Solution Properties
Solution ID:
220713161417090
Last Modified Date:
Tue Aug 16 08:32:49 UTC 2022
Taxonomy Path:
Case category//I have a problem with...//data corruption
Author:
[email protected]
Foire aux questions Sécurité
Description
Cause
Resolution

Table des matières


Authentification et Gestion des accès


Quel est le système d’authentification utilisé ?

Le système d’authentification utilisé est Sage ID.

Sage ID est le système d’authentification du groupe Sage, basé sur le standard OAuth 2.0. Voir le Centre d’aide dédié Compte Sage ID pour plus d’informations.


L’authentification multi-facteurs est-elle disponible ?

Oui, il est possible d’activer l’authentification multi-facteurs, en paramétrant votre compte Sage ID.

Le lien permettant de configurer votre compte Sage ID est disponible depuis le portail Sage 100 Hébergée/SPC (menu Mon profil/Modifier mes options de sécurité Sage ID).


Le client est-il responsable de l'administration de l'accès des utilisateurs (attribution/révocation de l'accès, etc.) ?

Oui, le client est responsable de l’administration des accès des utilisateurs.

L’administration des utilisateurs et de leurs droits se fait à travers le portail SPP http://www.sageerponlineservices.com et sur le portail Online https://www.sageonline.fr pour les droits d’accès par société.


Accessibilité de l’application

Est-il possible de restreindre l’accès aux applications Sage 100 Hébergée/SPC par la mise en place d’un filtrage d’adresses IP ou par un certificat ?

Non, le portail Sage 100 Hébergée/SPC est un portail public, commun à tous nos utilisateurs et disponible depuis toutes les régions du monde. Il n’y a donc pas de restriction d’adresses IP pour l’accès au Portail.


L’application est-elle accessible à partir d’appareils mobiles ?

Oui, l'application Web est conçue pour être accessible à partir d'appareils mobiles, tablettes, etc. La seule condition est que votre navigateur soit compatible Html5 et supporte le protocole Secure Websocket.


RGPD

L'accès aux données à caractère sensible/personnel est restreint aux seules personnes habilitées?

Les collaborateurs Sage ne peuvent accéder aux données des clients que si ces derniers donnent explicitement leur accord via le portail SPP http://www.sageerponlineservices.com. L’accès des collaborateurs Sage est automatiquement révoqué au bout de 24h.

  • Sage 100 Hébergée : Les collaborateurs en charge de l'infrastructure (équipe Anglaise dédiée) peuvent avoir accès à la base de données et aux backups.
  • Sage 100 SPC : Les collaborateurs en charge de l'infrastructure (équipe Anglaise dédiée) n’ont pas accès à la base de données. Le partenaire, propriétaire de la souscription, à un accès total aux données.


L'accès aux données personnelles/sensibles est tracé

Tous les accès aux applications et les actions d’administration sont logués dans le portail SPP http://www.sageerponlineservices.com et consultables par l'administrateur du site client.
Ces données sont stockées dans la zone Europe de l'Ouest (Dublin).


Des revues d'accès sont-elles effectuées régulièrement ? Préciser la fréquence

Sage ne contrôle pas les accès aux sites qui seraient réalisés par les clients. Chaque client a cependant la possibilité de vérifier lui même l’ensemble des accès réalisés sur son site, via l’onglet audit sur le portail SPP http://www.sageerponlineservices.com .

Sage contrôle uniquement les accès aux sites qui sont réalisés par ses collaborateurs, afin de s’assurer que ces accès soient bien effectués dans le cadre de la mission d’assistance des collaborateurs. Ces contrôles sont réalisés une fois par mois.


L'accès physique au serveur stockant les données est-il sécurisé ? Son accès est-il restreint aux seules personnes habilitées (administrateurs) ? Si les données sont stockées/sauvegardées dans le Cloud : le fournisseur garantit-il un stockage en France/UE ?

