La sécurité est un aspect essentiel de tout logiciel, soulevant souvent de nombreuses questions. Dans cet article, nous avons compilé les points clés concernant les mesures de sécurité de Kreo pour répondre à vos préoccupations et apporter de la clarté.
Kreo Software est une entreprise basée au Royaume-Uni, et toutes les questions de juridiction légale sont traitées conformément à la loi britannique.
Les données utilisateur sont stockées sur des serveurs dans les centres de données Amazon (Royaume-Uni) et Hetzner (Allemagne). Amazon et Hetzner adhèrent tous deux à des mesures strictes de sécurité des données dans leurs installations, y compris la sécurité physique des locaux, la sécurité incendie, le refroidissement et l'alimentation électrique, et la surveillance de la sécurité. L'accès physique à ceux-ci est limité par leur procédure de sécurité. L'accès aux salles où travaillent les développeurs est contrôlé par des cartes d'accès, et les visiteurs non autorisés ne sont pas autorisés à entrer.
Chez Kreo, nous suivons la stratégie de sauvegarde 3-2-1. Toutes les informations disposent de deux copies locales stockées dans différents formats avec différentes méthodes de chiffrement, et d'une troisième copie stockée dans la région de Londres d'AWS S3.
Kreo dispose d'une politique de sécurité des systèmes d'information qui décrit l'approche de notre organisation pour la protection des informations sensibles et le maintien des contrôles de sécurité.
Nous ne détenons pas actuellement de certification ISO 27xxx, mais nous respectons scrupuleusement ses normes et principes.
Nous assurons la confidentialité et l'intégrité des données grâce à un chiffrement robuste, des contrôles d'accès et des audits de sécurité réguliers, ainsi qu'une surveillance continue pour détecter tout accès non autorisé ou toute anomalie. De plus, nous mettons en œuvre des politiques strictes de gestion des données pour maintenir les normes de protection des données.
Les échanges de données entre nous et les clients sont sécurisés à l'aide de protocoles de chiffrement standard de l'industrie tels que TLS (Transport Layer Security) pour chiffrer les données pendant la transmission. De plus, nous appliquons des contrôles d'accès et des mécanismes d'authentification stricts pour garantir que seules les personnes autorisées peuvent accéder aux données échangées, protégeant ainsi leur confidentialité et leur intégrité.
Toutes les bases de données Kreo sont hébergées au sein d'un cluster Kubernetes, ce qui rend absolument impossible la connexion à l'une des bases de données Kreo depuis l'extérieur du cluster. Kreo stocke également des données dans AWS S3, où toutes les données sont chiffrées par AWS lui-même. Tous les secrets sont chiffrés avec l'utilitaire sealed-secret ; ces secrets ne peuvent être déchiffrés qu'à l'intérieur du cluster.
Kreo Software utilise un pare-feu Kubernetes sur tous les nœuds du cluster, garantissant que seuls les ports nécessaires sont ouverts. Toutes les pages à l'intérieur du cluster fonctionnent nécessairement uniquement via des connexions SSL. Kreo utilise également des politiques réseau au sein du cluster, contrôlant ainsi quels pods peuvent interagir les uns avec les autres.
Les droits d'accès des utilisateurs à l'application sont gérés via Keycloak - Système de Gestion des Identités et des Accès, utilisant des contrôles d'accès basés sur les rôles (RBAC). Les utilisateurs se voient attribuer des rôles ou des permissions spécifiques au sein de Keycloak, qui dictent leurs niveaux d'accès aux différentes caractéristiques et fonctionnalités de l'application.
Les accès sont tracés. Nous tenons des journaux détaillés des tentatives d'accès et des activités, y compris les connexions d'utilisateurs, l'accès aux fichiers et les interactions système. Ces journaux sont régulièrement examinés et surveillés par le personnel autorisé pour détecter tout comportement suspect ou accès non autorisé. De plus, les permissions d'accès sont strictement contrôlées, et seul un nombre limité de personnes ont accès aux systèmes, assurant la responsabilité et la traçabilité de toutes les actions.
