Aller au contenu principal
Demander une démo

Votre sécurité, notre priorité

Vos données privées doivent le rester. C’est pourquoi nous concevons nos produits et services pour les protéger. Grâce à des garanties solides, à une surveillance continue et à des informations sur la sécurité en temps réel, personne ne s’occupe de vos affaires… sauf nous.

Woman working on laptop at a table

Élimination des vulnérabilités

Prévention

Une fondation solide repose sur des éléments de base solides. Nous privilégions les langages et les cadres de travail dotés d’une sécurité mémoire inhérente, d’une prévention XSS intégrée et d’une protection contre les injections SQL.

Détection

La première étape pour corriger une vulnérabilité est de l’identifier. C’est pourquoi nous avons intégré des outils de test statique de la sécurité des applications (SAST) dans notre pipeline CI/CD.

Protection

Nous stockons les données à l’aide d’une infrastructure infonuagique sécurisée et renforçons leur protection en mettant en œuvre les pratiques exemplaires de sécurité.

La sécurité à chaque étape

Votre sécurité est notre priorité à chaque étape de notre cycle de vie de développement logiciel (SDLC).

Conception

La sécurité jette les bases de la conception. Elle est donc priorisée dès le début de notre processus.

Qualité

Nous gardons un œil attentif sur toutes les modifications apportées aux produit. La qualité de chaque mise à jour de code, sans exception, est examinée par notre équipe de produits qualifiée.

Expertise

Nos développeurs sont formés à la modélisation des menaces et à d’autres principes de sécurité. Grâce à leurs conseils avisés, nous avons mis en place un cycle de développement durable renforcé, garantissant la sécurité de nos logiciels à chaque étape du processus.

Skyscraper

Neutraliser les menaces

Tests

Nous exécutons périodiquement des analyses dynamiques de sécurité des applications (DAST), travaillons en étroite collaboration avec des chercheurs en sécurité et effectuons chaque année des tests de pénétration tiers pour identifier et corriger toute faiblesse dans la sécurité de notre produit.

Formation

La sécurité et l’apprentissage vont de pair. Notre programme de formation obligatoire des employés est vaste et dynamique. Nous sommes toujours à la recherche de nouveaux sujets à couvrir.

Gestion des risques

Nous appliquons un programme de gestion des risques certifié ISO 27001 qui garantit que les vulnérabilités sont identifiées, hiérarchisées et traitées en fonction des objectifs de niveau de service (SLO) documentés.

Surveillance

Des correctifs et des mises à jour sans interruption garantissent la sécurité de nos logiciels et de notre infrastructure, car nous surveillons de près les menaces de sécurité et les vulnérabilités.

colleagues collaborating over a tablet in an office

Nous vous tenons informé

Pas de surprises

Nous maintenons une communication ouverte avec nos clients sur la sécurité de nos produits, notamment par le biais d’une documentation claire sur les fonctionnalités de sécurité, les mises à jour et les précautions ou problèmes qui nécessitent une action du client.

Fiable

Nous travaillons avec nos clients pour identifier et supprimer les configurations non sécurisées, et nous ne facturons jamais de supplément pour la mise en œuvre de cadres de sécurité supplémentaires.

Assistance à la configuration sécurisée

Nous prenons en charge et encourageons l’utilisation de l’authentification unique (SSO) afin de mettre en œuvre l’authentification multifacteur (MFA) pour tous les utilisateurs sans informations d’identification supplémentaires ni alertes MFA.

Partenariat

Nous sommes heureux de collaborer avec les équipes de sécurité des clients pour fournir des journaux et des analyses afin de soutenir les enquêtes de sécurité.

Man working on laptop at a desk in an office

Protection de l’infrastructure réseau

Nous adoptons une approche multicouche pour protéger notre infrastructure et nos ressources réseau.

  • Le pare-feu réseau protège le niveau du réseau grâce à des fonctionnalités telles que l’inspection basée sur l’état et la prévention des intrusions. Le groupe de sécurité Amazon Virtual Private Cloud (VPC) fournit une protection au niveau de l’hôte. Le pare-feu d’application Web protège le niveau applicatif.
  • Amazon VPC vous aide à maintenir le trafic segmenté à l’aide de sous-réseaux privés, de sous-réseaux publics et d’équilibrage de charge réseau. Ces services VPC séparent le trafic entre les frontières du réseau.
  • Nous déployons une technologie de gestion de la posture de sécurité dans l’informatique en nuage dans toute notre infrastructure. Cette technologie recueille les événements provenant des points de terminaison et permet la surveillance, l’alerte et la correction des risques de conformité ainsi que des erreurs de configuration dans les environnements infonuagiques.
  • Les services de détection des menaces et des intrusions surveillent en permanence les environnements infonuagiques pour détecter les activités malveillantes.
  • La technologie d’inspection approfondie des paquets est disponible pour les enquêtes numériques si nécessaire.

