FAQ sur le centre de confiance

Notre tout premier client, c’est nous. Fervent utilisateur de nos propres solutions, notamment d'Elastic Security, nous nous engageons à vous proposer des produits et des services qui ont été testés dans un environnement de production réel avant d'être largement distribués. Nous utilisons nos produits dès que nous le pouvons, et pas seulement pour les logs. L'équipe d'Elastic chargée de la sécurité des informations s'appuie sur les fonctionnalités d'Elasticsearch Platform pour créer, monitorer, détecter et gérer les événements de sécurité au quotidien.

Pour en savoir plus, consultez les pages dédiées à Elastic sur Elastic et à Elastic Security.

Elastic a officiellement adopté un système de gestion de la sécurité des informations (ISMS) qui est certifié ISO 27001, notamment ISO 27017 et ISO 27018. Notre politique de gouvernance en matière de sécurité des informations constitue la colonne vertébrale de toutes nos politiques, normes et directives de sécurité des informations. Notre ISMS comprend des mesures techniques et organisationnelles exhaustives, appropriées et conçues pour protéger vos données de cluster contre tout accès, modification ou suppression non autorisé.

Nous avons établi des contrôles d'accès pour authentifier l'identité des personnes qui accèdent aux systèmes qui traitent les données de cluster de nos clients. Le but de ces contrôles est de veiller à ce qu'aucun utilisateur non autorisé n'ait accès à de tels systèmes, et que les personnes autorisées aient accès uniquement aux éléments dont elles ont besoin dans le cadre de leur rôle. Parmi ces contrôles, citons notamment l'authentification multifacteurs, les normes sur la complexité des mots de passe et les réseaux privés virtuels (VPN) pour un accès administratif. Nous avons aussi mis en œuvre un logging centralisé, comprenant les logs de proxy, les logs d'accès, les logs Elasticsearch et les logs Auditbeat, ce afin de consigner les accès aux données de cluster des clients et les systèmes sur lesquels elles se trouvent.

Les solutions adossées à la recherche d'Elastic Cloud sont hébergées sur des plateformes cloud certifiées, gérées par des fournisseurs majeurs d'infrastructure-as-a-service (IaaS), dont Amazon Web Services (AWS), Google Cloud et Microsoft Azure. Elastic vérifie les certificats et pratiques de sécurité de ses sous-traitants pour s'assurer que les mesures de sécurité physique mises en place sur les sites où les données d'Elastic Cloud sont traitées et stockées sont appropriées.

Une alerte de sécurité Elastic (ESA) est une notification d'Elastic à ses utilisateurs qui les informe des problèmes de sécurité rencontrés dans les produits Elastic. Elastic attribue aussi bien un CVE qu'un identifiant ESA à chaque alerte et fournit un résumé et des informations concernant la résolution et l'atténuation. Nous annonçons toutes les nouvelles alertes sur le forum des annonces de sécurité. Vous pouvez suivre ces annonces à l'aide d'un flux RSS.

Pour Elastic, le partenariat avec la communauté de sécurité est précieux. Son objectif est simple : préserver la sécurité des utilisateurs et d'Internet. Veuillez signaler toute vulnérabilité de sécurité potentielle concernant nos produits Elastic, le service Elastic Cloud ou le site web elastic.co via notre programme de signalement de bugs HackerOne. Pour en savoir plus sur la portée et les règles de participation, veuillez consulter la politique de notre programme HackerOne.

Conformément aux principes de divulgation coordonnée de vulnérabilités, Elastic analyse les vulnérabilités de sécurité potentielles pour déterminer les éventuelles recommandations d'atténuation ou mises à jour de produit et en coordonne la divulgation au moyen des alertes de sécurité Elastic (ESA) et du programme CVE. Merci de ne pas publier ni partager d'informations concernant des vulnérabilités potentielles sur un forum public tant que nous n'avons pas fait de recherches sur le problème rencontré et que nous n'y avons pas apporté de solution.

