Sécurité

Chez Callbell, notre ambition est d’aider les entreprises à travailler plus intelligemment. Mais cela est impossible à réaliser si notre logiciel ne constitue pas un endroit sécurisé et digne de confiance pour stocker des données. C’est la raison pour laquelle la sécurité des données est pour nous une priorité absolue. Dans un objectif de transparence, voici une liste des mesures que nous mettons en place pour maintenir vos données sécurisées et disponibles 24h/24 et 7j/7.

  1. Disponibilité

Callbell sera-t-il disponible tout le temps?

Callbell s’efforce de maintenir un temps de disponibilité de 99,9 %, et nous utilisons plusieurs services pour surveiller le fonctionnement et la disponibilité de notre site. En cas d’indisponibilité ou d’urgence, notre équipe reçoit des notifications en temps réel, ce qui nous permet d’agir rapidement.

Et si quelque chose ne fonctionne pas?

Dans les rares cas où des problèmes se produisent, nous vous tiendrons informés en continu sur notre page de statutet par des notifications dans notre application. Nous ferons tout ce qui est en notre pouvoir pour résoudre le problème dès que nous le pourrons.


  1. Mesures de sécurité

Cryptage des données en transit

Tout le trafic vers Callbell emprunte une connexion cryptée SSL, et nous acceptons uniquement le trafic sur le port 443. Un rapport de notre configuration SSL peut être consultéici.

Lors de la première visite de notre site web, Callbell envoie un Strict Transport Security Header (HSTS) à l’agent utilisateur, pour garantir que toutes les demandes futures seront effectuées via HTTPS. Ce sera le cas même si un lien vers Callbell indique HTTP.

Les pratiques de sécurité de AWS

Callbell utilise Amazon Web Services (AWS) pour stocker les données de ses utilisateurs. Leurs serveurs sont régulièrement évalués pour assurer leur conformité avec les dernières normes du secteur, pour une gestion permanente des risques associés. En utilisant AWS comme centre de données, notre infrastructure est accréditée par:

  • ISO 27001
  • SOC 1 et SOC 2/SSAE 16/ISAE 3402 (anciennement SAS 70 Type II)

  • PCI Niveau 1
  • C5 Operational Security
  • ENS High

  • IT-Grundschutz

Vous pouvez consulter plus d’informations sur la sécurité chez AWSici.

Politique concernant les mots de passe et leur stockage

Pour accéder à Callbell, vous devez fournir un mot de passe complexe d’au moins 6 caractères. Nous ne stockons pas ces mots de passe utilisateurs en texte brut, nous stockons seulement des hachages de mots de passe cryptés à sens unique avec Bcrypt, audité open source, qui effectue un salt aléatoire par utilisateur. Ceci protège les utilisateurs contre les attaques des tables arc-en-ciel et le recoupement de mots de passe cryptés.

Si un utilisateur entre des mots de passe incorrects plusieurs fois à la suite, son compte sera temporairement verrouillé pour empêcher les attaques en force brute. Pour protéger davantage l’accès à leur compte, les utilisateurs peuvent activer l’authentification à deux facteurs en utilisant Google Authenticator ou Authy via les paramètres de sécurité de leur compte utilisateur.

Limitation et traçage des demandes

Nous bloquons les demandes en provenance d’adresses ou de plages d’adresses IP connues ou vulnérables.

Nous limitons le nombre et le débit des demandes qui proviennent de la même adresse IP afin d’éviter tout mauvais usage potentiel.

Protection XSS et CSRF

Pour bloquer les attaques de type cross-site scripting (XSS), toute sortie est dirigée par défaut dans notre application back-end avant de toucher le navigateur qui provoque potentiellement des attaques XSS. Nous évitons d’utiliser les données brutes de retour, car cela pourrait potentiellement provoquer une transmission de données indésirables au navigateur.

Notre application bloque les demandes qui ne proviennent pas de notre ou nos propre(s) domaine(s), afin d’aider à réduire le risque de falsification de requête inter-site (CSRF pour Cross Site Request Forgery). Pour les actions importantes, nous utilisons également des tokens CSRF.

Pour finir, nous avons mis en place l’en-tête HTTP Content Security Policy (CSP), qui gère une liste de ressources (javascripts, images, feuilles de style, etc.) que le navigateur de l’utilisateur pourra autoriser à charger et à exécuter. Un en-tête CSP correctement mis en place neutralise tout javascript malveillant (attaques XSS), les fichiers créés sous forme d’images, et les attaques similaires qui se basent sur la confiance du navigateur dans les ressources utilisées.

Programme de piratage éthique

Nous avons mis en place un programme de piratage éthique en étroite collaboration avecIntigriti.com. Au moment où nous parlons, un groupe de spécialistes indépendants en sécurité testent la sécurité de notre application en continu, ce qui nous aide à repérer et à éliminer les faiblesses potentielles.

Organisation

Notre équipe utilise des mots de passe complexes et uniques pour les comptes Callbell, et a mis en place une authentification à deux facteurs pour chaque appareil et chaque service utilisé. Tous les collaborateurs de Callbell sont encouragés à utiliser un logiciel générateur de mots de passe (LastPass, 1Password…) pour générer et stocker des mots de passe complexes.

Nous nous assurons également de crypter nos disques durs locaux et d’activer le verrouillage automatique de nos écrans. Seul un groupe restreint de personnes a accès aux fonctionnalités administrateur de notre application.

  1. Assurance qualité

Revues de code

Nous avons mis en place des revues de code systématiques pour tout changement apporté à notre code de base, pour nous assurer que les meilleures pratiques de développement sont déployées lors de toutes nos mises à jour de code.

Divulgation des vulnérabilités

Depuis le lancement de Callbell, nous avons invité tous nos utilisateurs à nous informer des problèmes qu’ils rencontrent dans notre application pour pouvoir rendre notre plate-forme toujours plus sécurisée et plus fiable. Tous les rapports de vulnérabilité soumis sont lus, traités et reçoivent une réponse dans les plus brefs délais.