Sécurité de Sprout Social
L'application Sprout Social est une plateforme de gestion des réseaux sociaux pour les entreprises. Elle offre aux marques et aux agences la possibilité de gérer la publication, l'engagement, l'analyse, l'Advocacy et le service client sur plusieurs réseaux et profils. Pour plus d'informations et pour une visite guidée du produit, rendez-vous sur notre site web ici.
Les contrôles et les mesures de sécurité documentés ci-dessous sont propres à l'application Sprout. En outre, toutes les mesures énumérées sur la page de sécurité s'appliquent.
Contrôle d'accès
Authentification
Par défaut, les utilisateurs se connectent à l'application Sprout avec un nom d'utilisateur et un mot de passe désignés, et la vérification en deux étapes par e-mail est appliquée. Les clients peuvent configurer divers paramètres de mot de passe pour leur compte, y compris la force, l'historique et les configurations de limite de débit. Les mots de passe des comptes sont salés et hachés à l'aide d'un ensemble robuste d'algorithmes et d'approches de dernière génération qui font l'objet d'une vérification régulière. Aucun humain ne peut voir les mots de passe, même pas nos équipes. Si vous perdez votre mot de passe, il ne pourra pas être récupéré et devra être réinitialisé.
L'authentification unique (SSO) via SAML 2.0 permet aux clients de fournir à leurs utilisateurs un seul ensemble d'identifiants de connexion pour accéder à plusieurs applications. Le provisionnement juste-à-temps (JIT) et la configuration des rôles par défaut pour les nouveaux utilisateurs sont également disponibles. Les instructions pour configurer le SSO sont disponibles ici.
De plus, les clients peuvent remplacer la vérification en deux étapes par e-mail par une authentification multifactorielle utilisant un algorithme de mot de passe à usage unique basé sur le temps (TOTP) ou un algorithme de mot de passe à usage unique basé sur HMAC (HOTP) pour générer des codes d'accès via des applications comme Google Authenticator. Les instructions pour configurer la validation en deux étapes via TOTP ou HOTP sont disponibles ici.
Autorisation
Sprout propose un modèle d'autorisations souple et complet où les propriétaires et les administrateurs de comptes peuvent restreindre l'accès à des profils, à des fonctionnalités, à des actions (comme lire et rédiger) et à d'autres données en appliquant des contrôles précis aux comptes des utilisateurs. Les groupes peuvent être configurés pour organiser les profils des réseaux sociaux dans un compte Sprout. Les clients peuvent ensuite accorder aux membres de l'équipe l'accès à des groupes spécifiques en fonction du mode de fonctionnement de leur entreprise. Des informations sur la création de groupes sont disponibles ici.
Outre les groupes, les clients peuvent définir des autorisations spécifiques pour chaque utilisateur. Les autorisations de l'entreprise englobent toutes les autorisations administratives accordées à un utilisateur, tandis que les autorisations de fonctionnalités portent sur l'accès à des onglets ou fonctionnalités spécifiques dans Sprout. Des informations pour configurer les autorisations des utilisateurs sont disponibles ici.
Les propriétaires et les administrateurs de compte peuvent restreindre certaines activités à l'aide de flux d'approbation. Ces flux de travail permettent de répartir les tâches au sein d'une équipe, avec la certitude que les principaux décideurs peuvent examiner et contrôler les actions destinées au public.
Sécurité de l'application
Restrictions d'adresses IP
Sprout Social peut être configuré pour restreindre l'accès à l'application et à l'API pour des plages spécifiques d'adresses IP.
Pause des publications à échelle mondiale
En temps de crise, un simple bouton permet à votre équipe de désactiver temporairement l'envoi de tous les messages automatiquement programmés et mis en file d'attente qui sont censés être envoyés par l'intermédiaire de Sprout Social. Il est accessible dans nos applications web et mobiles.