Les utilisateurs et les clients peuvent signaler tout autre problème de sécurité potentiel en écrivant à l'adresse security@elastic.co. Vous pouvez utiliser cette adresse pour toute demande relative à la sécurité (des produits ou autre) qui n'est pas explicitement mentionnée ici. (Cette adresse ne traite que les problèmes de sécurité.) Si vous souhaitez signaler un bug, passez par la base de données des bugs du projet correspondant ou via le support technique Elastic. Si vous souhaitez chiffrer le message que vous souhaitez nous envoyer, utilisez notre clé PGP. L'empreinte digitale est la suivante :

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

Cette clé est disponible par l'intermédiaire de nos serveurs de clés. Cherchez "security@elastic.co". Exemple sur OpenPGP

Chez Elastic, nous sommes conscients que nous avons tous un rôle à jouer en ce qui concerne la sécurité. C'est pourquoi nous avons intégré la sécurité dans le développement de nos produits et dans les bases d'Elastic Cloud.

C'est à vous qu'il revient ensuite d'assurer la sécurité et la confidentialité des données que vous placez dans Elastic Cloud : veillez à configurer le cluster Elasticsearch de manière appropriée et à préserver la confidentialité de vos identifiants de connexion Elastic Cloud.

Pour vous aider, voici quelques points à garder en tête :

• Ne communiquez pas vos identifiants à d'autres personnes.
• Mettez à jour le profil de votre compte pour veiller à ce que les informations qui s'y trouvent soient exactes et à jour.
• Ajoutez des contacts opérationnels selon les besoins.
• Définissez des mots de passe sécurisés.
• Faites preuve de prudence lorsque vous activez des plug-ins personnalisés sur vos déploiements Elastic Cloud.
• Envisagez de mettre en place une option demandant le nom des index lorsque vous entamez une action de suppression.

Si vous souhaitez apporter une modification qui n'est pas proposée dans la console Elastic Cloud, veuillez créer un ticket de support technique Elastic. Si vous pensez qu'un compte a été compromis, écrivez à l'adresse security@elastic.co. Et si vous devez faire une demande d'effacement, contactez l'équipe Elastic chargée de la confidentialité des données en cliquant ici.

Oui, les données sont chiffrées au repos via AES-256 et en transit via TLS 1.2.

Nous évaluons minutieusement chaque fournisseur avec lequel nous travaillons afin de nous assurer qu'il satisfait aux normes d'Elastic en matière de sécurité et de conformité. Elastic s'associe aux principaux fournisseurs d'IaaS afin de proposer Elastic Cloud. Chacun de ces fournisseurs est régulièrement soumis à des audits tiers indépendants, y compris un audit SOC 2 et une certification ISO 27001 au minimum, afin de prouver la sécurité de ses services. Nous passons ensuite en revue ces rapports d'audit et ces certifications dans le cadre de notre programme de gestion des risques tiers.

En outre, Elastic étude le code tiers et publie des listes de dépendances open source tierces des produits Elastic.

Au moins une fois par an, des tiers réalisent des tests de pénétration sur les applications et sur le réseau par rapport à Elastic Cloud. Contactez votre représentant de compte ou l'équipe de sécurité Elastic pour obtenir une copie de la synthèse du test.

Nous gérons un framework de développement logiciel sécurisé (SSDF) basé sur la norme NIST 800-218 et nous suivons les bonnes pratiques de sécurité en termes de conception et d'architecture afin de produire des logiciels "sécurisés dès la conception" et "sécurisés par défaut". Notre SSDF dicte le processus pour concevoir, développer, déployer, suivre et assurer la maintenance de tous les logiciels Elastic en toute sécurité. Il comprend également les exigences pour protéger nos systèmes de version et atténuer les risques de compromission de la chaîne des versions.

Les données que vous nous confiez restent les vôtres. Nous utilisons vos données uniquement aux fins prévues dans votre accord, par exemple pour vous fournir le service pour lequel vous payez. Nous mettons en œuvre des mesures de sécurité strictes pour préserver vos données et vous fournir les outils et fonctionnalités nécessaires pour que vous puissiez contrôler vos données selon vos préférences.

Nous traitons les données que vous placez dans Elastic Cloud afin de remplir nos obligations contractuelles et de fournir les services demandés.

