Hébergement et sécurité
Sprout Social a pour objectif d'aider les entreprises de toutes tailles à maîtriser leur stratégie de marketing, à renforcer leurs relations avec les clients, à prendre des décisions plus éclairées et à faire de leur marque l'une des plus reconnues au monde.
En activité depuis 2010, Sprout Social compte plus de 30 000 clients effectifs qui font confiance à la plateforme pour gérer chaque jour des millions de conversations. Notre technologie est conçue et gérée spécialement pour nos clients et leurs audiences, qui englobent des centaines de millions de personnes. Forts d'une culture basée sur l'assistance et la réussite des clients, nous nous efforçons de nouer des relations durables au quotidien.
Fiabilité et disponibilité
Sprout Social s'efforce de minimiser les perturbations et les temps d'arrêt de ses services. Nos systèmes sont conçus pour être opérationnels malgré les failles, et nos équipes sont formées à la résolution rapide des incidents. Nous mettons un point d'honneur à éviter à tout prix les temps d'arrêt, que ces derniers soient ou non planifiés. Nous n'imposons jamais d'arrêt de maintenance si celui-ci est évitable, et c'est généralement le cas. Les concepts de continuité des activités et de reprise après incident sont intégrés dans nos pratiques et dans nos systèmes. Nous y avons pensé en amont, et ils ne sont pas l'apanage d'une seule équipe.
Une expérience qui a fait ses preuves
Le temps de disponibilité de 99,99 % est un indicateur clé de performance pour notre groupe d'ingénierie. Au moment où nous écrivons ces lignes, nous avons un temps de disponibilité supérieur à 99,99 % par rapport aux 6 et aux 12 derniers mois.
Une transparence totale envers nos clients
La confiance commence par une communication ouverte. Nous partageons publiquement l'état du système en temps réel et les indicateurs sur nos sites web de statut, https://status.sproutsocial.com pour Sprout Social et https://status.advocacy.sproutsocial.com pour Employee Advocacy. Nous vous tenons au courant des incidents et des périodes de maintenance planifiées, et notamment de l'impact que cela peut avoir sur les clients. De même, nous partageons les données concernant la santé des systèmes provenant de fournisseurs tiers indépendants. Les clients peuvent également s'inscrire pour recevoir des notifications immédiates par SMS ou par e-mail en cas d'incident.
Flux des médias sociaux
Notre couche d'ingestion de données combine plusieurs connexions aux API des réseaux sociaux. En tant que partenaires, les réseaux sociaux tels que Facebook, Twitter, Instagram et Linkedin nous offrent un niveau de redondance plus élevé et un accès à leurs équipes d'assistance.
Sauvegardes
Des sauvegardes sont effectuées fréquemment, chiffrées en transit et au repos et testées régulièrement. Les sauvegardes sont stockées « hors site » sur Amazon S3, qui stocke les fichiers sur de nombreux appareils physiques au sein de nombreuses installations, ce qui assure leur longévité dans 99,999999999 % des cas et leur disponibilité dans 99,99 % des cas.
Transparence totale envers nos équipes
En cas d'échec, nous réalisons en interne des analyses multidisciplinaires rétrospectives (qui ne visent aucunement à trouver des coupables) afin de faire progresser nos employés, nos procédures et nos systèmes. La peur est l'ennemie du progrès.
Isolation
Notre plateforme back-end hautement distribuée se base sur des modèles de conception d'isolation pour atténuer les risques entre les composants. Les défaillances d'un composant affectent rarement d'autres composants.
Perte de données maximale admissible (PDMA)
Les stratégies de récupération sont conçues pour fournir des PDMA à jour avec de faibles durées maximales d'interruption admissible (DMIA), les données plus anciennes étant récupérées avec des DMIA plus longues. Cela répond aux attentes des clients sur les médias sociaux, car ils sont en mesure de satisfaire les besoins immédiats de leurs clients.
