La sécurité chez Agorapulse

Préambule

Agorapulse respecte la vie privée de ses clients et la protection de leurs données à tout moment est notre priorité absolue.

Ce document donne un résumé des pratiques de sécurité mises en place pour atteindre cet objectif.

Vous avez des questions ou des commentaires ? N'hésitez pas à nous contacter à l'adresse security-trust@agorapulse.com.

Sécurité Infrastructures

Tous nos services fonctionnent dans le cloud. Nous n'hébergeons ni n'exploitons nos propres routeurs, équilibreurs de charge, serveurs DNS ou serveurs physiques.

Notre service est basé sur Amazon Web Services (AWS). Amazon applique des mesures de sécurité strictes pour protéger notre infrastructure et qui sont conformes à la plupart des certifications (Cloud Security Alliance Star Level 2, ISO 9001, 27001, 27017, 27018, PCI DSS Level 1, et SOC 1, 2, et 3). Vous pouvez en savoir plus sur la sécurité AWS ici : https://aws.amazon.com/security/Vous pouvez en savoir plus sur la conformité d’AWS https://aws.amazon.com/compliance/programs/

Sécurité réseau

Notre architecture de sécurité réseau est constituée de plusieurs zones de sécurité. Nous surveillons et protégeons notre réseau, pour nous assurer d'aucun accès non autorisé en utilisant :

  • Un cloud privé virtuel (VPC), un hôte bastion ou VPN avec des listes de contrôle d'accès au réseau (ACL) et aucune adresse IP publique
  • des filtres d’adresses IP
  • Une solution de détection et/ou de prévention des intrusions (IDS/IPS) qui surveille et bloque les paquets potentiellement malveillants.

Sécurité des données

Emplacement des donnéesLes données clients sont hébergées chez AWS Ireland.

Chiffrement en transitToutes les données envoyées vers ou depuis notre infrastructure sont cryptées en transit par les meilleures pratiques du secteur grâce à la sécurité de la couche de transport (TLS).

Chiffrement des données inactivesToutes nos données d'utilisateur (y compris les mots de passe et les jetons d'accès) sont cryptées dans la base de données à l'aide d'algorithmes de cryptage éprouvés.

Disponibilité & fiabilité

Notre objectif est d'éviter à tout prix des blocages de l’application et d'assurer un temps de fonctionnement de 99,9 %. Nous sommes par ailleurs la plateforme la plus stable du marché. C'est pourquoi notre plateforme est construite dans un souci de redondance et d'isolement total, afin d'éviter tout point de défaillance unique.

Vous pouvez suivre en temps réel l'état actuel de nos services ici : https://status.agorapulse.com/

Continuité des activités et reprise après incident

Nous sauvegardons toutes nos données essentielles et tentons régulièrement de restaurer la sauvegarde afin de garantir une reprise rapide en cas d’incident. Toutes nos sauvegardes sont cryptées.

Sécurité des applications

Toutes les applications et tous les services d'Agorapulse sont développés à 100 % en interne par des employés à temps plein, sans aucune sous-traitance.

Pratiques de développement

Les développeurs participent à des formations régulières en matière de sécurité afin de se familiariser avec les pièges et menaces communs.

Nous suivons les contrôles de sécurité standard de l'OWASP (Open Web Application Security Project) pour la sécurité des applications.

Nous révisons notre code pour détecter les failles de sécurité.

Nous mettons régulièrement à jour nos dépendances et nous nous assurons qu'aucune d'entre elles ne présente de failles connues.

Surveillance de la sécurité des applications

Nous utilisons une solution complète de surveillance de la sécurité pour obtenir une visibilité sur la sécurité de nos applications au moment de leur exécution mais aussi identifier les attaques et les bloquer automatiquement lorsque cela est possible,

Nous surveillons constamment les exceptions et les logs et détectons les anomalies dans nos applications,

Nous collectons et stockons les logs afin de disposer d’une piste d'audit de l'activité de nos applications.

