2 mai 2019

Politique de sécurité de l’information

Table des matières

  • À propos de Snyk

  • Engagement en matière de sécurité

  • Gestion de la sécurité en entreprise

  • Protection de la vie privée des utilisateurs finaux

  • Gestion du contrôle de l’accès aux informations

  • Gestion de la sécurité des ressources humaines

  • Gestion de la sécurité physique

  • Gestion des opérations

  • Gestion de la sécurité des systèmes d’information

  • Historique et versions

À propos de Snyk

Snyk (« la société ») est un éditeur de logiciels qui conçoit des solutions automatisées pour analyser les bibliothèques tierces et aider les entreprises à comprendre et à sécuriser leurs dépendances logicielles. Elle développe notamment des outils de détection, de correction et de surveillance des vulnérabilités connues dans les paquets Node.js npm et Ruby.
La société est sise à Londres, au Royaume-Uni, et possède un bureau de R&D à Tel Aviv, en Israël.

Les informations stockées et traitées dans les systèmes informatiques de Snyk font partie intégrante de ses activités. La protection de la confidentialité, de l’intégrité et de la disponibilité de ces données est un principe clé des pratiques de la direction.

La politique de sécurité de l’information présente l’engagement de la direction en matière de sécurité de l’information, ainsi que les éléments fondamentaux qui permettent à la société de maintenir le niveau de sécurité de l’information requis.

Engagement en matière de sécurité

Snyk s’engage à maintenir un environnement sûr et sécurisé pour ses clients et partenaires. Leader dans le secteur des outils de sécurité pour développeurs, Snyk accorde une importance primordiale au respect des normes les plus strictes en matière de sécurité des données. Cela implique la fourniture d’informations claires sur les mesures prises pour garantir ces normes.

La politique de sécurité de l’information de Snyk établit les règles, les lignes directrices et les pratiques visant à protéger les données présentes dans les systèmes d’information, les infrastructures, le matériel et les réseaux connexes de Snyk, grâce à une architecture intelligente de contrôle et de surveillance de la sécurité.

Tous les employés de Snyk et les sous-traitants autorisés, quels que soient leurs titres, leurs postes et leurs emplacements géographiques, sont tenus d’adhérer à la présente politique de sécurité de l’information.

Gestion de la sécurité en entreprise

Responsabilités en matière de sécurité

Snyk a désigné Danny Grander (danny@snyk.io), cofondateur de Snyk, comme responsable de la sécurité des systèmes d’information. La principale mission du responsable de la sécurité consiste à protéger la confidentialité, l’intégrité et la disponibilité des données et des ressources informatiques de Snyk. D’autres responsabilités essentielles lui incombent, en particulier :

  • Architecture et stratégie de sécurité des produits

  • Gestion des vulnérabilités

  • Réponse aux incidents de sécurité

  • Évaluation des risques et audit

  • Sensibilisation à la sécurité

Snyk procède régulièrement à des évaluations des risques. La portée de ces évaluations varie d’une fois à l’autre et, en fonction des besoins, celles-ci sont réalisées soit en interne, soit par un prestataire tiers de confiance. Snyk se tient informé des vulnérabilités de sécurité les plus récentes, en s’assurant que ses serveurs sont en permanence mis à niveau afin de maintenir le plus haut niveau de sécurité, et sont immédiatement mis à jour avec des correctifs de sécurité en cas de signalement de vulnérabilités critiques.

Protection de la vie privée des utilisateurs finaux

Snyk s’engage à protéger la vie privée des utilisateurs finaux, sur l’ensemble des outils, CLI et portails web de Snyk.
Les pratiques de Snyk en matière de protection de la vie privée sont décrites plus en détail sur la page web suivante :

https://dev.snyk.io/policies/privacy

Gestion du contrôle de l’accès aux informations

Accès à l’environnement client

Snyk s’engage à protéger en permanence les données confidentielles de ses clients. Les privilèges d’accès aux informations sur les clients sont accordés sur la base du « besoin d’en connaître », et doivent être approuvés par un membre de l’équipe de direction de Snyk, puis soumis à un contrôle d’accès final par le responsable de la sécurité de Snyk. L’accès aux environnements de production est limité au personnel de support/des opérations de Snyk et à un nombre restreint de membres de l’équipe de développement de Snyk.

