Pratiques de sécurité

Cette traduction n’est fournie qu’à titre informatif. Dans l’éventualité où des incohérences apparaîtraient entre celle-ci et la version anglaise, c’est la version anglaise qui prévaudrait.

Date de publication : 24 avril 2023

Chez Slack, nous prenons la sécurité de vos données très au sérieux. La transparence étant l’un des principes de base de notre société, nous tenons à être le plus clair et le plus ouvert possible quant à notre approche de la sécurité. Si vous avez d’autres questions sur la sécurité, nous nous ferons un plaisir d’y répondre. Envoyez un e-mail à l’adresse feedback@slack.com et nous vous répondrons dans les meilleurs délais. La présente page sur les pratiques de sécurité décrit les contrôles administratifs, techniques et physiques applicables à (a) Slack, y compris, mais sans s’y limiter, la plateforme Slack, les flux de travail Slack et les applications fonctionnant sur l’infrastructure Slack, et (b) GovSlack. Cette documentation ne s’applique pas aux services associés ou intégrés à GovSlack.

Contrôles de la plateforme

Architecture et ségrégation des données

Les services Slack et GovSlack sont exploités sur une architecture multi-client, tant au niveau de la plateforme que de l’infrastructure, qui est conçue pour séparer et restreindre l’accès aux données que vous et vos utilisateurs mettez à disposition via les services Slack ou GovSlack, comme défini plus précisément dans votre contrat avec Slack (ou ses sociétés affiliées) couvrant l’utilisation des services Slack ou GovSlack (« Données client »), en fonction des besoins de l’entreprise. L’architecture prévoit une séparation logique des données pour chaque client différent via un identifiant unique.

Infrastructure du cloud public

Les services Slack et GovSlack sont hébergés sur Internet dans un « Cloud public », et sont des services informatiques proposés par des fournisseurs tiers à quiconque souhaite les utiliser ou les acheter. Comme tous les services de cloud, un service du cloud public fonctionne sur des serveurs distants gérés par un fournisseur.

Audits

Les services Slack et GovSlack font l’objet d’évaluations de sécurité par le personnel interne, et les services Slack sont évalués par des entreprises de sécurité externes respectées qui effectuent régulièrement des audits de sécurité des services de Slack pour vérifier que nos pratiques en matière de sécurité sont rigoureuses, et procèdent à l’analyse des services de Slack et GovSlack pour remédier aux vulnérabilités mises à jour par la recherche en matière de sécurité. En plus des audits périodiques et ciblés des services et des fonctionnalités de Slack et GovSlack, nous effectuons une vérification automatisée hybride en continu de notre plateforme Web. Les clients peuvent télécharger une copie des rapports d’audit externe applicables disponibles ici.

Certifications

Les certifications sont effectuées sur les services Slack, et les clients peuvent télécharger une copie des certifications applicables disponible ici.

Contrôles de sécurité

Slack mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger vos Données client contre toute suppression accidentelle ou illégale, la perte, l’altération et la divulgation ou l’accès non autorisé aux données personnelles du Client traitées ou transmises par les services Slack et GovSlack. Les services Slack et GovSlack disposent d’un certain nombre de contrôles de sécurité, notamment :

