Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Options d'hébergement Cintoo & Cybersécurité

            Cet article décrit en détail comment les données des clients sont stockées dans Cintoo, quelles sont les principales options d'hébergement, comment Cintoo gère divers sujets de sécurité, certifications, etc.

            Introduction


            La solution de gestion et de collaboration des données de réalité Cintoo est délivrée via le cloud.


            Le cloud offre flexibilité, évolutivité et fiabilité pour simplement activer plus de puissance de calcul, de stockage ou de nouveaux services selon vos besoins, afin que Cintoo puisse grandir avec vous.

            La sécurité dans le cloud est également reconnue comme meilleure que sur site, avec une certification et une accréditation de sécurité étendues, un chiffrement des données et une sécurité physique des centres de données robustes, offrant ainsi une manière plus sécurisée de gérer l'infrastructure informatique de votre entreprise.


            Différentes organisations ont des exigences cloud différentes, souvent déterminées par la stratégie informatique, l'infrastructure existante et les politiques de sécurité. Cintoo offre de la flexibilité autour des options cloud, en s'appuyant sur Microsoft Azure et Amazon Web Services (AWS), les deux plus grands fournisseurs de services cloud à l'échelle mondiale.


            Ce document décrit diverses options et mesures globales de cybersécurité mises en place par Cintoo pour garantir le service cloud le plus sûr à nos clients. Des informations supplémentaires peuvent être divulguées après la signature d'un accord de non-divulgation (NDA).

            TABLE DES MATIÈRES

            Métadonnées clientes contre fichiers clients

            Cintoo divise les données des clients en deux types distincts :

            • Métadonnées client : toutes les données concernant les utilisateurs, membres ou spectateurs. 
            • Fichiers client : données téléchargées par le client et données générées par le client lors de l'utilisation des outils Cintoo.

            Options d'hébergement cloud pour les données des clients

            Préambule : 

            • Toutes les données des clients sont stockées dans différentes régions de centres de données dans Microsoft Azure, Amazon Web Services (AWS) ou les centres de données Google.
            • Fichiers clients : stockés dans des magasins d'objets (Microsoft Azure Blob ou AWS S3 ou tout stockage compatible).
            • Métadonnées clients : stockées dans une base de données SQL actuellement hébergée dans Microsoft Azure.
            • Il n'y a pas de métadonnées clients ou de fichiers clients sur les serveurs ou les dépôts locaux des bureaux de Cintoo.


            Définitions : 

            Une région de centre de données est une collection d'un ou plusieurs centres de données interconnectés par un réseau à faible latence et à bande passante élevée, et se trouve généralement dans un marché ou une géographie distincte, contenant typiquement deux régions ou plus, ce qui préserve la résidence des données et les frontières de conformité. Cela permet aux organisations ayant des exigences spécifiques de résidence et de conformité des données de conserver leurs données et applications à proximité.


            Le réseau de diffusion de contenu (CDN) peut être activé ou non lors de la sélection de l'option d'hébergement pour un projet donné. Le CDN est un réseau géographiquement distribué de serveurs proxy et de leurs centres de données. Le CDN fournit une haute disponibilité et une haute performance aux utilisateurs finaux.

            • Lors de l'utilisation du CDN, les données sont temporairement mises en cache dans le CDN pour améliorer les performances de streaming pour les utilisateurs finaux qui peuvent être situés n'importe où dans le monde. Les données sont supprimées du CDN 30 jours après le dernier accès.
            • Lorsque le CDN n'est pas utilisé, les données restent toujours dans la région sélectionnée du centre de données sans distribution dans des serveurs proxy.


            Architecture d'hébergement Cintoo

             


            Options d'hébergement

            Les métadonnées clients sont actuellement stockées dans une base de données SQL gérée hébergée dans :

            • Soit le centre des États-Unis (Iowa), avec une sauvegarde dans l'est des États-Unis (Virginie).
            • Ou dans la région d'Europe de l'Ouest (Pays-Bas - Amsterdam) avec une sauvegarde dans Azure Nord Europe (Irlande - Dublin).
            • Le client peut demander à Cintoo de sélectionner l'une de ces deux options (États-Unis / UE) avant la création du premier projet.


