La sécurité est l’une des préoccupations principales de nombre de nos clients, notamment ceux du secteur public. De plus en plus d’agences gouvernementales, dont le Département des anciens combattants des États‑Unis (VA) et le bureau 18F de l’administration des services généraux (GSA), choisissent Slack, une plateforme de messagerie par canaux. C’est pourquoi nous avons mis en place de nouvelles mesures pour répondre aux normes de sécurité et de conformité les plus exigeantes.
Même les régulateurs fédéraux, dont le rôle est de définir ces normes de sécurité, font confiance à Slack dans le cadre de leur travail. Pour eux, ainsi que pour tous nos clients exerçant leurs opérations dans des secteurs d’activité réglementés, nous avons renforcé notre programme de sécurité pour obtenir l’autorisation FedRAMP Moderate.
Cette mesure s’inscrit dans une dynamique visant à fournir une sécurité de qualité professionnelle pour toutes les organisations, quelle que soit leur taille. Pour cela, nous devons proposer une expérience de collaboration de grande qualité tout en répondant aux besoins uniques de nos clients en matière de sécurité et de conformité.
Voici ce que l’autorisation FedRAMP Moderate signifie pour nos clients et comment nous avons obtenu cette conformité.
Slack et FedRAMP
FedRAMP, qu’est-ce que c’est ?
Le FedRAMP (Federal Risk and Authorization Management Program, programme fédéral de gestion des risques et des autorisations) est un programme gouvernemental qui standardise la sécurité dans le cloud. Les systèmes logiciels basés sur le cloud doivent obtenir l’autorisation FedRAMP pour qu’une agence ou une organisation fédérale puisse les utiliser. Cette approche garantit la sécurité de toutes les données fédérales, dans l’intérêt du public. Parmi les experts du secteur, le FedRAMP est considéré comme la norme en matière de sécurité du cloud.
Comment Slack a-t-il obtenu l’autorisation FedRAMP Moderate ?
En avril 2018, Slack a rencontré le Bureau de gestion du programme FedRAMP et, six mois plus tard, nous avons reçu l’autorisation FedRAMP Tailored. Si cette certification constitue une étape importante pour nous, nous comptons bien aller plus loin en matière de sécurité et de conformité.
Avec l’appui du VA, nous avons entrepris d’obtenir l’autorisation FedRAMP Moderate. Nos partenaires réglementaires ont mis nos produits à l’épreuve via plus de 300 contrôles de sécurité approfondis. Le 20 mai 2020, nous avons reçu l’autorisation FedRAMP ATO, qui nous permet d’exercer nos activités à un niveau de risque jugé modéré.
Cela signifie que nous sommes en conformité avec les réglementations du gouvernement américain à plusieurs niveaux :
- Contrôle d’accès : limitation et gestion efficaces de l’accès aux données de nos clients
- Méthodes de chiffrement : sécurisation des données en transit et stockées grâce au chiffrement validé FIPS 140-2
- Sécurité réseau et renforcement de serveur : mise en œuvre des critères de référence du CIS et de pratiques adaptées pour les fournisseurs afin de sécuriser toutes les infrastructures de réseau
- Gestion des vulnérabilités : identification et élimination efficaces des risques potentiels
- Gestion des incidents : interventions rapides et appropriées en cas d’incident
- Maintien de l’activité et de la reprise après un incident : fourniture d’un service sans faille et en continu
- Surveillance, archivage et signalement : surveillance de l’ensemble des serveurs et postes de travail appartenant à l’entreprise pour garantir la sécurité du système
- Cycle de développement logiciel sécurisé : utilisation des outils open source et des signalements de bugs pour identifier, classer et résoudre les vulnérabilités potentielles en matière de sécurité
Concrètement, qu’est-ce que ce haut niveau de sécurité implique pour mon organisation ?
L’autorisation FedRAMP Moderate de Slack témoigne de notre investissement continu et de notre soutien aux clients du secteur public américain. De plus en plus d’agences gouvernementales se tournent désormais vers le cloud. Que les administrateurs informatiques et les professionnels de la sécurité se rassurent, Slack garantit le respect des normes de sécurité les plus reconnues, voire les dépasse. L’entreprise propose des solutions pour aider les équipes du secteur public à répondre aux exigences de conformité.