L'identification des utilisateurs est basée sur des identifiants uniques, tels que l'identifiant et le mot de passe, ainsi que des méthodes supplémentaires de vérification d'identité. Ces mesures offrent une protection contre l'accès non autorisé et garantissent que seules les personnes autorisées peuvent accéder aux ressources et fonctionnalités nécessaires.
Kreo prend en charge les mécanismes de Single Sign-On (SSO), offrant des options d'authentification telles que la connexion via les comptes Google, LinkedIn et Microsoft. Cela simplifie le processus de connexion et offre aux utilisateurs un accès fluide à nos services.
Actuellement, notre application ne prend pas en charge l'authentification à deux facteurs (2FA), mais nous pouvons facilement ajouter cette fonctionnalité si nécessaire. De plus, nous utilisons déjà des mesures de sécurité telles que CAPTCHA et la vérification par email pour renforcer la sécurité de la connexion.
Les données de journal comprennent :
Horodatages : Date et heure précises des événements.
Informations utilisateur : Identifiants d'utilisateur, identifiants de session.
Détails de l'événement : Type d'événement (par exemple, tentatives de connexion, accès aux données, erreurs).
Informations système : Identifiants d'appareil ou de serveur, versions logicielles.
Messages d'erreur : Codes d'erreur et descriptions détaillés.
Source et Destination : Origine et cible des communications réseau.
Nous conservons les journaux pendant 1 mois, puis nous les archivons et les stockons sur AWS.
Nous assurons la confidentialité et l'intégrité des données de journal en les chiffrant à la fois en transit et au repos, en mettant en œuvre des contrôles d'accès stricts et en utilisant des fonctions de hachage cryptographiques pour détecter toute altération. De plus, nous effectuons des audits de sécurité réguliers et surveillons en permanence l'accès aux journaux pour détecter les activités suspectes.
Kreo utilise Datadog pour surveiller notre service. Datadog permet à notre équipe technique de suivre en permanence l'état et la performance des différents composants de notre infrastructure. Nous avons configuré des alertes qui nous avertissent automatiquement de toute anomalie, y compris les nouvelles menaces, vulnérabilités ou méthodes d'exploitation qui pourraient impacter notre service.
Résoudre et corriger tout problème de sécurité ou de stabilité est la priorité absolue pour l'équipe Kreo.
Nous utilisons Datadog pour suivre toutes les activités possibles des utilisateurs, y compris la connexion, la date, l'heure, l'action et l'objet de l'action. Tous nos services disposent de limites de requêtes et de systèmes de notification en place, ce qui nous permet d'identifier rapidement tout comportement malveillant connu.
Solution pour les codes malveillants - SonarQube.
Kreo dispose de mécanismes de protection contre les attaques DoS, DDoS et DrDoS. En plus des protections réseau traditionnelles, telles que la limitation de débit et le filtrage de trafic, nous utilisons également des défis CAPTCHA et la vérification par email lors des processus de connexion pour atténuer le risque d'attaques automatisées et de tentatives d'accès non autorisé. Ces mesures renforcent collectivement nos défenses contre divers types de cybermenaces visant à perturber nos services.
Nous assurons la destruction des données en mettant en œuvre des mécanismes de suppression sécurisée au sein des bases de données et des systèmes de stockage de fichiers de l'application. Cela inclut l'utilisation de méthodes cryptographiques ou de commandes de suppression permanente pour supprimer irréversiblement les données utilisateur lorsqu'elles sont demandées ou lorsqu'elles ne sont plus nécessaires, conformément aux meilleures pratiques de l'industrie en matière d'assainissement des données.
Vous pouvez également vérifier le statut sur notre page de statut : https://status.kreo.net/status/prod
