Close

Notre approche en matière de tests de sécurité externes


Bienvenue sur notre hub de tests de sécurité, conçu pour vous fournir des informations complètes sur les initiatives de test de sécurité implémentées par Atlassian pour garantir la sûreté et la protection de nos produits et de nos précieux clients.

Vous cherchez quelque chose en particulier ? Accélérez votre recherche en utilisant l'un des liens ci-dessous, ou poursuivez votre lecture pour en savoir plus sur le programme de tests de sécurité externe d'Atlassian.

Atlassian adopte une approche multidimensionnelle pour garantir la sécurité externe de ses produits. Nous avons un modèle de tests en continu qui repose sur un programme Bug Bounty public, complété par des tests d'intrusion réguliers réalisés par des sociétés de conseil en sécurité externes et notre équipe interne de tests de sécurité.

Notre philosophie et notre approche

Chez Atlassian, nous sommes bien connus pour nos valeurs, qui influencent véritablement toutes nos actions, y compris notre approche des tests de sécurité. Dans la pratique, nos valeurs nous ont conduits à adopter les philosophies et approches suivantes :

  • Les bugs font inévitablement partie du processus de développement. La question n'est pas de savoir si nous en rencontrons, mais si nous sommes capables de les identifier et de les résoudre de façon efficace et rapide. Cela ne signifie pas pour autant que nous aimons les bugs ou que nous ne cherchons pas en permanence des moyens innovants pour réduire leur fréquence et leur gravité, mais quand il est question de bugs logiciels, le déni n'est pas une approche efficace.
  • Nous prenons en charge et appliquons les normes du secteur. En standardisant notre terminologie et notre approche, nous avons la certitude de couvrir tous les points et nous aidons nos clients à comprendre ce que nous faisons, et pourquoi. Par exemple, les évaluations standard des vulnérabilités à l'aide du système CVSS (Common Vulnerability Scoring System) garantissent une certaine clarté entre nos clients et nous-mêmes quant à la gravité d'une vulnérabilité donnée. Nous appliquons également les processus de gestion des vulnérabilités décrits dans la norme ISO 27001 et dans le programme CSA (Cloud Security Alliance).
  • Les chercheurs en sécurité et les personnes réalisant des tests d'intrusion tiers constituent un complément précieux pour notre équipe. Si un produit Atlassian présente une vulnérabilité, il en va de l'intérêt de tous (tant du nôtre que de celui de nos clients) de l'identifier et de la corriger aussi rapidement que possible.
    • Atlassian fait appel à des personnes réalisant des tests d'intrusion tiers indépendants pour détecter les failles de sécurité de nos produits chaque année et compléter notre équipe de sécurité interne pour les missions nécessitant des compétences hautement spécialisées.
    • Atlassian incite également les chercheurs externes à identifier les vulnérabilités dans ses produits grâce à des primes en espèces dans le cadre de son programme Bug Bounty.Avec leur aide, nous sommes en mesure de faire évoluer notre équipe bien au-delà des approches traditionnelles !
  • Nous faisons preuve d'ouverture et de transparence en ce qui concerne notre programme de tests de sécurité. Nous fournissons des lettres d'évaluation (LoA) pour les tests d'intrusion effectués sur nos produits et des statistiques sur les bugs découverts dans le cadre de notre programme Bug Bounty ci-dessous.

Assurance sécurité continue

Tests d'intrusion

Nous faisons appel à des sociétés de services de sécurité spécialisées pour effectuer les tests d'intrusion dans nos produits et autres systèmes. En outre, nous avons une équipe interne de tests de sécurité qui travaille en collaboration avec des consultants tiers pour garantir la sécurité technique des projets hautement prioritaires, par exemple pour une nouvelle fonctionnalité de produit (p. ex., Tableaux blancs Confluence), la configuration d'une nouvelle infrastructure (p. ex., notre environnement FedRAMP) ou un changement dans l'architecture (p. ex., nouvelle exécution Forge).

Dans ces cas, notre approche des tests d'intrusion est ciblée. Voici la liste des tests que nous menons :

  • Boîte blanche : les testeurs reçoivent de la documentation sur la conception de nos produits et sont briefés par nos ingénieurs produit pour les aider dans leurs tests. Ils auront également les moyens de les contacter pour toute question lors de l'engagement afin de les aider dans leurs tests.
  • Approche assistée par le code : les testeurs disposent d'un accès total à la base de code pertinente pour les aider à diagnostiquer les comportements inattendus du système durant les tests et à identifier les cibles potentielles.
  • Approche basée sur la menace : les tests se concentrent sur un scénario de menace donné, comme l'existence supposée d'une instance compromise, et évaluent les mouvements latéraux possibles à partir de ce point.
  • Axé sur la méthodologie : les testeurs utilisent une gamme de tests sur boîte blanche personnalisés basés sur des méthodologies reconnues par le secteur, telles que l'Open Web Application Security Project (OWASP). Cela garantit que les tests prennent en compte les menaces propres à l'infrastructure et aux technologies d'Atlassian.

Nous publions des lettres d'évaluation (LoA) de nos partenaires réalisant les tests d'intrusion. Celles-ci sont disponibles au bas de cette page pour une utilisation externe.En raison de l'exhaustivité des informations internes mises à la disposition des testeurs pour mener ces évaluations, nous ne fournissons pas les rapports complets. La majorité de ces systèmes et produits seront inclus à notre programme Bug Bounty public, offrant ainsi une garantie externe continue. Tous les résultats de ces évaluations seront triés et corrigés selon notre SLO public pour les failles de sécurité.

