Centre de sécurité

Version 1.1. 2018-03-16

 

1. Introduction

Traditionnellement, la modélisation de l’information du bâtiment (BIM) été utilisée localement en général sur un seul ordinateur. La globalisation et l’apparition des services Clouds, facilitent  les échanges de connaissances et d’informations. La valeur ajoutée apportée par l’adoption des nouvelles technologies de réseaux n’est passée inaperçue dans aucun domaine.

 

Trimble, éditeur des logiciels Tekla, a su saisir les opportunités créees par internet et œuvre dans ce sens. L’équipe Tekla Online Services se concentre sur la création et la maintenance de services et plateformes d’échanges en ligne, réelle valeur ajoutée pour les utilisateurs Tekla, tel le Tekla Model Sharing pour le partage des modèles ou le Tekla User assistance pour la collaboration.

Les services en ligne sur lesquels nous nous concentrons ici sont Tekla Account et Tekla Online Admin Tool, Tekla Model Sharing, Tekla User Assistance, Tekla Warehouse, Tekla Forum, Tekla Downloads, Tekla Campus et Tekla Developer Center.

 

Le présent document traite de certains des sujets relatifs à la sécurité et à la protection de la vie privée qui sont importants pour nos clients.

Les processus et les organisations liées à la sécurité et la protection de la vie privée suivent les meilleures pratiques de la norme ISO 27001. De plus, de nombreuses exigences de sécurité sont alignées sur les normes de l'industrie telles que BSIMM et OWASP ASVS. Nous nous engageons également à mettre en place une législation complète en matière de GDPR.

 

2. Services en ligne Tekla

2.1 Information

De par leur conception, la plupart des services en ligne de Tekla ne partagent pas de données entre eux. Les données, comme les modèles stockés dans un service, ne sont pas disponibles pour les autres services. La seule exception à cette règle est le compte Tekla qui est utilisé pour l'authentification dans tous les services : il fournit les informations d'identité nécessaires pour les services.

 

Les informations que nos clients stockent dans les Services en ligne Tekla peuvent être divisées en trois catégories principales :

Information Catégorie
Les modèles créés par les clients à l'aide de Tekla Structures (Modèles)

Les modèles sont les actifs commerciaux les plus précieux que nos clients stockent dans les services en ligne.

Les renseignements personnels identifiables (RPI)/

Renseignements personnels identifiables (RPI) sont toutes les données qui peuvent potentiellement identifier une personne en particulier.

Autres contenus créés par les clients au sein des services (Autres Contenus)

En plus des modèles, d'autres contenus tels que les discussions de support ou les fichiers doivent être protégés au sein des services.

 

2.2 Services et Classification

Lors de la conception du portefeuille de services en ligne de Tekla, l'un des principes de conception consiste à stocker la quantité minimale d'informations nécessaires au fonctionnement de chaque service. Trimble reconnaît la valeur des données des clients et souhaite minimiser les risques liés aux incidents de sécurité et à toute mauvaise utilisation potentielle des données.

Les services en ligne Tekla peuvent être classés en fonction du type de données qu'ils traitent.

Classification Service Services Rationale
Crtitique Tekla Model Sharing Contient tous les modèles Tekla Structures partagés à l'aide de Tekla Model Sharing.
Crtitique Tekla Account Contient les IIP sur les utilisateurs et les rôles utilisateurs utilisés pour l'authentification.
Haut Tekla Warehouse Contient des applications et des plugins qui peuvent être directement insérés dans les modèles.
Bas Tous les autres Ne stocke que des IIP limitées provenant du compte Tekla ou d'autres contenus créés dans le système. Ne stocke pas ou n'a pas accès aux modèles.

 

Classification Explanation
Crtitique Les services qui, de par leur conception, stockent et traitent les données commerciales critiques des utilisateurs (par exemple, les modèles), ou permettraient trivialement d'y accéder en cas de piratage.
Haut Services qui ne sont pas principalement conçus pour stocker ou traiter les données commerciales critiques des utilisateurs, mais qui peuvent le faire occasionnellement en quantités limitées, par exemple à des fins d'assistance technique.
Normal Les systèmes qui ne stockent ou ne traitent en aucun cas les données commerciales critiques des utilisateurs, ou qui permettent l'accès à ces données même si elles sont compromises.