Les informations relatives aux clients ne sont jamais stockées sur des serveurs physiques situés dans les bureaux de Snyk ni sous forme de documents imprimés. Lorsqu’il est nécessaire de copier des informations de production sur l’ordinateur local d’un employé, ces informations sont anonymisées afin d’empêcher toute violation potentielle de la confidentialité, et sont supprimées dès qu’elles ne sont plus nécessaires.

Tout accès à l’environnement d’un client, que ce soit par le client lui-même ou par le personnel de Snyk, est consigné dans l’environnement de production de Snyk et reste disponible à des fins d’analyse ultérieure. Les journaux sont conservés pendant une période minimale de 30 jours.

L’accès du personnel de Snyk aux environnements des clients nécessite l’utilisation d’un mot de passe conforme à la politique de Snyk en matière de force des mots de passe, qui impose une longueur minimale de huit caractères et trois niveaux de complexité. Tous les mots de passe d’administrateurs stockés dans la base de données Snyk sont hachés avec un HMAC unidirectionnel. Les sels de hachage sont sécurisés sur des supports séparés avec des droits d’accès limités.

Pour plus d’informations sur les politiques de conservation des journaux et des données, consultez l’adresse : https://cloud.google.com/logging/quota-policy

Accès aux serveurs de production

L’accès aux serveurs de production de Snyk ou à leurs interfaces de gestion (par exemple, la console de gestion de Snyk) est limité au personnel des opérations et de support de Snyk et à un nombre restreint de membres de l’équipe de R&D de Snyk, qui ont besoin de cet accès pour exercer leurs fonctions.

Les contrôles d’accès aux serveurs de production sont revus tous les six mois au minimum.
Les évaluations d’accès sont documentées dans un fichier journal spécifique.

Segmentation des données entre les organisations

L’environnement de production de Snyk sert des milliers d’utilisateurs tout en partitionnant les données de telle sorte que chaque utilisateur peut uniquement voir les données relatives à sa communication avec l’application de Snyk. L’infrastructure logicielle empêche toute possibilité de fuite de données entre les différentes vues de l’utilisateur résultant d’une erreur humaine.

Accès au réseau

Snyk utilise des réseaux sans fil dans ses bureaux. Afin de séparer le trafic sensible de l’entreprise du trafic public, Snyk a mis en place des réseaux « Invité » et « Entreprise », tous deux sécurisés par un cryptage WPA2.

Accès aux outils de messagerie, d’analyse, de support et autres outils tiers

Snyk dispose d’une liste des outils tiers auxquels chaque collaborateur a accès. Cette liste indique le niveau d’accès (niveau de base, administrateur) et précise si l’accès est nécessaire à titre temporaire ou non. Elle est révisée tous les trimestres (ou en cas de licenciement d’un employé) par le responsable de la sécurité des systèmes d’information (RSSI) afin de vérifier son exactitude et de détecter les zones où l’accès peut être restreint. L’accès des administrateurs aux différents outils est réduit au minimum.

Facturation

Snyk utilise un service tiers conforme aux normes PCI (Stripe) pour la gestion des transactions par carte de crédit et ne stocke ni ne voit aucune information relative aux cartes de crédit. Pour plus d’informations sur la sécurité de Stripe, consultez :

https://stripe.com/help/security

Classification des données

  • Snyk distingue deux catégories de données : les données sensibles et les données non sensibles.

  • Les données sensibles concernent :

  • Toutes les politiques et procédures doivent tenir compte de la classification des données.

  • Les informations personnellement identifiables (PII) doivent être enregistrées conformément aux exigences de l’ICO (Information Commissioner Office).

Gestion de la sécurité des ressources humaines

Vérification des antécédents

Snyk procède à une vérification des antécédents de tout nouveau membre du personnel de la société (y compris les employés à temps plein, les employés à temps partiel et les sous-traitants), dans les limites prescrites par la loi en vigueur. La vérification des antécédents s’effectue par le biais d’entretiens, de recherches sur les réseaux sociaux, de bases de données de publications juridiques, d’appels de recommandation et de recours aux services de sociétés tierces indépendantes dédiées à la vérification des antécédents.

