Sécurité
La sécurité est un processus
Chez Clever Cloud, la sécurité n’est pas une préoccupation secondaire. L’ensemble de la plateforme a été conçue en tenant compte de la sécurité. La plupart des travaux de sécurité sont systémiques : nous travaillons à l’élimination et à l’atténuation de classes entières de vulnérabilités avant de traiter des problèmes spécifiques. Cela permet à notre plateforme de résister aux menaces nouvelles et inconnues.
Nous considérons et pratiquons la sécurité comme un processus, une tâche de fond qui sous-tend tout ce que nous faisons, et non comme quelque chose que l’on ajoute au code après qu’il ait été écrit. Les deux piliers de notre politique de sécurité sont l’infrastructure immuable et l’évitement de réseaux de confiance.
Infrastructure immuable
Tout code déployé sur Clever Cloud l’est dans un environnement éphémère et reproductible.
Même si l’une de vos applications est compromise, son code altéré est automatiquement supprimé lors du prochain déploiement. Ceci est particulièrement utile pour les applications couramment ciblées, telles que les CMS PHP (en général, via leurs plugins).
Évitement des réseaux de confiance
Nous ne croyons pas à la “métaphore de la forteresse”.
C’est l’approche la plus séduisante en matière de sécurité informatique mais c’est également loin de nos standards de sécurité. Depuis plus de 20 ans, il est d’usage de considérer un réseau comme une forteresse, protégée du monde extérieur par des pare-feu, des NAT (Network Address Translation) et des DMZ. Cette idée est aujourd’hui obsolète.
Notre approche se base sur une sécurité en profondeur, et non périmétrique. Chaque pair d’un même réseau est identifié, authentifié et communique de façon chiffrée, et ce pour éviter toute possibilité de nuisance ou de vol de données si intrusion.
Rapports sur la vulnérabilité
Pour chaque technologie supportée sur Clever Cloud, un suivi rigoureux des languages eux-mêmes et de leurs dépendances est réalisé.
Lors de la parution de vulnérabilités, nos images systèmes sont mises à jour au niveau aussi bien au niveau de l’OS que des languages ou des dépendances utilisées.
Évaluation de la sécurité et conformité
La plateforme Clever Cloud est régulièrement auditée dans le cadre d’audits et de pentest réalisés pour nos clients par des auditeurs tiers. Toutes les conclusions des rapports sont transmises à l’équipe de sécurité et prises en compte.
Si vous souhaitez auditer ou pentester des applications fonctionnant sur Clever Cloud, merci de nous contacter.
Nous sommes ouverts aux audits clients, notamment dans le domaine de la banque et de l’assurance.
Outils de sécurité en open source
Nous nous engageons à développer des outils de sécurité à code source ouvert. Grâce à cette approche, nous permettons aux communautés de contribuer à l’amélioration continue de nos solutions. Notamment avec Sozu (anti DDoS, high level L7 (HTTP), WAF (Web Application Firewall) et Biscuit (IAM).
Protection de vos données personnelles
Clever Cloud s’engage à assurer le meilleur niveau de protection des données. Conformément à nos Conditions Générales d’Utilisation, ces engagements vis-à-vis des Données Personnelles (les ” Données Personnelles ” au sens du Règlement UE n°2016/679) du 27 avril 2016 ” RGPD “) sont décrits dans notre Politique de Confidentialité et notre Accord sur le Traitement des Données.
Toutes les données sont hébergées en France par défaut (d’autres régions sont disponibles en option).