Dropbox a mis en place un cadre régissant la sécurité des informations qui décrit l'objectif, les moyens, les principes et les règles de base utilisés pour maintenir une protection efficace. Pour accomplir cette mission, nous évaluons les risques, et cherchons en permanence à améliorer la sécurité, la confidentialité, l'intégrité et la disponibilité des systèmes Dropbox Business. À ce titre, nous vérifions et mettons à jour régulièrement nos règles de sécurité, nous formons nos collaborateurs aux questions de sécurité, nous testons la sécurité de nos applications et de notre réseau (notamment via des tests de pénétration), nous surveillons la conformité aux règles de sécurité, et nous réalisons des évaluations des risques internes et externes.
Sécurité des informations. Règles applicables aux informations relatives aux utilisateurs et à Dropbox : sécurité des appareils, exigences en matière d'authentification, sécurité des données et des systèmes, restrictions et consignes relatives à l'utilisation des ressources par les collaborateurs, gestion des problèmes potentiels, etc.
Sécurité physique. Règles nous permettant de maintenir un environnement sûr et sécurisé pour les collaborateurs et les installations de Dropbox.
Réponse en cas d'incident. Exigences que nous nous sommes fixées pour répondre aux incidents de sécurité potentiels, notamment en matière d'évaluation, de communication et de procédures d'enquêtes.
Accès logique. Règles permettant de sécuriser les systèmes Dropbox, les informations des utilisateurs et les informations de Dropbox. Elles couvrent le contrôle de l'accès aux environnements de gestion et de production.
Accès physique à l'infrastructure de production. Procédures de restriction d'accès au réseau de l'infrastructure physique de production : examen du personnel par la direction, annulation des autorisations accordées aux collaborateurs qui quittent l'entreprise, etc.
Gestion des changements. Règles relatives à la vérification du code et à la gestion par les développeurs autorisés des modifications apportées au code source des applications, à la configuration des systèmes et aux mises en production, qui sont susceptibles d'influer sur la sécurité.
Assistance. Règles régissant l'accès aux métadonnées des utilisateurs par notre équipe d'assistance, à des fins de consultation, d'assistance ou d'exécution d'actions sur les comptes.
L'accès de nos collaborateurs à l'environnement de Dropbox est géré par un annuaire central, et authentifié en associant des mots de passe sécurisés, des clés SSH protégées par un code secret, une authentification en deux étapes et des jetons à usage unique. Par ailleurs, nos règles internes obligent les collaborateurs qui accèdent aux environnements de gestion et de production à respecter les bonnes pratiques en matière de création et de stockage des clés SSH privées. L'accès à distance requiert l'utilisation d'un VPN protégé par une authentification en deux étapes, et tout accès spécial est examiné et approuvé par l'équipe chargée de la sécurité.
Dropbox met en œuvre des contrôles d'accès technique et des règles internes afin d'empêcher ses collaborateurs d'accéder sans raison aux fichiers des utilisateurs, et de limiter l'accès aux métadonnées et aux autres informations relatives aux comptes des utilisateurs. À l'heure où Dropbox devient le véritable prolongement de l'infrastructure des clients, ces derniers ont la certitude d'avoir affaire avec un véritable garant de leurs données.
Dropbox apporte un soin tout particulier à la sécurisation de son réseau dorsal. Dropbox identifie et atténue les risques en testant régulièrement les applications et le réseau, et en pratiquant d'autres tests et audits de sécurité, réalisés aussi bien par des équipes internes spécialisées en sécurité que par des spécialistes externes.
Nos techniques de sécurité et de surveillance des réseaux sont conçues pour fournir plusieurs niveaux de protection et de défense. Nous faisons appel à des techniques de protection standard pour faire en sorte que seul le trafic légitime puisse atteindre notre infrastructure : pare-feu, surveillance de la sécurité du réseau, systèmes de détection d'intrusion, etc. L'accès à l'environnement de production est limité uniquement aux adresses IP autorisées, qui sont vérifiées chaque trimestre pour garantir la sécurité de l'environnement de production.
Une règle formelle de gestion des changements a été définie par l'équipe technique de Dropbox de façon à ce que l'ensemble des changements liés aux applications soient autorisés avant leur implémentation dans les environnements de production. Toutes les modifications sont stockées dans un système de contrôle de versions et doivent faire l'objet de tests d'assurance qualité permettant de vérifier que toutes les exigences de sécurité sont respectées. Le cycle de vie de développement du logiciel doit respecter des consignes de codage sécurisé, et les problèmes de sécurité potentiels doivent être analysés à chaque modification du code par le biais de nos procédures d'assurance qualité et d'un examen manuel. L'équipe de sécurité Dropbox est chargée d'assurer la sécurité de l'infrastructure et de garantir la mise à jour des serveurs, du pare-feu et des autres configurations de sécurité, conformément aux pratiques en vigueur dans le secteur informatique.
Pour en savoir plus sur notre architecture de sécurité, téléchargez notre livre blanc sur la sécurité de Dropbox Business.