DevOps : les bonnes pratiques
Notre équipe d'ingénieurs a recours à l'Infrastructure as Code pour offrir exactitude, cohérence, testabilité et vitesse de récupération. Tous les membres de l'équipe sont habilités à reconstruire les systèmes et les topologies avec une cohérence totale, et ce 24 h sur 24, 7 j sur 7 et 365 jours par an. En cas de perte de système, notre équipe d'ingénierie est en mesure de recréer rapidement les systèmes en exécutant le code d'infrastructure.
Surveillance et assistance d'astreinte
Nous effectuons une surveillance continue dans le monde entier pour envoyer des alertes et créer des rapports en temps réel dans l'ensemble de nos environnements techniques. Pour être aux côtés de nos clients, nous comptons sur la collaboration entre notre équipe d'assistance client et nos ingénieurs. Notre équipe d'ingénieurs spécialisés travaille en continu, 24 h sur 24, 7 j sur 7 et 365 jours par an.
Lorsque des problèmes surviennent, une notification est rapidement envoyée à nos équipes. En outre, elles reçoivent automatiquement des informations contextuelles, et des outils sont mis à leur disposition afin de collaborer efficacement avec leurs collègues. Nous utilisons un système de triage par pager pour nous assurer que les ingénieurs reçoivent les alertes rapidement et de manière fiable.
Centres de données
Les produits Sprout Social sont hébergés par Amazon Web Services (AWS). AWS fournit des capacités d'hébergement haut de gamme. Ces dernières sont sécurisées, hautement disponibles et redondantes, et sont également conformes aux normes Cloud Security Alliance Star Level 2, ISO 9001, 27001, 27017, 27018, PCI DSS Level 1 et SOC 1, 2 et 3. Pour plus d'informations sur les certifications et les programmes de conformité d'AWS, rendez-vous à l'adresse https://aws.amazon.com/compliance/programs.
Localisation des données
Les données de nos clients sont stockées aux États-Unis, dans la région us-east-1 d'AWS.
Installations
Les centres de données d'AWS sont équipés de capacités d'hébergement physique haut de gamme. Les bâtiments disposent de fonctions de surveillance et de gestion de la température et de l'humidité, de détection et d'évacuation automatiques de l'eau, ainsi que de détection et d'extinction automatiques des incendies. La combinaison de plusieurs alimentations électriques, de systèmes d'alimentation sans coupure (UPS) et de générateurs électriques sur site fournit des couches d'alimentation de secours. Les télécommunications et les connexions internet sont redondantes. Les produits de Sprout Social sont indépendants de nos bureaux et des installations que nous gérons.
Sécurité informatique
Des éléments de sécurité supplémentaires sont mis en place dans les salles et au niveau des systèmes dédiés aux technologies de l'information (alarmes de détection de forçage de porte, systèmes de détection d'intrusion électronique et filaire, authentification à plusieurs facteurs et destruction des contenus multimédias avec
NIST 800-88).
Sécurité physique
L'accès physique aux installations abritant les centres de données font l'objet d'un contrôle et d'un examen rigoureux. Tous les accès physiques sont surveillés 24 h sur 24 et 7 j sur 7 par le personnel. L'authentification à plusieurs facteurs est obligatoire pour tous les visiteurs. Pour éviter tout accès non autorisé, une surveillance continue est assurée grâce à des systèmes de vidéosurveillance, de détection des intrusions et de contrôle des journaux d'accès.
Sécurité des infrastructures et du réseau
Sprout Social emploie une équipe de sécurité dédiée. Tous les systèmes sont surveillés et alertés pour les événements liés à la sécurité et aux opérations, et ce 24 h sur 24, 7 j sur 7 et 365 jours par an. Des systèmes de détection des intrusions hôtes (« Host-based Intrusion Detection Systems », ou IDS) sont déployés dans tous les systèmes de production.
Contrôles du réseau
Notre réseau privé est segmenté en de nombreuses zones de sécurité, qui garantissent des niveaux de contrôle croissants au contact des données de nos clients.
