Logos Slack et FedRAMP
Actualités

Slack est conforme au programme de sécurité FedRAMP Moderate

Comment avons-nous renforcé notre programme de sécurité pour qu’il respecte les normes de conformité du secteur public ?

Par l’équipe Slack7 août 2020

La sécurité est l’une des préoccupations principales de nombre de nos clients, notamment ceux du secteur public. De plus en plus d’agences gouvernementales – dont le Département des anciens combattants des États‑Unis (VA) et le bureau 18F de l’administration des services généraux (GSA) – choisissent Slack, une plate-forme de messagerie basée sur des canaux. C’est pourquoi nous avons mis en place de nouvelles mesures pour répondre aux normes de sécurité et de conformité les plus exigeantes.

Même les régulateurs fédéraux, dont le rôle est de définir ces normes de sécurité, font confiance à Slack dans le cadre de leur travail. Pour eux, ainsi que pour tous nos clients du secteur public, nous avons renforcé notre programme de sécurité pour obtenir l’autorisation FedRAMP Moderate

Cette mesure s’inscrit dans une dynamique visant à fournir une sécurité de haut niveau pour toutes les entreprises, quelle que soit leur taille. Pour cela, nous devons proposer un service de grande qualité tout en répondant aux besoins uniques de nos clients en matière de sécurité et de conformité. 

Voici ce que l’autorisation FedRAMP Moderate signifie pour nos clients et comment nous avons obtenu cette conformité.

Slack et FedRAMP

FedRAMP, qu’est-ce que c’est ?

Le FedRAMP (Federal Risk and Authorization Management Program – programme fédéral de gestion des risques et des autorisations) est un programme gouvernemental qui réglemente et standardise la sécurité dans le cloud. Les systèmes logiciels fonctionnant avec le cloud doivent obtenir l’autorisation FedRAMP pour qu’une agence ou une organisation fédérale puisse les utiliser. Cette approche garantit la sécurité de toutes les données fédérales, dans l’intérêt du public. Parmi les experts du secteur, le FedRAMP est considéré comme la norme de sécurité pour le cloud.  

Comment Slack a-t-il obtenu l’autorisation FedRAMP Moderate ? 

En avril 2018, Slack a rencontré le Bureau de gestion du programme FedRAMP et, six mois plus tard, nous avons reçu l’autorisation FedRAMP Tailored. Et si cette certification constitue une étape importante pour nous, nous comptons bien aller plus loin et renforcer davantage la sécurité et la conformité. 

Avec l’appui du Département, nous avons cherché à obtenir l’autorisation FedRAMP Moderate. Nos partenaires réglementaires ont mis nos produits à l’épreuve via plus de 300 contrôles de sécurité approfondis. Le 20 mai 2020, nous avons reçu l’autorisation FedRAMP qui valide l’exercise d’une activité à un niveau de sécurité standard (FedRAMP Authority Agency to Operate, ATO). 

Cela signifie que nous sommes en conformité avec les réglementations du gouvernement américain en matière de :

  • contrôle d’accès, en limitant et en gérant avec efficacité l’accès aux données de nos clients ;
  • méthodes de chiffrement, en sécurisant les données en transit et stockées grâce à la cryptographie validée FIPS 140-2 ;
  • sécurité réseau et renforcement de serveur, en mettant en œuvre les critères de référence du CIS et les pratiques adaptées pour les fournisseurs afin de sécuriser toutes les infrastructures de réseau ; 
  • gestion des vulnérabilités, en identifiant et en éliminant efficacement les risques potentiels ;
  • gestion des incidents, en répondant rapidement et de manière appropriée en cas d’incident ;
  • maintien de l’activité et de la reprise après un incident, en fournissant un service sans faille et en continu ;
  • surveillance, archivage et signalement, en gérant l’ensemble des serveurs et postes de travail appartenant à l’entreprise pour garantir la sécurité du système ; 
  • cycle de développement logiciel sécurisé, en utilisant des outils open source et le signalement des bugs pour identifier, classer et résoudre les vulnérabilités potentielles en matière de sécurité. 

Concrètement, qu’est-ce que ce haut niveau de sécurité implique pour mon organisation ?

L’autorisation FedRAMP Moderate de Slack témoigne de notre investissement continu et de notre soutien aux clients du secteur public américain. De plus en plus d’agences gouvernementales se tournent désormais vers le cloud. Que les administrateurs informatiques et les professionnels de la sécurité se rassurent, Slack garantit le respect des normes de sécurité les plus reconnues. L’entreprise propose des solutions pour aider les équipes du secteur public à répondre aux exigences de conformité. 

