Cet article est aussi disponible en :
Cet article est traduit à l’aide d’un outil de traduction automatique. Il peut contenir des erreurs ou présenter quelques incohérences. Nous pensons néanmoins qu'il est utile que vous puissiez lire cet article d'aide dans votre langue maternelle. N’hésitez pas à nous indiquer en bas de l'article si celui-ci vous a été utile ou si vous avez d'autres commentaires.

Cet article décrit certaines des techniques et procédures que nous avons mises en place.

Chez Easy LMS, la sécurité de vos données est notre priorité absolue. Nous essayons constamment de casser nos propres systèmes de sécurité afin d'identifier les points faibles.

Architecture du logiciel

Easy LMS est construit sur la base de notre propre système de gestion de contenu (CMS). Ce système est développé à partir du framework PHP open-source Yii. Yii utilise une architecture de type modèle-vue-contrôleur (MVC) qui permet d'obtenir un code structuré, propre et facile à maintenir. Yii est considéré comme solide, rapide et sûr.



Cadre Yii

Nous utilisons de nombreuses fonctions de sécurité intégrées à Yii, telles que le cryptage des données, la prévention des XSS et l'assainissement des données. Les données saisies par l'utilisateur sont toujours validées sur le serveur, même si la validation côté client est également utilisée.

Authentification

Autorisation des rôles

Nous avons plusieurs types d'utilisateurs qui peuvent accéder au système, comme vous pouvez le voir dans le diagramme ci-dessous. Par niveau de sécurité, chaque rôle a accès à des parties supplémentaires du système et des données. A partir du niveau de support, nous utilisons un type de login qui diffère du login client comme couche de sécurité supplémentaire.



Foire aux questions

Vous trouverez ci-dessous une liste des questions de sécurité que nous recevons souvent.

Où sont situés vos serveurs ?

Easy LMS fonctionne sur un nuage Amazon Web Services, ou AWS en abrégé. Les serveurs et les bases de données sont physiquement situés à Francfort, en Allemagne.

Comment protégez-vous mes données ?

Nous protégeons vos données de plusieurs façons :

Toutes les données sont stockées dans la base de données qui est entièrement cryptée. Cela signifie que les données de la base de données ne peuvent être récupérées que par des moyens spécifiques.
Les données personnelles que nous demandons sont stockées dans la base de données en utilisant une couche supplémentaire de cryptage. Cela signifie que même si la base de données est compromise, un attaquant ne pourra pas lire les données sans la clé de décryptage.
Les mots de passe sont stockés à l'aide d'un algorithme de hachage hautement sécurisé. Contrairement à d'autres données, il est impossible de retrouver le mot de passe original à partir de son hachage.
Les mots de passe ne sont jamais envoyés à quiconque, de quelque manière que ce soit.
Toutes les communications entre le client (vous) et le serveur passent par une connexion cryptée.

Qui a accès à mes données ?

Vous, à tout moment. Nous pouvons accéder à certaines de vos données, par exemple à des fins d'assistance et de facturation. Nous ne partageons jamais vos données sans votre consentement.

Qui a accès à la base de données ?

Notre base de données est accessible uniquement aux utilisateurs autorisés. Cette autorisation est gérée par un système séparé, de sorte qu'aucun compte Easy LMS n'a un accès direct à la base de données. Ce système n'est accessible que depuis notre propre réseau interne.

Traitez-vous et stockez-vous des données personnelles ?

Nous ne demandons que les données dont nous avons besoin, par exemple pour la facturation. Nous stockons ces données de manière cryptée dans notre base de données.

Disposez-vous d'une procédure en cas de fuite de données ?

Oui. Si une fuite de données est détectée, nous prenons immédiatement des mesures pour d'abord réparer la fuite et désactiver l'accès externe. Nous informerons les parties prenantes dans les 48 heures suivant la détection d'une fuite de données.

Quel type de cryptage utilisez-vous ?

La communication passe par HTTPS (TLS 1.2).
Toutes les données sont cryptées en utilisant AES-256.
Les mots de passe sont stockés en utilisant bcrypt-hashing.
Les données personnelles sont stockées en utilisant le cryptage CBC ou ECB (selon le type et l'utilisation).

Comment utilisons-nous le cryptage pour les données sensibles ?

Les mots de passe sont hachés via bcrypt
Les données personnelles, autres que les adresses électroniques, sont cryptées via AES-128-CBC

Prenez-vous en charge l'authentification unique ?

Oui. Vous pouvez lire les méthodes SSO que nous prenons en charge dans cet article.

Avez-vous des sauvegardes ?