 

2.3 Stockage de l'information

Des informations spécifiques sur les informations clients stockées dans les services en ligne de Tekla ainsi que sur l'emplacement géographique des informations sont disponibles sur demande.

3. Securité

3.1 Audits de Securité

Même si  les applications ont été conçues et développées selon les meilleures pratiques de l'industrie et par des professionnels hautement qualifiés, il est toujours possible qu'il y ait eu un oubli. Avec Tekla Online Services, nous nous assurons que tous nos services sont soumis à des audits de sécurité approfondis par des testeurs de sécurité tiers. Les services sont régulièrement audités pour s'assurer que le niveau de sécurité reste élevé.

Si des problèmes de sécurité ou des pistes d'amélioration sont identifiées lors des audits de sécurité, l'équipe de Tekla évaluera ces éléments et concevra des mesures correctives efficaces. Toutes les constatations importantes en matière de sécurité sont corrigées avant que le produit ne soit déployé en production et vérifiées par les testeurs de sécurité avant d'être approuvées.d.

Tous les audits sont effectués par rapport aux cadres d'audit de sécurité standard de l'industrie et aux normes telles que la norme ASVS 3.0 de l'OWASP Foundation et les listes de problèmes de sécurité OWASP Top 10 ou OWASP Mobile Top 10 de l'OWASP, selon le cas. Toutes les questions de sécurité sont classées selon la méthode de notation CVSS qui est largement reconnue comme la norme de l'industrie.

3.2 Gestion des vulnérabilités

La gestion de la vulnérabilité consiste à s'assurer que les logiciels sont tenus à jour au fur et à mesure que de nouveaux problèmes de sécurité sont découverts par la communauté de la sécurité. Les nouveaux problèmes étant de plus en plus fréquents, il est essentiel de s'assurer que les services Internet restent sécurisés

De nombreux services en ligne de Tekla utilisent à la fois des composants et des systèmes propriétaires et open source. Occasionnellement, de nouvelles vulnérabilités de sécurité sont trouvées dans ces systèmes par des chercheurs en sécurité. Les vulnérabilités identifiées sont examinées et des correctifs sont déployés sur les services en fonction de leur gravité. Des processus existent pour accélérer la mise en production des correctifs de sécurité critiques, sur la base de l'analyse des risques effectuée par l'équipe Tekla afin de s'assurer que les services restent sécurisés.

Chaque équipe de Tekla Online Services est responsable du maintien d'un inventaire des composants logiciels utilisés par leur produit ou service. Les équipes suivent activement les flux de sécurité provenant de fournisseurs ou d'autorités centrales comme le Cert.


Certains des services en ligne de Tekla sont hébergés ou gérés par des partenaires. Dans ces cas, l'équipe de Tekla travaille en étroite collaboration avec le partenaire pour s'assurer que la gestion des vulnérabilités est efficace et que les services sont régulièrement corrigés. Des contrats sont en place pour s'assurer que nos partenaires suivent des normes similaires à celles de Trimble.

3.3 Gestion des incidents

Bien que nous fassions de notre mieux pour nous assurer que tous les services en ligne de Tekla soient sécurisés, il y a toujours un risque qu'un système soit compromis. Trimble a mis en place des pratiques de gestion des incidents pour s'assurer que tous les incidents soient traités efficacement.

Chaque équipe de Tekla Online Services maintient un plan d'intervention en cas d'incident qui comprend des instructions sur la gestion des incidents de sécurité. Les plans comprennent les responsabilités, les mesures techniques à prendre et l'emplacement de tous les matériaux nécessaires à l'atténuation et à l'étude des problèmes.

3.4 Continuité et restauration après incident

Chaque service en ligne Tekla dispose d'un plan de restauration en cas d'incident qui détaille comment le service peut être réactivé en cas de perte partielle ou totale. Les plans garantissent que des niveaux de service acceptables peuvent être maintenus même si quelque chose d'inattendu se produit.

 

4. Exigences et modélisation

4.1 Principes de l'architecture

Les services en ligne Tekla utilisent différents types d'architecture en fonction du système spécifique et de ses exigences. Cependant, les principes architecturaux de base sont partagés et appliqués à tous les systèmes afin de garantir que les services répondent aux exigences de sécurité et de qualité de Trimble.

Toutes les conceptions architecturales sont créées et validées par une équipe d'architecture indépendante au sein de Trimble, afin de s'assurer que la structure de base est solide et sécurisée. Ainsi, les équipes de développement peuvent se concentrer sur la logique applicative. S'il y a des changements qui pourraient affecter le paysage de la sécurité, l'équipe d'architecture est de nouveau impliquée.