Formation en matière de sécurité

Lors de leur intégration, les nouveaux employés suivent une session de formation à la sécurité qui aborde les responsabilités de chacun en la matière. Les thématiques suivantes y sont abordées :

  • Assurer la protection des données des clients

  • Considérations relatives à la sécurité de l’entreprise, notamment la confidentialité des informations et la protection de la propriété intellectuelle

  • Comprendre les menaces de sécurité telles que les malwares et le phishing

  • Comprendre les menaces physiques

  • Sécurité des ordinateurs portables

  • Signaler les incidents de sécurité

Les directives en matière de sécurité sont actualisées chaque année par une formation obligatoire pour tous les employés de Snyk.

Départ d’un employé

Snyk dispose d’une procédure documentée détaillant les étapes à suivre en cas de départ d’un employé et a désigné le personnel chargé de l’appliquer. Cette procédure prévoit la révocation de l’accès physique et virtuel à divers systèmes, y compris les environnements de production. Elle précise en outre les modalités de restitution des ordinateurs portables et autre matériel, et la manière dont les données et la configuration sont effacées en toute sécurité des appareils.

Conformément à l’accord de confidentialité de Snyk, les employés sont tenus de restituer tout élément confidentiel (stocké physiquement ou numériquement, imprimé ou écrit) relatif aux processus, infrastructures, logiciels, finances ou données clients.

Évolution des fonctions et des missions

Parallèlement à l’évolution des fonctions et des missions au sein de Snyk, la fiche de poste de l’employé est appelée à changer, de même que les autorisations et les accès nécessaires à l’exercice de ses activités. Dans ce cas, le supérieur hiérarchique de l’employé est tenu d’informer le RSSI de ce changement, après quoi les autorisations seront supprimées et réattribuées en fonction de la nouvelle fiche de poste.

Ingénierie sociale

Snyk sensibilise régulièrement ses employés aux menaces liées à l’ingénierie sociale, en particulier le hameçonnage et l’usurpation d’identité par e-mail, les menaces, la coercition, l’intimidation, les cadeaux, les liens d’amitié et autres pratiques du même type. Snyk applique les protocoles de signature et de validation SPF et DKIM à tous les e-mails et utilise DMARC et d’autres technologies anti-hameçonnage avancées pour empêcher les e-mails usurpés et les e-mails d’hameçonnage d’atteindre ses employés. Les employés ont pour consigne de ne jamais introduire une clé USB, un CD ou un autre support inconnu dans leur ordinateur portable ou de bureau.

Le personnel d’assistance suit une formation supplémentaire concernant le type d’informations qu’il peut divulguer dans le cadre des demandes d’assistance des clients. Concrètement, les informations concernant le personnel de l’entreprise, l’organisation interne de Snyk et les informations concernant les autres clients ne sont jamais divulguées lors des demandes d’assistance. Les données historiques du compte du plaignant peuvent être divulguées dans certaines circonstances et, dans ce cas, uniquement après authentification de ce dernier. Ces données ne sont transmises que par le portail du client dans l’application Snyk et jamais par e-mail ni par le biais du système de tickets d’assistance.

Gestion de la sécurité physique

Snyk ne stocke pas les informations relatives aux clients sur des serveurs physiques situés dans les bureaux de Snyk ni sous forme de documents imprimés. Snyk a recours à des datacenters certifiés ISO 27001 et FISMA, gérés par Google. Google compte de nombreuses années d’expérience dans la conception, la construction et l’exploitation de datacenters à grande échelle. Cette expérience a été mise à profit pour la plateforme et l’infrastructure de Google. Les datacenters de Google sont hébergés dans des locaux anonymes et les sites stratégiques sont implantés avec une marge de retrait importante, entourés de barrières de contrôle du périmètre de type militaire, ainsi que d’autres protections des limites naturelles. L’accès physique est strictement contrôlé, tant en périphérie qu’aux points d’entrée des bâtiments, par des professionnels de la sécurité qui utilisent la vidéosurveillance, des systèmes de détection d’intrusion de pointe et d’autres moyens électroniques.

Le personnel autorisé doit se soumettre à une authentification à deux facteurs au moins trois fois pour accéder aux locaux du datacenter. Tous les visiteurs et sous-traitants sont tenus de présenter une pièce d’identité, de signer un registre et d’être accompagnés en permanence par un membre du personnel autorisé.

Google ne fournit un accès au datacenter et des informations qu’aux seuls employés ayant des besoins professionnels légitimes. Lorsqu’un employé n’a plus besoin de ses privilèges d’accès pour des raisons professionnelles, son accès est immédiatement révoqué, même s’il reste employé par Google.

