Pratiques de sécurité

Entrée en vigueur : 24 mai 2018

Chez Slack, nous prenons la sécurité de vos données très au sérieux. La transparence étant l’un des principes de base de notre société, nous tenons à être aussi clairs et ouverts que possible quant à notre approche à la sécurité.

Si vous avez d’autres questions sur la sécurité, nous nous ferons un plaisir d’y répondre. Écrivez-nous à l’adresse feedback@slack.com et nous vous répondrons dans les meilleurs délais.

Confidentialité

Nous imposons des contrôles stricts sur l’accès par nos employés aux données que vos utilisateurs et vous rendez disponibles sur les services Slack, comme défini de façon plus précise dans votre accord avec Slack portant sur l’utilisation des services Slack (« Données client »). Nous nous engageons en outre à nous assurer que les Données client ne sont pas consultées par quiconque ne devant pas y avoir accès. Le fonctionnement des services Slack exige que certains employés aient accès aux systèmes qui stockent et traitent les Données client. Par exemple, pour pouvoir diagnostiquer un problème que vous rencontrez avec les services Slack, nous pouvons nous trouver dans l’obligation d’accéder à vos Données client. Il est interdit à ces employés d’utiliser ces permissions pour consulter les Données client sauf nécessité absolue. Nous avons mis en place des contrôles techniques et des règles d’audit afin que tout accès aux Données client soit consigné.

L’ensemble de nos employés et de notre personnel contractuel est tenu de se conformer à nos règles relatives aux Données client, et notre société traite ces problèmes avec la plus haute priorité.

Pratiques concernant le personnel

Slack vérifie les antécédents de tous les employés avant leur recrutement. Ceux-ci suivent régulièrement une formation sur la confidentialité et la sécurité, y compris lors de leur intégration dans l’entreprise. Tous les employés doivent lire et signer nos règles exhaustives en matière de sécurité de l’information qui traitent de la sécurité, de la disponibilité et de la confidentialité des services Slack.

Conformité

Ce qui suit concerne les audits et certifications de sécurité et s’applique aux services de Slack :

  • ISO 27001 et ISO 27018 : Slack a obtenu les certifications ISO 27001 et ISO 27018. Vous pouvez télécharger le certificat ISO 27001 ici et le certificat ISO 27018 ici. Une copie de la Déclaration d’applicabilité est disponible sur demande auprès de votre Responsable de compte.
  • Rapports de contrôle des organisations de service (SOC) : Slack a fait l’objet d’un audit SOC 2, une copie du rapport le plus récent est disponible sur demande auprès de votre Responsable de compte. De plus, notre rapport SOC 3 peut être téléchargé ici.
  • PCI : Slack est un marchand de niveau 4 PCI qui est en conformité avec le SAQ-A de la Payment Card Industry Data Security Standard (normes de sécurité des données de l’industrie des cartes de paiement). Nous faisons appel à des tiers pour le traitement sécurisé de vos informations de carte de crédit. Slack n’est pas actuellement un prestataire de services certifié PCI.

L’environnement qui héberge les services Slack possède plusieurs certifications pour ses centres de données, dont la conformité avec la norme ISO 27001, l’autorisation FedRAMP, la Certification PCI et les rapports de la SOC. Pour plus d’informations sur leur certification et leur conformité, veuillez vous rendre sur le site Web de sécurité de AWS, le site Web de conformité d’AWS, le site Web de sécurité de Google, et le site Web de conformité de Google.

Fonctionnalités de sécurité pour les membres et administrateurs d’équipe

Outre le travail que nous effectuons au niveau de l’infrastructure, nous proposons aux administrateurs d’équipes abonnées à une version payante des services Slack des outils supplémentaires permettant à leurs propres utilisateurs de protéger leurs Données client.

Journalisation des accès

Des journaux d’accès détaillés sont à la disposition des utilisateurs et des administrateurs d’équipes abonnées à un forfait payant. Nous consignons chaque connexion à un compte ainsi que le type d’appareil utilisé et l’adresse IP de la connexion.

Les administrateurs et les propriétaires d’équipes abonnées à un forfait payant peuvent consulter des journaux d’accès consolidés pour l’ensemble de l’équipe. Les administrateurs peuvent aussi facilement suspendre à distance toutes les connexions et déconnecter à tout moment et à la demande tous les appareils authentifiés auprès des services Slack.

Authentification à deux facteurs pour toute l’équipe

Les administrateurs d’équipe peuvent obliger tous les utilisateurs à configurer l’authentification à deux facteurs pour leur compte. Vous trouverez des instructions pour ce faire dans notre Centre d’assistance.

Authentification unique

Les administrateurs d’équipes abonnées à un forfait payant peuvent intégrer leur instance de services Slack à divers fournisseurs d’authentification unique. Les équipes abonnées au forfait « Standard » peuvent activer Google Apps for Domains comme fournisseur d’authentification et les équipes abonnées au forfait « Plus » peuvent activer l’authentification unique SAML avec des fournisseurs, tels que OneLogin, Okta, Centrify et Ping Identity.

Conservation des données

Les propriétaires d’équipes Slack abonnées à un forfait payant peuvent configurer des règles personnalisées de conservation des messages pour toute l’équipe ou pour une chaîne en particulier. Si vous définissez une durée personnalisée de conservation, tous les fichiers et messages ayant dépassé cette durée seront supprimés le soir suivant.

