Pratiques de sécurité

Entrée en vigueur : le 24 mai 2018

Chez Slack, nous prenons la sécurité de vos données très au sérieux. La transparence étant l'un des principes fondamentaux de notre entreprise, nous nous efforçons d'être aussi transparents et ouverts que possible sur la manière dont nous gérons la sécurité.

Si vous avez d'autres questions concernant la sécurité, nous nous ferons un plaisir d'y répondre. Veuillez nous envoyer un e-mail à l'adresse feedback@slack.com et nous vous répondrons dans les plus brefs délais.

Confidentialité

Nous imposons des contrôles stricts concernant l'accès par nos employés aux données que vous et vos utilisateurs mettez à notre disposition via les Services Slack, tel que défini de façon plus précise dans votre contrat avec Slack relatif à l'utilisation des Services Slack (« Données client »). Le fonctionnement des Services Slack nécessite l'accès de certains employés aux systèmes qui stockent et traitent les Données client. Par exemple, pour pouvoir diagnostiquer un problème que vous rencontrez avec les services Slack, nous pouvons nous trouver dans l'obligation d'accéder à vos Données client. Ces employés ne peuvent utiliser ces autorisations de consulter les Données client qu'en cas de nécessité absolue. Nous avons mis en place des contrôles techniques et des règles d'audit afin que tout accès aux Données client soit consigné.

Tous nos employés et notre personnel contractuel sont liés par notre politique en matière de Données clients et nous traitons ces questions comme étant de la plus haute importance au sein de notre entreprise.

Pratiques concernant le personnel

Slack vérifie les antécédents de tous les employés avant leur recrutement. Les employés suivent régulièrement une formation sur la confidentialité et la sécurité et, ce, dès leurs premiers jours dans l'entreprise. Tous les employés sont tenus de lire et de signer notre politique globale de sécurité de l'information portant sur la sécurité, la disponibilité et la confidentialité des Services Slack.

Conformité

La section suivante porte sur les audits et certifications de sécurité et s'applique aux Services Slack :

  • ISO 27001 et ISO 27018 : Slack a obtenu les certifications ISO 27001 et ISO 27018. Vous pouvez télécharger le certificat ISO 27001 ici et le certificat ISO 27018 ici. Une copie de la Déclaration d'applicabilité est disponible sur demande auprès de votre responsable de compte.
  • Rapports de contrôle des organisations de service (SOC) : Slack a fait l’objet d’un audit SOC 2, et une copie du rapport le plus récent est disponible sur demande auprès de votre responsable de compte. De plus, notre rapport SOC 3 peut être téléchargé ici.
  • PCI : Slack est un marchand de niveau 4 PCI qui est en conformité avec le SAQ-A de la Payment Card Industry Data Security Standard (normes de sécurité sur les données de l’industrie des cartes de paiement). Nous faisons appel à des tiers pour le traitement sécurisé de vos informations de carte de crédit. Slack n’est pas actuellement un prestataire de services certifié PCI.

L’environnement qui héberge les services Slack possède plusieurs certifications pour ses centres de données, dont la conformité avec la norme ISO 27001, l'autorisation FedRAMP, la Certification PCI et les rapports de la SOC. Pour plus d’informations sur la certification et la conformité, veuillez vous rendre sur le site Web de sécurité AWS, le site Web de conformité AWS, le site Web de sécurité Google, et le site Web de conformité Google.

Fonctionnalités de sécurité pour les membres et administrateurs d'équipe

Outre le travail que nous effectuons au niveau de l'infrastructure, nous proposons aux administrateurs d'équipes abonnées une version payante des Services Slack avec des outils supplémentaires permettant à leurs propres utilisateurs de protéger leurs Données client.

Enregistrement des accès

Des journaux d'accès détaillés sont à la disposition des utilisateurs et des administrateurs d'équipes abonnées à un forfait payant. Nous consignons chaque connexion à un compte ainsi que le type d'appareil utilisé et l'adresse IP de la connexion.

Les administrateurs d'équipe et les propriétaires d'équipes abonnées à un forfait payant peuvent consulter les journaux d'accès regroupés pour l'ensemble de leur équipe. Les administrateurs peuvent aussi facilement suspendre à distance toutes les connexions et déconnecter à tout moment et à la demande tous les appareils authentifiés auprès des services Slack.

Authentification à deux facteurs pour toute l'équipe

Les administrateurs d'équipe peuvent exiger que tous les utilisateurs configurent l'authentification à deux facteurs pour leur compte. Vous trouverez des instructions dans notre Centre d'assistance.

Authentification unique

Les administrateurs d'équipes abonnées à un forfait payant peuvent intégrer leur prestation de services Slack chez divers fournisseurs à authentification unique. Les équipes abonnées au forfait standard peuvent activer Google Apps for Domains comme fournisseur d'authentification et les équipes abonnées au forfait Plus peuvent activer l'authentification unique SAML avec des fournisseurs, tels que OneLogin, Okta, Centrify et Ping Identity.

Conservation des données

Les propriétaires d'équipes abonnées à un forfait payant peuvent configurer des règles personnalisées de conservation des messages pour toute l'équipe ou pour un canal spécifique. Si vous définissez une durée personnalisée de conservation, tous les fichiers et messages ayant dépassé cette durée seront supprimés le soir suivant.