Le modèle d'architecture cloud standard est recommandé pour les services en ligne Tekla qui n'ont pas d'exigences uniques empêchant son utilisation. Il est également utilisé pour comparer les solutions d'architecture personnalisée afin de s'assurer qu'elles répondent aux mêmes exigences de base.

Tous les services en ligne de Tekla utilisent HTTPS / TLS pour sécuriser les données des clients en transit sur Internet. Ceci est particulièrement important pour les services qui traitent des modèles ou d'autres données créées par nos clients.

4.2 Disponibilité des services

De nombreux services en ligne sont essentiels pour nos clients et leur entreprise. Pour s'assurer que les services sont disponibles en cas de besoin, nous les avons conçus pour garantir une disponibilité et une évolutivité accrues.

Les services essentiels sont hébergés dans des centres de données établis et de classe mondiale, avec un historique de prestation de services de qualité. Nous avons mis en place un hébergement géographiquement distribué pour nous assurer que même en cas de perte totale, le contenu reste toujours disponible et peut être distribué à partir de l'endroit le plus proche de la localisation du client. Des informations détaillées sur les différents services sont disponibles sur demande.

4.3 Modélisation de la menace

La conception de solutions sécurisées commence par la compréhension des menaces contre lesquelles la solution doit être protégée. Sans une compréhension adéquate des menaces, les contrôles de sécurité peuvent être inefficaces ou même aggraver la situation. Comprendre les menaces est l'un des principes directeurs de base pour la conception et le développement des services en ligne de Tekla.

La modélisation de la menace est une activité où le comportement de la menace est étudié avant que la conception architecturale ne soit finalisée. Tous les services en ligne de Tekla passent par la modélisation des menaces. Les menaces constituent la base de la conception des contrôles de sécurité et des caractéristiques du système.

Les modèles de menaces sont tenus à jour au fur et à mesure que les services évoluent. La modélisation des menaces fait partie intégrante du processus de gestion du changement. Il s'assure que l'impact des nouvelles fonctionnalités soit bien compris.

Les données issues de la modélisation des menaces servent de base à la définition des audits et des tests de sécurité.

4.4 Administration des services

Les services en ligne Tekla sont conçus pour être administrés et fournis par nos clients. L'outil Tekla Account Admin permet aux organisations clientes de configurer les rôles et les droits d'accès au sein des différents services. Nos clients conservent le contrôle de leurs données et peuvent décider du type de droits d'accès qui leur sont accordés au sein de leur propre organisation.

Seul le personnel Trimble autorisé a un accès administratif aux services, et le nombre de personnes qui peuvent accéder aux données des clients est limité.

Les raisons de l'accès administratif à chaque service sont expliquées dans la documentation spécifique à chaque service. Des informations générales à ce sujet sont disponibles dans les Conditions d'utilisation de Trimble et la Politique de confidentialité de Trimble.

4.5 Conformité et réglementation

Notre bureau de protection des données se consacre au suivi et à la conformité des services en ligne de Tekla avec la législation européenne. Les exigences de conformité spécifiques qui affectent les services en ligne de Tekla sont identifiées par chaque équipe Tekla et prises en compte pendant les phases de conception et de développement des services. Les informations relatives à la collecte et à l'utilisation des données sont décrites dans la Politique de confidentialité. En général, les services en ligne de Tekla visent à minimiser les données collectées sur l'utilisateur.

En général, les données créées par les utilisateurs sont la propriété des utilisateurs, même lorsqu'elles sont stockées dans les services en ligne de Tekla. Les exceptions à cette règle sont décrites en termes spécifiques au service.

4.6 Fournisseurs tiers

Tekla Online Services utilise des partenaires de confiance pour héberger, développer, maintenir et tester les services. Ces relations de partenariat durent depuis de nombreuses années et l'expertise des partenaires est un aspect clé dans la construction et le maintien de nos services.

Tous les contrats avec les fournisseurs Trimble qui traitent des données personnelles comprennent des clauses types de l'UE qui définissent les exigences en matière de sécurité, de respect de la vie privée, de confidentialité et d'utilisation de tout matériel auquel le fournisseur peut avoir accès. Tous les fournisseurs sont tenus aux mêmes normes que les employés de Trimble. En outre, seules les personnes nommées par les fournisseurs sont autorisées à travailler sur les projets Trimble.