Tous les accès physiques et électroniques aux datacenters par les employés de Google sont consignés et contrôlés régulièrement.

Pour plus d’informations, voir :

Google
https://cloud.google.com/security/compliance
https://cloud.google.com/security/whitepaper

Bureaux de Snyk

L’accès aux bureaux de Snyk est limité par plusieurs dispositifs : un badge numérique pour accéder au bâtiment et une clé du bureau (Londres) ; une clé du bureau pour l’accès pendant les heures d’ouverture (Tel Aviv) ; une clé du portail, une clé de l’ascenseur et une clé du bureau pour l’accès en dehors des heures d’ouverture (Tel Aviv). En outre, pendant toutes les heures de bureau, les visiteurs des bureaux de Snyk doivent être accompagnés à tout moment par des employés de Snyk. En dehors des heures de bureau, l’espace de bureau est équipé d’une alarme numérique qui déclenche l’intervention d’une société de sécurité 24 heures sur 24 et 7 jours sur 7. Des déchiqueteuses sont à la disposition des employés pour éliminer en toute sécurité les informations sensibles.

La perte ou le vol de clés ou de badges doit être signalé(e) immédiatement à l’administrateur du bureau. En cas de perte ou de vol de clés, toutes les serrures des bureaux concernés doivent être remplacées. Les badges perdus ou volés sont désactivés à distance.

Suppression des données

Les supports et les dispositifs qui quittent les locaux de Snyk et ne sont plus sous son contrôle, que ce soit de manière temporaire ou permanente, doivent être examinés et confirmés par le responsable de la sécurité et faire l’objet d’un processus de suppression des données, au moyen d’un logiciel de nettoyage des données, de la destruction des supports ou de tout autre dispositif déterminé par le responsable de la sécurité.

Le déclassement du matériel physique utilisé dans le cadre de l’environnement de production de Snyk est effectué par Google et comprend la destruction des données stockées sur le matériel, comme indiqué à la section « Suivi et destruction du matériel » du livre blanc sur la sécurité de Google (voir : https://cloud.google.com/security/whitepaper)

Invités

Est considérée comme « invité » toute personne qui n’est pas un employé de Snyk ou un sous-traitant autorisé (« employé »), y compris les membres de la famille, les amis, etc. Les ordinateurs de bureau, ordinateurs portables et autres appareils de Snyk ne doivent être utilisés que par les employés de Snyk.

Les invités inconnus sont identifiés par une pièce d’identité officielle et doivent être accompagnés à tout moment par un employé de Snyk.

Les invités ne sont pas autorisés à accéder de quelque manière que ce soit aux appareils de Snyk. Les invités peuvent connecter leurs ordinateurs portables, tablettes et smartphones au réseau sans fil « Invité » de Snyk pour accéder à Internet. Le service informatique de Snyk ne fournira pas d’assistance pour les ordinateurs invités. Si un invité souhaite imprimer un document, il doit le transmettre par e-mail à un employé, qui l’imprimera (après avoir vérifié l’absence d’éventuels virus et malwares).

Gestion des opérations

Développement et tests

Snyk a recours à de multiples méthodes pour garantir des normes de codage élevées et réduire au minimum le nombre de bugs. Ces méthodes comprennent un processus de révision obligatoire pour chaque élément de code ajouté au produit, des outils de révision automatique du code et un cadre d’intégration continue qui exécute des tests automatiques au niveau des unités et du système. Snyk utilise également un environnement de simulation (« staging ») dans lequel les modifications peuvent être soumises à des tests manuels complets avant d’être déployées en production.

Le département R&D de Snyk intègre une équipe d’assurance qualité (QA), qui a la responsabilité exclusive de s’assurer que les produits Snyk présentent un haut niveau de qualité.

La R&D de Snyk utilise un processus de développement agile qui permet des déploiements fréquents en production, tout en offrant la possibilité de revenir en arrière en cas de problèmes suite à un déploiement en production. Snyk effectue des évaluations de sécurité périodiques sur son environnement de production, en s’appuyant à la fois sur l’expertise interne inhérente et sur des outils tiers, afin de garantir que les produits répondent aux normes de sécurité les plus élevées. La détection d’un problème entraîne la création d’un ticket et la prise de mesures correctives. Après la mise en œuvre des correctifs adéquats, de nouveaux tests sont effectués pour s’assurer de la résolution des vulnérabilités.