Gestion et réponse aux incidents
Le plan et les procédures de Sprout Social en matière de réponse aux incidents sont basés sur les normes NIST. Tous les rapports d'incident sont rapidement examinés, signalés et corrigés si nécessaire. Le plan et les procédures de réponse définissent toutes les étapes pour garantir un processus cohérent.
Scan
Les systèmes et les applications sont régulièrement scannés afin d'identifier les vulnérabilités communes.
Chiffrement au repos et en transit
Toutes les communications sur les réseaux publics avec l'application et l'API Sprout Social utilisent le protocole HTTPS avec TLS 1.2 ou supérieur. Toutes les données sont stockées chiffrées au repos avec AES-256 ou supérieur, y compris les sauvegardes.
Administration système
Nous suivons les meilleures pratiques, telles que le principe du moindre privilège, la gestion centralisée de la configuration et des politiques strictes de pare-feu hôte et réseau. Les serveurs sont patchés automatiquement selon un planning régulier, les patches de haute priorité étant appliqués manuellement hors cycle.
Gestion des risques liés aux tiers
Sprout Social examine régulièrement l'approche adoptée par ses principaux fournisseurs tiers de produits et services en matière de sécurité. Les sous-traitants de Sprout Social sont tenus par contrat de respecter un ensemble établi de mesures de sécurité conformes aux bonnes pratiques du secteur.
Sécurité de l'application
Les développeurs de Sprout Social sont formés tous les ans au codage sécurisé. L'ensemble du code de l'application est écrit par les employés de Sprout et chaque modification est évaluée par les pairs. Les vulnérabilités en matière de sécurité sont rapidement triées et corrigées.
Tests d'intrusion par des tiers
Sprout Social fait appel à de multiples fournisseurs de tests d'intrusion pour effectuer plusieurs tests par an. Les rapports sont disponibles sur demande des clients et sont soumis à notre accord de confidentialité.
Mitigation DDoS
La mitigation DDoS est fournie sur notre plateforme d'hébergement.
Politique de divulgation responsable
Les experts en sécurité peuvent signaler les vulnérabilités par l'intermédiaire de Bug Crowd. (lien : https://bugcrowd.com/sproutsocial). Pour en savoir plus sur notre politique, rendez-vous sur le site https://sproutsocial.com/responsible-disclosure-policy.
Employés et service informatique interne
Chez Sprout Social, la gestion de la sécurité des informations est assurée par le vice-président de l'informatique, de la sécurité et de la conformité, avec la supervision du directeur de la technologie et du conseil d'administration. Non seulement les développeurs sont formés à la programmation sécurisée, mais l'ensemble des employés doit suivre une formation générale annuelle sur la sécurité et la confidentialité des données. Des simulations de phishing sont réalisées quotidiennement et comparées aux données de référence du secteur.
Politiques et normes de sécurité des informations
Sprout Social a mis en place un solide système de gestion de la sécurité des informations grâce à un ensemble complet de politiques et de normes qui couvrent tous les aspects de la sécurité et de la vie privée. Condition préalable à l'embauche, les employés doivent engager leur responsabilité en matière de protection des données des clients.
Protocoles d'assistance sécurisés
Lorsque notre équipe d'assistance doit mener des actions sensibles sur les comptes des clients, elle suit les protocoles contre le phishing et les menaces conçus par notre équipe de sécurité.
Bureaux
Les bureaux de Sprout Social sont sécurisés grâce à un accès par carte-clé. Les réseaux de nos bureaux sont segmentés, surveillés de manière centralisée et protégés par des pare-feu et des dispositifs de prévention des intrusions. Nos produits ne dépendent pas de nos bureaux ou d'autres installations gérées par notre entreprise.
Appareils
Tous les appareils de Sprout Social sont inventoriés avec des étiquettes d'inventaire et gérés par le biais d'une solution centrale de gestion de terminaux mobiles.
Points de terminaison
Les postes de travail des employés sont protégés par le chiffrement du disque dur, un antivirus et une solution avancée de détection des logiciels malveillants.
