Nous traitons, manipulons, analysons les données les plus précieuses : les vôtres. Alors il est important pour nous de vous expliquer précisément comment nous garantissons la sécurité de vos données. Et si nos explications ne sont pas suffisantes, n’hésitez pas à nous poser des questions !
Une sécurité garantie à tous les niveaux
Les différentes problématiques liées à la sécurité et à la fiabilité sont au cœur de la stratégie de développement de Mobapi. Ces aspects ont été intégrés tout au long du processus de développement, à tous les niveaux de notre logiciel.
1/ La collecte des données
Mobapi collecte des données de deux manières :
- Directement depuis le Cloud, grâce à nos connecteurs Mobapi.COLLECT
- Depuis un agent matériel : la Mobapi.BOX (Pour plus d’informations, lisez notre article)
Mobapi.COLLECT
La collecte depuis le cloud utilise les standards de chiffrement imposés par les fournisseurs de données.
Prenons en exemple le connecteur Sigfox, qui fait la connexion entre le Cloud SIGFOX et Mobapi. Il est chiffré avec un certificat SSL/TLS (SHA-256 avec chiffrement RSA et clé de 2048 bits). Afin de vérifier sa sécurisation, cette connectivité a fait l’objet d’une certification : https://partners.sigfox.com/products/mobapi.
Le même niveau de sécurité est appliqué sur l’ensemble de nos connecteurs avec des services Cloud tiers.
Mobapi.BOX
L’agent matériel Mobapi.BOX est placé au coeur des infrastructures pour collecter les données au plus près de la source. Elles sont ensuite renvoyées vers Mobapi.CORE, notre module de traitement de données dans le Cloud.
Il cumule les qualités suivantes :
- Haute disponibilité : Mobapi.BOX est conçu pour opérer de manière autonome. Par exemple, en cas d’incident de connectivité, notre module est capable de stocker les données prélevées dans un tampon local afin de les transmettre lors du rétablissement de la connectivité.
- Non intrusivité : Mobapi.BOX ne nécessite pas de modification des équipements réseau du client car son empreinte sur le réseau est identique à celle d’un navigateur web moderne.
- Haute isolation : afin de garantir une sécurité optimale, Mobapi.BOX est isolé des réseaux publics grâce à l’utilisation d’un firewall Netfilter de dernière génération. Ce firewall est réglé afin de ne laisser passer que les communications entre l’agent Mobapi et Mobapi.CORE.
- Confidentialité des communications : toutes les communications entre Mobapi.BOX et Mobapi.CORE sont chiffrées avec un certificat SSL/TLS (SHA-256 avec chiffrement RSA et clé de 2048 bits).
2/ L’hébergement, le traitement et la mise à disposition des données
Lorsque les données arrivent sur le Cloud, il est essentiel de les stocker et de les traiter de manière sécurisée.
Nos bases de données sont opérées par Mongo Atlas, acteur historique des bases non relationnelles et hébergées dans un Cloud souverain, au sein de l’infrastructure AWS France (eu-west-3).
A noter :
- Chaque base de données est isolée dans son propre VPC et cloisonnée par client pour garantir un isolement des informations.
- Les bases sont organisées en clusters pour assurer une réplication et une haute disponibilité des données.
- L’authentification et tous les échanges entre les unités de traitement de Mobapi.CORE et les bases de données sont encryptés avec un certificat SSL/TLS.
- Le stockage des données est protégé par du « chiffrement au repos » (« Encryption at rest »). Il utilise AES256-CBC (Advanced Encryption Standard en mode Cipher Block Chaining avec une clé de 256 bits) via OpenSSL.
- Enfin, chaque base est associée à un double mécanisme de sauvegarde : sauvegardes incrémentales au fil de l’eau et sauvegardes complètes chaque jour.
Plus de détails sur MongoDB : https://www.mongodb.com/cloud/atlas/faq#security.
Le traitement
Mobapi.CORE est architecturé sur un modèle micro-services (serveurs sans état) basé sur Docker. Chaque service est surveillé et tout éventuel dysfonctionnement lève une alerte et entraine le redémarrage automatique du service en question. L’architecture Docker associée à l’infrastructure AWS garantit une disponibilité maximale. Les micro-services sont installés selon une architecture « élastique » et leur quantité peut être ajustée automatiquement pour faire face à une augmentation exceptionnelle des ressources liées au traitement des données.
L’ensemble des micro-services est isolé dans un VPC (réseau privé virtuel). Les instances qu’il héberge sont sécurisées par un accès SSH (clé privée de 2048 bits). Chaque instance est également protégée par un firewall afin de n’ouvrir que le strict minimum en termes de services accessibles.
Le SLA (Service Level Agreement) de Amazon Web Service garantit une disponibilité mensuelle des serveurs d’au moins 99,99%.
Pour plus d’informations sur Amazon Web Service https://aws.amazon.com/fr/compliance/programs/
La mise à disposition des données
Les données stockées dans Mobapi.CORE sont ensuite mises à disposition via des API web sécurisées :
- Chiffrement TLS/SSL (SHA-256 avec chiffrement RSA et clé de 2048 bits)
- Authentification par couple nom d’utilisateur / mot de passe
Ces API peuvent être consommées par différents systèmes, par exemple des systèmes d’alertes ou bien un tableau de bord de suivi sous la forme d’une application web.
Les applications web fournies par Mobapi sont basées sur la couche technique appelée Mobapi.VISION. Tous les échangesentre l’application web et Mobapi.CORE se font par les API mises à disposition par Mobapi.CORE. Ces API utilisent le standard de chiffrement TLS/SSL (SHA-256 avec chiffrement RSA et clé de 2048 bits) permettant la confidentialité des échanges.
L’accès sécurisé des utilisateurs aux applications web Mobapi.VISION est basé sur :
- Le hachage du mot de passe à l’aide de la fonction bcrypt utilisée avec un grand nombre d’itérations
- La confidentialité des échanges par chiffrement TLS/SSL
- Le chiffrement au repos (« encryption at rest ») des bases MongoDB