            Fichiers clients : stockés dans l'une des 'régions' cloud suivantes, selon l'option d'hébergement choisie par le Chef de Projet du Client lors de la création d'un projet.

            • Si le CDN est utilisé, l'hébergement est soit en Europe, soit aux États-Unis en fonction de l'emplacement du client, avec une mise en cache potentielle à n'importe quel point de présence du CDN.
            • Si le CDN n'est pas utilisé, les options cloud suivantes peuvent être sélectionnées par le Chef de Projet pour chaque projet individuellement :
              • AWS - Asie-Pacifique (Sydney)
              • AWS - Asie-Pacifique (Jakarta)
              • AWS - Canada (Central)
              • AWS - Europe (Francfort)
              • AWS - Europe (Londres)
              • AWS - US East (N. Virginie)
              • AWS - US West (Oregon)
              • Azure - Australie Est (Sydney)
              • Azure - Brésil Sud (État de São Paulo)
              • Azure - Centre du Canada (Toronto)
              • Azure - Centre de la France (Paris)
              • Azure - Norvège (Oslo / Stavanger)
              • Azure - Asie du Sud-Est (Singapour)
              • Azure - Suisse Nord (Zurich)
              • Azure - Royaume-Uni Sud (Londres)
              • Azure - Europe de l'Ouest (Pays-Bas)
              • Azure - Ouest américain (Washington)
              • Google - Europe du Nord (Finlande)
            • Si la région dont vous avez vraiment besoin pour votre projet n'est pas disponible dans cette liste, veuillez contacter l'équipe Cintoo à support@cintoo.com pour vérifier la disponibilité d'autres régions proposées par Azure et AWS (des frais supplémentaires peuvent s'appliquer) : 
              • Cliquez ici pour une liste de toutes les régions de centres de données Azure actuelles.
              • Cliquez ici pour une liste de toutes les régions de centres de données Amazon Web Services actuelles.
            • Certaines des régions américaines de Azure et AWS ont une certification FedRAMP (Federal Risk and Authorization Management Program), qui peut être requise pour les projets traitant avec les agences fédérales et gouvernementales des États-Unis. Options FedRAMP dans Cintoo.
              • Plus d'informations sur FedRAMP ici
              • Plus d'informations sur FedRAMP chez Microsoft Azure ici
              • Plus d'informations sur FedRAMP chez Amazon Web Services ici.


            La scalabilité du service est garantie par notre utilisation de ressources de cloud élastiques, qui sont surveillées de près en temps réel. La performance de l'application est continuellement surveillée et améliorée pour garantir que la plateforme reste évolutive en termes d'utilisateurs, de projets, de scans, etc.

            Option cloud hybride 

            L'option Cloud Hybride est disponible pour les organisations qui ont besoin de s'assurer que les Fichiers client sont stockés à l'intérieur du propre réseau de l'organisation.

            • Tous les Fichiers client restent stockés dans les instances privées d'Azure ou d'AWS de l'organisation, Cintoo diffusant ces données directement de ce stockage privé au navigateur de l'utilisateur.
            • Cintoo fournit ensuite un accès à l'application Cintoo Connect dans l'environnement cloud propre au client, permettant aux utilisateurs d'accéder et de collaborer sur les Fichiers client directement dans le cloud du client.
                  

            Les Métadonnées client restent hébergées soit dans le centre des États-Unis (Iowa), soit dans la région Europe de l'Ouest, selon la sélection effectuée par l'administrateur du compte lors de la création du compte Cintoo. Les sauvegardes sont stockées dans des emplacements différents.


