Livre blanc

Sécurité des services cloud Claris

Introduction

Claris International Inc. s’engage pour l’excellence, aussi bien lorsqu’il est question de ses produits que des services fournis aux clients. Nos offres sont conçues pour aider ces derniers à optimiser leurs opérations grâce à des solutions sécurisées, hautement disponibles et aux performances élevées. Nous attachons également de l’importance à la confiance que nous portent nos usagers, c’est pourquoi nous nous sommes toujours conformés aux pratiques de sécurité clés du secteur. Ces valeurs déterminent la marche que nous suivons.

Les produits Claris comme Claris FileMaker Server et Claris FileMaker Pro ont, depuis longtemps maintenant, été développés en appliquant diverses technologies phare de protection. Ceux plus récents, tels que Claris FileMaker Cloud et Claris Connect, l’ont été dans le respect des dernières normes et des derniers protocoles en la matière.

FileMaker Cloud et Claris Connect sont hébergés par Amazon Web Services (AWS). Les outils Claris tirent en effet parti des centres de données et des services d’AWS qui leur offrent une infrastructure physique, tout en étant garants d’une surveillance et d’un contrôle des environnements et accès. Apple, pour sa part, nous fait bénéficier d’un réseau fiable, de plateformes d’identité et de systèmes de sécurité physiques.

Nous nous attelons, sans cesse et par le biais de nos relations avec AWS et Apple, à fournir, aux entreprises de toute taille, les dispositifs de classe professionnelle qui sauront les accompagner au mieux sur le chemin de la transformation numérique.

Gestion de la sécurité

Contrôle et supervision

L’équipe en charge de la sécurité des informations est tenue d’assurer la confidentialité, l’intégrité et la disponibilité de toutes les données d’Apple et de Claris au niveau des sites, des équipements et des réseaux appartenant à Apple ou Claris, ou à des partenaires directs. Les processus élaborés pour ce faire incluent, mais sans s’y limiter, le développement et la diffusion de politiques et de procédures de sécurité, la réalisation d’évaluations, la surveillance et le traitement des alertes, et la gestion des incidents.

Employés qualifiés, établissement de prérogatives et formation

Les employés de Claris sont des professionnels de classe mondiale dans leur domaine, qui obéissent aux principes fondamentaux de l’entreprise : l’honnêteté, le respect, la confidentialité et la conformité.

Pour accompagner nos effectifs de façon optimale, nous établissons différentes prérogatives auxquelles ils doivent se tenir.

Par ailleurs, ils sont invités à suivre une formation complète lors de leur arrivée dans la société, ainsi qu’à participer à des sessions annuelles qui les sensibilisent à la sécurité. Des programmes supplémentaires s’adressent aux individus dont les responsabilités ont une incidence directe sur la sûreté des produits de Claris et sur notre conformité aux normes en vigueur.

Sécurité technique

Claris s’appuie sur une infrastructure de sécurité globale, caractérisée, entre autres, par des procédés physiques, des dispositifs d’authentification, le cryptage et des mesures de durcissement, tous détaillés ci-dessous.

Contrôles physiques et environnementaux

Les serveurs et apps Claris sont hébergés par Amazon Web Services (AWS). Les contrôles physiques et environnementaux dont font l’objet ses centres de données ont valu à AWS la certification SOC 2 Type II.

En outre, car Claris est une filiale détenue à 100 % par Apple, nous avons la possibilité d’exploiter les services informatiques d’Apple. Les standards de qualité d’Apple, particulièrement élevés, se reflètent dans la manière dont ces mêmes services ont été pensés et s’exécutent. Apple a instauré des méthodes de contrôle visant à limiter les accès physiques à ses sites et systèmes critiques qui englobent, entre autres, ses centres de données, ses postes de livraison et ses salles de télécommunications (emploi de badges autorisant uniquement l’entrée de certaines personnes, lecteurs biométriques, caméras de surveillance et enregistrement des visiteurs).

Contrôles par authentification

La sécurité des systèmes, appareils et comptes Claris implique, en premier lieu, la création et la gestion d’identifiants sûrs.