Snyk fait appel à la contribution de sa communauté d’utilisateurs pour renforcer sa sécurité interne et propose à tout moment un programme de primes pour les bogues de sécurité (https://dev.snyk.io/docs/security), par lequel les membres de la communauté sont récompensés pour avoir identifié et signalé à Snyk, de manière responsable, les vulnérabilités découvertes.

Ces mesures, ainsi que d’autres directives visant à garantir le respect de toutes les exigences en matière de sécurité, sont définies dans le cadre du cycle de développement des systèmes (SDLC) de Snyk.

Test d’intrusion

Snyk fait appel aux services de sociétés externes spécialisées pour effectuer des tests d’intrusion au niveau des applications et de l’infrastructure. Un test d’intrusion externe est réalisé au moins une fois par an. En outre, des tests d’intrusion internes sont exécutés par notre équipe de sécurité expérimentée au moins deux fois par an.

Atténuation des malwares

Les départements R&D, Opérations et Support de Snyk utilisent exclusivement les systèmes d’exploitation Apple OS X. Bien que les malwares ne constituent généralement pas une menace importante pour la sécurité de ces systèmes, Snyk prend des mesures actives pour s’assurer que les ordinateurs de ses employés ne sont pas compromis. Tous les ordinateurs portables et de bureau des employés sont équipés du système de protection du point de terminaison SentinelOne, qui surveille en temps réel les menaces liées aux logiciels malveillants et aux exploits.

Notifications aux utilisateurs

Le responsable de la sécurité de Snyk reçoit des notifications de sécurité périodiques provenant de diverses ressources de sécurité de l’information. La découverte d’une menace entraîne une évaluation de son impact et la planification de mesures d’atténuation. Les vulnérabilités à haut risque sont immédiatement communiquées à tous les employés de Snyk, accompagnées d’instructions sur la manière d’y remédier. Par ailleurs, les employés de Snyk sont encouragés à installer uniquement des logiciels réputés, à mettre régulièrement à jour leur navigateur, à utiliser des mécanismes de sécurité internes (FileVault, Firewall) et à exécuter régulièrement la mise à jour logicielle de Mac OS.

Gestion des fournisseurs et sous-traitants tiers

Tous les sous-traitants et fournisseurs tiers doivent être approuvés par le RSSI avant d’être engagés. Le RSSI évaluera et approuvera la capacité de sécurité du fournisseur tiers, notamment en examinant ses politiques et procédures en matière de sécurité, de données, de confidentialité, etc. Ces évaluations seront effectuées chaque année ou à chaque fois qu’un changement majeur interviendra dans la mission ou les services consommés. Ces examens sont consignés et conservés dans un registre distinct dédié à l’évaluation des fournisseurs.

Haute disponibilité, reprise après sinistre et sauvegarde des bases de données

Chaque serveur stratégique dans l’environnement cloud de Snyk est renforcé soit par des instances multiples dupliquées (zones de disponibilité multiples), soit par un nœud esclave (pour les bases de données) vers lequel un basculement peut être effectué, ce qui garantit un temps d’arrêt minimal du système en cas de défaillance critique. Le processus de basculement automatique est déclenché par l’infrastructure cloud sous-jacente lorsqu’un composant est déterminé comme étant dans l’incapacité de répondre de manière fiable aux demandes.

L’impact sur l’expérience de l’utilisateur final en cas de temps d’arrêt est également minime. Il n’y aura pas d’impact visible sur la fonctionnalité du site web et des API de Snyk, seulement un retard dans le traitement de certaines demandes.

Des sauvegardes des bases de données du système de production de Snyk sont effectuées quotidiennement et avant toute mise à niveau ou modification majeure de la configuration de l’environnement de production de Snyk. Ces sauvegardes permettent, en cas de sinistre, la création d’un environnement répliqué dans un délai minimal.

Les restaurations de données sont effectuées tous les trimestres pour s’assurer que les données et les processus sont intacts.