            Des frais supplémentaires s'appliqueront pour la mise en œuvre de l'option Cloud Hybride

            Segmentation des données 

            Pour les Métadonnées client

            • Étant donné que Cintoo est une plateforme communautaire, elle gère les données de plusieurs clients qui peuvent fournir l'accès à des utilisateurs ayant déjà un compte Cintoo provenant d'autres clients ou de travaux antérieurs.
            • Pour les utilisateurs accédant à Cintoo via une URL générique (aec.cintoo.com), il y a un tenant par défaut qui permet de partager des utilisateurs entre divers comptes ou clients.


            • Pour les utilisateurs accédant à Cintoo depuis une URL personnalisée (company.cintoo.cloud), il y a un tenant par client :



            Pour les Fichiers client : 

            • La ségrégation des données pour chaque projet est assurée en stockant les Fichiers client dans un dossier dédié dans le magasin d'objets pour chaque projet (ou même dans un magasin d'objets dédié).
            • Si l'option d'hébergement Cloud Hybride est choisie, les Fichiers client peuvent être stockés et contrôlés par le client lui-même. 

            Gestion des accès et authentification

            La méthode d'authentification par défaut sur la plateforme Cintoo est basée sur un identifiant/mot de passe, avec les meilleures mesures et pratiques de sécurité recommandées en place. 

            La gestion des accès utilisateurs est intégrée dans la plateforme Cintoo. Elle est gérée par des clients avec le rôle d'administrateurs de compte et la fonctionnalité rôles et permissions. Ils sont personnalisables pour offrir le niveau de granularité approprié aux administrateurs définissant les rôles et permissions pour leurs utilisateurs.


            En plus de ces 5 rôles prédéfinis, les Administrateurs de Compte peuvent également définir des rôles personnalisés pour plus de granularité.


            Une trace d'audit de toutes les invitations d'utilisateurs à un projet donné est maintenue et visible dans l'application. Les administrateurs de compte peuvent exporter les rapports d'utilisation depuis l'onglet Administration  dans Cintoo, fournissant des informations sur tous les utilisateurs dans tous les projets pour chaque jour de la dernière semaine, du dernier mois ou des 3 derniers mois, Les informations disponibles sont les suivantes.


            Chaque accès aux données clients et tentatives de connexion est enregistré, afin que les activités suspectes puissent être suivies, analysées et auditées. Cependant, la responsabilité d'attribuer les bons rôles / permissions aux bons utilisateurs incombe aux Administrateurs et co-Administrateurs.


            Les propres applications de Cintoo sont toutes sécurisées en utilisant Azure AD Single Sign-On (SSO) avec MFA obligatoire activé pour tous les utilisateurs. 


            Les données des clients ne peuvent être consultées que par les ingénieurs de support de Cintoo après approbation explicite du client, et uniquement dans le cas où cela est requis pour enquêter sur des incidents de production et résoudre des bogues. Un tel accès est enregistré et peut être audité.

            Connexion unique d'entreprise (SSO) 

            Cintoo peut être intégré à une solution de connexion unique (SSO) d'entreprise, pour répondre aux exigences de sécurité d'entreprise et simplifier la gestion des utilisateurs. Les avantages du SSO d'entreprise vont au-delà d'avoir un seul mot de passe à retenir. Il s'agit d'adopter la politique de l'entreprise pour l'accès utilisateur, l'authentification et le contrôle des mots de passe (par exemple, changements de mot de passe tous les 3 mois, configurations de mots de passe, pas de réutilisation des anciens mots de passe, etc.). En mettant en œuvre SSO d'entreprise, Cintoo Cloud devient intrinsèquement conforme à cette politique.


            Cintoo prend en charge les protocoles OpenID Connect (OIDC) et SAML, et est compatible avec les fournisseurs d'identité suivants : 

            • Azure AD (fournisseur préféré)
            • Microsoft ADFS
            • Okta / Okta MyID
            • Ping Federate 

            Contactez votre représentant commercial Cintoo ou sales@cintoo.com pour vous abonner à l'option SSO pour votre compte Cintoo. Des frais supplémentaires seront nécessaires pour cette mise en œuvre.