Sécurité Produit

Le produit Agorapulse permet la sécurité et la confidentialité des données par le biais de multiples fonctionnalités comme détaillé ci-dessous.

Autorisations d'accès

Agorapulse utilise une approche de contrôle d'accès basé sur les rôles (RBAC) pour déterminer les privilèges d'accès des utilisateurs requis. Différents rôles configurés sont attribués aux utilisateurs selon les besoins, pour chaque organisation.

Contrôle d’accès

L'authentification sur Agorapulse peut se faire via Facebook Connect et/ou par email + mot de passe.

Lorsque Facebook Connect est activé, aucune donnée d'authentification n'est stockée de notre côté.

Lorsque la connexion par courriel + mot de passe est activée, les mots de passe sont stockés avec un hachage à sens unique et une valeur aléatoire. Nous collectons et stockons les logs afin de fournir une piste d'audit de notre authentification et de notre activité liée à la sécurité.

Authentification à deux facteurs (2FA)

Pour bénéficier d’un niveau de sécurité supplémentaire, les utilisateurs peuvent activer une authentification multifactorielle, basée sur une application mobile dédiée telle que Google Authenticator ou Authy.

RH, Sécurité et IT

Tous les nouveaux employés reçoivent une formation à la sécurité, qui comprend la mise en place et la formation à l'utilisation d'un gestionnaire de mots de passe et à la détection du phishing ou de l'ingénierie sociale.

Matériel

Nous partons du principe que tous les réseaux ne sont pas fiables, et nous nous concentrons plutôt sur la sécurité de nos terminaux (par exemple, les ordinateurs portables).

Les appareils des employés sont gérés par un programme de gestion des appareils afin de garantir que notre parc fonctionne avec les dernières corrections de sécurité et une configuration sécurisée (disque crypté, pare-feu, etc.).

Développement & Production

L'accès aux environnements de développement et de production nécessite à la fois des clés SSH et 2FA. Seule notre équipe d'ingénierie a accès à notre environnement de production. Nous avons mis en place des processus automatisés qui surveillent chaque hôte pour détecter les tentatives de connexion non autorisées, et les adresses IP offensives sont automatiquement mises sur liste noire et alertées.

2FA Obligatoire

Nous rendons le 2FA obligatoire pour tous les employés sur tous les services stratégiques où il est disponible. Avant de décider d'utiliser un autre service tiers dans le cloud, nous évaluons à la fois le type de données qui y seraient stockées et les pratiques de sécurité de l’entreprise à l’origine de l’outil.

Audit de sécurité

Tests et recherche

Nous pensons que les chercheurs en sécurité rendent l'informatique plus sûre et plus sécurisée pour tous, et nous encourageons donc les tests de sécurité et la recherche sur Agorapulse.

Veuillez éviter les tests automatisés et n'effectuer des tests de sécurité qu'avec vos propres données. Veuillez ne pas divulguer d'informations concernant les vulnérabilités tant que nous n'y avons pas remédié. Les récompenses sont accordées à notre discrétion en fonction de la criticité de la vulnérabilité signalée.

Signaler un incident de sécurité

Les vulnérabilités potentielles peuvent être signalées par le biais de notre programme privé de chasse aux bugs fonctionnant sur HackerOne.

Contactez-nous sur security-trust@agorapulse.com avec :

  • Votre nom d’utilisateur HackerOne
  • Une brève description de la faille identifiée
  • Son périmètre (les sous-domaines d’Agorapulse impactés)

Conformité & certifications

RGPD

Agorapulse est conforme au RGPD. En savoir plus :https://www.agorapulse.com/fr/rgpd/

Conformité PCI

Agorapulse est conforme à la norme PCI SAQ-A Les transactions de paiement sont externalisées à Chargebee, qui est certifié comme fournisseur de services PCI de niveau 1.

Partenariats officiels avec les plateformes

Agorapulse est reconnu comme partenaire certifié par Meta.

N'hésitez pas à nous contacter à l'adresse security-trust@agorapulse.com.