Authentification multi-facteur

Les accès à certains environnements Claris sont limités aux administrateurs qui doivent se plier à l’authentification multi-facteur. Sur la base du principe de moindre privilège et en contrôlant les accès en fonction du rôle grâce aux outils ad hoc d’AWS, Claris accorde des permissions hautement ciblées à différents types d’administrateurs (chargés, par exemple, des serveurs, des bases de données ou du réseau).

Claris ID

Claris ID est un système de connexion intégré qui permet d’authentifier les utilisateurs des produits et services Claris. Il prend en charge les authentifications via des fournisseurs d’identité externes comme Okta et Microsoft Active Directory.

Authentification via un fournisseur d’identité Oauth

Le protocole OAuth 2.0 permet d’authentifier les utilisateurs Claris qui se connectent à des apps personnalisées via un fournisseur d’identité tiers comme Amazon, Google ou Microsoft Azure.

Administration

Claris Customer Console

Claris Customer Console est une app Web conçue pour fonctionner avec les apps personnalisées hébergées par FileMaker Cloud, et pour gérer les équipes exploitant cette dernière solution et Claris Connect. Elle facilite également la supervision des comptes Claris ID, des utilisateurs, des groupes, des hôtes, des réglages et des abonnements à FileMaker Cloud et Claris Connect.

Cryptage des données

La protection des données sensibles constitue un point essentiel pour Claris. C’est dans cette optique, et pour honorer notre engagement en la matière auprès des clients, que nous cryptons les données en transit et au repos.

FileMaker Cloud :

  • Cryptage des données en transit : les connexions client nécessitent l’utilisation du protocole TLS 1.2.
  • Cryptage des données au repos : plusieurs environnements de stockage AWS permettent de garantir la persistance des données se trouvant dans FileMaker Cloud. Au sein de ces mêmes plateformes, le cryptage relève d’AWS Key Management Service (AWS KMS).
  • Cryptage des données sur disque : le cryptage s’effectue grâce à AWS KMS et à l’algorithme AES 256 bits.

Claris Connect :

  • Cryptage des données en transit : les connexions client nécessitent l’utilisation du protocole TLS 1.2. De plus, des certificats et un cryptage PFS TLS 1.2 éphémère sont requis entre les hôtes (par exemple, entre la couche d’application et la couche de base de données).
  • Cryptage des données au repos : les données au repos sont stockées dans des solutions de stockage de niveau entreprise, appliquant au minimum le cryptage AES 256 bits.
  • Cryptage des données sur disque : le cryptage s’effectue grâce à AWS KMS et à l’algorithme AES 256 bits.

Sécurité du réseau

Les pare-feu jouent un rôle décisif et ont pour vocation d’empêcher certains types de trafic de pénétrer sur un réseau privé. Claris a mis en place des pare-feux à divers endroits du réseau, ainsi qu’entre différentes zones de ce dernier. Ils incluent des pare-feux d’apps standard et Web, ainsi que des pare-feux au niveau de la couche réseau.

Enfin, le trafic réseau est surveillé en continu. Reportez-vous à la section « Journalisation et transmission entre les équipes » pour obtenir des détails supplémentaires.

Durcissement du système

Lorsque les configurations de référence ont fait l’objet d’un durcissement, l’exécution de l’environnement opérationnel est optimisée. Les systèmes ont été développés à l’aide de logiciels approuvés par Claris, qui réduisent les risques d’exécution de code malveillant et procèdent à une détection et un contrôle afin de signaler les potentielles anomalies.

Ces logiciels, qui constituent un critère de base dans des configurations de ce type, sont intégrables à des outils de surveillance et de gestion des événements professionnels. Ainsi, l’équipe en charge de la sécurité des informations a la possibilité d’effectuer un suivi des activités, d’initier des actions en réponse à des incidents et de procéder à des investigations.

Évaluations de sécurité et gestion des vulnérabilités

Des évaluations sont réalisées par l’équipe en charge de la sécurité des informations avant le déploiement en production de fonctionnalités, services, configurations ou codes nouveaux ou mis à jour.

D’autre part, les vulnérabilités sont détectées au niveau de l’infrastructure (appareils et systèmes d’exploitation compris), avant l’implémentation de mesures correctives.