Oui, nous en avons. Nous faisons des instantanés quotidiens de notre base de données avec une période de rétention de 35 jours.

Quelles plateformes logicielles utilisez-vous ?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

Effectuez-vous des revues de code ?

Oui, toutes les modifications du code nécessitent une revue de code. Une modification ne peut pas entrer en production sans l'approbation d'au moins deux développeurs.

Quel type de support avez-vous ?

Vous pouvez nous joindre via notre site web. Notre service d'assistance est disponible de 08:30 à 23:00 (CET), du lundi au vendredi. Nos consultants parlent néerlandais, anglais, allemand, français, portugais et espagnol. Nous fournissons une assistance dans toutes les autres langues à l'aide de la traduction automatique.

Combien de temps faut-il pour répondre à une demande ?

Cela dépend du type de demande, mais généralement dans les 48 heures. En moyenne, nous vous répondons dans les 67 minutes.

Effectuez-vous des tests de pénétration ?

Nous étudions cette question. Certains de nos clients effectuent leurs propres pen tests sur notre système et partagent leurs résultats. Il va sans dire que tout problème qui survient reçoit notre attention immédiate.

Puis-je effectuer un test de pénétration ?

Nous vous invitons à le faire, beaucoup de nos autres clients l'ont fait également. Nous vous demandons toutefois de nous en informer au préalable afin que nous sachions qu'il pourrait y avoir une pression supplémentaire sur nos serveurs.

A quelle fréquence mettez-vous à jour le logiciel ?

En permanence. Nous travaillons constamment à l'amélioration de la sécurité du logiciel et à l'ajout de nouvelles fonctionnalités. Dès qu'un bogue ou un problème de sécurité est corrigé, nous le déployons immédiatement.

Comment testez-vous votre logiciel ?

Nous testons nos logiciels à la fois manuellement et automatiquement. Avant chaque déploiement, notre système passe par plusieurs étapes. L'une d'entre elles est la phase de test. Au cours de cette phase, un système automatisé exécute des milliers de tests automatisés, tels que des tests unitaires, des tests fonctionnels et des tests d'intégration. Cela permet de s'assurer que les modifications que nous apportons à notre logiciel ne cassent pas d'autres fonctionnalités ou mesures de sécurité. Même si un seul test échoue, la construction est rejetée et renvoyée au développement pour être corrigée.

Tous les employés chargés du traitement des données se sont-ils engagés à respecter le secret des données ?

Oui, chacun de nos employés signe une déclaration par laquelle il s'engage à ne jamais partager les données du siteformation avec des parties qui ne sont pas concernées.

Avez-vous mis en place des processus de durcissement ?

Oui, nous en avons :

Tous les correctifs de sécurité de nos systèmes d'exploitation sont installés.
Nous avons un antivirus et un anti-spyware installés sur tous nos systèmes.
Nous avons mis en place une protection des points de terminaison.
Tous les identifiants de connexion, tant sur nos postes de travail que sur la plateforme, doivent être solides. Nous utilisons l'authentification à deux facteurs lorsque cela est approprié.
Nous verrouillons automatiquement tous les PC lorsque quelqu'un quitte son poste de travail.
Nous avons mis en place un pare-feu.

Comment la séparation est-elle assurée entre le réseau d'entreprise avec ses informations d'identification et l'environnement de production ?

Les informations d'identification du réseau d'entreprise sont différentes de celles de l'environnement de production. Nous n'autorisons pas l'accès à l'environnement de production en utilisant une forme de SSO depuis notre réseau d'entreprise. Ainsi, la connexion à l'environnement de production fonctionne avec des informations d'identification différentes, qui ne sont disponibles que pour les devops et les sysadmins. Les journaux d'accès sont conservés.

Comment la gestion des accès et des clés est-elle organisée ?

Le CTO est en charge de la gestion des accès et des clés et de l'attribution des autorisations. Nous n'attribuons les accès que s'ils sont nécessaires au travail de l'employé.

Êtes-vous conforme au GDPR ?

Le GDPR est entré en vigueur le 25 mai, 2018. . Nous sommes heureux de confirmer qu'Easy LMS est entièrement conforme au GDPR. Nous avons mis à jour notre Politique de confidentialité, Conditions générales et nos opérations conformément au GDPR. Si vous avez besoin d'un accord de traitement des données avec nous, faites-le nous savoir et nous vous enverrons un document numérique à signer. Pour en savoir plus sur le GDPR et ses implications, consultez le siteformation ici.

Cet article a-t-il répondu à vos questions ?
Annuler
Merci !