Sécurité

La réussite repose sur la confiance

La sécurité est une question d’engagement, d’état d’esprit et de culture – et non une simple formalité – surtout lorsqu’il s’agit d’informations relatives à vos collaborateurs.

Chez Saba, nous sommes conscients que la réussite repose sur la confiance. C’est la raison pour laquelle l’intégration de la sécurité dès la conception constitue la pierre angulaire de notre approche. Nous nous engageons à offrir des services de sécurité et de conformité respectant les bonnes pratiques du secteur, à valider la fiabilité de notre programme de sécurité et à fournir une plateforme robuste, évolutive et sécurisée qui satisfait aux exigences les plus strictes en matière de confidentialité et de protection des données.

Commencer

Un programme complet de sécurité et de conformité

Saba offre une architecture multitenant inégalée qui repose sur plusieurs bases de données, répond aux normes de conformité et de disponibilité les plus strictes, et satisfait aux exigences internationales les plus rigoureuses en matière de protection des données.

Le programme de sécurité de Saba offre un processus d’évaluation multientreprise visant le respect voire le dépassement des normes sectorielles. Saba assure la sécurité tout au long du cycle de développement logiciel, respecte les exigences internationales de confidentialité, réalise des contrôles appropriés et veille au traitement, à la conservation, à la suppression et au transfert sécurisés des informations personnelles identifiables (IPI), conformément aux exigences en matière de protection de la vie privée des clients.

Conformité aux normes et réglementations sectorielles

As new security frameworks, standards and regulatory requirements are developed and gain traction in the cloud industry, Saba reviews them and adopts the ones that are relevant to our customers and help improve our security program and reduce our security risk. Depending on the focus of a particular service offering, Saba and/or its service partners may comply with, or help customers to comply with, some or all of the following certifications, standards and best practices:

ISO/IEC 27001:2013

SOC 1 Type 2

SOC 2 Type 2

ISAE 3402 Type 2

EU-US Privacy Shield

CSA Star

Partie 11 du CFR 21 de la FDA

PCI DSS

Top 10 de l’OWASP

TRUSTe Cloud Privacy

TRUSTe APEC

ISO/IEC 27001:2013

SOC 1 Type 2

SOC 2 Type 2

ISAE 3402 Type 2

EU-US Privacy Shield

CSA Star

Partie 11 du CFR 21 de la FDA

PCI DSS

Top 10 de l’OWASP

TRUSTe Cloud Privacy

TRUSTe APEC

ISO/IEC 27001:2013

SOC 1 Type 2

SOC 2 Type 2

ISAE 3402 Type 2

EU-US Privacy Shield

CSA Star

Partie 11 du CFR 21 de la FDA

PCI DSS

Top 10 de l’OWASP

TRUSTe Cloud Privacy

TRUSTe APEC

Programme « Validated Environment Managed Services » (VEMS)

Les entreprises évoluant dans des secteurs hautement réglementés, tels que les industries pharmaceutique, biopharmaceutique, agroalimentaire, des dispositifs médicaux, des biotechnologies et des sciences de la vie, sont soumises à des exigences de conformité rigoureuses définies par les organismes de réglementation de leurs pays d’implantation.

Saba offre des fonctionnalités spécifiques à chaque secteur et assure la validation de ses systèmes conformément à la partie 11 du CFR 21 de la FDA, tout en proposant des services d’assistance aux clients tenus de réaliser la validation et constituer la documentation par leurs propres soins. Nous validons la sécurité de notre plateforme via des audits et certifications sectoriels effectués par des auditeurs tiers. Ces audits permettent l’évaluation indépendante de la conception et de l’efficacité opérationnelle des contrôles de sécurité de Saba.

Une validation indépendante

Nos clients s’attendent évidemment à ce que des tiers indépendants valident les mesures prises par Saba, en s’assurant que celles-ci répondent aux normes et contrôles de sécurité, sont efficaces et respectent les exigences spécifiques aux différents secteurs le cas échéant. Afin d’aider nos clients à remplir leurs obligations de conformité et de sécurité, nous investissons en continu dans les ressources nécessaires et mettons à la disposition de nos clients des évaluations indépendantes de nos contrôles et de l’efficacité globale de nos mesures de sécurité. Les évaluations tierces sont disponibles sur demande, notamment des rapports d’audit SOC 2 de type 2 de l’AICPA, des rapports de vulnérabilité des applications Web et des résultats d’analyse de vulnérabilité réseau et hôte.

