• security-header

Sécurité

Boréalis offre des services hébergés utilisés par plusieurs grandes organisations. Nous adhérons aux standards les plus élevés de l’industrie en sécurité d’entreprise afin d’assurer la confidentialité, l’intégrité et la disponibilité de l’information de nos clients. Nos pratiques d’évaluation des risques sont alignées avec les processus standards des industries du logiciel et des Technologies de l’information (TI). Notre application est hébergée dans des espaces dédiés de centres de données de classe internationale conformes aux normes du secteur afin d’assurer qu’elle rencontre des exigences de sécurité rigoureuses. Des tierces parties effectuent sur une base régulière des audits de notre produit et de notre infrastructure.
Téléchargez la trousse d’information pour plus de détails

Certifié ISO 27001:2017

Qu’est-ce que la certification ISO 27001

ISO 27001 est une norme internationalement reconnue qui aide les organisations à gérer la sécurité de l’information afin de rendre leurs ressources informatiques plus sûres.

Pour obtenir la certification, une organisation doit élaborer et mettre en œuvre un programme de sécurité strict, évaluer régulièrement les risques, les menaces et les vulnérabilités en matière de sécurité de l’information, et établir que ses programmes de sécurité sont conformes aux meilleures pratiques de l’industrie.

Après un audit réussi réalisé par un tiers indépendant, l’organisation peut être certifiée par un registraire accrédité.

Télécharger notre certificat
En apprendre davantage sur ISO 27001
Security has always been and always will be at the core of our product. The fact that more and more Fortune 500 companies are choosing our solution is proof of our product’s quality and security.

Patrick Grégoire, Président, Borealis

Qu’est-ce que la certification ISO 27001 ?

ISO 27001 est une norme internationalement reconnue qui aide les organisations à gérer la sécurité de l’information afin de rendre leurs ressources informatiques plus sûres.

Pour obtenir la certification, une organisation doit élaborer et mettre en œuvre un programme de sécurité strict, évaluer régulièrement les risques, les menaces et les vulnérabilités en matière de sécurité de l’information, et établir que ses programmes de sécurité sont conformes aux meilleures pratiques de l’industrie.

Après un audit réussi réalisé par un tiers indépendant, l’organisation peut être certifiée par un registraire accrédité. 

Télécharger notre certificat
En apprendre davantage sur ISO 27001

La sécurité a toujours été et sera toujours au cœur de notre produit. Le fait que de plus en plus d’entreprises Fortune 500 choisissent notre solution témoigne de la qualité et de la sécurité de notre produit.

Patrick Grégoire, Président, Borealis

Technologie de l'IA (Intelligence artificielle)

Pour aider les utilisateurs à obtenir le meilleur retour sur investissement, Boréalis intègre des outils et des fonctionnalités d’IA pour améliorer la mobilisation des parties prenantes sans compromettre les informations sensibles.

L'utilisation des points clés générés par l'IA compromet-elle la confidentialité des données ?

Tous les points clés générés par cette analyse IA sont utilisés de manière éthique, dans le seul but d’aider les utilisateurs à mieux comprendre et gérer la mobilisation des parties prenantes. Ils ne seront jamais utilisés à des fins de marketing ou de publicité ni partagés avec des tiers à d’autres fins. Votre vie privée et vos préférences sont importantes pour nous. Si vous choisissez de ne pas utiliser la fonctionnalité d’IA intégrée ou si vous souhaitez la désactiver, notre équipe d’assistance se fera un plaisir de vous aider. Vous aurez toujours un contrôle total sur vos données au sein du système et des mécanismes transparents pour gérer vos informations.

