Sécurité
Certifié ISO 27001:2017
Qu’est-ce que la certification ISO 27001
ISO 27001 est une norme internationalement reconnue qui aide les organisations à gérer la sécurité de l’information afin de rendre leurs ressources informatiques plus sûres.
Pour obtenir la certification, une organisation doit élaborer et mettre en œuvre un programme de sécurité strict, évaluer régulièrement les risques, les menaces et les vulnérabilités en matière de sécurité de l’information, et établir que ses programmes de sécurité sont conformes aux meilleures pratiques de l’industrie.
Après un audit réussi réalisé par un tiers indépendant, l’organisation peut être certifiée par un registraire accrédité.
– Patrick Grégoire, Président, Borealis
Qu’est-ce que la certification ISO 27001 ?
ISO 27001 est une norme internationalement reconnue qui aide les organisations à gérer la sécurité de l’information afin de rendre leurs ressources informatiques plus sûres.
Pour obtenir la certification, une organisation doit élaborer et mettre en œuvre un programme de sécurité strict, évaluer régulièrement les risques, les menaces et les vulnérabilités en matière de sécurité de l’information, et établir que ses programmes de sécurité sont conformes aux meilleures pratiques de l’industrie.
Après un audit réussi réalisé par un tiers indépendant, l’organisation peut être certifiée par un registraire accrédité.
La sécurité a toujours été et sera toujours au cœur de notre produit. Le fait que de plus en plus d’entreprises Fortune 500 choisissent notre solution témoigne de la qualité et de la sécurité de notre produit.
– Patrick Grégoire, Président, Borealis
Technologie de l'IA (Intelligence artificielle)
Pour aider les utilisateurs à obtenir le meilleur retour sur investissement, Boréalis intègre des outils et des fonctionnalités d’IA pour améliorer la mobilisation des parties prenantes sans compromettre les informations sensibles.
L'utilisation des points clés générés par l'IA compromet-elle la confidentialité des données ?
Tous les points clés générés par cette analyse IA sont utilisés de manière éthique, dans le seul but d’aider les utilisateurs à mieux comprendre et gérer la mobilisation des parties prenantes. Ils ne seront jamais utilisés à des fins de marketing ou de publicité ni partagés avec des tiers à d’autres fins. Votre vie privée et vos préférences sont importantes pour nous. Si vous choisissez de ne pas utiliser la fonctionnalité d’IA intégrée ou si vous souhaitez la désactiver, notre équipe d’assistance se fera un plaisir de vous aider. Vous aurez toujours un contrôle total sur vos données au sein du système et des mécanismes transparents pour gérer vos informations.
Sécurité des centres de données
Les serveurs de production de Boréalis sont hébergés au Canada, en France et en Australie dans des centres de données certifiés Tier 3 selon le classement du Uptime Institute. L’installation est conforme ISO 27001 : 2005, SOC 1 type II (SSAE 16 et ISAE 3402) et SOC 2 type II. Le centre de données est équipé d’une sécurité physique robuste incluant indentification biométrique et accès par carte à puce et sécurité logique incluant coupe-feu, détection d’intrusion, surveillance vidéo ainsi que prévention et protection des attaques par déni de services. L’alimentation en courant, le refroidissement et les réseaux sont redondants et construits pour un minimum de redondance N+1.
Caractéristiques de sécurité du produit
Sécurité au niveau des applications
Sauvegarde
WCAG
Sécurité réseau
Gestion de la surveillance et de la vulnérabilité
Boréalis utilise des tiers spécialistes et des solutions de niveau professionnel (comme Qualys) pour nous aider à trouver et corriger les vulnérabilités de l’infrastructure TI et de l’application web. Les rapports des derniers tests d’intrusion par une tierce partie et les rapports Qualys sont disponibles sur demande.
Boréalis utilise des systèmes de gestion de la vulnérabilité afin d’assurer la sécurité continue de l’infrastructure TI contre les menaces internet les plus récentes. Un système de balayage d’application web identifie automatiquement les 10 risques OWASP les plus importants incluant les injections SQL, les attaques de type XSS, la falsification de requête intersites (CSRF) et les redirections d’URL.
Toutes les applications web, les réseaux et les matériaux sont constamment surveillés par Boréalis et les fournisseurs d’infrastructure-service (IaaS) gérée.
Accès administrateurs de système et soutien global
L’équipe d’opérations et de soutien technique de Boréalis surveille notre infrastructure depuis le Canada 24 heures sur 24 et 7 jours sur 7. Notre politique de contrôle d’accès est alignée avec les standards de l’industrie des TI. Le contrôle des accès est appliqué avec des politiques pour contrôler l’enregistrement des utilisateurs, accorder le bon niveau des droits d’accès, contrôler l’utilisation de mots de passe, le changement ou la suppression de mots de passe, la révision des droits d’accès et le contrôle d’accès aux services réseaux.
Notre équipe de soutien technique conserve un compte sur toutes les applications hébergées à des fins de maintenance et de soutien technique. Les applications et les données ne sont accédées que pour la surveillance du bon fonctionnement de l’application, pour effectuer des maintenances du système ou de l’application, ou à la demande du client via notre système de soutien technique. Seuls les employés de Boréalis qualifiés en sécurité et autorisés peuvent accéder au système via une authentification à deux facteurs. La sécurité de l’information de connexion des clients est sous leur responsabilité.
Sécurité du stockage
Sécurité de transmission et de session
Reprise après sinistre
Q&R Comment Borealis
gère la sécurité des données
Authentification
Données des clients
Client data
Authentification multifacteurs
Infonuagique
Sauvegarde et restauration des données
Nous utilisons deux méthodes différentes pour récupérer les données en cas de panne :
- Récupération à partir d’un serveur de secours automatique, dont l’objectif de point de rétablissement est inférieur à une minute et l’objectif de temps de reprise inférieur à une heure.
- Récupération à partir d’une sauvegarde, avec un point de rétablissement de moins de 24 heures et un temps de reprise de moins d’une heure.
Ces procédures garantissent que nos systèmes sont opérationnels le plus rapidement possible en cas d’interruption imprévue.
Disponibilité
Boréalis doit maintenir un taux de disponibilité du service en ligne de 99,5 %, calculé mensuellement en utilisant (Total – Temps d’arrêt) / Total * 100 ≥ Objectif de disponibilité. « Total » fait référence aux minutes du mois civil moins les temps d’arrêt exclus, tandis que « Temps d’arrêt » fait référence à la durée non exclue, y compris les événements planifiés et incontrôlables.
Vous pouvez consulter plus de détails concernant la disponibilité du service dans la section « Disponibilité » de notre Accord d’Abonnement Principal (en anglais) : https://www.boreal-is.com/data/cdn/media/Borealis-Master-Subscription-Agreement.pdf »
Gestion de la vulnérabilité
Chaque année, nous effectuons un test d’intrusion réalisé par une entreprise externe.
De plus, nous procédons chaque semaine à une analyse automatisée des vulnérabilités et à une analyse des applications Web à l’aide de la plateforme Qualys.
Accès à l'information
Gouvernance et conformité de la sécurité de l'information
Pour maintenir la conformité, nous mettons à jour et obtenons l’approbation de nos politiques de sécurité de l’information en utilisant OneTrust. Ces mises à jour sont effectuées au moins une fois par an, comme l’exige TugBoat Logic.