• Les données que vous nous confiez restent vos données. Nous les traitons uniquement aux fins prévues par votre accord.
• En aucun cas nous ne les revendons à des tiers.
• Nous nous engageons à faire preuve de transparence et à respecter les réglementations applicables telles que le Règlement général sur la protection des données (RGPD) et la loi California Consumer Privacy Act (CCPA), ainsi que les bonnes pratiques en matière de confidentialité.
• La préservation de votre vie privée passe par la protection des données que vous nous fournissez. La sécurité et la confidentialité sont deux critères incontournables dans la conception de l'ensemble de nos produits.

Nous comprenons l'ampleur de la responsabilité qui nous incombe pour offrir des expériences de recherche de pointe tout en protégeant vos données. C'est pourquoi nous travaillons assidûment pour gagner votre confiance. La sécurité est essentielle dans tout ce que nous faisons, qu'il s'agisse de la supervision du conseil et de la gouvernance exécutive au sommet de l'organisation ou de la façon dont nous intégrons et formons continuellement chaque Elasticien. Nous avons obtenu un ensemble complet d'audits et de certifications de conformité de pointe pour le service Elastic Cloud et notre système de gestion de la sécurité des informations (ISMS). Ces audits et certifications sont la preuve que des pratiques de sécurité efficaces sont inhérentes à toutes nos activités, comme le développement et le déploiement de produits, la gestion des vulnérabilités, la gestion des incidents et les processus de gestion des menaces.

Elastic n'a pas accès aux données qui se trouvent dans vos déploiements auto-gérés. Pour fournir notre offre Elastic Cloud, un nombre limité d'employés d'Elastic bénéficient d'un accès privilégié à notre environnement de production. Nous conservons cet accès uniquement à des fins de gestion, de maintenance et de support de la plateforme.

Elastic adhère au principe du moindre privilège lorsqu'il s'agit de fournir un accès aux utilisateurs internes. Les employés d'Elastic ne se voient accorder que le niveau d'accès nécessaire à leur rôle. Nous révisons régulièrement les droits d'accès et modifions les permissions en conséquence en cas de changement d'emploi ou autres circonstances dans lesquelles l'accès d'un utilisateur n'est plus nécessaire.

Notre équipe chargée de la sécurité des informations, de la détection et de la réponse aux menaces a également développé et mis en œuvre des règles de détection pour repérer les activités de comptes internes suspectes et les accès non autorisé, avec notamment le monitoring de l'intégrité des fichiers et les indicateurs d'usurpation de compte ou d'exfiltration des données. Ces règles de détection font partie de workflows automatisés qui alertent l'équipe en cas d'activité suspecte et qui déclenchent une enquête par les analystes.

Les produits Elastic comprennent également des contrôles d'accès basés sur les rôles pour permettre à nos clients de mettre en œuvre une gestion d'accès granulaire pour les utilisateurs au sein de leurs déploiements Elastic et de la plateforme de gestion d'Elastic Cloud.

Oui, nous faisons appel à certains sous-traitants pour l'infrastructure et le support client afin de fournir des services à nos clients. Les sous-traitants que nous sollicitons dépendent de l'emplacement des données, des services et des fonctionnalités dont vous vous servez. (Pour connaître la liste des sous-traitants externes, cliquez ici, et pour celle des sous-traitants internes, cliquez ici.)

Pour tout transfert de vos données au-delà des frontières d'un pays, nous nous conformons à la législation applicable. Nous avons mis en œuvre les dispositifs appropriés pour protéger vos données à chaque fois qu'elles sont traitées par nos sous-traitants, notamment avec la conclusion d'accords de traitement des données et des mécanismes de transfert approuvés (comme les SCC), ainsi qu'avec la mise en place de mesures supplémentaires. Nous disposons de processus robustes pour passer en revue les contrôles de confidentialité et de sécurité concernant les sous-traitants qui ont accès aux données personnelles des clients.

Les fonctionnalités d'Elastic Cloud sont conformes au RGPD et à d'autres lois sur la protection des données :

• Nous mettons l'accent sur la sécurité de vos données personnelles grâce à des mesures techniques et organisationnelles efficaces par défaut, qui font régulièrement l'objet de tests et de validations.
• Nous proposons un addendum concernant le traitement des données pour que vous puissiez respecter vos obligations contractuelles au titre du RGPD.
• C'est vous qui choisissez le fournisseur de service cloud qui hébergera les données que vous stockerez dans Elastic Cloud, ainsi que la région de déploiement d'Elastic Cloud.
• Par ailleurs, nous mettons à votre disposition des ressources complètes pour vous aider à adhérer aux exigences propres à vos activités de traitement. Pour en savoir plus sur la façon dont nous garantissons la conformité au RGPD de vos déploiements Elastic, rendez-vous sur https://www.elastic.co/fr/gdpr.