Transmission sécurisée
  • La connexion à l’environnement Brightspace est établie via des protocoles cryptographiques TLS avec cryptage RSA®, ce qui garantit aux clients une connexion sécurisée à partir de leur navigateur.
  • Les sessions utilisateur individuelles sont identifiées et vérifiées à nouveau avec chaque transaction à l’aide d’un jeton unique créé lors de la connexion.

Surveillance des attaques par déni de service
  • Notre infrastructure réseau interne, qui comprend des pare-feu et des WAF, assure une protection contre les attaques par déni de service (DoS).
  • Nous utilisons AWS Shield pour nous protéger contre les attaques par déni de service distribué (DDoS). Ce service fournit la détection et l’atténuation des attaques DDoS volumétriques, de protocole et d’applications.

Gestion des vulnérabilités et mesures correctives

Durcissement du système

Vulnérabilités et correctifs

  • Nous testons tous les codes pour détecter les vulnérabilités de sécurité avant leur publication et analysons régulièrement son réseau et ses systèmes pour détecter les vulnérabilités.
  • Nos experts examinent régulièrement les correctifs de sécurité des logiciels et systèmes d'exploitation sous-jacents afin d'évaluer leur caractère critique, leur risque et leur impact potentiel sur les services D2L.

Évaluations annuelles par des tiers

  • Nous faisons appel à un tiers pour effectuer des tests d'intrusion sur la plateforme Brightspace chaque année.

Menaces et protection des points de terminaison

Le logiciel antivirus est déployé sur tous les ordinateurs portables et de bureau du personnel, et est géré de manière centralisée pour garantir que tous les fichiers DAT sont à jour. Les rapports centralisés garantissent que les infections malveillantes sont correctement mises en quarantaine et transmises à un niveau supérieur pour des actions ultérieures, si nécessaire.

Skyscraper windows

Sécurité des applications

Les applications sont développées à l’aide de la structure OWASP Top Ten et divers composants de sécurité sont intégrés à l’architecture d’application. Les analystes de sécurité recherchent régulièrement les faiblesses grâce à des examens de code et à des analyses d’applications. Des tiers valident les contrôles techniques en effectuant régulièrement des tests de pénétration du réseau et de vulnérabilité des applications.

Gestion des incidents

Notre processus de gestion des incidents de sécurité et de confidentialité gère les incidents de sécurité et de confidentialité. Ce processus peut être lancé par un client de D2L, un employé interne de D2L ou le public. Si un incident de sécurité est identifié, le processus de haut niveau suivant est suivi :

  • Surveillance et sensibilisation : un incident de sécurité ou de confidentialité est identifié et communiqué à l’équipe de réponse aux incidents de sécurité.
  • Détection et analyse (triage) : la gravité, la priorité, la portée et l’impact de l’événement sont évalués. Cette étape peut inclure la préservation des preuves et des activités de confinement.
  • Atténuation : des recommandations sont créées et mises en œuvre pour contenir, éliminer ou maîtriser l’incident en question.
  • Récupération : le confinement est terminé. Le cas échéant, l’analyse des environnements a lieu pour assurer une récupération complète.
  • Communications : cela peut inclure les communications avec les équipes de ressources internes, les parties prenantes et les clients de D2L. Sur la base des résultats du triage et de l’analyse, les communications appropriées sont rédigées, approuvées et partagées.
  • Activité de post-incident : à cette étape, les leçons apprises sont mises en œuvre pour recueillir des commentaires et faire évoluer le processus et les procédures de réponse aux incidents. Le cas échéant, la cause première est identifiée et consignée.

Fournisseurs et sous-traitants

Nous contrôlons tous les fournisseurs et sous-traitants applicables pour nous assurer que leur niveau de sécurité est approprié.

Sensibilisation à la sécurité
  • Notre programme de sensibilisation à la sécurité garantit que les employés comprennent l’importance de la sécurité et son lien avec leurs tâches quotidiennes.
  • Les nouveaux employés sont tenus de suivre une formation sur la sécurité, et l’achèvement de la formation est audité tout au long de l’année.
  • L’équipe de sécurité de l’information tire parti de plusieurs sources de renseignements sur les menaces de sécurité pour se tenir au courant des dernières menaces de sécurité. Ces informations sont partagées dans le cadre de campagnes de sensibilisation à la sécurité régulières pour aider les employés de D2L à être informé de ces menaces et de ce qu’il faut faire s’ils en rencontrent.

Conçu pour être sécuritaire

Nous nous engageons à affiner continuellement nos opérations et nos pratiques de sécurité, notamment à garantir que la sécurité est traitée comme un aspect intégral de la feuille de route des produits D2L. Lorsque vos données privées le restent, tout le monde est gagnant.

Notre engagement envers la sécurité