Programme Bug Bounty

Notre programme Bug Bounty est hébergé par Bugcrowd. Il s'assure que nos produits sont constamment testés afin d'identifier d'éventuelles failles de sécurité.

Nous pensons que les nombreux chercheurs en sécurité indépendants qui participent à notre programme Bug Bounty contribuent à un processus externe efficace, car :

  • Un programme Bug Bounty est toujours disponible. Des tests continus sont indispensables pour créer un environnement de développement vraiment Agile où les livraisons sont fréquentes.
  • Un programme Bug Bounty implique plus de 60 000 chercheurs potentiels. Cela assure une capacité globale élevée de compétences aux chercheurs pour réaliser l'assurance technique.
  • Les chercheurs participant au programme Bug Bounty développent des outils spécialisés et procèdent de façon verticale (types de bug spécifiques) et horizontale (primes spécifiques). Cette spécialisation offre la plus grande chance d'identifier les failles cachées, mais importantes.

Plus de 25 de nos produits ou environnements (qu'il s'agisse de nos produits Server ou Cloud, ou encore de nos apps mobiles) entrent dans le champ d'application de notre programme Bug Bounty. Tous les détails relatifs au nombre de vulnérabilités signalées, à notre temps de réponse moyen et à notre rémunération moyenne sont inclus sur le site Bugcrowd, et plus de 2 800 chercheurs se sont spécifiquement inscrits à notre programme.

Parmi les failles que nous cherchons à identifier grâce à notre programme Bug Bounty figurent les types communs répertoriés dans les listes de menaces OWASP (Open Web Application Security Project) et WASC (Web Application Security Consortium),

Dans le cadre de nos efforts d'ouverture et de transparence, nous invitons toute personne intéressée à consulter la page dédiée à notre programme Bug Bounty, à s'inscrire au programme et à nous tester.

Apps du Marketplace

Elles sont couvertes dans des programmes Bug Bounty distincts hébergés par Atlassian, comme le Vulnerability Disclosure Program et le programme Bug Bounty pour les apps développées par Atlassian.

Tests à l'initiative du client

Nous autorisons les tests à l'initiative du client conformément aux conditions d'utilisation de nos produits Cloud. Nous nous engageons à être ouverts et à publier régulièrement les statistiques de notre programme Bug Bounty.

Nous pensons que notre programme Bug Bounty constitue une approche plus efficace et plus économique pour évaluer la sécurité de nos produits et services, mais nous comprenons que vous puissiez vouloir tester la sécurité par vous-même. Nous autorisons les clients à effectuer des évaluations de sécurité (tests d'intrusion, évaluations des vulnérabilités) et nous vous demandons de suivre quelques règles pour assurer notre sécurité à tous.

Signalement des failles

Si vous trouvez un problème que vous souhaitez signaler à Atlassian, veuillez consulter nos instructions sur le signalement d'une vulnérabilité.

Chez Atlassian, l'une de nos valeurs est « Oui à la transparence, non au baratin » et nous sommes convaincus que la divulgation des vulnérabilités en fait partie. Notre but est de corriger les failles de sécurité dans le cadre des objectifs de niveau de service (SLO) pertinents. Nous acceptons les demandes de divulgation effectuées par l'intermédiaire de nos programmes Bug Bounty une fois qu'un problème a été résolu et livré en production. Cependant, si le rapport contient des données client, la demande sera rejetée. Si vous prévoyez une divulgation en dehors de nos programmes Bug Bounty, nous vous demandons de nous en informer dans un délai raisonnable et d'attendre que le SLO associé soit terminé.

Exclusions de notre programme de tests de sécurité

Nous sommes ouverts et transparents quant aux tests que nous menons. Nous suivons également cette approche pour les tests que nous ne réalisons pas nous-mêmes ou que nous ne prenons pas actuellement en charge. Certains types de vulnérabilités à faible risque, notamment liées à l'énumération et à la collecte d'informations ne sont généralement pas considérées comme présentant un risque important

Mesurer les bons facteurs

Notre politique de correction des bugs de sécurité indique les délais des objectifs de niveau de service (SLO) pour corriger les vulnérabilités en fonction de la gravité ainsi que du produit. Lorsque nous évaluons les vulnérabilités, nous utilisons le système CVSS (Common Vulnerability Scoring System), qui nous permet de communiquer la gravité des vulnérabilités à nos clients.

En résumé

Le programme Bug Bounty public d'Atlassian, les services de conseil externes en sécurité et notre équipe interne de test de sécurité forment un modèle complet, mature et transparent. Cela garantit que nos produits et plateformes sont constamment testés et sécurisés, offrant ainsi une assurance continue à nos clients.

Téléchargez les derniers rapports Bug Bounty

Toute faille de sécurité identifiée dans les rapports ci-dessous est suivie dans notre instance Jira interne à mesure qu'elle est réceptionnée dans le processus Bug Bounty. Toutes les découvertes faites dans le cadre du programme sont triées et corrigées conformément à notre SLO public pour les failles de sécurité.

Téléchargez le rapport annuel Bug Bounty

Outre nos mises à jour trimestrielles sur les Bug Bounty, nous publions également un rapport annuel sur nos programmes Bug Bounty. Ce rapport donne à nos clients un aperçu de la progression du programme et fournit des informations détaillées sur les types de vulnérabilités découvertes.

Téléchargez les lettres d'évaluation (LoA)

Toutes les failles de sécurité identifiées dans les rapports ci-dessous sont suivies dans notre instance Jira interne lors du processus de signalement des tests d'intrusion. Tous les résultats de ces évaluations seront triés et corrigés selon notre SLO public pour les failles de sécurité.