AcademIQ

Vue d'ensemble

AcademIQ s'engage à intégrer la technologie éducative en classe, et cette mission repose sur la sécurité de nos systèmes. Nous voulons que nos clients — qu'ils soient administrateurs d'applications, responsables de district, enseignants ou élèves — aient confiance en la fiabilité et la responsabilité d’AcademIQ dans la gestion de leurs informations sensibles.

La politique de confidentialité d’AcademIQ et les Conditions d'utilisation décrivent notre approche en matière de gestion des données, tandis que ce document fournit un aperçu de notre programme de sécurité de l'information. Notre stratégie de sécurité est guidée par des principes clés : être informé des menaces, tirer parti de l'automatisation pour la montée en charge, et trouver le bon équilibre entre prévention et réponse. Nous alignons en permanence nos pratiques sur le Cadre de cybersécurité du NIST.

Domaines d’intérêt:

  • la sécurité des produits,
  • la sécurité de l'infrastructure,
  • la sécurité informatique.

Sécurité des produits

Les initiatives de sécurité des produits d’AcademIQ sont conçues pour évaluer les implications en matière de sécurité et de confidentialité des nouvelles fonctionnalités et produits durant le développement, permettant ainsi à notre équipe d’ingénierie d’améliorer la plateforme de manière sûre et responsable.

Cycle de vie sécurisé du développement logiciel

Nous réalisons un examen de sécurité des applications pour tous les nouveaux projets de développement, en intégrant la modélisation des menaces et les revues de code. Les modifications importantes déclenchent des examens de conception de sécurité dédiés. Notre processus de revue de code sécurisé signale les portions de code à haut risque pour une inspection manuelle par des experts en sécurité. De plus, nous intégrons des outils automatisés dans notre pipeline de build pour détecter d’éventuelles vulnérabilités.

Tous les nouveaux ingénieurs doivent consulter nos directives de codage sécurisé, adaptées à notre pile technologique et disponibles dans notre portail de connaissances interne. Ces directives incluent une formation sur des sujets clés tels que les dix principaux risques de l’OWASP, notamment les injections SQL, le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF).

Fonctionnalités de sécurité

Les administrateurs d’applications et de districts peuvent inviter des utilisateurs à rejoindre leurs comptes AcademIQ avec des niveaux d’autorisation prédéfinis, gérés via un système de contrôle d’accès basé sur les rôles (RBAC). Pour se défendre contre les attaques par force brute, AcademIQ applique une limitation du taux sur les tentatives de connexion.

Sécurité de l'infrastructure

Notre stratégie de sécurité de l’infrastructure est conçue pour fournir à nos équipes d’ingénierie les outils, systèmes, processus et connaissances nécessaires pour développer des solutions sécurisées et axées sur la confidentialité. L’infrastructure d’AcademIQ est entièrement basée sur le cloud, hébergée sur Microsoft Azure. Azure est conforme à un large éventail de normes de sécurité industrielles, notamment SOC 1/SSAE 16/ISAE 3402, SOC 2, PCI DSS Niveau 1, ISO 27001 et FISMA. Pour plus d’informations, consultez la documentation sur la conformité Azure sur Microsoft Learn.

Analyse des vulnérabilités

Nous utilisons des outils d’analyse de sécurité automatisés pour détecter rapidement les changements ou activités dans notre infrastructure pouvant présenter des risques. Notre équipe sécurité examine régulièrement les résultats et les priorise pour garantir des réponses appropriées et rapides.

Gestion des changements

Notre infrastructure suit un processus structuré de gestion des changements, incluant le contrôle du code source, les revues de code entre pairs, la journalisation et les alertes en cas de comportement anormal. Tous les changements en production sont déployés via un système automatisé qui surveille les problèmes de fiabilité et annule automatiquement les déploiements problématiques. Cette automatisation nous permet de déployer du code en production de manière sûre et fiable, plusieurs fois par jour.

Disponibilité et reprise après sinistre

AcademIQ maintient un temps de disponibilité de 99,9 % ou plus. Pour protéger notre infrastructure contre les attaques par déni de service (DoS) automatisées, nous avons mis en place un ensemble robuste d’outils et de pratiques. En tant que plateforme entièrement basée sur le cloud, notre stratégie de reprise après sinistre suit les bonnes pratiques de résilience d’Azure, y compris l’utilisation de plusieurs zones de disponibilité pour atténuer les risques liés aux défaillances de centres de données.