4.7 Gestion de l'authentification et de l'accès

Les services en ligne Tekla  nécessitant une authentification fonctionnent à l'aide du compte Tekla. Les droits d'accès peuvent toujours être gérés de manière centralisée via Tekla Account Admin Tool. Cela permet à nos clients de gérer facilement leurs accès au sein de Tekla Online Services.

Le service Tekla Account est basé sur la technologie d'authentification standard de l'industrie. Toutes les intégrations à d'autres services en ligne de Tekla sont mises en œuvre à l'aide de technologies standard, comme SAML, afin de maintenir la séparation claire. Le service n'est utilisé que par d'autres services en ligne de Tekla, qui doivent être autorisés et testés avant d'être déployés en production.

 

5. Développement de logiciels

5.1 Protection du code source

S'assurer que le code source ne peut pas être modifié est essentiel pour la sécurité des systèmes en ligne. Pour garantir cela, diverses mesures sont en place. Tout le code est stocké à l'aide de systèmes de contrôle de version, soit dans le réseau Trimble, dans le référentiel centralisé, soit dans le système de contrôle de version de nos partenaires. L'accès est strictement limité aux équipes de développement et aux parties prenantes désignées.

5.2 Environnement de développement sécuritaire

Le code pour les services en ligne Tekla est développé soit localement dans les locaux de Trimble, soit dans les locaux de nos partenaires. Les locaux de Trimble sont sécurisés et nécessitent l'autorisation d'accès de tous les membres du personnel et des visiteurs. Des exigences similaires sont en place pour les partenaires afin de s'assurer qu'ils suivent des lignes directrices tout aussi strictes.

Le développement et les tests sont effectués soit localement sur des postes de travail, soit dans des environnements de développement spécialement mis en place. Les environnements de développement et de test à distance sont conçus pour protéger le logiciel et les autres données de la même manière qu'en production.

5.3 Révision du Code

Même les meilleurs professionnels du développement logiciel peuvent faire des erreurs. La meilleure façon de détecter de telles erreurs et d'en tirer des leçons est la révision du code effectuée au sein des équipes de développement. Différentes équipes de Tekla Online Services effectuent l'examen des codes sous la forme d'un examen par les pairs et d'un examen formel des codes. Cela nous permet de nous assurer que le code est de haute qualité et de diffuser les meilleures pratiques au sein des équipes.

Les services en ligne de Tekla sont basés sur un large éventail de technologies. Différentes équipes utilisent et suivent les lignes directrices de l'industrie et les meilleures pratiques lors de l'élaboration d'un code. Les processus d'examen des codes visent à identifier les écarts par rapport aux lignes directrices ou aux pratiques exemplaires. Les écarts peuvent alors être corrigés avant de déployer le code en production.

5.4 Tests d'acceptation

Chez Trimble, nous voulons nous assurer que nos services sont de la plus haute qualité. Pour atteindre cet objectif, tous les systèmes sont soumis à des tests rigoureux avant d'être déployés en production.

Dans le cadre du processus de gestion des changements, toutes les modifications apportées aux services en ligne de Tekla sont d'abord testées à l'aide de tests automatiques et de cas de tests manuels. Toutes les régressions dans les tests sont traitées avant que les changements puissent être envisagés pour le déploiement. Les cas de test sont continuellement améliorés pour couvrir les nouveaux développements. Si des problèmes sont découverts, des cas de test sont créés pour les attraper. Grâce à ce processus, la qualité de nos services reste élevée.
 

6. Conclusion

Trimble reconnaît la valeur de ses clients. Avec les services en ligne de Tekla, nous avons pris les mesures nécessaires pour protéger à la fois votre vie privée et les modèles qui sont au cœur de votre entreprise. Lors de l'utilisation des services, vous pouvez être assuré que vos données sont protégées.

Nous continuerons de travailler au maintien et à l'amélioration de la sécurité de nos services en tirant parti des nouveaux développements dans les meilleures pratiques de l'industrie. Nos efforts vous permettent de vous concentrer sur votre cœur de métier sans que les soucis de sécurité ne vous arrêtent.

Si vous avez des préoccupations ou des questions concernant l'un des services en ligne de Tekla qui ne sont pas couverts ici, n'hésitez pas à nous contacter.