logo-borealis logo-borealis-color

Boréalis offre des services hébergés utilisés par plusieurs grandes organisations. Nous adhérons aux standards les plus élevés de l’industrie en sécurité d’entreprise afin d’assurer la confidentialité, l’intégrité et la disponibilité de l’information de nos clients. Nos pratiques d’évaluation des risques sont alignées avec les processus standards des industries du logiciel et des Technologies de l’information (TI). Notre application est hébergée dans des espaces dédiés de centres de données de classe internationale conformes aux normes du secteur afin d’assurer qu’elle rencontre des exigences de sécurité rigoureuses.  Des tierces parties effectuent sur une base régulière des audits de notre produit et de notre infrastructure.

Pour plus de détails, téléchargez la trousse d’information sur la sécurité de Boréalis (anglais seulement).

Sécurité des centres de données

Les serveurs de production de Boréalis sont hébergés au Canada dans des centres de données certifiés Tier 3 selon le classement du Uptime Institute. L’installation est conforme ISO 27001 : 2005, SOC 1 type II (SSAE 16 et ISAE 3402) et SOC 2 type II. Le centre de données est équipé d’une sécurité physique robuste incluant indentification biométrique et accès par carte à puce et sécurité logique  incluant coupe-feu, détection d’intrusion, surveillance vidéo ainsi que prévention et protection des attaques par déni de services (DoS et DDoS). L’alimentation en courant, le refroidissement et les réseaux  sont redondants et construits pour un minimum de redondance N+1.

Sécurité au niveau des applications

L’application Boréalis fournit une gamme de mécanismes de sécurité au niveau des applications  qui permettent de perfectionner l’implémentation afin de répondre à des exigences spécifiques. Les patrons d’architecture du logiciel sont sélectionnés de façon stratégique pour la confidentialité, l’intégrité et la disponibilité des données. Ces patrons incluent la sécurité des données au niveau de ligne, liste d’accès contrôlée selon les rôles, piste d’audit et gestion des logs.

Accès administrateurs de système et soutien global

L’équipe d’opérations et de soutien technique de Boréalis surveille notre infrastructure depuis le Canada 24 heures sur 24 et 7 jours sur 7. Notre politique de contrôle d’accès est alignée avec les standards de l’industrie des TI. Le contrôle des accès est appliqué avec des politiques pour contrôler l’enregistrement des utilisateurs, accorder le bon niveau des droits d’accès, contrôler l’utilisation de mots de passe, le changement ou la suppression de mots de passe, la révision des droits d’accès et le contrôle d’accès aux services réseaux.

Notre équipe de soutien technique conserve un compte sur toutes les applications hébergées à des fins de maintenance et de soutien technique. Les applications et les données ne sont accédées que pour la surveillance du bon fonctionnement de l’application, pour effectuer des maintenances du système ou de l’application, ou à la demande du client via notre système de soutien technique. Seuls les employés de Boréalis qualifiés en sécurité et autorisés peuvent accéder au système via une authentification à deux facteurs. La sécurité de l’information de connexion des clients est sous leur responsabilité.

Sécurité de transmission et de session

De multiples connexions dorsales fournissent un routage redondant et une connectivité de haute performance. Toutes les communications avec les serveurs de Boréalis se font via une encryptions SSL de haute qualité (256-bit AES), un protocole de chiffrement conçu pour assurer la sécurité des communications transmises par internet. Les clés de chiffrement sont stockées en toute sécurité. Les sessions utilisateur individuelles sont identifiées et revérifiées lors de chaque transaction à l’aide d’un jeton d’authentification unique créé lors de la connexion.

Caractéristiques de sécurité du produit

Seuls les administrateurs de l’application sont autorisés à créer des utilisateurs et à créer des règles de sécurité des données. Le contrôle des accès se base sur la hiérarchie des rôles. Les données peuvent être séparées par groupes d’utilisateurs. Tous les accès sont régis par des politiques de mots de passes strictes et un niveau de complexité configurable. Toutes les activités réalisées dans l’application sont enregistrées par piste d’audit.

Sauvegarde

Des sauvegardes des serveurs virtuels ont lieu quotidiennement. Les sauvegardes sont conservées selon la politique suivante : conservation des cinq sauvegardes les plus récentes et la sauvegarde la plus récente des derniers sept jours, quatre semaines, douze mois et un an.

Reprise après sinistre

Boréalis utilise de multiples centres de données pour héberger son application et les données pour assurer la redondance de celles-ci. Tous les centres de données ont de la sécurité physique, des politiques d’accès strictes ainsi que des voûtes et cages sécures. Le centre de reprise après sinistre est situé à plus de 160km (100 milles) du centre de données de production. La réplication de données entre le centre de données de production et celui de reprise après sinistre de l’application de Boréalis ont lieu presque en temps réel. Des tests ont lieu quotidiennement au centre de secours immédiat et un diagnostic complet de reprise après sinistre a lieu à chaque trimestre pour vérifier les temps de reprise prévus et l’intégrité des données clientes.

Gestion de la surveillance et de la vulnérabilité

Boréalis utilise des tiers spécialistes et des solutions de niveau professionnel (comme Qualys) pour nous aider à trouver et corriger les vulnérabilités de l’infrastructure TI et de l’application web. Les rapports des derniers tests d’intrusion par une tierce partie et les rapports Qualys sont disponibles sur demande.

Boréalis utilise des systèmes de gestion de la vulnérabilité afin d’assurer la sécurité continue de l’infrastructure TI contre les menaces internet les plus récentes. Un système de balayage d’application web identifie automatiquement les 10 risques OWASP les plus importants incluant les injections SQL, les attaques de type XSS, la falsification de requête intersites (CSRF) et les redirections d’URL.

Toutes les applications web, les réseaux et les matériaux sont constamment surveillés par Boréalis et les fournisseurs d’infrastructure-service (IaaS) gérée.

Sécurité réseau

Le réseau de Boréalis est protégé par des pare-feu de niveau entreprise et d’un système de prévention et de détection d’intrusion (SPI/SDI) qui surveille le trafic afin de bloquer un vaste éventail d’exploitations de vulnérabilités connues. Le réseau d’OVH est protégé contre les attaques DoS/DDoS.

Confidentialité

Boréalis comprend l’importance d’assurer la confidentialité de l’information.