Organisation de la sécurité

Politique de sécurité

Opendatasoft possède un corpus documentaire régissant l’organisation de la sécurité. Cette politique définit les objectifs de sécurité, l’organisation associée pour atteindre ces objectifs et décline de façon opérationnelle les mesures organisationnelles et techniques associées.

Cette politique de sécurité s’appuie sur les standard ISO 27001 et ISO 27002.

Gestion des incidents de sécurité

En cas d’incident de sécurité, un processus et une organisation sont en place pour le traiter au plus vite. Si l’incident concerne les données de nos clients, nous nous engageons à prévenir les clients concernés dans un délai de 48 heures ouvrées.

Il est à noter qu’aucun incident de ce type n’a été identifié dans les trois dernières années.

Veille sécurité

Une veille sécurité est réalisée de façon quotidienne sur les vulnérabilités concernant les serveurs d’Opendatasoft mis en œuvre dans le cadre de la mise à disposition d’un domaine. En cas d’identification d’une vulnérabilité avec un impact majeur, la mise à jour est déployée le plus rapidement possible, généralement dans la journée au plus tard.

 

Sécurité applicative

Sécurité dans les développements

L’application est conçue avec une procédure de développement sécurisé s’assurant de la qualité de la sécurité de son code avant son déploiement.

De plus, l’application est régulièrement testée en conditions réelles dans le cadre de notre programme de Bug Bounty afin d’identifier et corriger d’éventuels défauts liés aux développements et/ou à l’infrastructure.

Protection des mots de passe

Les mots de passe utilisateurs sont stockés de façon irréversible sous forme «  hashée  » avec l’algorithme PBKDF2.

Par ailleurs, nous proposons à nos clients d’utiliser un Identity Provider (IDP) personnalisé pour l’authentification de leurs utilisateurs. Ainsi, les comptes (et leurs mots de passe) sont gérés uniquement par ce référentiel externe.

Évaluation de la sécurité de notre plateforme

Jusqu’en 2018 les tests d’intrusion sur la plateforme Opendatasoft étaient réalisés de façon annuelle.

Depuis 2019, Opendatasoft a lancé un programme de Bug Bounty privé sur YesWeHack. Ce programme est actif et implique 61 chercheurs. Depuis le début de notre programme, 32 vulnérabilités ont été identifiées avec la répartition suivante : 0 critical, 2 high, 20 medium, 9 low, 1 informative.

En complément de ce programme de Bug Bounty, en moyenne, 3 tests d’intrusion par an sont menés par nos clients sur leur plateforme. Leurs recommandations sont ensuite prises en considération pour renforcer la sécurité de la plateforme.

Si vous souhaitez rejoindre ce programme de Bug Bounty, vous pouvez contacter l’équipe sécurité d’Opendatasoft à l’adresse security@opendatasoft.com.

 

Contrôle d’accès et configuration

Protection de l’accès aux données

Les données de nos clients sont protégées d’un point de vue infrastructure (nos clients ne sont pas tous sur les mêmes serveurs), logique (l’application n’autorise l’accès qu’à ses propres données) et physique (les disques durs des serveurs sont chiffrés).

Paramétrage de l’outil

La plateforme permet un paramétrage fin du contrôle d’accès et des paramétrages de sécurité (gestion des utilisateurs, durée de session, authentification avec SAML à un référentiel tiers, etc.) à la main des administrateurs de domaine.

Traçabilité

Les accès à la plateforme sont tracés et accessibles en toute autonomie par nos clients. Voir le jeu de données sous-jacent contenant les données détaillées d’accès.

Ces données sont conservées jusqu’à un an.

Sécurité physique et réseau

Datacenters

Nous avons deux fournisseurs cloud : Amazon Web Service (AWS) et Outscale.

  • Nos datacenters chez AWS sont dans le monde entier (Europe – Irlande et Allemagne, Amérique du Nord – États-Unis et Canada, Australie)
  • Nos datacenters chez Outscale sont en France (hébergement garanti en France par Outscale)

Nos clients peuvent choisir le pays du datacenter de leur choix (parmi nos datacenters existants). En particulier :

  • Un client souhaitant que ses données restent en Union Européenne peut choisir un hébergement en Irlande ou en Allemagne (AWS)
  • Un client souhaitant que ses données restent en France peut choisir un hébergement en France (Outscale)
  • En l’absence de préférence émise par le client, Opendatasoft choisit le datacenter le plus pertinent (en général choisi par proximité géographique)

Haute disponibilité

Notre infrastructure est dupliquée et redondée entre les zones des datacenter de nos fournisseurs de façon à ce qu’en cas de perte d’un datacenter (incendie, coupure de courant ou d’accès réseau, etc.) l’infrastructure dans l’autre zone continue à fonctionner de façon autonome.

Protection des flux

Les connexions à notre service sont chiffrées en HTTPS, garantissant qu’elles ne peuvent pas être interceptées et lues par un tiers. La configuration HTTPS déployée chez Opendatasoft a la note maximale A+ sur Qualys SSL Labs.

Par ailleurs, un Web Application Firewall (WAF) est déployé sur l’infrastructure et bloque automatiquement les requêtes correspondant à des motifs malveillants grâce à un ensemble de règles précises.

Protection des données

Les disque dur des serveurs d’Opendatasoft sont chiffrés en AES 256 avec clef aléatoire de 32 caractères. Cela garantit qu’un accès au disque dur de nos serveurs ne permet pas d’accéder au contenu de nos serveurs.

De même, les postes de travail des collaborateurs Opendatasoft sont chiffrés et le stockage externe n’est pas utilisé afin de garantir la confidentialité des données manipulées.