Cette autorisation récente se traduit par un environnement plus sécurisé pour les clients de Slack, y compris les entreprises du secteur privé pour lesquelles une autorisation de la FedRAMP n’est pas requise. Tous les clients ayant recours aux prestations de Slack bénéficient des mesures de sécurité renforcées requises pour obtenir la certification FedRAMP.
Pour conserver la confiance des clients, nous continuerons de développer des fonctionnalités de sécurité et de conformité qui prennent en charge :
- la gestion des identités et des appareils, y compris l’authentification unique, la revendication de la propriété de noms de domaines et l’assistance pour la gestion de la mobilité de l’entreprise
- la protection des données, y compris la gestion des clés de chiffrement Slack Enterprise (Slack EKM), des journaux d’audit et des intégrations avec les meilleurs fournisseurs de systèmes de prévention de la perte des données (DLP).
- la gouvernance des informations, notamment des politiques de conservation globales, des conditions de service personnalisées et une prise en charge de la e-discovery
Puis-je toujours utiliser mes intégrations tierces ?
Vous pouvez toujours utiliser des intégrations tierces, mais vous devrez vérifier à quelles données l’intégration aura accès et la conformité FedRAMP du fournisseur de chaque appli installée dans votre espace de travail. Les applis Slack utilisent généralement les API des fournisseurs de services de cette intégration. Si les API se connectent à une offre de service bénéficiant d’une autorisation FedRAMP, vous resterez en conformité lorsque vous utiliserez ces intégrations tierces. Il s’agit de l’une des principales responsabilités du client pour garantir que votre déploiement de Slack reste conforme.
Comment le Département des anciens combattants des États‑Unis fait fonctionner VA.gov dans Slack
Le Département des anciens combattants n’a pas seulement parrainé notre autorisation : l’agence compte également sur Slack pour planifier et exécuter des initiatives à grande échelle, y compris une refonte de son site web très fréquenté.
Le Département est la deuxième plus grande agence fédérale du pays, et son site web destiné au public (VA.gov) attire chaque semaine plus de 800 000 utilisateurs, notamment des anciens combattants et leurs défenseurs, des organisations de services aux anciens combattants et d’autres intermédiaires. Au pic de la crise de la Covid 19, ce chiffre a presque triplé en l’espace d’une semaine. Nombre de ces visiteurs avaient besoin d’un accès régulier au site pour obtenir des informations, des outils et des services indispensables.
En coulisses, les équipes web et de développement du Département collaborent dans les canaux Slack pour s’assurer que le site web reste pleinement opérationnel.
Les équipes de développement du Département des anciens combattants utilisent Slack pour :
- connecter des applis et des intégrations, telles que GitHub et Jenkins, afin que les équipes aient une meilleure visibilité des alertes et des notifications ;
- identifier rapidement les incidents et les problèmes au moyen de notifications mobiles qui signalent les problèmes aux développeurs ;
- créer des groupes d’utilisateurs qui échangent des connaissances et rationalisent les offres de services.
En 2019, les équipes web et de développement du Département ont collaboré dans Slack pour publier une nouvelle version de VA.gov. L’année dernière, le nouveau site web affichait un impressionnant taux de disponibilité de 99,97 %, permettant ainsi à l’agence de tenir sa promesse de mettre en relation des milliers d’anciens combattants et d’adhérents avec les ressources dont ils ont besoin.
Le Département a ensuite continué d’étendre son utilisation de Slack. Début 2020, il a acheté 20 000 licences Slack pour déployer la plateforme à travers tous ses services. En transférant ses équipes dans Slack, le Département souhaite renforcer la transparence, étendre sa collaboration et attirer de nouvelles recrues, entrepreneurs et partenaires. Cette nouvelle méthode de travail profite non seulement aux employés et aux partenaires, mais également aux vétérans américains, qui ont accès à des services plus adaptés.
Prenez contact avec nous
Si vous avez des questions sur les fonctionnalités liées à la sécurité, sur les opérations ou sur les certifications de conformité de Slack, n’hésitez pas à vous adresser à votre chargé de compte ou à nous contacter.