Nous effectuons régulièrement des sauvegardes sécurisées des données via notre fournisseur cloud, et les conservons uniquement aussi longtemps que nécessaire — jamais plus de 30 jours. Toutes les sauvegardes sont désactivées de manière sécurisée conformément aux protocoles du fournisseur cloud.

Chiffrement des données en stockage et en transit

AcademIQ chiffre toutes les informations personnellement identifiables (PII) en transit — en dehors de notre réseau privé — et au repos à l’intérieur de celui-ci. Nous utilisons des standards cryptographiques robustes, notamment AES-256-GCM. Notre configuration TLS pour AcademIQ.com obtient une note « A » de la part de SSL Labs, et nous appliquons le HTTPS via HTTP Strict Transport Security (HSTS) pour garantir des connexions sécurisées.

Isolement des données

AcademIQ utilise une séparation logique pour traiter les données dans un environnement multi-tenant. Les contrôles d’accès au niveau du code sont testés avant chaque déploiement en production. Le traitement des données a lieu dans des environnements conteneurisés avec un accès externe restreint. Les services utilisent des identifiants éphémères pour accéder aux bases de données, et toutes les données sont stockées exclusivement en Afrique du Sud.

Isolement du réseau

Pour protéger les services réseau, AcademIQ les déploie dans un réseau virtuel (VPC), bloquant tout le trafic externe par défaut. L’accès au réseau de production est limité au personnel autorisé, journalisé et protégé par une authentification multi-facteurs. Tous les accès au niveau système passent par un hôte bastion SSH pour renforcer la sécurité.

Journalisation

AcademIQ maintient une journalisation centralisée pour les événements et métriques liés aux produits et à l’infrastructure. Toutes les actions privilégiées au niveau système en production sont enregistrées afin d’assurer la traçabilité et la responsabilité.

Détection des menaces

Nous avons mis en place des processus de surveillance active, d’alerte et de réponse aux incidents afin de détecter et réagir à toute activité suspecte au sein de notre infrastructure.

Gestion des correctifs

Nos conteneurs, environnements d’exécution et bibliothèques sont régulièrement mis à jour vers les dernières versions prises en charge, assurant la correction rapide des vulnérabilités de sécurité.

Sécurité informatique

Nos pratiques de sécurité informatique sont conçues pour réduire la complexité et permettre aux employés de travailler en toute sécurité, sans friction. L’équipe sécurité fournit aux collaborateurs les bons outils, encourage une communication ouverte et propose des directives claires pour chaque décision liée à la sécurité.

Politiques et normes

Notre politique de sécurité de l'information est accessible via notre portail de connaissances interne. Elle comprend une norme de classification des données qui décrit les différents types de données traités par nos employés et les méthodes de protection associées à chacun.

Politiques relatives aux appareils

Tous les appareils ayant accès à des données sensibles doivent respecter nos standards de configuration, notamment le chiffrement complet du disque, le verrouillage automatique de l’écran et la possibilité d’effacement à distance. Notre politique encadre également les logiciels approuvés et les pratiques de mise à jour.

Politiques de compte

AcademIQ exige que tous les mots de passe soient générés et stockés de manière sécurisée via un gestionnaire de mots de passe, et impose l’utilisation de l’authentification à deux facteurs (2FA) pour les comptes sensibles. Des politiques d’autorisation OAuth sont en place pour les systèmes critiques tels que GSuite, ainsi que des bonnes pratiques contre le phishing. Les comptes des employés sont provisionnés et désactivés via des processus automatisés lorsque cela est possible.

Formation à la sécurité

Nous cultivons une culture axée sur la sécurité grâce à des programmes de sensibilisation continus et à la reconnaissance des comportements sécurisés. Tous les nouveaux employés doivent suivre une formation à la sécurité de l’information et consulter nos politiques de sécurité. Des sessions de formation de rappel sont régulièrement proposées afin de maintenir l’attention sur les bonnes pratiques.

AcademIQ
Powered by
Centre d'aide AcademIQFAQPolitique de confidentialitéPratiques de sécurité
© Awumba Solutions . All rights reserved