Chez Dastra, nous prenons la sécurité très au sérieux. Voici quelques éléments que nous partageons concernant la mise en oeuvre de mesures de sécurité :
Hébergement sécurisé sur le Cloud
Nous externalisons l'hébergement des données de la plateforme auprès de Microsoft Azure. Nous avons choisi cette plateforme car elle est très largement déployée chez nos clients (MS 365...) et celle-ci offre le niveau de sécurité .
Les lieux de stockage des données sont situés à Paris (données de production) et Marseille (les sauvegardes) en France. Une redondance des données est réalisée dans le data center d'Amsterdam.
Authentification à deux facteurs
L'authentification à 2 facteurs fonctionne en utilisant le protocole TOTP.
Chaque utilisateur peut individuellement activer la fonctionnalité d'authentification à 2 facteurs. Il est possible pour tous les propriétaires d'organisation de forcer l'utilisation de l'authentification à deux facteurs.
Single Sign On (SSO) et SCIM
Dastra propose sur option ou en fonction du plan que vous choisissez un simple et bien documenté. Nous supportons les protocoles SAML2P ou OpenID compatibles avec n'importe quel annuaire d'entreprise. En complément, il est possible de provisionner automatiquement les utilisateurs de votre annuaire à l'aide de notre serveur .
Chiffrement des données en transit
Toutes les données échangées entre nos clients et applications sont chiffrées en transit à l'aide du protocole TLS (Transport Layer Security) avec PFS (Perfect Forward Secrecy). L'autorité de certification du chiffrage est CloudFlare inc.
Chiffrement des données au repos
L'ensemble des clés de chiffrement est stocké dans un coffre de clés managé par Dastra (incluant de la rotation automatique).
Tests de pénétration (Pentests)
Nous faisons auditer tous les ans la sécurité de l'application par un auditeur tiers indépendant.
Le dernier test a été réalisé en septembre 2024 et n'a révélé aucune vulnérabilité critique.
Notre méthodologie de test de sécurité suit les recommandations de l'OWASP et se compose de différentes phases, de la recherche d'informations de source ouverte (Reconnaissance) à l'exploitation des vulnérabilités découvertes.
Journaux d'audit de sécurité
Les administrateurs d'organisation peuvent suivre tous les changements apportés à la gestion des utilisateurs, espaces de travail et permissions d'accès.
Identifiants uniques
Chaque utilisateur possède un identifiant unique et l'utilisation de comptes partagés entre plusieurs utilisateurs n'est pas autorisée.
Sauvegarde des données
L'ensemble des données (Azure SQL) et fichiers (Azure Blob Storage) de nos utilisateurs sont régulièrement sauvegardées avec un historique 3 mois (long time retention) et en PITR (point in time restore) sur 7 jours.
Règles d'archivage des données
Dans le cas d'une suppression d'un compte. Les données sont conservées 1 mois avant leur suppression définitive.
Politique de mot de passe
Au moins 10 caractères comportant 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)
Temporisation d’accès au compte après plusieurs échecs.
Chiffrement des mots de passe en base de données.
Politique de renouvellement des mots de passe
Contrôles de jeton d'API
Contrôle des accès total
Authentification sécurisée basée sur OpenIdConnect pour l'ensemble de nos sites
Liste d'autorisation des adresses IPs
Il est possible de filtrer les utilisateurs à la connexion en fonction de leurs adresses IP
Liste d'autorisation des domaines des emails
Les administrateurs peuvent définit une liste blanche de domaines d'emails autorisés (ex: gmail.com). Pour effectuer ces réglages, rendez vous dans Configuration => Sécurité => Filtres de domaines
Isolation stricte entre les environnements de production et de développement
Hors mis quelques personnes habilitées, les développeurs de l'application n'utilisent et n'accèdent jamais aux données de l'environnement de production. Cette isolation est stricte et ne peut être contournée.
Dans les environnement de tests ou de pré-production, nous n'utilisons que des jeux de données de tests que nous avons produit.