Outre ces fonctionnalités, Elastic met en place des équipes de confidentialité et de sécurité dédiées. Ces équipes supervisent notre conformité au RGPD et à d'autres lois applicables sur la confidentialité, tout en traitant les données personnelles au nom de nos clients.

Étant donné qu'Elastic est une entreprise mondiale, nous pouvons être amenés à transférer des données venant de l'EEE, de la Suisse et du Royaume-Uni vers des entreprises affiliées à Elastic qui ne sont pas européennes, ainsi qu'aux organisations tierces nécessaires pour fournir les services. (Ces entreprises et leurs adresses sont indiquées dans la section concernant les sous-traitants ci-dessus.) Dans ces cas-là, nous nous fions aux SCC, notamment au module contrôleur-processeur ou au module processeur-processeur (selon la situation) pour nos clients, ainsi qu'au module processeur-processeur pour nos sous-traitants, en plus de mesures supplémentaires solides.

Notre but est de vous aider à respecter les lois et réglementations mondiales. À la lumière des directives du Comité européen de la protection des données (EDPB) suite à l'application des règles de l'arrêt "Schrems II", nous nous sommes penchés sur nos pratiques, que nous avons étudiées dans le détail pour nous assurer que les transferts de données internationaux respectent les exigences en matière de protection des données.

• Les transferts de données d'Elastic ne s'inscrivent pas dans la ligne de mire de la législation américaine en matière de surveillance et, à ce jour, nous n'avons reçu aucune demande de données client de la part des pouvoirs publics, notamment dans le cadre de lois comme la FISA, l'EO12333 ou la CLOUD Act.
• Si tel était le cas, nous disposons de règles et de processus pour gérer de telles requêtes. Ceux-ci impliquent des protocoles permettant d'examiner la requête, d'avertir les parties concernées et de demander des dérogations concernant les interdictions relatives aux notifications.
• Nous proposons des mesures supplémentaires robustes pour protéger vos données, parmi lesquelles le chiffrement des données à la fois en transit et au repos pour préserver la confidentialité et l'intégrité de vos données tout au long de leur parcours.
• Les clients d'Elastic Cloud ont la possibilité de sélectionner des serveurs européens pour héberger leurs données afin de répondre au mieux à leurs besoins de souveraineté. Les sauvegardes sont également configurées dans la même région que votre déploiement.
• Les clauses contractuelles standard peuvent être appliquées pour protéger les transferts de données. C'est possible notamment dans le cas où les clients optent pour un hébergement aux États-Unis ou interagissent avec notre entité américaine, ou dans le cadre de transferts d'Elastic à ses sous-traitants.
• Nous évaluons et développons continuellement nos dispositifs de protection contractuels, techniques et organisationnels afin de protéger les transferts de données.

Nous proposons plusieurs mesures supplémentaires pour garantir la protection de vos données dans Elastic Cloud. Nous nous engageons à limiter le traitement des données client au strict minimum possible lors de la fourniture de nos services. Nous avons créé des processus, des structures organisationnelles et des mesures techniques dans l'ensemble de l'entreprise pour respecter à coup sûr, voire dépasser, les principes de confidentialité mondiaux.

Elastic s'engage par contrat à prendre des mesures appropriées de confidentialité et de protection des données, conformément à notre addendum concernant le traitement des données, qui inclut les SCC et notre addendum concernant la sécurité des informations. Nous examinons et mettons à jour régulièrement notre addendum concernant le traitement des données pour qu'il reflète les exigences applicables de confidentialité des données, notamment les dispositions suivantes :

• Le traitement des données personnelles est exécuté uniquement selon vos instructions.
• Nous nous contentons d'héberger vos données dans la région que vous sélectionnez.
• Tout le personnel autorisé à traiter des données personnelles est soumis à des politiques, procédures et accords de confidentialité stricts.
• Vous pouvez récupérer, corriger ou supprimer les données personnelles que vous mettez dans Elastic Cloud à tout moment.
• Si nous recevons une demande de divulgation concernant vos données, nous vous en informerons, à moins que nous n'y soyons pas autorisés juridiquement parlant.
• Les sous-traitants d'Elastic sont soumis aux mêmes normes et exigences organisationnelles strictes. Nous sommes responsables des actes et oublis de ses sous-traitants, au même titre que si nous fournissions nous-mêmes ce service.