La solution Sage 100 Hébergée/SPC est hébergée sur la plateforme Microsoft Azure.
Plateforme Microsoft Azure garantie toutes ces conditions. Elle est certifiée ISO 27001, ISO 27018, SOC 1, SOC 2, SOC3, FedRAMP, HITRUST, MTCS, IRAP et ENS.

Aucun collaborateur de Sage n'a un accès physique à la plateforme Azure.


Les collaborateurs sont-ils sensibilisés aux bonnes pratiques liées à la consultation/traitement de données sensibles ou personnelles ?

Chez Sage, tous les collaborateurs, quelle que soit leur position, sont formés à la protection des données et aux bonnes pratiques de sécurité. Cette formation est conduite régulièrement tout au long de l’année par une formation continue obligatoire.


Existe-il une procédure de notification en cas de perte/violation de données personnelles/sensibles?

Oui, se référer aux Conditions générales d'utilisation / Annexe 13 - Article 3 - Nos engagements :
https://www.sage.com/fr-fr/-/media/files/sagedotcom/france/documents/pdf/conditions-generales/cg-licence-et-maintenance-sage.pdf?la=fr-fr" 


Politique de sauvegarde ou backup

Quelle est la politique de backup des bases de données ?

Des sauvegardes automatiques des bases de données sont effectuées selon la fréquence suivante :

  • 7 sauvegardes quotidiennes, effectuées chaque nuit (persistance 7 jours),
  • 1 sauvegarde mensuelle (persistance 1 mois)
  • 1 sauvegarde annuelle (persistance 1 an)

A partir de Sage Provisioning Portal, l’utilisateur a la possibilité de :

  • voir les sauvegardes automatiques réalisées
  • conserver manuellement dans le Portali jusqu’à 5 sauvegardes
  • télécharger les sauvegardes sélectionnées pour les conserver sur un autre support. Nous recommandons au Client de le faire régulièrement.

NOTE: avant une mise à jour des applications métiers, une sauvegarde des données est systématiquement opérée. 


Prévention des menaces

Les données au repos et en transit sont elles chiffrées ?

Les données au repos sont chiffrées avec Transparent Data Encryption (TDE), qui est activé par défaut par Microsoft lors de la création d’une nouvelle base de données.

Les données en transit sont chiffrées avec le protocole TLS 1.2, et les chaines de connexion aux bases de données Azure, utilisées par les applications Sage, respectent les recommandations de Microsoft (attributs encrypt=true et trustservercertificate=false présents systématiquement dans les chaînes de connexion).


Avons-nous accès aux rapports de journalisation (par exemple, les échecs de connexion) ?

L’administrateur du site client a accès aux logs d’audit depuis le portail SPP http://www.sageerponlineservices.com .

Les échecs de connexion sont gérées au niveau du service d’authentification Sage ID. Ces logs ne sont pas publics.


La solution a-t-elle été soumise à des tests d'intrusion ou à d'autres évaluations ?

La solution Sage 100 Hébergée/SPC est soumise à un test d’intrusion :

  • A minima, 1 fois par an (le dernier test d’intrusion a eu lieu fin juin 2022)
  • Lors de l’ajout de nouvelles fonctionnalités pouvant potentiellement impacter la sécurité.


La solution dispose-t-elle de certification (ex. ISO27001)

Non, la solution ne dispose pas de certification.


Le client a-t-il le droit d'auditer l’application, y compris de confier cet audit à un tiers ?

Oui, le client peut demander à auditer l’application. Cette demande sera accompagné par la signature d’une clause de confidentialité.


L'équipe de développement est-elle sensibilisée au développement d’applications sécurisées ?

Oui, l'équipe de développement est régulièrement formée sur le développement d’applications sécurisées.

Un processus de développement sécurisé des applications (SDLC) est en place pour le projet. Les Security Champions ont à charge la bonne exécution de ce process et du haut niveau de sécurité des applications.


Quels sont les composants mis en place par Sage qui permettent de protéger mon site ?

