Pratiques de sécurité

Entrée en vigueur : le 24 mai 2018

Chez Slack, nous prenons la sécurité de vos données très au sérieux. La transparence étant l’un des principes de base de notre société, nous tenons à être le plus clairs et le plus transparents que possible quant à notre approche de la sécurité.

Si vous avez d'autres questions sur la sécurité, nous nous ferons un plaisir d'y répondre. Envoyez un e-mail à l'adresse feedback@slack.com et nous vous répondrons dans les meilleurs délais.

Confidentialité

Nous imposons des contrôles stricts sur l'accès par nos employés aux données que vous et vos utilisateurs rendez disponibles via les services Slack, tel que défini de façon plus précise dans votre accord avec Slack couvrant l'utilisation des services Slack (« Données client »). Le fonctionnement des services Slack nécessite l'accès de certains employés aux systèmes qui stockent et traitent les Données client. Par exemple, pour pouvoir diagnostiquer un problème que vous rencontrez avec les services Slack, nous pouvons nous trouver dans l'obligation d'accéder à vos Données client. Il est interdit à ces employés d'utiliser ces autorisations pour consulter les Données client sauf nécessité absolue. Nous avons mis en place des contrôles techniques et des règles d'audit afin que tout accès aux Données client soit consigné.

L'ensemble de nos employés et de notre personnel contractuel est tenu de se conformer à nos règles relatives aux Données client et notre société traite ces problèmes avec la plus haute priorité.

Pratiques concernant le personnel

Slack vérifie les antécédents de tous les employés avant leur recrutement. Les employés suivent régulièrement une formation sur la confidentialité et la sécurité, y compris lors des premiers jours dans l'entreprise. Tous les employés doivent lire et signer nos règles exhaustives en matière de sécurité de l'information qui gèrent la sécurité, la disponibilité et la confidentialité des services Slack.

Conformité

Ce qui suit concerne les audits et certifications de sécurité et s'applique aux services de Slack :

  • ISO 27001 et ISO 27018: Slack a obtenu les certifications ISO 27001 et ISO 27018. Vous pouvez télécharger le certificat ISO 27001 ici et le certificat ISO 27018 ici. Une copie de la Déclaration d'applicabilité est disponible sur demande auprès de votre responsable de compte.
  • Rapports de contrôle des organisations de service (SOC) : Slack a fait l’objet d’un audit SOC 2, et une copie du rapport le plus récent est disponible sur demande auprès de votre responsable de compte. De plus, notre rapport SOC 3 peut être téléchargé ici.
  • PCI : Slack est un marchand de niveau 4 PCI qui est en conformité avec le SAQ-A de la Payment Card Industry Data Security Standard (normes de sécurité sur les données de l’industrie des cartes de paiement). Nous faisons appel à des tiers pour le traitement sécurisé de vos informations de carte de crédit. Slack n’est pas actuellement un prestataire de services certifié PCI.

L’environnement qui héberge les services Slack possède plusieurs certifications pour ses centres de données, dont la conformité avec la norme ISO 27001, l'autorisation FedRAMP, la Certification PCI et les rapports de la SOC. Pour plus d’informations sur la certification et la conformité, veuillez vous rendre sur le site Web de sécurité AWS, le site Web de conformité AWS, le site Web de sécurité Google, et le site Web de conformité Google.

Fonctionnalités de sécurité pour les membres et administrateurs d'équipe

Outre le travail que nous effectuons au niveau de l'infrastructure, nous proposons aux administrateurs d'équipes abonnées à une version payante des services Slack des outils supplémentaires permettant à leurs propres utilisateurs de protéger leurs Données client.

Consignation de l'accès

Des journaux d'accès détaillés sont à la disposition des utilisateurs et des administrateurs d'équipes abonnées à un forfait payant. Nous consignons chaque connexion à un compte ainsi que le type d'appareil utilisé et l'adresse IP de la connexion.

Les administrateurs et les propriétaires d'équipes abonnées à un forfait payant peuvent consulter des journaux d'accès consolidés pour l'ensemble de l'équipe. Les administrateurs peuvent aussi facilement suspendre à distance toutes les connexions et déconnecter à tout moment et à la demande tous les appareils authentifiés auprès des services Slack.

Authentification à deux facteurs pour toute l'équipe

Les administrateurs d'équipe peuvent obliger tous les utilisateurs à configurer l'authentification à deux facteurs pour leur compte. Vous trouverez des instructions dans notre Centre d'assistance.

Authentification unique

Les administrateurs d'équipes abonnées à un forfait payant peuvent intégrer leur instance de services Slack à divers fournisseurs d'authentification unique. Les équipes abonnées au forfait standard peuvent activer Google Apps for Domains comme fournisseur d'authentification et les équipes abonnées au forfait Plus peuvent activer l'authentification unique SAML avec des fournisseurs tels que OneLogin, Okta, Centrify et Ping Identity.

Conservation des données

Les propriétaires d'équipes abonnées à un forfait payant peuvent configurer des règles personnalisées de conservation des messages pour toute l'équipe ou pour une chaîne spécifique. Si vous définissez une durée personnalisée de conservation, tous les fichiers et messages ayant dépassé cette durée seront supprimés le soir suivant.

