Cet article est aussi disponible en :
Cet article décrit certaines des techniques et procédures que nous avons mises en place.

Chez Easy LMS, la sécurité de vos données est notre priorité absolue. Nous essayons constamment de casser nos propres systèmes de sécurité afin d'identifier les points faibles.

Architecture logicielle

Easy LMS est construit sur notre propre système de gestion de contenu (CMS). Ce système est développé sur le framework open-source Yii PHP. Yii utilise une architecture basée sur un modèle, une vue et un contrôleur (MVC) qui permet d'obtenir un code structuré, propre et maintenable. Yii est considéré comme solide, rapide et sûr.



Yii Cadre

Nous utilisons de nombreuses fonctions de sécurité intégrées à Yii, telles que le cryptage des données, la prévention des XSS et le nettoyage des données. Les données saisies par l'utilisateur sont toujours validées sur le serveur, même si une validation côté client est également utilisée.

Authentification

Autorisation de rôle

Nous avons plusieurs types d'utilisateurs qui peuvent accéder au système, comme vous pouvez le voir dans le diagramme ci-dessous. Selon le niveau de sécurité, chaque rôle a accès à des parties supplémentaires du système et aux données. À partir du niveau de support, nous utilisons un type de connexion qui diffère de la connexion client comme couche de sécurité supplémentaire.



Foire aux questions

Vous trouverez ci-dessous une liste des questions de sécurité qui nous sont souvent posées.

Où se trouvent vos serveurs ?

Easy LMS fonctionne sur un nuage de services Web Amazon, ou AWS en abrégé. Les serveurs et les bases de données sont physiquement situés à Francfort, en Allemagne. Vos données sont protégées par le bouclier de protection de la vie privée. Pour en savoir plus sur Amazon hosting, privacy and EU rules here Si vous avez un compte Enterprise Owl et que vous souhaitez pouvoir stocker des données dans un autre endroit, contactez-nous pour plus d'informations.

Comment protéger mes données ?

Nous protégeons vos données de plusieurs façons :

Les données personnelles que nous demandons sont stockées dans la base de données en utilisant un cryptage. Cela signifie que même si la base de données est compromise, un attaquant ne serait pas en mesure de lire les données sans la clé pour les décrypter.
Les mots de passe sont stockés à l'aide d'un algorithme de hachage hautement sécurisé. Contrairement à d'autres données, il est impossible de récupérer le mot de passe original à partir de son hachage.
Les mots de passe ne sont jamais envoyés à qui que ce soit, de quelque manière que ce soit.
Toute communication entre le client (vous) et le serveur passe par une connexion cryptée.

Qui a accès à mes données ?

Vous le faites, à tout moment. Nous pouvons accéder à certaines de vos données, par exemple à des fins de support et de facturation. Nous ne partageons jamais vos données sans votre consentement.

Qui a accès à la base de données ?

Notre base de données n'est accessible qu'aux utilisateurs autorisés. Cette autorisation est gérée par un système distinct, de sorte qu'aucun compte Easy LMS n'a d'accès direct à la base de données. Ce système n'est accessible qu'à partir de notre propre réseau interne.

Traitez-vous et stockez-vous des données personnelles ?

Nous ne demandons que les données dont nous avons besoin, par exemple pour la facturation. Nous stockons ces données de manière cryptée dans notre base de données.

Avez-vous une procédure à suivre en cas de fuite de données ?

Oui, si une fuite de données est détectée, nous prendrons immédiatement des mesures pour réparer la fuite et désactiver l'accès externe. Nous informerons les parties prenantes dans les 48 heures suivant la détection d'une fuite de données.

Quel type de cryptage utilisez-vous ?

La communication passe par le protocole https (SSL, TLS 1.2)
Les mots de passe sont stockés en utilisant le hachage bcrypt
Les données personnelles sont stockées en utilisant le cryptage de la CBC ou de la BCE (selon le type et l'utilisation)

Comment utiliser le cryptage des données sensibles ?

Les mots de passe sont hachés par blowfish
Les adresses électroniques sont cryptées via aes-128-ecb
Les autres informations personnelles sont cryptées via aes-128-cbc

Êtes-vous en faveur de l'authentification unique ?

Oui, nous soutenons les méthodes suivantes de la SSO :

Azur AD
CAS
OKTA
AFAS en direct
OAuth
SAML

Vous avez des sauvegardes ?

Oui, nous le faisons. Nous faisons des instantanés quotidiens de notre base de données avec une période de conservation de 35 jours.

Quelles sont les plateformes logicielles que vous utilisez ?

