Depuis nos débuts, nous faisons tout pour que notre plateforme de services de contenu réponde aux normes et protocoles de sécurité les plus stricts. Ces deux dernières années, nous avons redoublé d’efforts, multipliant les investissements pour assurer la sécurité de la plateforme Nuxeo tout en proposant le niveau de performance auquel nos clients s’attendent.

Lorsque j’ai accepté le rôle de responsable de la sécurité chez Nuxeo en 2017, ma première mission a été de m’assurer que les processus en place nous permettaient de comprendre autant que possible la nature du contenu, son importance et la façon dont il est géré dans la plateforme Nuxeo. Et cette base nous permet de répondre plus efficacement aux failles de sécurité éventuelles.

Connectivité et mises à jour réseau

Nuxeo dispose de bureaux en Amérique du Nord, Europe et Asie, et un grand nombre de nos collaborateurs travaillent à distance. Nous avons décidé d’unifier notre approche de la gestion des équipements et de créer des réseaux VPN pour plus de transparence. Nous avons également ajouté une connexion à un VPC sur AWS afin d’assurer un accès à nos services internes à partir de n’importe quel bureau, tout en profitant des avantages de l’architecture AWS.

SSO

À mesure que nous évoluons, nous déployons de nouveaux systèmes et outils. Cela signifie que nous avons des besoins accrus en matière de sécurité.

Nous avons donc installé un nouveau service AWS Directory et déployé un ActiveDirectory complet. Nous avons également déployé des serveurs Radius afin de nous connecter au Wi-Fi via WPA Enterprise, ce qui nous permet de mieux suivre l’utilisation de nos réseaux et d’améliorer nos capacités d’analyse. Par ailleurs, nous avons connecté Okta à notre nouveau ActiveDirectory. Une authentification unique est désormais déployée sur la majorité de nos applications.

AWS

Nous avons créé une organisation rassemblant tous nos comptes AWS. À l’aide d’un outil que nous avons développé (Ivoryshield), nous avons ajouté AWS CloudTrail à chaque compte, et tous les événements sont désormais traités en quelques minutes, conformément à nos politiques de sécurité. Le point fort d’AWS est sa capacité à générer un événement pour chaque action, ce qui permet d’appliquer des niveaux de contrôle plus fins et compatibles avec des scripts automatisés.

L’importance de l’automatisation

Nous avons ajouté de nouveaux « runbooks » à plusieurs de nos services, ce qui nous permet d’enregistrer toutes les actions via CloudTrail et de nous assurer que chaque membre de l’équipe réalise les mêmes actions dans le même ordre. Un processus scanne également les vulnérabilités de nos environnements.

Améliorations continues

Nos équipes sécurité, production et développement s’efforcent d’assurer la conformité de la plateforme Nuxeo avec les protocoles de sécurité les plus stricts.

Garantir une sécurité avancée requiert de la vigilance et des améliorations continues, et nous avons défini des objectifs de sécurité pour y parvenir. Voici quelques-uns de ces objectifs :

  • Cryptage REST — Nous avons automatisé le cryptage des buckets S3.
  • Antivirus — Nous avons déployé la solution Cylance sur l’ensemble de nos serveurs.
  • Déploiement WAF — Nous avons déployé AWS WAF et AWS Shield Advanced.
  • IDS — Nous avons déployé Threat Stack sur tous nos serveurs, augmentant progressivement le nombre d’alertes afin d’atteindre un résultat acceptable.

Nuxeo Security

Audit et analyse des résultats

Nous avons commencé un processus d’audit fin 2018 et nous utilisons les résultats pour orienter nos efforts afin de mieux protéger et sécuriser le contenu et les données stockés dans notre plateforme.

L’équipe sécurité de Nuxeo a créé un système de jetons automatisant la validation des règles de sécurité au sein de notre environnement. En conséquence, nous bénéficions d’une précision et d’une efficacité accrues dans l’application de contrôles d’accès et autres règles de sécurité à des groupes de travail spécifiques (par exemple, l’équipe « sécurité »).

Par ailleurs… nous sommes ravis d’annoncer que nous avons obtenu la certification PCI/DSS!

Et ensuite ?

Pas de temps mort. Nous avons déjà commencé notre audit SOC2. Nous allons continuer à multiplier les certifications, car nous savons que notre engagement à proposer le plus haut degré de sécurité possible vous aidera à faire confiance à notre produit.

De nouveaux articles sur ce sujet arrivent prochainement, notamment sur l’automatisation de nos processus de sécurité et notre système de jetons avec IvoryShield.