Nous concevons nos produits pour vous aider à protéger les données de votre entreprise, vous conformer aux réglementations mondiales et entretenir la confiance. Nous appliquons des normes de sécurité de pointe :

• Chiffrement en transit et au repos : Elastic applique des procédures de gestion des clés de chiffrement et chiffre les données client en transit et au repos grâce à des messages cryptés avec la norme AES-128 bits au minimum.
• Mises à jour et correctifs système fréquents : pour éviter les incidents liés aux vulnérabilités, les instances Elasticsearch sont déployées sur les noyaux des systèmes d'exploitation les plus récents, en fonction des correctifs appropriés dès lors qu'une vulnérabilité/exposition commune est mise au jour dans un composant logiciel quel qu'il soit.
• Recours à des prestataires de services majeurs : les services d'Elastic sont hébergés dans des data centers gérés par des prestataires de services majeurs, qui proposent des mesures de sécurité techniques et organisationnelles de pointe, conçues pour protéger les données qu'ils hébergent.
• Contrôles d'accès : Elastic applique des contrôles techniques, logiques et administratifs conçus pour limiter l'accès aux données aux utilisateurs autorisés, notamment avec des processus d'authentification multi-facteurs. En outre, Elastic met en œuvre un logging centralisé, comprenant les logs de proxy, les logs d'accès, les logs Elasticsearch et les logs Auditbeat pour consigner les accès aux données des clients et les systèmes sur lesquels elles se trouvent.

Nous avons mis en place des structures organisationnelles robustes dans toute l'entreprise, afin de démontrer notre engagement sans failles consistant à respecter, voire dépasser, les principes mondiaux de confidentialité :

• Programmes de sécurité et de confidentialité : nous maintenons des programmes exhaustifs de sécurité des informations et de confidentialité des données qui comprennent des mesures appropriées conçues pour protéger vos données.
• Politique de demande d'accès par les pouvoirs publics : nous disposons de règles et de processus pour gérer les demandes d'accès aux données personnelles que les pouvoirs publics nous envoient. Ces règles et processus impliquent des protocoles permettant d'examiner la requête, d'avertir les parties concernées et de demander des dérogations concernant les interdictions relatives aux notifications.
• Autres politiques internes : nous disposons de politiques internes qui régissent l'utilisation et l'accès aux données personnelles. Ces politiques nous permettent de gérer de façon appropriée les violations de données, les demandes d'accès aux données, la conservation des données et les politiques de contrôle d'accès.
• Normes industrielles : Elastic a officiellement adopté un programme de sécurité des informations conforme à la norme ISO 27001, notamment ISO 27017 et ISO 27018. La politique de gouvernance en matière de sécurité des informations d'Elastic constitue la colonne vertébrale de toutes nos politiques, normes et directives de sécurité des informations. Un tiers indépendant a audité et certifié les services Elastic Cloud au moyen d'un rapport de conformité SOC 2 Type 2.
• Tests réguliers : nous réalisons périodiquement des tests de vulnérabilités sur le réseau et les applications, et nous mettons en œuvre des procédures pour documenter et résoudre les vulnérabilités découvertes pendant ces tests et pendant les tests de pénétration.
• Formation des employés : nous demandons à tous nos employés sans exception de suivre une formation sur la sécurité des informations et la protection des données lorsqu'ils se font embaucher, puis une fois par an minimum par la suite.

Nous avons établi des politiques et des processus pour répondre aux demandes d'accès aux données client par les pouvoirs publics. Ces politiques et processus adhèrent aux lois applicables en matière de protection des données, ainsi qu'à votre contrat client. Elastic divulguera vos données ou en fournira l'accès uniquement dans la mesure où cela est strictement requis par la loi. En aucun cas nous ne divulguerons vos données en masse, de manière disproportionnée ou à tort et à travers, au-delà de ce qui est nécessaire dans une société démocratique.