Vérification des antécédents
Avant de les embaucher, nous vérifions tous les antécédents judiciaires des nouveaux employés ayant accès aux données des clients.
Continuité des activités
Sprout Social dispose de bureaux dans le monde entier, mais tout comme pour l'hébergement de nos produits, la continuité de nos activités ne dépend pas de ces bureaux. Nos produits, notre service client et l'ensemble de nos processus peuvent se poursuivre sans interruption, même en cas d'incidents matériels ou de problèmes dans nos bureaux. Pendant la pandémie de COVID-19 (Coronavirus), les employés de Sprout Social sont passés au travail à distance sans que cela n'occasionne aucun retard ni aucune interruption, assurant ainsi la continuité des services à nos clients. Notre équipe dispose de solutions d'accès à distance, de solutions de collaboration et d'outils dans le Cloud qui sont utilisés quotidiennement.
Caractéristiques de sécurité des produits
Authentification multifacteur
Les propriétaires et les administrateurs de comptes exigent parfois que leurs utilisateurs utilisent cette couche de sécurité supplémentaire. Sprout Social prend en charge des applications (comme Google Authenticator et d'autres), qui implémentent l'algorithme de mot de passe unique basé sur le temps (Time-based One-time Password Algorithm, TOTP) ou l'algorithme de mot de passe unique basé sur un HMAC (HOTP) pour générer des mots de passe.
Stockage sécurisé des identifiants
Les mots de passe des comptes sont salés et hachés à l'aide d'un ensemble robuste d'algorithmes et d'approches de dernière génération qui font l'objet d'une vérification régulière. Aucun humain ne peut voir les mots de passe, même pas nos équipes. Si vous perdez votre mot de passe, il ne pourra pas être récupéré et devra être réinitialisé.
Protection contre les attaques par force brute
En plus du hachage, qui représente en soi un défi informatique, nos services d'authentification mettent en œuvre des protections supplémentaires de limitation de débit ainsi qu'un système de ReCAPTCHA.
Flux de travail d'approbation
Les propriétaires et les administrateurs de compte peuvent restreindre certaines activités derrière les flux d'approbation. Cela permet de répartir les tâches au sein d'une équipe et de garantir que les principaux décideurs puissent examiner et contrôler les actions disponibles pour le public.
Restrictions d'adresses IP
Sprout Social peut être configuré pour restreindre l'accès à l'application et à l'API pour des plages spécifiques d'adresses IP.
Authentification unique (SSO)
Sprout Social offre une authentification unique (SSO) SAML 2.0 aux organisations qui utilisent ce service d'authentification pour donner à leurs employés un ensemble d'identifiants de connexion qui leur permet d'accéder à plusieurs applications. Notre équipe d'ingénieurs travaille avec les clients pour mettre en œuvre des intégrations SSO personnalisées sur le Web et les appareils mobiles.
Signature des e-mails
Sprout Social utilise les normes Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) afin que les e-mails que nous envoyons soient authentifiés comme provenant de Sprout Social, ce qui permet d'éviter l'usurpation d'adresse e-mail et de garantir leur authenticité.
Autorisations d'accès
Les propriétaires et les administrateurs de comptes peuvent restreindre l'accès à des profils, à des fonctionnalités, à des actions (comme lire et rédiger) et à d'autres données en appliquant des contrôles précis aux comptes des utilisateurs.
Pause des publications à échelle mondiale
En temps de crise, un simple bouton permet à votre équipe de désactiver temporairement l'envoi de tous les messages automatiquement programmés et mis en file d'attente qui sont censés être envoyés par l'intermédiaire de Sprout Social. Il est accessible dans nos applications web et mobiles.
Protection des clients
Sprout Social souhaite vous aider à vous protéger contre les menaces de sécurité en ligne et a créé des ressources à cet effet, notamment les articles Bonnes pratiques de sécurité et Protection des informations sensibles du centre d'aide.
Conformité et certifications
La conformité et les certifications en matière de sécurité de Sprout Social sont disponibles dans notre Centre de confiance.