Debian ≥ Jessie
Apache ≥ 2.4
PHP ≥ 7.2
MariaDB ≥ 10,2

Effectuez-vous des révisions de code ?

Oui, toute modification du code nécessite une révision du code. Une modification ne peut entrer en production sans l'approbation d'au moins deux développeurs.

Quel type de soutien avez-vous ?

Vous pouvez nous joindre par l'intermédiaire de notre site web. Notre service d'assistance est disponible de 9h30 à 23h00 (CET). Nos consultants parlent le néerlandais, l'anglais, le français, le portugais et l'espagnol. Nous offrons un soutien dans toutes les autres langues grâce à la traduction automatique.

Combien de temps faut-il pour répondre à une demande ?

Cela dépend du type de demande, mais généralement dans les 48 heures. En moyenne, nous vous répondons dans un délai de 67 minutes.

Effectuez-vous des tests de pénétration ?

Nous nous penchons sur la question. Certains de nos clients effectuent leurs propres tests au stylo sur notre système et partagent leurs résultats. Il va sans dire que tout problème qui se présente reçoit notre attention immédiate.

Puis-je effectuer un test de pénétration ?

Nous vous invitons à le faire, comme beaucoup de nos autres clients l'ont fait aussi. Nous vous demandons de nous le faire savoir à l'avance afin que nous sachions que nos serveurs pourraient être soumis à une pression supplémentaire.

Combien de fois mettez-vous à jour le logiciel ?

En permanence. Nous travaillons en permanence à l'amélioration de la sécurité des logiciels et à l'ajout de nouvelles fonctionnalités. Dès qu'un bogue ou un problème de sécurité est corrigé, nous le déployons immédiatement.

Comment tester votre logiciel ?

Nous testons nos logiciels à la fois manuellement et automatiquement. Avant chaque déploiement, notre système passe par plusieurs étapes. L'une d'entre elles est la phase de test. Au cours de cette phase, un système automatisé effectue des milliers de tests automatisés, comme des tests unitaires et des tests fonctionnels. Cela permet de s'assurer que les modifications que nous apportons à notre logiciel ne portent pas atteinte aux autres fonctionnalités ou aux mesures de sécurité. Même si un seul test échoue, la version est rejetée et renvoyée au développement pour être corrigée.

Utilisez-vous Adobe Flash ?

Non, nous ne le faisons pas, et nous ne le ferons jamais.

Tous les employés chargés du traitement des données ont-ils été tenus au secret des données ?

Oui, chacun de nos employés signe une déclaration selon laquelle il ne communiquera jamais d'informations à des parties qui ne sont pas impliquées.

Avez-vous mis en place des procédés de durcissement ?

Oui, nous le faisons :

Tous les patchs de sécurité de nos systèmes d'exploitation sont installés.
Nous avons installé un anti-virus et un anti-spyware sur tous nos systèmes.
Nous avons mis en place une protection des points d'extrémité.
Tous les identifiants de connexion, à la fois sur nos postes de travail et sur la plate-forme, doivent être solides. Nous utilisons une authentification à deux facteurs lorsque cela est approprié.
Nous verrouillons automatiquement tous les PC lorsque quelqu'un quitte son poste de travail.
Nous avons mis en place un pare-feu.

Comment la séparation entre le réseau d'entreprise avec ses références et l'environnement de production est-elle appliquée ?

Les références du réseau d'entreprise sont différentes de celles de l'environnement de production. Nous n'autorisons pas l'accès à l'environnement de production en utilisant une forme de SSO de notre réseau d'entreprise. La connexion à l'environnement de production fonctionne donc avec des identifiants différents, qui ne sont disponibles que pour les développeurs et les administrateurs système.

Comment votre accès et votre gestion des clés sont-ils organisés ?

Le CTO est chargé de la gestion des accès et des clés et de l'attribution des autorisations. Nous n'attribuons des accès que si cela est nécessaire pour le travail de l'employé.

Êtes-vous conforme à la GDPR ?

Le GDPR est entré en vigueur le 25 mai 2018. Nous sommes heureux de confirmer qu'Easy LMS est entièrement conforme au GDPR. Nous avons mis à jour notre Politique de confidentialité, nos Conditions générales et nos opérations conformément à la GDPR. Si vous avez besoin d'un accord de traitement avec nous, faites-le nous savoir et nous vous enverrons un document numérique à signer. Vous trouverez de plus amples informations sur la GDPR et ses implications ici.

Cet article a-t-il répondu à vos questions ?
Annuler
Merci !