Conservation et destruction des données

Snyk conserve les sauvegardes des bases de données pendant une période minimale de 90 jours, les sauvegardes quotidiennes étant stockées pour les 7 derniers jours, les sauvegardes hebdomadaires pour les 4 dernières semaines et les sauvegardes mensuelles pour les 3 derniers mois. Les journaux de production détaillés, y compris les journaux d’accès au serveur de gestion, sont conservés pendant 30 jours.

L’enregistrement des activités des utilisateurs finaux est conservé pendant une période d’au moins six mois, ce qui permet d’analyser les menaces antérieures.

Le déclassement du matériel est géré par Google selon une procédure visant à empêcher toute exposition des données des clients, notamment grâce aux techniques de destruction des données décrites dans les documents DoD 5220.22-M (« National Industrial Security Program Operating Manual ») et NIST 800-88 (« Guidelines for Media Sanitization »).

Archives de données

Les règles suivantes s’appliquent aux données qui ne sont plus utilisées, mais qui doivent être conservées à des fins d’audit, de comptabilité, de conformité aux exigences réglementaires (celles de l’administration fiscale, par exemple), de défense en cas de réclamations et à d’autres fins légitimes et légales :

  1. Les données seront identifiées comme données d’archives.

  2. L’accès aux données archivées sera limité au personnel concerné (par exemple, le PDG, le directeur financier, le vice-président chargé des produits, le responsable informatique, le responsable de la R&D et le conseiller juridique).

  3. Lorsque la finalité de la conservation des données prend fin, ou lorsque sept ans se sont écoulés depuis l’archivage des données, selon la première éventualité, les données seront supprimées du système de Snyk.

Sécurité des réseaux

Le cluster d’applications de Snyk est hébergé dans l’environnement Google Cloud. Dans ce modèle, la plateforme cloud sous-jacente fournit les contrôles de sécurité du réseau, tandis que les architectes réseau et système de Snyk configurent les différents groupes de routage et de sécurité en collaboration avec le personnel des opérations de Snyk.

Le cluster d’applications de Snyk est protégé par un groupe de sécurité qui assure le filtrage de l’accès au réseau depuis l’Internet au sens large. Le filtrage est maintenu afin d’autoriser les connexions entrantes uniquement sur les ports et protocoles spécifiques requis pour le fonctionnement standard du cluster.

Les ports de la base de données ne sont pas exposés à Internet. En outre, Snyk utilise un pare-feu configuré basé sur l’hôte afin d’isoler davantage le trafic sur les instances individuelles.

Les modifications apportées aux groupes de sécurité, à la configuration du réseau, aux ports, aux pare-feu, aux routeurs ou à toute autre infrastructure de réseau doivent être approuvées par le responsable informatique et exécutées par au moins deux techniciens, puis faire l’objet d’un contrôle manuel de cohérence.

Pour l’atténuation des attaques par déni de service distribué (DDoS), Snyk s’appuie sur les techniques d’atténuation des DDoS propres à Google, qui réduisent l’exposition aux attaques DDoS réussies et assurent également une plus grande diversité de l’accès à Internet en utilisant un grand nombre de fournisseurs d’accès.

Google est également responsable de la détection des scans de ports illicites dans l’environnement cloud de Snyk. Bien que les scans de ports soient généralement inefficaces dans l’environnement cloud de Snyk en raison du nombre minimal de ports entrants ouverts, lorsqu’un scan de port non autorisé est détecté, les scans sont bloqués et le personnel de Snyk en est informé.

Renforcement du système

Snyk applique les meilleures pratiques en matière de renforcement des serveurs de production afin de minimiser les surfaces à risque et de rester conforme aux normes de sécurité les plus récentes.

Tous les serveurs matériels de Snyk sont virtuels et approvisionnés à partir d’images certifiées et fiables. Le RSSI et le responsable informatique sont abonnés aux flux de mises à jour de sécurité des systèmes d’exploitation concernés et les correctifs de sécurité sont appliqués régulièrement, les mises à jour critiques étant appliquées dans les 24 heures suivant leur publication.

Les autorisations du système de fichiers suivent une approche de moindre privilège, par laquelle les dossiers et les fichiers sont soigneusement attribués aux groupes et aux utilisateurs qui ont besoin d’un accès en lecture ou en écriture.

Les anciens services tels que telnet-server ; rsh, rlogin, rcp ; ypserv, ypbind ; tftp, tftp-server ; talk, talk-server sont supprimés. Les autres services/démons ne sont exécutés que si nécessaire, sur des ports non standard.