Suppression des Donnés client

Slack offre la possibilité aux propriétaires principaux de l'espace de travail de supprimer les Données client à tout moment pendant l'abonnement. Dans les 24 heures suivant la suppression par le propriétaire principal de l'espace de travail, Slack supprime toutes les informations des systèmes de production en cours d'exécution (hormis les noms d'équipe et de chaîne ainsi que les termes de recherche inclus dans les URL du journal d'accès du serveur Web). Les sauvegardes des services Slack sont détruites sous 14 jours.*

Restitution des données clients

Des informations sur les capacités d’exportation des services Slack sont disponibles dans notre Centre d'assistance.

Chiffrement du trafic et du stockage des données

Les services Slack prennent en charge les dernières suites de chiffrement sécurisé et les protocoles recommandés pour crypter tout le trafic en transit. Les Données Client sont cryptées archivées.

Nous surveillons étroitement l'évolution du paysage cryptographique et nous nous efforçons d'effectuer rapidement les mises à niveau permettant de répondre aux menaces émergentes au fur et à mesure de leur découverte, et nous mettons en œuvre les meilleures pratiques au fil de leur évolution. Pour ce qui est du chiffrement du trafic des données, nous y procédons en essayant de trouver le meilleur compromis avec le besoin de compatibilité pour les anciens clients.

Disponibilité

Nous savons que vous comptez sur le bon fonctionnement des services de Slack. Nous sommes déterminés à faire de Slack un service hautement disponible sur lequel vous pourrez compter. Notre infrastructure fonctionne avec des systèmes résistants aux défaillances, qu'il s'agisse de serveurs individuels ou même de centres de donnés. Nos services opérationnels testent régulièrement les mesures de récupération après une catastrophe et comprennent une équipe de garde 24 heures sur 24 pour la résolution rapide des incidents imprévus.

Récupération après une catastrophe

Les Données client sont stockées de manière redondante sur plusieurs sites dans les centres de données de notre fournisseur d’hébergement afin de garantir leur disponibilité. Nos procédures de secours et de restauration éprouvées permettent de récupérer de toute catastrophe majeure. Les données client et notre code source sont automatiquement sauvegardés tous les soirs. L’équipe opérationnelle est alertée en cas de panne grâce à ce système. Les sauvegardes sont intégralement vérifiées au moins tous les 90 jours afin de confirmer que nos processus et nos outils fonctionnent correctement.

Protection réseau

Outre une surveillance sophistiquée des connexions et du fonctionnement du système, nous avons mis en place une authentification à deux niveaux pour tout accès aux serveurs de notre environnement de production. Les pare-feu sont configurés selon les meilleures pratiques de l'industrie et les ports inutiles sont bloqués par la configuration des groupes de sécurité AWS.

Gestion des hôtes

Nous effectuons des analyses de vulnérabilité automatisées sur nos hôtes de production et remédions à toute constatation suggérant un risque pour notre environnement. Nous imposons le verrouillage des écrans et l’utilisation du chiffrement complet des disques durs des ordinateurs portables de l'entreprise.

Connexion

Slack maintient un système de journaux de connexion complet et centralisé, qui contient des informations relatives à la sécurité, à la surveillance, à la disponibilité, à l'accès ainsi qu'à d'autres mesures concernant les services de Slack. Ces journaux de connexion sont analysés au niveau des événements de sécurité par un logiciel de surveillance automatisé, sous le contrôle de l’équipe de sécurité.

Gestion des incidents et réaction

Dans le cas d’une violation de sécurité, Slack vous informe rapidement de tout accès non autorisé à vos données. Slack dispose de politiques et de procédures de gestion des incidents pour gérer de telles éventualités.

Audits externes de sécurité

Nous faisons appel à des entreprises de sécurité respectées qui effectuent régulièrement des audits de sécurité des services de Slack pour vérifier que nos pratiques en matière de sécurité sont rigoureuses, et procèdent à l'analyse des services de Slack pour remédier aux vulnérabilités mises à jour par la recherche en matière de sécurité. En plus des audits périodiques et ciblés des services et des fonctionnalités de Slack, nous effectuons une vérification automatisée hybride en continu de notre plate-forme web.

Pratiques de sécurité produit

Les nouvelles fonctionnalités et les modifications de conception sont soumises à un processus de vérification par l’équipe de sécurité. En outre, notre code est vérifié avec des logiciels d’analyse statistique automatisée, testé et soumis à un processus de peer-review manuel avant d’être déployé. L’équipe de sécurité travaille en étroite collaboration avec les équipes de développement pour résoudre tout problème de sécurité qui pourrait survenir au cours du développement.

Slack utilise également un programme de primes à la détection de bogues de sécurité. Des chercheurs dans le monde entier testent constamment la sécurité des services de Slack et signalent les problèmes dans le cadre de ce programme. Vous trouverez plus de détails sur le site du programme de primes.


*Les sauvegardes des services Slack sont détruites sous 14 jours, sauf lorsqu'une enquête sur un incident est en cours, auquel cas cette période peut être prolongée de manière temporaire.

Cette traduction n’est fournie qu’à titre informatif. Dans l’éventualité où des incohérences apparaîtraient entre celle-ci et la version anglaise, c’est la version anglaise qui prévaudrait.