Infrastructures, politiques et pratiques de Zoho en matière de sécurité

Mise à jour: 30 mai 2018

Alors que près de 30 millions d'utilisateurs à travers le monde accèdent aux services Zoho, particuliers et entreprises de toute taille attendent de Zoho une protection des données et une sécurité à la hauteur de leurs exigences. Nous prenons la sécurité très au sérieux. Aussi, nous avons développé un ensemble complet de pratiques, de technologies et de politiques pour sécuriser vos données.

Si vous conservez actuellement vos données sur des ordinateurs personnels ou sur vos propres serveurs, il est très probable que nous puissions vous proposer un meilleur niveau de sécurité que celui dont vous disposez à cet instant.

Ce document présente certains des mécanismes et processus que nous avons mis en œuvre pour garantir la protection de vos données. Nos pratiques en matière de sécurité s'articulent autour de quatre domaines distincts : la sécurité physique, la sécurité du réseau, les processus relatifs aux ressources humaines ainsi que la redondance et la continuité des activités.

Sécurité physique

Nos centres de données sont hébergés dans des installations comptant parmi les plus sécurisées à ce jour, au sein de sites protégés contre les attaques physiques et logiques, mais aussi contre les catastrophes naturelles comme les tremblements de terre, les incendies, les inondations, etc.

  • Sécurité 7 jours sur 7, 24 heures sur 24, 365 jours par an. Les centres de données qui hébergent vos données sont gardés sept jours par semaine et 24 heures par jour toute l'année par nos agents de sécurité privés.
  • Surveillance vidéo. Tous nos centres de données sont surveillés 7 jours sur 7, 24 heures sur 24, 365 jours par an par des caméras de vision nocturne.
  • Contrôle des entrées. L'accès aux centres de données de Zoho est strictement réservé à un petit groupe de salariés autorisés.
  • Authentification biométrique à deux facteurs. L'accès à un centre de données de Zoho exige l'utilisation simultanée de deux types d'authentification, dont un dispositif biométrique.
  • Emplacements tenus secrets. Les serveurs de Zoho sont hébergés dans des sites d'aspect générique dont l'emplacement est confidentiel, réduisant ainsi les risques d'attaque.
  • Murs pare-balles. Les serveurs de Zoho sont protégés par des murs pare-balles.

Sécurité du réseau

Notre équipe de sécurité réseau et nos infrastructures protègent vos données contre les attaques électroniques les plus sophistiquées. Un sous-ensemble de nos pratiques de sécurité réseau est présenté ci-après. Celles-ci sont volontairement exposées dans les grandes lignes, car les pirates souhaitent ardemment connaître les tactiques que nous employons. Si votre organisation a besoin d'en savoir plus sur notre sécurité réseau, n'hésitez pas à nous contacter.

  • Communication sécurisée. Toutes les transmissions de données à destination des services Zoho sont chiffrées à l'aide de protocoles TLS 1.2. Nous utilisons en outre une autorité de certification SHA 256 pour garantir à nos utilisateurs une connexion sécurisée entre leurs navigateurs et notre service. Nous utilisons de puissants algorithmes de chiffrement comme des clés AES_CBC/AES_GCM 256 bits/128 bits, la fonction de hachage SHA2 pour l'authentification des messages et le mécanisme d'échange de clés ECDHE_RSA.
  • IDS/IPS. Notre réseau est protégé par de puissants systèmes de détection et de prévention des intrusions certifiés, qui filtrent les accès.
  • Contrôle et audit. Tous les accès sont contrôlés et vérifiés.
  • Système d'exploitation sécurisé et segmenté. Les applications de Zoho s'exécutent au sein d'un système d'exploitation sécurisé et segmenté conçu pour renforcer la sécurité et réduire les vulnérabilités.
  • Recherche de virus. Le trafic accédant aux serveurs de Zoho est automatiquement analysé à la recherche de virus dangereux à l'aide de protocoles d'analyse antivirus de pointe mis à jour régulièrement.

Processus relatifs aux ressources humaines

La conception et l'exploitation d'une infrastructure de centre de données requièrent à la fois des technologies appropriées et une approche disciplinée en matière de processus. Cela inclut des politiques de remontée d'information, de gestion, de partage des connaissances et de contrôle des risques, ainsi que des politiques relatives aux opérations quotidiennes. L'équipe de sécurité de Zoho compte à son actif de nombreuses années d'expérience de la conception et de la gestion de centres de données et n'a de cesse d'améliorer nos processus. Zoho a développé un ensemble de pratiques de pointe en matière de protection des données et de gestion des risques de sécurité.