Tous les serveurs sont installés avec OSSec pour la surveillance au niveau du serveur.

L’utilisateur racine est défini sur « nologin », et tout accès à la machine doit être effectué avec des comptes personnels pour permettre la vérifiabilité. L’accès SSH nécessite une clé et un mot de passe.

Tout le matériel virtuel est régulièrement relancé à partir de l’image certifiée afin d’éviter les failles ou les fuites de données de longue durée.

Les infrastructures de réseau, de routage et autres sont toutes virtuelles et gérées par notre plateforme cloud (Google Cloud Platform), qui se charge de maintenir ces équipements à jour et d’appliquer les correctifs nécessaires.

Surveillance

Snyk utilise plusieurs outils internes et tiers pour surveiller son environnement de production et le protéger contre les menaces ou les erreurs potentielles :

  • Un mécanisme de notification interne est en place pour alerter les équipes des opérations et de support de Snyk sur les différentes anomalies détectées en production.

  • L’outil d’analyse Google Cloud Monitoring est configuré pour surveiller en permanence l’état de l’environnement de production de Snyk, notamment la disponibilité des serveurs, l’unité centrale, la mémoire, l’espace disque et d’autres paramètres clés. L’outil Cloud Monitoring envoie également des alertes à l’équipe des opérations de Snyk sur la base de règles préconfigurées.

  • L’outil de surveillance du site web Pingdom est utilisé pour suivre de plus près le temps de fonctionnement et les performances du site web.

  • Logz.io est utilisé pour la surveillance et l’archivage continus des journaux.

  • Sentry est utilisé pour le suivi des bugs et des régressions en production.

Un tableau de bord interne de suivi de la production regroupe les informations provenant des multiples systèmes de Snyk et fournit au personnel des opérations de Snyk une vue claire de l’état de l’environnement de production de Snyk.

Snyk dispose également d’un système de tickets d’assistance permettant aux administrateurs et aux utilisateurs finaux de signaler tout problème ou toute erreur survenant lors de l’utilisation de la solution web de Snyk.

Gestion de la sécurité des systèmes d’information

Contrôles de sécurité des ordinateurs portables

Les départements R&D, Opérations et Support de Snyk utilisent exclusivement les systèmes d’exploitation Apple OS X. Afin de garantir la sécurité des données de Snyk sur les ordinateurs portables et de bureau, Snyk a mis en place les contrôles suivants :

  • Des exigences normalisées en matière d’authentification par mot de passe, imposant un mot de passe d’au moins 8 caractères.

  • Le verrouillage de l’écran après 10 minutes d’inactivité.

  • La mise en œuvre du cryptage des disques durs (FDE) à l’aide de FileVault.

  • L’utilisation du pare-feu intégré d’OS X.

Par ailleurs, les employés de Snyk sont encouragés à n’installer que des logiciels réputés, à mettre régulièrement à jour leur navigateur et à exécuter régulièrement la mise à jour logicielle de Mac OS.

Gestion des vulnérabilités

Les serveurs cloud de Snyk utilisent la distribution Ubuntu Linux. La Fondation Ubuntu démontre son engagement en matière de sécurité en mettant fréquemment à jour son système d’exploitation hôte pour résoudre les problèmes de sécurité.

Par ailleurs, le responsable de la sécurité de Snyk reçoit des notifications périodiques de diverses ressources de sécurité de l’information. Lorsqu’une menace est découverte, l’équipe R&D de Snyk réalise une évaluation de son impact et planifie et met en œuvre des mesures d’atténuation. Les vulnérabilités critiques sont atténuées dans un délai de 30 jours.

Contrôles du code source

Snyk détient son code source dans des référentiels privés sur GitHub. L’accès aux référentiels pertinents est limité au personnel de Snyk qui doit avoir accès au code source dans le cadre de ses fonctions. L’accès à GitHub nécessite une authentification multifactorielle (MFA) pour tous les employés et contributeurs.

Signalement et gestion des incidents

Snyk s’engage à signaler dans les plus brefs délais tout incident susceptible d’avoir un impact sur ses clients, en particulier lorsque des données clients peuvent être concernées. Les clients seront informés par Snyk dès qu’un incident susceptible de les affecter aura été confirmé. Au fur et à mesure de l’avancement des investigations sur l’incident, les clients seront informés de manière proactive sur la nature de l’incident et sur son impact sur eux.