Plus d'informations
data-center-security

Sécurité des centres de données​

Les serveurs de production de Boréalis sont hébergés au Canada, en France et en Australie dans des centres de données certifiés Tier 3 selon le classement du Uptime Institute. L’installation est conforme ISO 27001 : 2005, SOC 1 type II (SSAE 16 et ISAE 3402) et SOC 2 type II. Le centre de données est équipé d’une sécurité physique robuste incluant indentification biométrique et accès par carte à puce et sécurité logique incluant coupe-feu, détection d’intrusion, surveillance vidéo ainsi que prévention et protection des attaques par déni de services. L’alimentation en courant, le refroidissement et les réseaux sont redondants et construits pour un minimum de redondance N+1.

product-security-features

Caractéristiques de sécurité du produit​

Seuls les administrateurs de l’application sont autorisés à créer des utilisateurs et à créer des règles de sécurité des données. Le contrôle des accès se base sur la hiérarchie des rôles. Les données peuvent être séparées par groupes d’utilisateurs. Tous les accès sont régis par des politiques de mots de passes strictes et un niveau de complexité configurable. Toutes les activités réalisées dans l’application sont enregistrées par piste d’audit.
application-leve-security

Sécurité au niveau des applications​

L’application Boréalis fournit une gamme de mécanismes de sécurité au niveau des applications qui permettent de perfectionner l’implémentation afin de répondre à des exigences spécifiques. Les patrons d’architecture du logiciel sont sélectionnés de façon stratégique pour la confidentialité, l’intégrité et la disponibilité des données. Ces patrons incluent la sécurité des données au niveau de ligne, liste d’accès contrôlée selon les rôles, piste d’audit et gestion des logs.
backup

Sauvegarde

Des sauvegardes des serveurs virtuels ont lieu quotidiennement. Les sauvegardes sont conservées selon la politique suivante : conservation des cinq sauvegardes les plus récentes et la sauvegarde la plus récente des derniers sept jours, quatre semaines, douze mois et un an.
wcag

WCAG

Borealis has implemented features to comply with Web Content Accessibility Guidelines (WCAG), Level AA including: keyboard shortcuts, a high contrast theme, dark mode, and compatibility with screen readers.
network-security

Sécurité réseau

Le réseau de Boréalis est protégé par des pare-feu de niveau entreprise et d’un système de prévention et de détection d’intrusion (SPI/SDI) qui surveille le trafic afin de bloquer un vaste éventail d’exploitations de vulnérabilités connues. Le réseau est protégé contre les attaques DoS/DDoS.
Monitoring-and-Vulnerability-Management​

Gestion de la surveillance et de la vulnérabilité​

Boréalis utilise des tiers spécialistes et des solutions de niveau professionnel (comme Qualys) pour nous aider à trouver et corriger les vulnérabilités de l’infrastructure TI et de l’application web. Les rapports des derniers tests d’intrusion par une tierce partie et les rapports Qualys sont disponibles sur demande.

Boréalis utilise des systèmes de gestion de la vulnérabilité afin d’assurer la sécurité continue de l’infrastructure TI contre les menaces internet les plus récentes. Un système de balayage d’application web identifie automatiquement les 10 risques OWASP les plus importants incluant les injections SQL, les attaques de type XSS, la falsification de requête intersites (CSRF) et les redirections d’URL.

Toutes les applications web, les réseaux et les matériaux sont constamment surveillés par Boréalis et les fournisseurs d’infrastructure-service (IaaS) gérée.

SysAdmin-Access-and-Global-Support

Accès administrateurs de système et soutien global​

L’équipe d’opérations et de soutien technique de Boréalis surveille notre infrastructure depuis le Canada 24 heures sur 24 et 7 jours sur 7. Notre politique de contrôle d’accès est alignée avec les standards de l’industrie des TI. Le contrôle des accès est appliqué avec des politiques pour contrôler l’enregistrement des utilisateurs, accorder le bon niveau des droits d’accès, contrôler l’utilisation de mots de passe, le changement ou la suppression de mots de passe, la révision des droits d’accès et le contrôle d’accès aux services réseaux.

