La sécurité informatique chez Smart Tribune

Hébergement et infrastructures

Data centers

Pionnier des services cloud, nous avons choisi Amazon Web Service pour héberger la solution sur l’infrastructure AWS Europe (Paris). Cela permet aux clients ayant des exigences en matière de localisation des données de les stocker en France, avec l’assurance que le contenu ne sera pas déplacé.

A titre d’information, en moyenne, les clients d’AWS utilisent 77 % de serveurs en moins, 84 % d’énergie en moins et leur bouquet énergétique est 28 % plus écologique. Ils peuvent parvenir à réduire de 88 % leurs émissions de gaz carbonique en migrant vers le cloud et AWS.

Notre hébergeur (AWS – Paris) a les certifications suivantes : CIDSS 1, SOC1, SOC2, SOC3, CSA, SOC1, ISO 27001, ISO 9001, ISO 27017, ISO 27018, FedRAMP, CJIS, DoD SRG, HIPAA, ASIP HDS, CISPE.
AWS se base sur le référentiel NIST.

Utilisation de Microsoft Azure Cloud pour répondre aux besoins de consommation de modèles de Langage Large (LLM), notamment de la famille GPT, avec une infrastructure située dans la région France Centre pour les utilisations au sein du produit et nos charges de production.

Notre hébergeur (Microsoft Azure) détient les certifications suivantes : ISO/IEC 27001, ISO/IEC 27018, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, FedRAMP, CSA STAR. Azure se conforme également aux réglementations GDPR, UK G-Cloud et EU Model Clauses. Il est important de noter que Microsoft Azure se base sur le référentiel NIST.

Pour certaines explorations internes, nous pouvons utiliser d’autres régions, mais exclusivement au sein de l’Union européenne, telles que la Suède et l’Allemagne.

Gestion des vulnérabilités

Frameworks et outils

Smart Tribune a basé sa suite logicielle sur des langages et frameworks modernes et éprouvés, notamment ReactJS, PHP, Kotlin, Python, Golang et Rust.

Nous utilisons également Kubernetes, une solution de référence pour l’orchestration de conteneurs. Les mises à jour sont effectuées à intervalles réguliers pour intégrer les évolutions et correctifs de sécurité le plus rapidement possible, en fonction de la criticité des éléments concernés.

Nous utilisons un système de multi-notifications pour surveiller divers événements clés, incluant l’état des clusters et d’autres indicateurs de performance et de sécurité. Ces notifications sont envoyées via plusieurs canaux, tels que les alertes par email, Mattermost, SMS et push-over, garantissant une réactivité optimale.

Intégration continue et sécurité

L’outil d’intégration continue (CI) mis en place chez Smart Tribune est basé sur GitLab CI. Il intègre plusieurs étapes de sécurité grâce à divers outils et solutions :

• Scanners de dépendances : Vérification des vulnérabilités dans les dépendances utilisées (Security checker, govulncheck, dependency-check …).
• Scanners de conteneurs : Utilisation de SNYK et TRIVY pour la vérification des vulnérabilités au niveau des images Docker, du système d’exploitation sous-jacent et du système de fichiers.

Analyse de code et tests de sécurité

Une analyse de code statique (SAST) est intégrée directement dans le processus d’intégration continue pour détecter automatiquement les problèmes et vulnérabilités éventuels dans le code. En complément, des outils sont utilisés sur les postes de travail des développeurs pour renforcer cette vigilance.
Des tests de sécurité manuels et réguliers sont effectués à l’aide d’outils spécifiques, notamment ZAP (Zed Attack Proxy). Ces tests s’appuient sur des référentiels connus tels que OWASP et W3AF pour garantir une couverture maximale des vulnérabilités potentielles.
En combinant ces approches proactives et réactives, Smart Tribune assure une surveillance et une protection continues de ses environnements, garantissant ainsi une sécurité robuste et fiable pour ses utilisateurs.

Suivi et traitement des vulnérabilités

Toute détection de vulnérabilité peut être reportée par email à vulnerabilities@smart-tribune.com. Notre équipe technique s’engage à traiter chaque vulnérabilité dans les meilleurs délais, informant le client de la détection et du délai de résolution. Des solutions de contournement temporaires peuvent être mises en place en prévision de la résolution totale de la vulnérabilité.