Suppression des Donnés client

Slack offre la possibilité aux propriétaires principaux de l'espace de travail de supprimer les Données client à tout moment pendant l'abonnement. Dans les 24 heures suivant la suppression par le propriétaire principal de l'espace de travail, Slack supprime toutes les informations des systèmes de production en cours d'exécution (hormis les noms d'équipe et de canaux ainsi que les termes de recherche inclus dans les URL du journal d'accès du serveur Web). Les sauvegardes des services Slack sont détruites sous 14 jours.*

Restitution des Données clients

Des informations sur les capacités d’exportation des services Slack sont disponibles dans notre Centre d'assistance.

Chiffrement du trafic et du stockage des données

Les services Slack prennent en charge les dernières suites de chiffrement sécurisé et les protocoles recommandés pour crypter tout le trafic en transit. Les Données client sont cryptées quand elles sont archivées.

Nous surveillons étroitement l'évolution du paysage cryptographique et nous nous efforçons d'effectuer rapidement les mises à niveau permettant de répondre aux menaces émergentes à mesure de leur découverte, et nous mettons en œuvre les meilleures pratiques au fil de leur évolution. Concernant le chiffrement du trafic des données, nous nous efforçons de trouver un équilibre avec la nécessité de compatibilité pour les clients les plus anciens.

Disponibilité

Nous savons que vous comptez sur le bon fonctionnement des services de Slack. Nous nous engageons à faire de Slack un service extrêmement fiable et disponible. Notre infrastructure fonctionne avec des systèmes résistants aux défaillances, qu'il s'agisse de serveurs individuels ou de centres de données. Nos services opérationnels testent régulièrement les mesures de reprise après sinistre et disposent d'une équipe d'astreinte 24 heures sur 24 pour résoudre rapidement les incidents imprévus.

Reprise après sinistre

Les Données client sont stockées de manière redondante sur plusieurs sites dans les centres de données de notre fournisseur d’hébergement afin de garantir leur disponibilité. Nos procédures de sauvegarde et de restauration ont fait leurs preuves et permettent de reprendre après tout incident majeur. Les Données client et notre code source sont automatiquement sauvegardés tous les soirs. Grâce à ce système, l’équipe opérationnelle est alertée en cas de panne. Les sauvegardes sont intégralement vérifiées au moins tous les 90 jours afin de confirmer que nos processus et nos outils fonctionnent correctement.

Protection réseau

Outre une surveillance sophistiquée des connexions et du fonctionnement du système, nous avons mis en place une authentification à deux niveaux pour tout accès aux serveurs de notre environnement de production. Les pare-feu sont configurés selon les meilleures pratiques de l'industrie et les ports inutiles sont bloqués par la configuration des groupes de sécurité AWS.

Gestion des hôtes

Nous procédons à des analyses automatisées des vulnérabilités sur nos hôtes de production et remédions à toute situation qui présente un risque pour notre environnement. Nous imposons le verrouillage des écrans et l’utilisation du chiffrement complet des disques durs des ordinateurs portables de l'entreprise.

Journalisation

Slack maintient un système de journalisation complet et centralisé, qui contient des informations relatives à la sécurité, à la surveillance, à la disponibilité, à l'accès ainsi qu'à d'autres mesures concernant les services de Slack. Ces journaux de connexion sont analysés au niveau des événements de sécurité par un logiciel de surveillance automatisé, sous le contrôle de l’équipe de sécurité.

Gestion des incidents et intervention

Dans le cas d’une violation de sécurité, Slack vous informe rapidement de tout accès non autorisé à vos données. Slack dispose de politiques et de procédures de gestion des incidents pour gérer de telles éventualités.

Audits externes de sécurité

Nous faisons appel à des entreprises de sécurité de renom qui effectuent régulièrement des audits de sécurité des services de Slack pour vérifier que nos pratiques en matière de sécurité sont rigoureuses, et procèdent à l'analyse des services de Slack pour remédier aux vulnérabilités mises à jour par la recherche en matière de sécurité. En plus des audits périodiques et ciblés des services et des fonctionnalités de Slack, nous effectuons une vérification automatisée hybride en continu de notre plateforme web.

Pratiques de sécurité produit

Les nouvelles fonctionnalités et les modifications de conception sont soumises à un processus de vérification par l’équipe de sécurité. En outre, notre code est vérifié avec des logiciels d’analyse statistique automatisée, testé et soumis à un processus et d'évaluation manuel par des pairs avant d’être déployé. L’équipe de sécurité travaille en étroite collaboration avec les équipes de développement pour résoudre tout problème de sécurité qui pourrait survenir au cours du développement.

Slack utilise également un programme de primes à la détection de bugs de sécurité. Des chercheurs dans le monde entier testent constamment la sécurité des services de Slack et signalent les problèmes dans le cadre de ce programme. Vous trouverez plus d'informations sur le site du programme de primes.


*Les sauvegardes des services Slack sont détruites sous 14 jours, sauf lorsqu'une enquête sur un incident est en cours, auquel cas cette période peut être prolongée de manière temporaire.

Cette traduction n’est fournie qu’à titre informatif. Dans l’éventualité où des incohérences apparaîtraient entre celle-ci et la version anglaise, c’est la version anglaise qui prévaudrait.