Une équipe de sécurité et conformité dédiée

L’équipe de sécurité de Saba est composée de leaders du secteur et d’experts certifiés en bonnes pratiques de sécurité qui adoptent une approche de la gestion des risques axée sur les exigences émergentes en matière de protection des données, de conformité et de confidentialité dans un contexte de menaces en constante évolution. Notre équipe de sécurité pratique la séparation des tâches, relève directement de la direction générale et travaille en collaboration avec nos équipes IT, des opérations cloud et du développement produit afin de s’assurer que nos produits et services sont conçus pour être sécurisés du point de vue des clients, tout en surveillant en continu les activités cloud de Saba. Grâce à notre expertise en sécurité et protection des données et à notre approche collaborative, nous vous accompagnons dans la création d’un environnement sécurisé pour votre entreprise.

Une sécurité sans frontières

Le contrôle du lieu d’hébergement de vos données est un élément clé de la protection des données et de la conformité. Saba dispose de centres de données en Amérique du Nord, dans la zone EMEA et en Asie-Pacifique. Les centres de données situés en Amérique du Nord et en Europe font l’objet d’audits selon les normes SSAE–16/AT101 de type 2 et/ou SOC 2 de type 2, sont certifiés ISO 27001 et peuvent répondre à de nombreuses autres exigences réglementaires. Afin de garantir le respect des réglementations en matière de protection de la vie privée, les données clients sont hébergées uniquement dans des centres de données primaires et secondaires dans chaque région.

L’accès physique et logique à nos centres de données est soumis à des contrôles stricts. L’accès est réservé au personnel préalablement autorisé via des systèmes de gestion d’identité à plusieurs niveaux, y compris par badge et par authentification biométrique, et restreint à des listes de clients obligatoirement approuvées au préalable, avec des procédures d’enregistrement des entrées et des sorties. Les niveaux de service sont définis de façon stricte et surveillés en continu par une série d’applications qui rendent compte de la disponibilité, de la performance et de la qualité du service. Tous les centres de données sont équipés de contrôles environnementaux redondants, notamment en matière de refroidissement, d’alimentation, de sécurité physique, de connectivité réseau et de catastrophes naturelles.

Intégration de la sécurité dès la conception

Avec une architecture reposant sur un modèle de sécurité de défense en profondeur, Saba met l’accent sur la mise en œuvre de contrôles de sécurité dans la conception et la gestion de son infrastructure et de ses services. Chez Saba, notre objectif est d’offrir à nos clients du monde entier une sécurité optimale en l’intégrant à la conception de nos solutions.

Fonctionnalités

Conseil de sécurité de Saba

Le Conseil de sécurité constitue un forum fondé sur le consensus qui soutient le responsable de la sécurité informatique dans les domaines suivants :

  1. Identification d’initiatives prioritaires en matière de sécurité et de protection de la vie privée ;
  2. Recommandation de politiques, de procédures et de normes pour s’assurer que ces initiatives améliorent la sécurité et la protection de Saba ainsi que des réseaux, des informations et des systèmes d’information de ses clients ; et
  3. Évaluation de la conformité aux exigences réglementaires et clients existantes.

Contrôle de l’accès aux systèmes et aux données

Le modèle de sécurité de Saba restreint l’accès aux systèmes et aux données selon la séparation des tâches (SoD, Separation of Duties), les rôles et responsabilités opérationnels (RACI) et le principe du \« besoin d’en connaître\ ». L’accès logique à nos systèmes est limité via des politiques et procédures de sécurité, une authentification à deux facteurs avec des identifiants et mots de passe uniques, ainsi que des droits localhost restrictifs. L’accès direct aux comptes administrateurs des systèmes (root, par exemple) est interdit. En vertu des normes de classification des données, seuls des systèmes autorisés par Saba peuvent être utilisés pour accéder aux données clients.

Sécurité des réseaux

La sécurité des réseaux est assurée à l’aide de pare-feu multicouches, d’une conception de réseau avancée et de la segmentation réseau. Des pare-feu hautement disponibles sont utilisés pour filtrer le trafic entre le Web, les applications et les couches de données. Les pare-feu permettent l’inspection d’état des paquets en profondeur, le rejet des paquets anormaux, la protection contre les attaques par déni de service, la détection du spoofing et le filtrage des virus. Les réseaux de Saba ont été conçus pour prendre en charge la segmentation en vLAN et en sous-réseaux, les restrictions de ports, les listes de contrôle d’accès, ainsi que la traduction d’adresses et de ports. Toutes les connexions de données physiques sont établies dans une topologie maillée hautement disponible, dans laquelle chaque système et chaque service disposent d’au moins deux routes de communication. Cette topologie garantit l’intégrité et un flux ininterrompu de données dans l’ensemble de nos réseaux. Les pare-feu de Saba sont configurés selon les normes du National Institute of Standards and Technology (NIST), et notre politique la moins permissive s’applique à tous les points de terminaison. Tous les dispositifs de sécurité et pare-feu sont sous surveillance 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Les systèmes de surveillance sont paramétrés pour déclencher des alertes en cas de dépassement de seuils prédéfinis.