Protection des données et conformité

Politique de cookies

Dans le cadre de l’utilisation des solutions Smart Tribune, deux types de cookies peuvent être utilisés :

1. Cookie fonctionnel obligatoire :

• utilisé pour nos produits nécessitant une authentification par compte personnel (Smart Knowledge)
• obligatoire et essentiel pour une utilisation correcte de la solution authentifiée
• conforme aux recommandations et obligations de la CNIL concernant le RGPD

2. Cookie d’analyse optionnel :

• la solution Smart Tribune fonctionne indépendamment de l’acceptation ou du refus des cookies d’analyse par l’utilisateur
• si l’utilisateur refuse ces cookies, certaines données comportementales d’utilisation ne seront pas collectées, limitant certaines analyses statistiques
• un paramètre “cookieoptin” permet de gérer l’activation ou le refus des cookies liés à Google Analytics en fonction des préférences de l’utilisateur
• pour Google Analytics, l’option d’anonymisation est activée, garantissant que les adresses IP sont anonymisées avant l’envoi des données
• en utilisant PianoAnalytics, notre solution reste conforme au RGPD

Ces ajustements garantissent le respect des préférences de confidentialité des utilisateurs tout en assurant le bon fonctionnement et la sécurité de nos solutions.

Données personnelles

Nos solutions sont conformes au Règlement général sur la protection des données (RGPD). Tous les services AWS de la région AWS EU (Paris) respectent les normes RGPD.

Intelligence Artificielle (IA)

Toutes les fonctionnalités Smart AI sont déployées uniquement en France. Aucune donnée n’est envoyée ou stockée à l’étranger, un respect de la réglementation RGPD est appliqué sur l’ensemble de ces fonctionnalités.

Smart AI V.0 (Génération et transformation de contenu)

• Modèle utilisé : GPT-3.5 Turbo 16k
• Les fonctionnalités incluent la génération de réponses, changement de ton, correction orthographique, traduction, etc.
• Les fonctionnalités liées à Smart AI V.0 utilisent le service Microsoft Azure déployé en France
• Aucun envoi de données à l’étranger + respect RGPD

Smart AI V.1 (Knowledge Builder)

• Modèle utilisé : GPT-4 Turbo
• Les documents PDF ajoutés sont stockés dans un bucket S3, Amazon Simple Storage Service, crypté avec gestion de clé dans notre Key Management Service basé en France. Seuls les paragraphes nécessaires sont partagés avec le LLM (GPT-4 Turbo).

Recherche sémantique

• Modèle utilisé : Base OpenSource + finetuning, hébergée dans nos infrastructures sur la Region Paris

Smart Bot

• Nous anonymisons via des modèles que nous hébergeons, toutes les données personnelles identifiables et nommées avant tout traitement par l’IA générative.
• Nous accédons aux modèles LLM depuis nos tenants Microsoft Azure tous basés en Europe. Les données envoyées aux modèles LLM via Microsoft Azure ne sont pas utilisées pour entraîner ces modèles (accéder à la documentation).

Auditabilité

Des audits de sécurité sont réalisés régulièrement par des auditeurs internes ou externes. Si un client souhaite effectuer un audit, un préavis de 1 mois est requis. L’audit est à la charge du client, qui devra fournir des détails sur les dates, les personnes habilitées, le contenu, et les résultats.

SLA et disponibilité

Smart Tribune garantit un taux de disponibilité mensuelle de ses services d’au moins 99,50 %. Tous les détails sont disponibles dans nos conditions générales de vente.

Smart Tribune garantit que le taux de disponibilité mensuelle de ses Services d’au moins 99,50%, calculé comme suit :

Disponibilité mensuelle = 100 x (période de calcul – indisponibilité du Service) / période de calcul

Tous les détails de disponibilités de la solution ainsi que les temps de réponse sont présentes dans le paragraphe « Annexe 1 : Traitement des anomalies > 3/ Disponibilité de la Solution et temps de réponse » disponible dans nos CGV au lien : https://fr.smart-tribune.com/cgv/

NB : Il est possible d’avoir des conditions différentes pour certains contrats, ces conditions sont définies dans les conditions particulières et celles-ci ont été définies lors de la signature du contrat entre les signataires.

Correction des anomalies

Tous les détails relatifs à la correction des anomalies sont présents dans nos conditions générales de vente. Des conditions spécifiques peuvent s’appliquer selon les contrats signés.

Pour plus d’informations, veuillez consulter nos conditions générales de vente sur notre site web : https://fr.smart-tribune.com/cgv/