Close

Framework de contrôles communs Atlassian


Comme c'est le cas pour de nombreuses entreprises, Atlassian doit se soumettre à un certain nombre de normes de contrôle internationales qui s'appliquent au développement de produits et aux environnements opérationnels. Nous avons décidé d'évaluer le chevauchement entre bon nombre de ces normes indépendantes afin de nous assurer d'avoir une vue synthétique de ces normes applicables à nos environnements internes. Notre plateforme d'hébergement dans le cloud constitue l'environnement principal dans lequel nous suivons ces normes, et nous comprenons que nous devons prouver que nous prenons les mesures appropriées pour protéger nos clients et leurs données. Cependant, toutes les normes ne sont pas applicables à tous les environnements. Par exemple, la loi Sarbanes-Oxley (SOX) se concentre sur les systèmes qui sous-tendent nos rapports financiers, pour lesquels nos services cloud sont, au mieux, secondaires. Examinons les normes que nous évaluons et pourquoi.

Normes internationales applicables

Voici une liste des normes que nous avons intégrées à notre framework interne de contrôles communs :

Standard

Sponsor

ISO 27001

Organisation internationale de normalisation

ISO 27002

Organisation internationale de normalisation

ISO 27018

Organisation internationale de normalisation

SOC2

American Institute of Certified Public Accountants (AICPA)

NIST SP 800.53 rév. 4

National Institute of Standards and Technology (NIST)

FedRAMP

Gouvernement fédéral des États-Unis

CSA CCM

Cloud Security Alliance

HIPAA

Gouvernement fédéral des États-Unis

SOX 404 (IT)

Gouvernement fédéral des États-Unis

PCI DSS

Conseil des normes de sécurité PCI

Framework de contrôles communs

Comme vous pouvez le voir dans le tableau ci-dessus, il existe des exigences différentes et disparates, beaucoup étant appliquées aux mêmes environnements, systèmes ou équipes. Afin de mieux comprendre le chevauchement et les similitudes entre beaucoup de ces normes applicables à nos équipes, nous avons évalué chacune des exigences en matière de contrôle et déterminé les chevauchements (les situations dans lesquelles chacune des normes évaluait le même domaine). En conséquence de quoi, nous avons élaboré un framework de contrôles communs facilement mappable à chacune des normes.

Conclusion

Le framework de contrôles communs d'Atlassian a joué un rôle essentiel pour permettre à nos équipes d'adopter la mentalité « évaluer plusieurs fois, exécuter une fois ». Au lieu de demander à plusieurs équipes différentes, à plusieurs reprises, nous avons tiré parti de ce framework efficace pour définir les domaines dans lesquels nous allions mettre en place et appliquer des contrôles, afin que toute l'entreprise puisse comprendre les exigences et la performance collective de chaque composante de notre organisation pour inspirer confiance à tous nos clients.