Notre équipe de soutien technique conserve un compte sur toutes les applications hébergées à des fins de maintenance et de soutien technique. Les applications et les données ne sont accédées que pour la surveillance du bon fonctionnement de l’application, pour effectuer des maintenances du système ou de l’application, ou à la demande du client via notre système de soutien technique. Seuls les employés de Boréalis qualifiés en sécurité et autorisés peuvent accéder au système via une authentification à deux facteurs. La sécurité de l’information de connexion des clients est sous leur responsabilité.

storage-security

Sécurité du stockage​

Toutes les données stockées sur les serveurs de Boréalis sont protégées par une encryption SSL de haute qualité utilisant AES-XTS, un protocole de chiffrement qui est conçu pour assurer la sécurité des données stockées. Les clés de chiffrement sont stockées en toute sécurité.
Transmission-and-Session-Security​

Sécurité de transmission et de session​

De multiples connexions dorsales fournissent un routage redondant et une connectivité de haute performance. Toutes les communications avec les serveurs de Boréalis se font via une encryption SSL de haute qualité (256-bit AES), un protocole de chiffrement conçu pour assurer la sécurité des communications transmises par internet. Les clés de chiffrement sont stockées en toute sécurité. Les sessions utilisateur individuelles sont identifiées et revérifiées lors de chaque transaction à l’aide d’un jeton d’authentification unique créé lors de la connexion.
Disaster-Recovery​

Reprise après sinistre​

Boréalis utilise de multiples centres de données pour héberger son application et les données pour assurer la redondance de celles-ci. Tous les centres de données ont de la sécurité physique, des politiques d’accès strictes ainsi que des voûtes et cages sécures. La réplication de données entre le centre de données de production et celui de reprise après sinistre de l’application de Boréalis ont lieu presque en temps réel. Des tests ont lieu quotidiennement au centre de secours immédiat et un diagnostic complet de reprise après sinistre a lieu à chaque trimestre pour vérifier les temps de reprise prévus et l’intégrité des données clientes.

Q&R Comment Borealis
gère la sécurité des données

Authentification

L’application Boréalis permet aux utilisateurs de se connecter à l’aide d’une authentification unique (SSO) en utilisant SAML 2.0. Notre solution supporte l’intégration avec tous les fournisseurs d’identité comme Okta et Microsoft ADFS.
Tous les comptes privilégiés de la plateforme de production de l’organisation sont soumis à une authentification multifacteurs et à un mot de passe d’au moins 14 caractères.
Tous les utilisateurs de Boréalis doivent avoir un mot de passe fort. Ceux-ci doivent être composés d’au moins quatorze caractères, d’une combinaison de lettres majuscules et minuscules et de chiffres.

Données des clients

Boréalis confirme que les données de production ne sont jamais copiées ou utilisées dans des environnements de non-production. De plus, les données des clients ne sont jamais exploitées en dehors du réseau de production.

Client data

Our production and development environments are fully isolated, ensuring that access to production data is only granted to authorized personnel.
We use a SIEM tool called Graylog that only a few authorized users can access through a two-factor VPN connection. Graylog records all actions taken by users and our web application. This access is read-only to prevent tampering with the logs.

Authentification multifacteurs

L’application Boréalis supporte le 2FA et peut être configurée par les utilisateurs à même l’interface Web de Boréalis.

Infonuagique

Nos serveurs se trouvent dans les centres de données d’Amazon Web Services au Canada (Montréal), en Europe (France) et en Australie (Sydney).

Sauvegarde et restauration des données

Notre politique de sauvegarde consiste à conserver les cinq sauvegardes les plus récentes, ainsi que la sauvegarde la plus récente des sept derniers jours, des quatre dernières semaines, des douze derniers mois et de l’année précédente. Nous effectuons également des tests de restauration au moins deux fois par an.

Nous utilisons deux méthodes différentes pour récupérer les données en cas de panne :

  1. Récupération à partir d’un serveur de secours automatique, dont l’objectif de point de rétablissement est inférieur à une minute et l’objectif de temps de reprise inférieur à une heure.
  2. Récupération à partir d’une sauvegarde, avec un point de rétablissement de moins de 24 heures et un temps de reprise de moins d’une heure.

Ces procédures garantissent que nos systèmes sont opérationnels le plus rapidement possible en cas d’interruption imprévue.