  • La consignation de l’accès. Des journaux d’accès détaillés sont mis à la disposition des utilisateurs et des administrateurs d’équipes abonnées à un forfait payant. Nous consignons chaque connexion à un compte ainsi que le type d’appareil utilisé et l’adresse IP de la connexion. Les administrateurs et propriétaires d’équipes abonnées à un forfait payant peuvent consulter des journaux d’accès consolidés pour l’ensemble de l’équipe.
  • La gestion des accès. Les administrateurs peuvent suspendre à distance toutes les connexions et déconnecter, à tout moment et à la demande, tous les appareils authentifiés auprès des services Slack et GovSlack.
  • La conservation des données. Les propriétaires d’équipes abonnées à un forfait payant Slack peuvent configurer des règles personnalisées de conservation des messages pour toute l’équipe ou pour un canal spécifique. Si vous définissez une durée personnalisée de conservation, tous les fichiers et messages ayant déjà dépassé cette durée ou arrivant à la fin de cette durée seront supprimés des serveurs de production des services Slack ou GovSlack la nuit qui suivra.
  • La gestion des hôtes. Nous effectuons des analyses de vulnérabilité automatisées sur nos hôtes de production et remédions à toute constatation indiquant un risque pour notre environnement. Nous imposons le verrouillage d’écran et l’utilisation du chiffrement complet des disques durs des ordinateurs portables de l’entreprise.
  • La protection réseau. Outre une surveillance sophistiquée des connexions et du fonctionnement du système, nous avons mis en place une authentification à deux niveaux pour tout accès aux serveurs de notre environnement de production. Les pare-feux sont paramétrés en suivant les meilleures pratiques du secteur, en utilisant les groupes de sécurité AWS.
  • Les pratiques de sécurité produit. Les nouvelles fonctionnalités remarquables et les modifications de conception sont soumises à un processus de vérification par l’équipe de sécurité. En outre, notre code est vérifié avec des logiciels d’analyse statistique automatisée, testé et soumis à un processus manuel d’examen par les pairs avant d’être déployé. L’équipe de sécurité travaille en étroite collaboration avec les équipes de développement pour résoudre tout problème de sécurité qui pourrait survenir au cours du développement. Slack utilise également un programme de primes à la détection de bogues de sécurité. Des chercheurs dans le monde entier testent constamment la sécurité des services de Slack et GovSlack et signalent les problèmes dans le cadre de ce programme. Vous trouverez plus de détails sur le site du programme de primes.
  • L’authentification à deux facteurs pour toute l’équipe. Les administrateurs d’équipe peuvent obliger tous les utilisateurs à configurer l’authentification à deux facteurs pour leur compte. Vous trouverez des instructions dans notre Centre d’assistance.

Pour certains de ces contrôles, le Client ne peut pas les désactiver. D’autres permettent aux Clients de personnaliser la sécurité des services Slack ou GovSlack pour leur propre utilisation. À ce titre, la protection des Données client est une responsabilité partagée entre le Client et Slack. Au minimum, Slack s’alignera sur les normes industrielles en vigueur, telles que les normes ISO 27001, ISO 27002 et ISO 27018, ou toute autre norme qui les remplace.

Slack peut procéder à des analyses de sécurité et à des tests de la plateforme Slack, des flux de travail Slack et des applications fonctionnant sur l’infrastructure Slack afin de détecter les comportements abusifs ou les actions qui ne respectent pas les conditions d’utilisation des services.

Détection des intrusions

Slack, ou une entité externe autorisée, surveilleront les services de Slack et GovSlack pour détecter les intrusions non autorisées.

Journaux de sécurité

Les systèmes utilisés pour la fourniture des services Slack et GovSlack enregistrent des informations dans leurs systèmes respectifs ou dans un service d’enregistrement centralisé (pour les systèmes de réseau) afin de permettre des examens et des analyses de sécurité. Slack entretient un système de journaux de connexion complet et centralisé, qui contient des informations relatives à la sécurité, à la surveillance, à la disponibilité, à l’accès ainsi qu’à d’autres mesures concernant les services de Slack et GovSlack. Ces journaux de connexion sont analysés au niveau des événements de sécurité par un logiciel de surveillance automatisé, sous le contrôle de l’équipe de sécurité. Pour les services GovSlack, les journaux de connexion sont uniquement accessibles au sein de l’environnement GovSlack par des Personnes qualifiées aux États-Unis. Les « Personnes qualifiées aux États-Unis » sont les individus qui : (a) sont citoyens des États-Unis ou résidents permanents au regard de la loi ; (b) sont physiquement situés aux États-Unis lorsqu’ils travaillent pour GovSlack ; et (c) ont effectué une vérification des antécédents comme condition préalable à leur travail avec Slack.