Gestion des menaces et réponse aux incidents

Journalisation et transmission entre les équipes

Chez Claris, la journalisation constitue une action déterminante, car les journaux aident à la protection de nos systèmes. L’équipe en charge de la sécurité des informations veille à ce que les équipes produit disposent des méthodes et outils appropriés pour que les journaux associés à n’importe quel système puissent lui être aisément transmis. Les journaux proviennent de différentes sources et sont rassemblés à un endroit unique, accessible dans le monde entier par le personnel autorisé auquel le processus de réponse aux incidents est confié.

Personnel en charge de la réponse aux incidents

L’équipe en charge de la réponse aux incidents, active 24 heures sur 24 et 7 jours sur 7, supervise les systèmes et examine les alertes entrantes afin d’identifier les possibles problèmes de sécurité. Les événements associés sont consignés dans un outil de suivi centralisé qui comporte des informations détaillées à leur sujet. Leur impact potentiel y est aussi évalué. En dernier lieu, d’autres équipes se consacrent aux mesures correctives en suivant une procédure standardisée et adaptée.

Gestion des incidents

Claris se conforme au programme de gestion des incidents d’Apple, qui induit des politiques et méthodes destinées à gérer les risques rapidement et efficacement. Conformément à un plan élaboré en fonction, les événements de sécurité sont envoyés pour analyse au personnel adéquat avant d’être officiellement considérés comme des incidents. Une fois cela fait, un score de sévérité est attribué à l’incident en question afin qu’il soit classé et traité en tenant compte de sa priorité. Enfin, les rôles, responsabilités, exigences afférentes à la conformité et procédures de communication sont rigoureusement documentés.

Continuité des opérations et reprise après sinistre

Notre environnement est hautement redondant et disponible, mais ce n’est pas tout.

En outre, car Claris est une filiale détenue à 100 % par Apple, nous avons la possibilité d'exploiter les services informatiques d'Apple. Dans le cadre de la norme ISO 27001, les centres de données d’Apple sont régulièrement examinés afin d’évaluer leur niveau de résilience et leur capacité à assurer la continuité des opérations.

Gestion des données et confidentialité

Conservation des données

Nous respectons des règles spécifiques en termes de conservation des données.

Le contenu créé à l’aide de produits Claris est conservé pendant 45 jours après la fin de l’abonnement des clients (qu’il ait été résilié ou soit arrivé à expiration) avant d’être détruit.

Les données facilitant la gestion des utilisateurs (noms, adresses e-mail et numéros de téléphone) sont conservées si les clients concernés l’autorisent, et conformément à la politique de confidentialité de Claris.

Politique de confidentialité

Claris s’engage à respecter la vie privée de ses clients, et ses produits et services sont conformes aux réglementations applicables dans ce domaine. Seules les données absolument nécessaires à l’emploi des services par les clients sont collectées.

À tous les instants, les données collectées sont traitées conformément à la politique de confidentialité de Claris.

RGPD : Claris se conforme aux directives du RGPD. Néanmoins, il incombe aux clients de s’assurer qu’ils créent des apps et gèrent leurs données en respectant eux-mêmes les clauses de ce règlement. Pour obtenir des informations supplémentaires sur la conformité de Claris au RGPD, ou si vous avez des questions à ce sujet, cliquez ici.

Loi HIPAA : Claris ne se déclare pas conforme à la loi HIPAA. Si vous êtes une entité ou une filiale concernée, ou le représentant d’une entité ou d’une filiale concernée, vous vous engagez à ne pas faire usage de tout composant, de toute fonction ou de tout autre outil de Claris FileMaker Cloud ou Claris Connect pour créer, recevoir, gérer ou transmettre des informations de santé protégées.

Norme PCI : la norme PCI est respectée lors du traitement des données bancaires de nos clients. Cependant, les produits Claris n’ayant pas fait pas l’objet d’un audit PCI, ces dernières ne doivent donc pas y être stockées.

Informations supplémentaires

Consultez les ressources suivantes pour en savoir plus sur les pratiques de sécurité en vigueur chez Claris :

Présentation de la sécurité FileMaker

Guide de la sécurité FileMaker 19

Gestion de la sécurité dans FileMaker Pro

Sécurisation de vos données dans FileMaker Server