Centres de données internationaux

Les centres de données situés en Amérique du Nord et dans la zone EMEA font l’objet d’audits selon les normes SSAE–16/AT101 de type 2 et/ou SOC 2 de type 2, sont certifiés ISO 27001 et peuvent répondre à d’autres exigences réglementaires strictes.

Contrôles environnementaux

Tous les centres de données sont équipés de systèmes d’alimentation haute densité redondants ainsi que de dispositifs de contrôle de l’installation automatisés et surveillés. Les générateurs électriques des centres de données sont testés régulièrement et gérés par plusieurs fournisseurs d’énergie afin d’assurer la continuité des opérations en cas de sinistre.

Sécurité physique

L’accès physique à nos centres de données est soumis à des contrôles stricts et réservé au personnel préalablement autorisé via des systèmes de gestion d’identité à plusieurs niveaux. L’accès individuel aux installations, à la chambre forte et aux cages est géré par des systèmes d’identification biométrique et par badge, avec des listes de clients obligatoirement approuvées au préalable et des procédures d’enregistrement des entrées et des sorties. Les serveurs et les infrastructures sont protégés dans des racks verrouillés. Seul le personnel autorisé a accès aux serveurs.

Les systèmes de sécurité physique à plusieurs niveaux requièrent une autorisation préalable de la direction, et les individus autorisés doivent présenter une pièce d’identité officielle avec photo à un poste de sécurité. En outre, il est nécessaire de franchir des sas de sécurité contrôlés et d’effectuer une authentification à deux facteurs (notamment biométrique) pour accéder à l’étage de la salle des serveurs des centres de données ainsi qu’à la cage dédiée et sécurisée de Saba.

Tests d’intrusion

Saba fait appel à un consultant tiers en sécurité pour effectuer des tests de sécurité en mode boîte grise sur nos applications à chaque mise à jour majeure, y compris l’évaluation de nos applications Web et mobiles ainsi que des tests d’intrusion sur le réseau.

Analyses des applications Web

Dans le cadre de son cycle de vie de développement de systèmes et de l’évaluation de ses applications, Saba a recours aux meilleures solutions d’analyse dynamique du marché ainsi qu’à l’analyse statique de code pour détecter les failles de sécurité connues, y compris celles référencées par l’OWASP. Les tests effectués sont notamment les suivants :

  • Authentification
  • Autorisation
  • Configuration
  • Manipulation des cookies
  • Cross-site scripting
  • Manipulation de champs cachés
  • Validation des entrées sorties
  • Recherche de failles logiques
  • Falsification de paramètres
  • Élévation des privilèges
  • Exposition de données sensibles
  • Gestion de sessions

Certifications professionnelles

Notre équipe d’experts dispose de certifications professionnelles attestant leurs connaissances et leurs compétences dans leurs domaines respectifs. Parmi ces certifications figurent les suivantes : Certified Systems Engineers, Cisco Certified Network Associates (CCNA), Certified Information Systems Security Professionals (CISSP), Certified Information System Auditors (CISA), Certified Information Security Managers (CISM), GIAC Web Application Penetration Testers (GWAPT) et Certified Information Privacy Professional (CIPP). Par ailleurs, nos techniciens sont certifiés et/ou formés sur différents produits logiciels d’infrastructure et de système d’exploitation.

Programme « Validated Environment Managed Services » (VEMS)

Les entreprises évoluant dans des secteurs hautement réglementés, tels que les industries pharmaceutique, biopharmaceutique, agroalimentaire, des dispositifs médicaux, des biotechnologies et des sciences de la vie, sont soumises à des exigences de conformité rigoureuses définies par les organismes de réglementation de leurs pays d’implantation. Saba répond à des exigences de conformité telles que la partie 11 du CFR 21 de la FDA, y compris en matière de modalités de conservation des enregistrements et signatures électroniques dans des systèmes informatiques validés.

Saba est la plateforme sécurisée que nous recherchions.

— Gavin Hoover, vice-président de la formation, Go Wireless

Vous voulez un aperçu de nos solutions ?

Watch one of our product tours.

Watch Now

Envie de nous parler ?

Commencer