Le portail Sage 100 Hébergée/SPC est protégé par un Web Application Firewall. Ce dispositif permet de limiter les attaques potentiels que pourrait subir le portail, et de maintenir toujours à jour la liste des algorithmes sécurisés, utilisés pour la communication entre le navigateur Internet et la solution Sage 100 Hébergée/SPC.

Chaque base de données est protégée par un firewall, n’autorisant l’accès qu'à certains composants de l’infrastructure Sage 100 Hébergée/SPC ainsi que la VM du client associée à cette base de données.

Les VM de nos clients ne sont pas exposées sur Internet, sont dotées d’un antivirus et des règles de firewall limitent les flux entrant et sortant.


Processus de sortie en cas de résiliation du contrat

Pouvez-vous décrire le processus de sortie, y compris ce qui se passe si nous décidons de mettre fin au service?

Le client doit exporter le bacpac de sa base de données, via le portail SPC http://www.sageerponlineservices.com .

ATTENTION : Le Client dispose d’un délai de 60 jours pour récupérer ses données

A l'issue de cette période :

  • le site est détruit
  • le dernier backup de la base de données est conservé pendant 120 jours avant d'être supprimé définitivement
  • les autres backups de la base de données sont supprimés


Spécificités SPC

Je suis client, j’utilise BI Reporting et à ce titre, j’ai autorisé les adresses IP de mes collaborateurs afin qu’ils puissent accéder aux données. Y-a-t-il des points de vigilance particuliers ?

Il est très important de toujours maintenir à jour la liste des adresses IP des personnes autorisées à accéder à vos données. Nous vous conseillons de vérifier régulièrement cette liste, afin de vous assurer qu’elle corresponde bien aux personnes dont vous avez explicitement autorisé l’accès.

Nous vous conseillons de réinitialiser régulièrement le mot de passe “BI Reporting”, en cliquant sur le bouton “Réinitialiser” du menu “Paramètres de connexion SQL”. Les experts en sécurité préconisent de changer le mot de passe (password rotation), a minima, tous les 6 mois.

Nous vous conseillons aussi de réinitialiser le mot de passe “BI Reporting” après le départ d’un collaborateur ou dès lors que vous avez un doute sur un accès non autorisé à vos données.

Le mot de passe “BI Reporting” généré respecte les préconisations de l’OWASP, c’est à dire que le mot de passe est généré de manière aléatoire, qu’il est composé de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, et que sa longueur est suffisamment longue.


Je suis partenaire, et mon client utilise BI Reporting. Y-a-il des points de vigilance particuliers ?

Les bases SQL Azure sont exposées dans le cloud.

Afin de protéger vos données et celles de vos clients, nous vous recommandons d’appliquer les bonnes pratiques suivantes, recommandées par Microsoft.

  • Activer Transparent Data Encryption (TDE) sur la base de données SQL Azure : TDE est activé par défaut, lors du provisioning de la base de données par SEOS.
  • Activer l’audit de la base de données SQL Azure afin de tracker et de loguer les événements de base de données : L’audit n’est pas activé par défaut, lors du provisioning de la base de données par SEOS.
  • Activer la détection des menaces afin d’être alerté en cas d’activité anormale sur la base de données: Microsoft Defender for SQL n’est pas activé par défaut, mais il est possible d’activer la détection des menaces au niveau de la souscription, afin d’auditer l’ensemble des ressources, et pas uniquement les bases de données.
  • Activer SQL Vulnerability Assessment afin d’identifier les vulnérabilités de la base de données: SQL Vulnerability Assessment n’est pas activé par défaut, mais il est possible d’activer Vulnerability Assesment au niveau de la souscription, afin d’auditer l’ensemble des ressources, et pas uniquement les bases de données.

Pour tout complément d’information, se référer à la documentation officielle de Microsoft:

https://docs.microsoft.com/fr-fr/azure/azure-sql/database/security-overview?view=azuresql 
https://docs.microsoft.com/fr-fr/azure/azure-sql/database/sql-vulnerability-assessment?view=azuresql&tabs=azure-powershell 

Steps to duplicate
Related Solutions