Disponibilité

Boréalis doit maintenir un taux de disponibilité du service en ligne de 99,5 %, calculé mensuellement en utilisant (Total – Temps d’arrêt) / Total * 100 ≥ Objectif de disponibilité. « Total » fait référence aux minutes du mois civil moins les temps d’arrêt exclus, tandis que « Temps d’arrêt » fait référence à la durée non exclue, y compris les événements planifiés et incontrôlables.

Vous pouvez consulter plus de détails concernant la disponibilité du service dans la section « Disponibilité » de notre Accord d’Abonnement Principal (en anglais) : https://www.boreal-is.com/data/cdn/media/Borealis-Master-Subscription-Agreement.pdf »

Gestion de la vulnérabilité

Chaque année, nous effectuons un test d’intrusion réalisé par une entreprise externe.

De plus, nous procédons chaque semaine à une analyse automatisée des vulnérabilités et à une analyse des applications Web à l’aide de la plateforme Qualys.

Nous utilisons Eslint pour vérifier le code et effectuons également un contrôle de vulnérabilité de nos bibliothèques externes (yarn audit). De plus, chaque ligne de code modifiée dans nos dépôts fait l’objet d’une vérification par un second développeur senior.
Les mises à jour critiques sont installées dès que possible, généralement le jour même où elles sont disponibles. Pour déterminer quand les correctifs sont nécessaires, nous utilisons notre tableau de bord Microsoft Defender Vulnerability Management en combinaison avec CheckMK (qui est basé sur Nagios).
Notre organisation a installé l’antivirus Microsoft Defender sur tous ses serveurs et ses postes de travail. Elle inclut la fonction de protection des points terminaux Microsoft Intune. En cas d’activité suspecte, notre équipe d’administrateurs système reçoit une alerte.

Accès à l'information

L’accès aux actifs informationnels de notre organisation est revu chaque année et lorsque des changements interviennent dans le statut des employés (arrivée, déménagement ou départ). L’accès physique et logique n’est accordé qu’au personnel autorisé, et l’accès est rapidement supprimé lors du départ d’un employé.
L’accès à nos systèmes de production et à nos systèmes internes est protégé par une authentification à deux facteurs au moyen du VPN.

Gouvernance et conformité de la sécurité de l'information

Pour maintenir la conformité, nous mettons à jour et obtenons l’approbation de nos politiques de sécurité de l’information en utilisant OneTrust. Ces mises à jour sont effectuées au moins une fois par an, comme l’exige TugBoat Logic.

Tous nos employés signent des accords de confidentialité, qui sont des contrats juridiquement contraignants les empêchant de divulguer des informations sensibles sur l’entreprise ou ses clients.

Formation sur la sécurité de l'information

Boréalis impose des formations régulières en matière de sécurité à tous ses employés, consultants et sous-traitants sur la plateforme Terranova. Les utilisateurs doivent suivre des cours interactifs tous les quatre mois afin d’améliorer leur compréhension des responsabilités en matière de sécurité. Par ailleurs, nous organisons une à deux campagnes de simulation d’hameçonnage par an.

Sélection des employés et vérification des antécédents

Lors de l’embauche de nouveaux employés, notre équipe des ressources humaines procède à une vérification des antécédents. De plus, elle procède à une nouvelle vérification tous les trois ans pour tous les employés existants.

Incidents

À ce jour, Boréalis n’a pas rencontré de failles de sécurité ou d’incidents liés au vol et aucune information d’identification n’a été compromise sur son application. La sécurité des données de nos clients reste une priorité absolue pour nous.

Surveillance et gestion des serveurs

Nous utilisons CheckMk (Nagios) et Amazon CloudWatch pour surveiller les performances de tous nos serveurs en temps réel, avec plus d’une centaine de contrôles effectués par serveur sur CheckMk.

Chiffrement

Les données en circulation sont sécurisées par l’utilisation du chiffrement TLS 1.2 ou plus.
Notre application utilise le chiffrement AES-256 (XTS-AES-128 avec une clé de 256 bits) pour sécuriser les données inactives.
Français
fr

© 2023 - Boréalis / Tous droits réservés.