Passer au contenu principal

Sécurité et vie privée : questions et réponses

🦉 Sécurité ✓ Vie privée ✓ Questions et réponses ✓ Architecture logicielle ✓ GDPR

Cet article décrit certaines des techniques et procédures que nous avons mises en place.

Chez Easy LMS, la sécurité de vos données est notre priorité absolue. Nous essayons constamment de briser nos propres systèmes de sécurité afin d'identifier les points faibles.

Architecture du logiciel

Easy LMS est construit au-dessus de notre propre système de gestion de contenu (CMS). Ce système est développé à partir du framework PHP Yii à source ouverte. Yii utilise une architecture basée sur le modèle-vue-contrôleur (MVC) qui permet un code structuré, propre et facile à maintenir. Yii est considéré comme solide, rapide et sûr.

Cadre Yii

Nous utilisons de nombreuses fonctions de sécurité intégrées à Yii, telles que le cryptage des données, la prévention des XSS et l'assainissement des données. Les données saisies par l'utilisateur sont toujours validées sur le serveur, même si la validation côté client est également utilisée.

Authentification

Autorisation des rôles

Nous avons plusieurs types d'utilisateurs qui peuvent accéder au système, comme vous pouvez le voir dans le diagramme ci-dessous. Par niveau de sécurité, chaque rôle a accès à des parties supplémentaires du système et des données. À partir du niveau de support, nous utilisons un type de login qui diffère du login d'un client comme couche de sécurité supplémentaire.

Questions fréquemment posées

Vous trouverez ci-dessous une liste des questions de sécurité qui nous sont souvent posées.

Où se trouvent vos serveurs ?

Easy LMS fonctionne sur un nuage Amazon Web Services, ou AWS en abrégé. Les serveurs et les bases de données sont physiquement situés à Francfort, en Allemagne.

Comment protégez-vous mes données ?

Nous protégeons vos données de plusieurs façons :

  • Toutes les données sont stockées dans une base de données entièrement cryptée. Cela signifie que les données contenues dans la base de données ne peuvent être récupérées que par des moyens spécifiques.

  • Les données personnelles que nous demandons sont stockées dans la base de données à l'aide d'une couche supplémentaire de cryptage. Cela signifie que même si la base de données est compromise, un pirate ne pourra pas lire les données s'il n'a pas la clé pour les décrypter.

  • Les mots de passe sont stockés à l'aide d'un algorithme de hachage hautement sécurisé. Contrairement à d'autres données, il est impossible de retrouver le mot de passe original à partir de son hachage.

  • Les mots de passe ne sont jamais envoyés à qui que ce soit, de quelque manière que ce soit.

  • Toutes les communications entre le client (vous) et le serveur passent par une connexion cryptée.

Qui a accès à mes données ?

Vous, à tout moment. Nous pouvons accéder à certaines de vos données, par exemple à des fins d'assistance et de facturation. Nous ne partageons jamais vos données sans votre consentement.

Qui a accès à la base de données ?

Notre base de données n'est accessible qu'aux utilisateurs autorisés. Cette autorisation est gérée par un système séparé, de sorte qu'aucun compte Easy LMS n'a d'accès direct à la base de données. Ce système n'est accessible qu'à partir de notre propre réseau interne.

Traitez-vous et stockez-vous des données personnelles ?

Nous ne demandons que les données dont nous avons besoin, par exemple pour la facturation. Nous stockons ces données de manière cryptée dans notre base de données.

Existe-t-il une procédure en cas de fuite de données ?

Oui. Si une fuite de données est détectée, nous prenons immédiatement des mesures pour réparer la fuite et désactiver l'accès externe. Nous informerons les parties prenantes dans les 48 heures suivant la détection d'une fuite de données.

Quel type de cryptage utilisez-vous ?

  • Les communications se font via HTTPS (TLS 1.2).

  • Toutes les données sont cryptées à l'aide de AES-256.

  • Les mots de passe sont stockés à l'aide de bcrypt-hashing.

  • Les données personnelles sont stockées à l'aide du cryptage CBC ou ECB (en fonction du type et de l'utilisation).

Prenez-vous en charge l'authentification unique (SSO) ?

Oui, vous pouvez consulter les méthodes SSO que nous prenons en charge.

Avez-vous des sauvegardes ?

Oui, nous avons des sauvegardes. Nous prenons des instantanés quotidiens de la base de données avec une période de rétention de 35 jours.

Quel type d'assistance proposez-vous ?

Vous pouvez nous contacter via notre site web. Notre service d'assistance est disponible de 08h30 à 16h30 (CET), du lundi au vendredi. Nos consultants parlent le néerlandais, l'anglais, l'allemand et le polonais. Nous fournissons une assistance dans toutes les autres langues à l'aide d'une traduction automatique.