Nonobstant ce qui précède, Elastic n'a jamais reçu aucune demande émanant des pouvoirs publics d'accéder aux données client, y compris en vertu de la Section 702 FISA et de la loi CLOUD Act. Nous n'avons également connaissance d'aucun accès direct aux données client, conformément à l'ordre exécutif EO 12333. Nous n'avons jamais créé de porte dérobée ou de passe-partout pour aucun de nos produits ou services, et nous n'avons jamais autorisé aucune instance gouvernementale à accéder directement ou en toute liberté à nos serveurs.

Comme indiqué ci-dessus, Elastic n'a jamais reçu de demande émanant d'un pouvoir public impliquant de divulguer des données client. Dans le cas où nous recevrions une telle demande, nous commencerons à publier des rapports de transparence.

Pour en savoir plus sur la façon dont Elastic collecte et utilise les données personnelles, consultez nos avis de confidentialité ci-dessous :

Déclaration générale de confidentialité

Déclaration de confidentialité relative aux produits

Déclaration de confidentialité relative aux candidats

Déclaration relative aux droits en matière de protection de la vie privée en Californie

Déclaration de confidentialité d'Elastic concernant les cookies

Nous nous engageons à adhérer aux réglementations mondiales concernant la confidentialité, y compris le RGPD et la CCPA. Pour toute demande concernant les données, contactez l'équipe Elastic chargée de la confidentialité des données en cliquant ici.

Elastic Cloud est conforme aux normes ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II, CSA CCM 4.0, PCI-DSS, HIPAA et d'autres frameworks du secteur, comme TISAX. Pour en savoir plus, consultez notre page sur la conformité.

Elastic Cloud a obtenu une certification FedRAMP avec un niveau d'impact modéré, déployable sur AWS GovCloud (États-Unis). Les utilisateurs des gouvernements locaux, fédéraux et étatiques, ainsi que les utilisateurs et les institutions d'enseignement supérieur gérant des données gouvernementales, peuvent s'inscrire dès aujourd'hui.

Nous sommes soumis aux normes déontologiques les plus élevées, et nous nous efforçons de nous conformer à toutes les lois en vigueur et de préserver la sécurité de toutes les données qui nous sont confiées. Consultez notre page sur l'éthique et la conformité d'entreprise pour en savoir plus. Vous y trouverez notamment notre Code de conduite professionnelle et de déontologie, notre Code de conduite des fournisseurs et des politiques de lancement d'alertes.

Elastic est une entreprise technologique et nous nous engageons à exercer nos activités avec honnêteté et intégrité, dans le strict respect des lois et réglementations des États-Unis qui limitent les exportations et qui régissent les activités commerciales internationales. Nous nous engageons notamment à respecter les sanctions commerciales, les contrôles en matière d’exportation et les lois et réglementations applicables à la lutte contre le boycott. Nos clients et prospects demandent souvent le numéro ECCN affecté à nos produits. En général, tous nos produits payants relèvent de la catégorie ECCN 5D002.c.1 et peuvent être exportés en vertu de l'exemption de licence ENC conformément à la Section 740.17 (b)(1) des règlements américains en matière d'administration des exportations.

Vous pouvez consulter une liste détaillée et à jour des numéros ECCN des produits ici. Ces informations peuvent changer étant donné que nous développons de nouveaux produits et ajoutons de nouvelles fonctionnalités. Aussi, consultez systématiquement le tableau d'ECCN le plus récent publié par Elastic. Nous vous invitons en outre à consulter votre conseiller en exportation pour déterminer en quoi lesdites informations affectent vos exportations ou l'utilisation des produits Elastic.

Elastic Cloud est disponible sur les plus grands fournisseurs de services cloud au niveau mondial. Lancez des déploiements sur Elastic Cloud dans les régions que nous prenons en charge avec Amazon Web Services (AWS), Microsoft Azure et Google Cloud (GCP). Consultez notre liste à jour ici.

Rendez-vous sur la page relative au statut d'Elastic Cloud pour consulter des informations sur sa disponibilité.