            Conformité SOC 2

            Cintoo a développé un Cadre de Contrôle Interne basé sur COSO, COBIT 5 et ISO 27001, qui est validé chaque année par un Audit SOC 2 Type 2. Le dernier audit peut être mis à la disposition des clients après la signature d'un Accord de Non-Divulgation (NDA).

            La politique de sécurité du système d'information de Cintoo (« ISSP »), la politique informatique, la procédure opérationnelle, et la procédure de sécurité définissent une approche à l'échelle de l'organisation sur la façon dont les systèmes et les données sont protégés. Cela inclut des politiques sur la façon dont le service est conçu et développé, comment le système est exploité et géré, et comment les employés sont embauchés et formés. L'« ISSP » et ses contrôles sont revus chaque année pour garantir le plus haut niveau de sécurité et de conformité.


            Certification ISO 27001

            Cintoo maintient une certification de conformité ISO 27001. ISO 27001 est la norme internationale pour la sécurité de l'information qui définit les spécifications pour un système de gestion de la sécurité de l'information (ISMS). Cintoo est certifié ISO 27001 depuis 2024.

            Tests de pénétration 

            En plus de la surveillance quotidienne, Cintoo engage une entreprise tierce pour effectuer des tests de pénétration bi-annuels. Les rapports de tests de pénétration peuvent être mis à disposition après la signature d'un Accord de Non-Divulgation (NDA).

            FedRAMP

            Cintoo n'a pas actuellement la certification FedRAMP. Mais certaines des options d'hébergement ont des parties de serveur de base de données/web FedRAMP autorisées, permettant à Cintoo d'hériter des contrôles.


            Exemple :

            L'hébergement de projet par défaut (CDN) dans la région UE utilise AWS Allemagne qui n'est pas autorisée par FedRAMP.

            Pour avoir une infrastructure autorisée par FedRAMP (serveur de base de données/web), l'hébergement du projet doit être uniquement Azure ou AWS US.

            RGPD

            Les services et engagements de sécurité de Cintoo envers les clients concernant sa plateforme Cloud sont documentés et communiqués via les documents suivants, tous accessibles en ligne via Cintoo. 

            • Conditions d'utilisation
              • Les conditions d'utilisation régissent l'accès à et l'utilisation de Cintoo et des services connexes par les clients de Cintoo.
              • Tous les utilisateurs de Cintoo doivent accepter ces conditions d'utilisation lors de la création de leur compte.
            • Contrat de traitement des données
              • Le contrat de traitement des données est un avenant aux conditions de service entre Cintoo et ses clients. Cet accord documente et communique les exigences relatives au traitement et à la gestion des données des clients, y compris les exigences en matière de sécurité des données et de traitement des incidents ainsi que les responsabilités des clients dans le cadre du règlement général sur la protection des données de l'UE (RGPD).
              • Le contrat de traitement des données doit être accepté par l'Administrateur de compte lors de la création du compte Cintoo.

            Rétention et suppression des données

            Pour les métadonnées clientes

            • Les métadonnées clientes supprimées stockées dans la base de données SQL sont conservées pendant 3 mois à des fins d'audit.
            • Dans le cas où le client demande explicitement la suppression, ces données seront conservées dans les sauvegardes de la base de données pendant seulement 30 jours.

            Pour les fichiers clients

            • Lorsque un projet est supprimé de Cintoo (soit explicitement par le client ou suite à une résiliation d'abonnement), un processus automatisé supprime tous les fichiers clients du stockage d'objets 1 mois après (ou plus tôt si demandé explicitement par le client) si l'hébergement par défaut sur le cloud public est utilisé.
            • Dans le cas où l'option Cloud Hybride est choisie par le client, le client est alors responsable de la gestion des fichiers clients, y compris leur suppression.

            Sauvegarde & récupération des données

            Cintoo maintient des procédures formalisées de sauvegarde et de récupération de données. Les fichiers clients sont stockés et répliqués en temps réel dans plusieurs centres de données en fonction des zones de disponibilité ou des régions. En outre, les données des clients bénéficient d'une période de récupération incrémentielle de sauvegarde de 30 jours, ce qui signifie que tout client peut à tout moment récupérer l'intégralité des modifications apportées au cours des 30 jours précédents.