Les clients peuvent également utiliser le système de tickets d’assistance de Snyk pour signaler tout incident de sécurité présumé.

Si une violation réelle de la sécurité se produit, les mesures suivantes seront prises :

  1. L’accès public au système compromis sera déconnecté.

  2. Tous les journaux d’accès et d’audit des 30 jours précédents seront copiés sur un emplacement secondaire.

  3. Le PDG, le responsable de la sécurité et le conseiller juridique seront immédiatement informés.

  4. Les détails de la violation feront l’objet d’une enquête, et toutes les mesures nécessaires seront prises pour en trouver la cause et prévenir la survenue de violations similaires à l’avenir.

  5. Les parties concernées, y compris les clients s’ils sont affectés, seront notifiées, sous réserve des dispositions de la législation en vigueur et conformément aux obligations contractuelles de Snyk.

  6. Le système compromis sera soumis à une analyse de sécurité complète.

  7. Le responsable de la sécurité établira un rapport sur l’incident et les mesures prises pour le résoudre.

Une fois l’incident clos, une session post mortem sera menée avec le personnel concerné de Snyk afin d’évaluer les causes sous-jacentes, de déterminer les besoins à plus long terme et d’améliorer les processus de gestion des risques et des incidents de Snyk.

Signalements externes pour les rapports d'incidents :

Qui

E-mail

Google/Apigee

external-incidents@google.com

The Guardian

infosec@theguardian.com

Mesures disciplinaires

 Des mesures disciplinaires peuvent être prises à l’encontre de tout membre du personnel qui enfreint ou ignore les règles et directives contenues dans la présente politique de sécurité de l’information.

Révision de la politique

Le responsable de la sécurité de Snyk réexaminera cette politique au moins tous les six mois et après chaque incident majeur de sécurité. Il apportera les modifications nécessaires, soumettra les nouvelles versions de la politique à
l’approbation du PDG de Snyk et les communiquera à l’ensemble du personnel de Snyk.

Snyk est une plateforme de sécurité des développeurs. S’intégrant directement aux outils, workflows et pipelines de développement, Snyk facilite la détection, la priorisation et la correction des failles de sécurité dans le code, les dépendances, les conteneurs et l’infrastructure en tant que code (IaC). Soutenu par une intelligence applicative et sécuritaire de pointe, Snyk intègre l'expertise de la sécurité au sein des outils de chaque développeur.

Démarrez gratuitementRéservez une démo en ligne

Produit

Qu’est-ce que Snyk ?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerSnyk Infrastructure as CodeSnyk AppRisk (ASPM)Plateforme de sécurité des développeursSécurité des applicationsSécurité de la chaîne d’approvisionnement logicielleSécurité du code généré par l’IA DeepCode AITarifsOptions de déploiementIntégrationsPlugins pour les IDESécurité GitSécurité des pipelines de CI/CDSnyk CLISnyk LearnSnyk pour JavaScript

Ressources

DocumentationDocuments sur l’API SnykStatut de l’APIVulnérabilités divulguéesPortail de support et FAQBlogPrincipes fondamentaux de la sécuritéRessources pour les leaders de la sécuritéRessources pour les hackers éthiquesBase de données des vulnérabilitésSnyk OSS AdvisorTop 10 de SnykVidéosRessources clientSecurity LabsThe Secure Developer Podcast

Société

À proposClientsCarrièresÉvénementsSnyk pour le secteur publicSécurité et confianceMentions légalesConfidentialitéPour les résidents de Californie : Ne vendez pas mes informations à caractère personnelConditions d'utilisation du site webProcurement

Connexion

Réservez une démo en ligneContactez-nousSupportSignaler une nouvelle vulnérabilité

Sécurité

Sécurité des applicationsSécurité des conteneursSécurité de la chaîne d’approvisionnementSécurité JavascriptSécurité open sourceSécurité AWSSDLC sécuriséPosture de sécuritéCode sécuriséHacking éthiqueL’IA dans la cybersécuritéVérificateur de codePythonCybersécurité en entrepriseJavaScriptSnyk With GitHubComparaison Snyk/VeracodeSnyk vs CheckmarxSnyk vs Synopsys

© 2024 Snyk Limited
Enregistré en Angleterre et au Pays de Galles

logo-devseccon