Cette autorisation récente se traduit par une sécurité renforcée pour les clients de Slack, y compris les entreprises du secteur privé pour lesquelles une autorisation de la FedRAMP n’est pas requise. Tous les clients ayant recours aux prestations de Slack peuvent bénéficier des mesures de sécurité renforcées requises pour obtenir la certification FedRAMP. 

Pour conserver la confiance des clients, nous continuerons à développer des fonctionnalités de sécurité et de conformité qui prennent en charge :

Puis-je toujours utiliser mes intégrations tierces ?

Vous pouvez toujours utiliser des intégrations tierces, mais vous devrez vérifier à quelles données l’intégration aura accès et la conformité FedRAMP du fournisseur d’applications pour toutes celles installées dans votre espace de travail. Les applications Slack utilisent généralement les API des fournisseurs de services de cette intégration. Si les API se connectent à une offre de service autorisée par FedRAMP, vous resterez en conformité lorsque vous utiliserez ces intégrations tierces. Il s’agit de l’une des principales responsabilités du client pour garantir que votre déploiement de Slack reste conforme.

 

Comment le Département des anciens combattants des États‑Unis fait fonctionner VA.gov dans Slack ?

Le Département des anciens combattants n’a pas seulement parrainé notre autorisation : l’agence compte également sur Slack pour planifier et exécuter des initiatives à grande échelle, y compris une refonte de son site web très fréquenté.

Le Département est la deuxième plus grande agence fédérale du pays, et son site web destiné au public (VA.gov) attire chaque semaine plus de 800 000 utilisateurs, notamment des anciens combattants et leurs défenseurs, des organisations de services aux anciens combattants et d’autres intermédiaires. Au pic de la crise de la Covid 19, ce chiffre a presque triplé en l’espace d’une semaine. Nombre de ces visiteurs avaient besoin d’un accès régulier au site pour obtenir des informations, des outils et des services indispensables.

En coulisses, les équipes web et de développement du Département collaborent dans les canaux Slack pour s’assurer que le site web reste pleinement opérationnel. 

Les équipes de développement du Département des anciens combattants utilisent Slack pour :

  • connecter des applis et des intégrations, comme GitHub et Jenkins, afin que les équipes aient une meilleure visibilité des alertes et des notifications ;
  • identifier rapidement les incidents et les problèmes, au moyen de notifications mobiles qui signalent les problèmes aux développeurs ;
  • créer des groupes d’utilisateurs qui échangent des connaissances et rationalisent les offres de services.

En 2019, les équipes web et du développement du Département ont collaboré dans Slack pour publier une nouvelle version de VA.gov. L’année dernière, le nouveau site web affichait un impressionnant taux de disponibilité de 99,97 %, permettant ainsi à l’agence de tenir sa promesse de mettre en relation des milliers d’anciens combattants et d’adhérents avec les ressources dont ils ont besoin. 

Le Département a ensuite continué à étendre son utilisation de Slack. Début 2020, il a acheté 20 000 licences Slack pour installer l’outil dans tous ses services. En transférant ses équipes dans Slack, le Département souhaite renforcer la transparence, étendre sa collaboration et attirer de nouvelles recrues, entrepreneurs et partenaires. Cette nouvelle méthode de travail profite non seulement aux employés et aux partenaires, mais également aux vétérans américains, qui ont accès à des services plus adaptés. 

Prenez contact avec nous

Si vous avez des questions sur les fonctionnalités liées à la sécurité, sur les opérations ou les certifications de conformité de Slack, n’hésitez pas à vous adresser à votre responsable de compte ou contactez-nous.

Cet article vous a-t-il été utile ?

0/600

Parfait !

Merci beaucoup pour votre feedback !

Bien compris !

Merci pour vos commentaires.

Oups ! Nous rencontrons quelques difficultés. Veuillez réessayer plus tard.

Continuer la lecture

Collaboration

Exploitez vos données Slack avec la nouvelle appli Splunk

Avec l’API Splunk, identifiez les tendances d’utilisation, détectez les cybermenaces et optimisez l’exploitation de vos données

Transformation

Découvrez nos nouvelles mesures de sécurité de qualité professionnelle

Nous innovons en permanence pour garder une longueur d’avance sur les cybermenaces. Voici comment nous aidons les clients à sécuriser leurs informations et leurs données

Transformation

Présentation de la résidence des données proposée par Slack

Les clients Slack peuvent désormais héberger leurs données dans le pays ou la région de leur choix tout en respectant les politiques de leur entreprise et leurs obligations de conformité.

Transformation

La gestion des clés de chiffrement en entreprise est désormais disponible avec Enterprise Grid de Slack

Geoff Belknap, directeur de la sécurité, explique comment Slack EKM renforce la sécurité sans entraver le travail des équipes.