  • Processus de recrutement rigoureux. L'accès aux données de nos centres de données est réservé aux salariés disposant du plus haut niveau d'accréditation. Les accès des salariés sont consignés et les mots de passe sont soumis à une réglementation très stricte. Nous limitons l'accès aux données de nos clients exclusivement aux salariés qui en ont besoin pour les aider et résoudre leurs problèmes.
  • Audits. Des audits sont réalisés régulièrement, et la totalité du processus est examinée par la direction.
  • Suivant les besoins. Les informations de nos centres de données et les données des clients sont consultées uniquement en fonction des besoins et avec l'approbation du client (par exemple, dans le cadre d'un incident nécessitant une assistance), ou par les directeurs de la sécurité à des fins de support et de maintenance.

Redondance et continuité des activités

L'un des piliers du cloud computing est la conviction que toute ressource informatique est appelée à subir des défaillances, tôt ou tard. Nous avons conçu nos systèmes et infrastructures en tenant compte de ce principe.

  • Architecture réseau distribuée. Les services Zoho s'exécutent dans une architecture réseau distribuée. Ainsi, une panne de serveur n'a aucune incidence notable sur le système ou sur nos services. De fait, chaque semaine, plusieurs serveurs tombent en panne, sans même que nos clients ne s'en aperçoivent. Nous avons conçu le système en prenant en compte le caractère inévitable des pannes de serveurs, et mis en œuvre notre architecture en conséquence.
  • Redondance de l'alimentation. Zoho configure ses serveurs de façon à assurer la redondance de l'alimentation, de la source d'alimentation à sa distribution.
  • Redondance Internet. Zoho est connecté au monde, et à vous, par l'entremise de plusieurs fournisseurs d'accès à Internet de niveau 1. Ainsi, les pannes ou retards que l'un d'entre eux peut subir n'altèrent en rien la fiabilité de votre accès aux applications et informations dont vous avez besoin.
  • Périphériques réseau redondants. Zoho s'exécute sur des périphériques réseau redondants (commutateurs, routeurs, passerelles de sécurité) pour éviter tout point de défaillance à tous les niveaux du réseau interne.
  • Contrôle de la température et refroidissement redondants. Les ressources informatiques utilisées de manière intensive génèrent beaucoup de chaleur et doivent donc être refroidies pour fonctionner correctement. Les serveurs de Zoho sont protégés par des systèmes CVC (chauffage, ventilation et climatisation) et par des dispositifs de contrôle de la température redondants N+2.
  • Mise en miroir géographique. Les données des clients sont mises en miroir dans un emplacement géographique distinct à des fins de reprise après sinistre et de continuité des activités.
  • Prévention des incendies. Les centres de données de Zoho sont protégés par des systèmes de contrôle et de prévention des incendies conformes aux normes de l'industrie.
  • Sauvegarde et protection des données. Les données des utilisateurs sont régulièrement sauvegardées sur plusieurs serveurs, ce qui permet de les protéger en cas de défaillance matérielle ou de sinistre.

Certifications de sécurité

La norme ISO/IEC 27001 est l'une des normes de sécurité internationales indépendantes les plus reconnues. Ce certificat est délivré aux organisations qui respectent les normes ISO internationales les plus strictes. Zoho a obtenu la certification ISO/IEC 27001:2013 pour ses applications, systèmes, ressources humaines, technologies et processus.

SOC 2 : Zoho est conforme à la certification SOC 2 Type II. SOC 2 est une évaluation de la conception et de l'efficacité opérationnelle des contrôles remplissant les critères des principes sur les services de confiance (« Trust Services Principles ») de l'AICPA.

Pour plus d'informations sur Zoho Compliance, veuillez consulter cette présentation.

Rapports de vulnérabilité

Zoho attache une grande importance au travail accompli par les chercheurs en sécurité afin d'améliorer la sécurité de nos offres de service, et s'engage à collaborer avec la communauté pour vérifier, reproduire et corriger les vulnérabilités légitimes signalées. Vous pouvez soumettre toutes vos questions de sécurité sur la page https://bugbounty.zoho.com/

  • bsi-assurance
  • bsi-assurance
  • TRUSTe