique HTTP.

Infrastructure

Advency manager fonctionne sur une quinzaine de serveur OVH réparti dans différents datacenters européens, ceux-ci permettent le stockage de données de ses utilisateurs. Chaque donnée est répliquée plusieurs fois et est quotidiennement sauvegardée dans un serveur sécurisé en dehors de l’infrastructure et coupé d’internet.

Les pratiques de sécurité de AWS

Advency Manager utilise Amazon Web Services (AWS) pour stocker les documents de ses utilisateurs. Leurs serveurs sont régulièrement évalués pour assurer leur conformité avec les dernières normes du secteur, pour une gestion permanente des risques associés. En utilisant AWS comme centre de données, notre infrastructure est accréditée par :

  • ISO 27001
  • SOC 1 et SOC 2/SSAE 16/ISAE 3402 (anciennement SAS 70 Type II)
  • PCI Niveau 1
  • C5 Operational Security
  • ENS High
  • IT-Grundschutz

Vous pouvez consulter plus d’informations sur la sécurité chez AWS ici.

Politique concernant les mots de passe et leur stockage

Nous ne stockons pas les mots de passe utilisateurs en texte brut, nous stockons seulement des hachages de mots de passe cryptés à sens unique avec Bcrypt, audité open source, qui effectue un salt aléatoire par utilisateur. Ceci protège les utilisateurs contre les attaques des tables arc-en-ciel et le recoupement de mots de passe cryptés.

Limitation et traçage des demandes

Nous bloquons les demandes en provenance d’adresses ou de plages d’adresses IP connues ou vulnérables.

Nous limitons le nombre et le débit des demandes qui proviennent de la même adresse IP afin d’éviter tout mauvais usage potentiel.

Protection XSS et CSRF

Pour bloquer les attaques de type cross-site scripting (XSS), toute sortie est dirigée par défaut dans notre application back-end avant de toucher le navigateur qui provoque potentiellement des attaques XSS. Nous évitons d’utiliser les données brutes de retour, car cela pourrait potentiellement provoquer une transmission de données indésirables au navigateur.

Notre application bloque les demandes qui ne proviennent pas de notre ou nos propre(s) domaine(s), afin d’aider à réduire le risque de falsification de requête inter-site (CSRF pour Cross Site Request Forgery).