Gestion des incidents

Slack assure des politiques et des procédures de gestion des incidents de sécurité. Slack notifie sans délai excessif aux clients concernés toute divulgation non autorisée de leurs Données client respectives par Slack ou ses agents, dont Slack a connaissance dans la mesure où la loi le permet. Slack publie des informations sur l’état du système sur le site Salesforce Trust et/ou sur la page État du système de Slack. En général, Slack informe ses clients des incidents importants du système par e-mail et, pour les incidents qui durent plus d’une heure, peut inviter les clients concernés à participer à une conférence téléphonique sur l’incident et la réponse apportée par Slack. La gestion des incidents de sécurité pour GovSlack est effectuée par les Personnes qualifiées aux États-Unis.

Cryptage des données

Les services Slack et GovSlack utilisent des produits de cryptage reconnus par l’industrie pour protéger les Données client (1) pendant les transmissions entre le réseau d’un client et les services Slack et GovSlack ; et (2) inactives. Les services Slack et GovSlack prennent en charge les dernières suites de chiffrement sécurisé et les protocoles recommandés pour crypter tout le trafic. Nous surveillons étroitement l’évolution du paysage cryptographique et nous efforçons d’effectuer rapidement les mises à niveau permettant de répondre aux menaces émergentes au fur et à mesure de leur découverte, et nous mettons en œuvre les meilleures pratiques au fil de leur évolution. Pour ce qui est du cryptage du trafic des données, nous y procédons en essayant de trouver le meilleur compromis avec le besoin de compatibilité avec les anciens clients.

Fiabilité, sauvegarde et continuité des activités

Nous savons que vous comptez sur le bon fonctionnement des services de Slack et GovSlack. Nous sommes déterminés à rendre les services Slack et GovSlack hautement disponibles, sur lesquels vous pourrez compter. Notre infrastructure fonctionne avec des systèmes résistants aux défaillances, qu’il s’agisse de serveurs individuels ou même de centres de données. Nos services opérationnels testent régulièrement les mesures de récupération après une catastrophe et comprennent une équipe de garde 24 heures sur 24 pour la résolution rapide des incidents imprévus. Les services Slack et GovSlack ont été conçus en s’appuyant sur les meilleures pratiques du secteur en matière de fiabilité et de sauvegarde. Slack effectue des sauvegardes régulières, facilite les retours en arrière des changements de logiciels et de systèmes lorsque cela est nécessaire et la réplication des données le cas échéant. Dans la mesure du possible, Slack aidera le Client à récupérer les données lors d’événements catastrophiques majeurs, dans la limite des exigences de résidence des données de la localité et des capacités de la région. Les termes « événement catastrophique majeur » désignent trois grands types d’événements : (1) les événements naturels tels que les inondations, les ouragans, les tornades, les tremblements de terre et les épidémies ; (2) les événements technologiques tels que les défaillances de systèmes et de structures comme les explosions de pipelines, les accidents de transport, les interruptions de service, les ruptures de barrage et les rejets accidentels de matières dangereuses ; et (3) les événements d’origine humaine tels que les attaques par des assaillants actifs, les attaques chimiques ou biologiques, les cyberattaques contre les données ou les infrastructures et le sabotage. Les événements catastrophiques majeurs ne désignent pas les bugs, les problèmes opérationnels ou d’autres problèmes courants liés aux logiciels.

Les Données client sont stockées de manière redondante sur plusieurs sites dans les centres de données de notre fournisseur d’hébergement afin de garantir leur disponibilité. Nos procédures de secours et de restauration éprouvées permettent de récupérer les données après toute catastrophe majeure. Les données client et notre code source sont automatiquement sauvegardés chaque soir. L’équipe opérationnelle est alertée en cas de panne au sein de ce système. Les sauvegardes sont intégralement vérifiées au moins tous les 90 jours afin de confirmer que nos processus et nos outils fonctionnent correctement.

Données inactives

Slack stockera les Données client inactives dans certaines zones géographiques majeures, sauf disposition contraire dans votre Bon de commande.

Restitution des données client.

Dans les 30 jours suivant la résiliation du contrat, les clients peuvent demander le retour de leurs Données client respectives soumises aux services Slack et GovSlack (dans la mesure où ces données n’ont pas été supprimées par le Client). Des informations sur les capacités d’exportation des services Slack et GovSlack sont disponibles dans le Centre d’assistance de Slack.