Combien de temps faut-il pour répondre à une demande ?

Cela dépend du type de demande, mais généralement dans les 24 heures.

Effectuez-vous des tests de pénétration ?

Nous étudions la question. Certains de nos clients effectuent leurs propres tests de pénétration sur notre système et partagent leurs résultats. Il va sans dire que nous nous occupons immédiatement de tout problème qui survient.

Puis-je effectuer un test de pénétration ?

Nous vous invitons à le faire, comme l'ont fait d'autres clients. Nous vous demandons toutefois de nous en informer à l'avance afin que nous puissions anticiper toute pression supplémentaire sur nos serveurs.

À quelle fréquence mettez-vous le logiciel à jour ?

En permanence. Nous travaillons constamment à l'amélioration de la sécurité du logiciel et à l'ajout de nouvelles fonctionnalités. Chaque fois qu'une correction est apportée à un bogue ou à un problème de sécurité, nous la déployons immédiatement.

Comment testez-vous votre logiciel ?

Nous testons notre logiciel à la fois manuellement et automatiquement. Avant chaque déploiement, notre système passe par plusieurs étapes. L'une d'entre elles est la phase de test. Au cours de cette phase, un système automatisé exécute des milliers de tests automatisés, tels que des tests unitaires, des tests fonctionnels et des tests d'intégration. Cela permet de s'assurer que les modifications que nous apportons à notre logiciel n'altèrent pas d'autres fonctionnalités ou mesures de sécurité. Même si un seul test échoue, la version est rejetée et renvoyée au service de développement pour qu'il la corrige.

Tous les employés chargés du traitement des données se sont-ils engagés à respecter le secret des données ?

Oui, chacun de nos employés signe une déclaration par laquelle il s'engage à ne jamais partager d'informations avec des parties qui ne sont pas impliquées.

Avez-vous mis en place des processus de durcissement ?

Oui, nous en avons :

  • Tous les correctifs de sécurité de nos systèmes d'exploitation sont installés.

  • Un antivirus et un anti-logiciel espion sont installés sur tous nos systèmes.

  • Nous avons mis en place une protection des points d'extrémité.

  • Tous les identifiants de connexion, tant sur nos postes de travail que sur la plateforme, doivent être solides. Nous utilisons l'authentification à deux facteurs lorsque c'est nécessaire.

  • Nous verrouillons automatiquement tous les PC lorsque quelqu'un quitte son poste de travail.

  • Nous avons mis en place un pare-feu.

Comment la séparation est-elle assurée entre les informations d'identification du réseau d'entreprise et l'environnement de production ?

Les informations d'identification du réseau d'entreprise diffèrent de celles de l'environnement de production, ce qui ajoute une couche de sécurité supplémentaire. Les identifiants de l'environnement de production ne sont accessibles qu'aux DevOps et aux administrateurs système. Les journaux d'accès sont conservés.

Comment la gestion des accès et des clés est-elle organisée ?

Chaque système a un propriétaire qui est responsable de l'accès et de la gestion des clés. Nous n'attribuons l'accès que si cela est nécessaire pour le travail de l'employé, et toutes les demandes d'accès sont enregistrées et surveillées.

Êtes-vous conforme au GDPR ?

Le GDPR est entré en vigueur le 25 mai 2018. Nous sommes heureux de confirmer qu'Easy LMS est entièrement conforme au GDPR. Nous avons mis à jour notre politique de confidentialité, nos conditions générales et nos opérations conformément au GDPR. Notre accord de traitement des données est disponible sur notre site web et fait partie de nos conditions générales. En savoir plus sur le GDPR et ce qu'il implique.

Êtes-vous certifié ISO 27001 ?

Oui ! Nous sommes certifiés ISO 27001. Cela signifie que nous disposons d'un système de gestion de la sécurité de l'information (SGSI) conforme aux normes internationales afin de garantir la sécurité de vos données. Cela nous aide également à améliorer continuellement notre sécurité et la façon dont nous gérons les incidents potentiels.

Fournissez-vous une authentification à deux facteurs pour les administrateurs ?

Oui ! Tout administrateur peut configurer l'authentification à deux facteurs (2FA) dans son profil. Chaque administrateur doit configurer lui-même l'authentification à deux facteurs. Cette fonctionnalité ne peut pas être appliquée par un administrateur global ou le propriétaire du compte. En savoir plus sur la configuration de l 'authentification à deux facteurs.

Articles connexes
Envoi de courriels à partir de votre propre adresse électronique
Politique de sécurité de l'information
Comment partager votre contenu avec l'académie
Comment puis-je rendre mes vidéos privées ?
Mesures techniques et organisationnelles
Avez-vous trouvé la réponse à votre question ?