            Récupération après sinistre et continuité des activités

            La stratégie globale de récupération après sinistre (DR) et de continuité des activités (BC) de Cintoo consiste à décharger toute notre informatique interne critique sur le cloud, de sorte qu'une catastrophe dans nos bureaux ait un impact minimal, voire nul. Tous les employés peuvent exploiter et surveiller le service dans n'importe quelle situation. Une gestion minutieuse des connaissances est en place pour garantir la continuité des activités. La personne en charge de la stratégie DR / BC est clairement assignée au sein de l'organisation.


            Notre plan de DR pour le service Cintoo repose principalement sur la réplication géographique de toutes nos ressources de stockage Azure et AWS, grâce à l'utilisation de zones de disponibilité ou de régions jumelées. La base de données SQL pour les métadonnées clients est répliquée en temps réel dans une autre région Azure, permettant une récupération rapide en cas de panne régionale. Le déploiement de l'ensemble de l'infrastructure cloud est automatisé à l'aide de l'infrastructure as code, de sorte qu'il peut être recréé à partir de zéro en 1 heure. Le basculement vers une autre région d'un compte de stockage Azure prend également environ 1 heure.


            Le plan de DR est testé annuellement pour garantir que l'architecture de haute disponibilité fonctionne comme prévu.


            La base de données SQL est sauvegardée en temps réel dans une autre région cloud, et les sauvegardes peuvent être restaurées à partir de n'importe quelle date des 30 derniers jours. Des tests de restauration sont effectués annuellement dans le cadre des tests du plan de DR.

            Les détails de l'objectif de temps de récupération (RTO) et de l'objectif de point de récupération (RPO) peuvent être fournis après la signature d'un Accord de Non-Divulgation (NDA). 

            Objectifs de niveau de service 

            Le service Cintoo provient d'une architecture de haute disponibilité, assurée par une redondance à tous les niveaux de l'infrastructure et l'utilisation de services cloud gérés.


            Cintoo fournira les services vingt-quatre (24) heures par jour, 365 jours par an avec une disponibilité de 99,5% par mois (SLA), hors maintenance planifiée. Cintoo fournit à ses clients son calendrier de maintenance et les avertira à l'avance en cas de maintenance non planifiée. 

            Chiffrement 

            Toutes les données stockées dans Azure Storage et AWS sont chiffrées au repos en utilisant AES 256. Les clés de chiffrement sont gérées par Azure et AWS et stockées séparément des données chiffrées: 

            Des preuves de la bonne gestion des clés peuvent être trouvées dans les rapports SOC 2 d'Azure et AWS. 


            Tous les transferts de données sur le réseau sont sécurisés avec TLS 1.2+. Les données dans les nuages publics sont chiffrées en transit par TLS 1.2+. 

            Développement logiciel

            Cintoo suit toutes les recommandations et bonnes pratiques de codage sécurisé de l'OWASP.


            Ces bonnes pratiques sont garanties par des revues de code systématiques qui sont obligatoires avant de promouvoir un nouveau code vers l'environnement de développement.


            Les vulnérabilités techniques sont régulièrement évaluées par des revues de code, des tests QA automatisés et des tests de pénétration manuels. Toute vulnérabilité est suivie et traitée comme la plus haute priorité.


            Tous les postes de travail des employés sont équipés d'un logiciel antivirus et sont tenus à jour avec les derniers correctifs de sécurité de l'OS. Cette procédure est en place pour garantir l'analyse des journaux ou la détection d'événements inhabituels et contribue à assurer la protection contre les attaquants extérieurs.


            Le seul accès au réseau interne Cintoo depuis l'extérieur se fait par le biais d'un VPN et d'un système de sécurité (pare-feu) configuré avec une politique de refus par défaut.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0