Suppression des Données client

Slack offre la possibilité aux propriétaires principaux de l’espace de travail de supprimer les Données client à tout moment pendant l’abonnement. Dans les 24 heures suivant la suppression par le propriétaire principal de l’espace de travail, Slack supprime toutes les informations des systèmes de production en cours d’exécution (hormis les noms d’équipe et de chaîne, ainsi que les termes de recherche inclus dans les URL du journal d’accès du serveur Web). Les sauvegardes des services Slack sont détruites sous 14 jours.*

Restitution des Données client

Des informations sur les capacités d’exportation des services Slack sont disponibles dans notre Centre d’assistance.

Chiffrement des données en transit ou archivées

Les services Slack prennent en charge les dernières suites et protocoles de chiffrement sécurisé recommandés pour crypter tout le trafic en transit. Le stockage des Données Client est crypté.

Nous surveillons étroitement l’évolution du paysage cryptographique, nous nous efforçons d’effectuer rapidement les mises à niveau permettant de répondre aux nouvelles menaces à mesure qu’elles sont découvertes, et nous mettons en œuvre les meilleures pratiques au fil de leur évolution. Pour ce qui est du chiffrement des données en transit, nous y procédons en essayant de trouver le meilleur compromis avec le besoin de compatibilité pour les anciens clients.

Disponibilité

Nous savons que vous comptez sur le bon fonctionnement des services de Slack. Nous sommes déterminés à faire de Slack un service hautement disponible sur lequel vous pourrez compter. Notre infrastructure fonctionne sur des systèmes résistants aux défaillances, qu’il s’agisse de serveurs individuels ou même de centres de données. Nos services opérationnels testent régulièrement les mesures de récupération après une catastrophe et comprennent une équipe de garde 24 heures sur 24 pour la résolution rapide des incidents imprévus.

Récupération après un sinistre

Les Données client sont stockées de manière redondante sur plusieurs sites dans les centres de données de notre fournisseur d’hébergement afin de garantir leur disponibilité. Nos procédures de sauvegarde et de restauration éprouvées permettent de récupérer les données après toute catastrophe majeure. Les Données client et notre code source sont automatiquement sauvegardés tous les soirs. L’équipe opérationnelle est alertée en cas de panne grâce à ce système. Les sauvegardes sont intégralement vérifiées au moins tous les 90 jours afin de confirmer que nos processus et nos outils fonctionnent correctement.

Protection réseau

Outre la surveillance sophistiquée du système et la journalisation, nous avons mis en place une authentification à deux niveaux pour tout accès aux serveurs de notre environnement de production. Les pare-feu sont configurés selon les meilleures pratiques de l’industrie et les ports inutiles sont bloqués par la configuration des groupes de sécurité AWS.

Gestion des hôtes

Nous effectuons des analyses de vulnérabilité automatisées sur nos hôtes de production et remédions à toute constatation indiquant un risque pour notre environnement. Nous imposons le verrouillage des écrans et l’utilisation du chiffrement complet des disques durs des ordinateurs portables de l’entreprise.

Journalisation

Slack maintient un système de journaux de connexion complet et centralisé, qui contient des informations relatives à la sécurité, à la surveillance, à la disponibilité, à l’accès ainsi qu’à d’autres mesures concernant les services de Slack. Ces journaux de connexion sont analysés au niveau des événements de sécurité par un logiciel de surveillance automatisé, sous le contrôle de l’équipe de sécurité.

Gestion des incidents et réaction

En cas de violation de sécurité, Slack vous informe rapidement de tout accès non autorisé à vos données. Slack dispose de politiques et de procédures de gestion des incidents pour réagir à de telles éventualités.

Audits externes de sécurité

Nous faisons appel à des entreprises de sécurité respectées qui effectuent régulièrement des audits de sécurité des services de Slack pour vérifier que nos pratiques en matière de sécurité sont rigoureuses, et procèdent à l’analyse des services de Slack pour remédier aux vulnérabilités mises à jour par la recherche en matière de sécurité. En plus des audits périodiques et ciblés des services et des fonctionnalités de Slack, nous effectuons une vérification automatisée hybride en continu de notre plate-forme Web.

Pratiques de sécurité de produit

Les nouvelles fonctionnalités et les modifications de conception sont soumises à un processus de vérification par l’équipe de sécurité. En outre, notre code est vérifié avec des logiciels d’analyse statistique automatisée, testé et soumis à un processus d’examen manuel par les pairs avant d’être déployé. L’équipe de sécurité travaille en étroite collaboration avec les équipes de développement pour résoudre tout problème de sécurité qui pourrait survenir au cours du développement.

Slack utilise également un programme de primes à la détection de bogues de sécurité. Des chercheurs dans le monde entier testent constamment la sécurité des services de Slack et signalent les problèmes dans le cadre de ce programme. Vous trouverez plus de détails sur le site du programme de primes.


*Les sauvegardes des services Slack sont détruites dans un délai de 14 jours, sauf lorsqu’une enquête sur un incident est en cours, auquel cas cette période peut être prolongée de manière temporaire.

Cette traduction n’est fournie qu’à titre informatif. Dans l’éventualité où des incohérences apparaîtraient entre celle-ci et la version anglaise, c’est la version anglaise qui prévaudrait.