Suppression des Données client

Les services Slack et GovSlack offrent la possibilité aux Propriétaires principaux des espaces de travail de supprimer les Données client à tout moment pendant l’abonnement. Dans les 24 heures suivant la suppression par le Propriétaire principal de l’espace de travail, Slack supprime toutes les informations des systèmes de production en cours d’exécution (hormis les noms d’équipes ainsi que les termes de recherche inclus dans les URL du journal d’accès du serveur Web). Les sauvegardes des services Slack et GovSlack sont détruites dans un délai de 14 jours (les sauvegardes sont supprimées dans un délai de 14 jours, sauf lorsqu’une enquête sur un incident est en cours, auquel cas cette période peut être prolongée de manière temporaire).

Lorsqu’un client résilie un abonnement payant à Enterprise Grid ou aux services GovSlack, s’il ne choisit pas de supprimer son compte, Slack le supprimera dans les 90 jours suivant la résiliation de l’abonnement, et veillera à ce que toutes ses Sociétés affiliées et tous les fournisseurs d’hébergement tiers concernés suppriment toutes les copies des Données client (à l’exception des noms d’équipes et des termes de recherche intégrés dans les URL dans les journaux d’accès aux serveurs Web) dans les 14 jours suivant le lancement par Slack de la suppression du compte du client. Lorsqu’un client résilie un abonnement payant aux services Slack autre que Enterprise Grid ou les services GovSlack, l’abonnement du client se poursuivra dans le cadre du niveau d’utilisation gratuit des services Slack, sous réserve des Conditions de service du client en ligne alors en vigueur ou de tout autre contrat d’abonnement principal en ligne applicable à ce niveau d’utilisation gratuit (« Conditions d’abonnement gratuit »), et les Données client ne seront pas supprimées jusqu’à ce que (i) le Client supprime lui-même l’espace de travail, (ii) le Client donne des instructions à Slack pour supprimer ses Données client, ou (iii) l’une des parties résilie les Conditions d’abonnement gratuit. Dès la survenance de tels événements, Slack supprimera, dans un délai de 14 jours, et veillera à ce que toutes ses Sociétés affiliées et les fournisseurs d’hébergement tiers autorisés suppriment, toutes les copies des Données client (à l’exception des noms d’équipes et des termes de recherche intégrés dans les URL des journaux d’accès aux serveurs Web).

Confidentialité

Nous exerçons des contrôles stricts sur l’accès de nos employés aux Données client. Le fonctionnement des services Slack et GovSlack exige que l’accès aux systèmes qui stockent et traitent les Données client soit réservé à certains employés. Par exemple, pour pouvoir diagnostiquer un problème que vous rencontrez avec les services Slack et GovSlack, nous pouvons nous trouver dans l’obligation d’accéder à vos Données client. Il est interdit à ces employés d’utiliser ces autorisations pour consulter les Données client sauf nécessité absolue. Nous avons mis en place des contrôles techniques et des règles d’audit afin que tout accès aux Données client soit consigné.

L’ensemble de nos employés et de notre personnel contractuel est tenu de se conformer à nos règles relatives aux Données client, et notre société traite ces problèmes avec la plus haute priorité.

Pratiques concernant le personnel

Slack vérifie les antécédents de tous les employés avant leur recrutement. Les employés suivent régulièrement une formation sur la confidentialité et la sécurité, y compris lors de leur intégration dans l’entreprise. Tous les employés doivent lire et signer nos règles exhaustives en matière de sécurité de l’information qui gèrent la sécurité, la disponibilité et la confidentialité des services Slack et GovSlack.

Infrastructure

Slack utilise une infrastructure fournie par Amazon Web Services, Inc. (« AWS ») pour héberger ou traiter les Données client soumises aux services de Slack et GovSlack. Des informations sur la sécurité fournie par AWS sont disponibles sur le site Web AWS Security. Des informations sur les audits et certifications liées à la sécurité et à la confidentialité reçues par AWS, y compris des informations sur la certification ISO 27001 et les rapports SOC, sont disponibles sur le site Web AWS Compliance.