Meilleures pratiques de sécurité
Sprout Social souhaite vous aider à vous protéger contre les menaces de sécurité en ligne. Nous avons donc publié des ressources, notamment les articles Bonnes pratiques de sécurité et Protection des informations sensibles, pour aider les clients à assumer leurs responsabilités partagées en matière de sécurité.
Signature des e-mails
Sprout Social utilise les normes Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM) afin que les e-mails que nous envoyons soient authentifiés comme provenant de Sprout Social, ce qui permet d'éviter l'usurpation d'adresse e-mail et de garantir leur authenticité.
Journaux de piste d'audit
L'application Sprout comprend des journaux de piste d'audit destinés aux clients qui fournissent des informations sur l'activité des utilisateurs au sein d'un compte. Plus de cinquante événements et actions sont consignés dans la piste d'audit, qui documente l'activité et l'utilisateur qui en est à l'origine. Des informations sur les journaux de la piste d'audit sont disponibles ici.
Protection contre les attaques par force brute
En plus du hachage, qui représente en soi un défi informatique, nos services d'authentification mettent en œuvre des protections supplémentaires de limitation de débit ainsi qu'un système de ReCAPTCHA.
Hébergement cloud
Centres de données
L'application Sprout Social et l'infrastructure associée sont hébergées par Amazon Web Services (AWS). AWS fournit des installations d'hébergement de niveau mondial qui sont sécurisées, hautement disponibles et redondantes, conformes aux normes Cloud Security Alliance STAR niveau 2, ISO/IEC 9001, 27001, 27017, 27018, PCI DSS niveau 1 et SOC 1, 2 et 3. Pour plus d'informations sur les certifications et les programmes de conformité d'AWS, rendez-vous à l'adresse https://aws.amazon.com/compliance/programs.
Pour une redondance optimale, Sprout Social utilise également Google Cloud Platform (GCP) comme fournisseur d'hébergement pour la reprise et la sauvegarde après sinistre. Pour plus d'informations sur les certifications et les programmes de conformité de GCP, veuillez consulter la page https://cloud.google.com/trust-center.
Localisation des données
Conscient de l'importance de la résidence des données, Sprout Social s'efforce de fournir des informations précises et complètes sur le lieu de traitement et de stockage des données des clients. Actuellement, tous les composants de l'application Sprout Social, y compris l'infrastructure, le logiciel applicatif et les données des clients, sont hébergés dans plusieurs zones de disponibilité aux États-Unis.
Les emplacements sont indiqués ci-dessous :
- Primaire - AWS us-east-1 (Virginie du Nord, États-Unis)
- Secondaire – AWS us-west-2 (Oregon)
- Reprise après sinistre/sauvegarde – GCP us-central1 (Iowa)
Sécurité de l'infrastructure
Cryptographie
Toutes les communications sur les réseaux publics avec l'application et l'API Sprout utilisent le protocole HTTPS avec TLS 1.2 ou une méthode supérieure. Toutes les données, y compris les sauvegardes, sont stockées chiffrées au repos avec AES-256 ou une méthode supérieure.
Toutes les clés d'application sont gérées en mode natif par un système de gestion des secrets. Les clés sont régulièrement renouvelées conformément à la politique et aux normes du secteur.
Sécurité du cloud
L'application Sprout est conçue nativement pour AWS et utilise en toute sécurité des dizaines de services AWS. Des guides prescriptifs et des données de référence garantissent que tous les services sont configurés selon les meilleures pratiques de sécurité des fabricants et du secteur. Des analyses régulières confirment que ces bonnes pratiques restent en vigueur à tout moment.
En opérant dans un environnement cloud multi-locataire, Sprout Social garantit que les données de chaque client sont séparées logiquement, permettant ainsi à chaque client d'accéder uniquement à ses propres données. Diverses mesures de vérification front-end et back-end fonctionnent en continu pour faire respecter cette séparation.
Sécurité du réseau
L'infrastructure Sprout est configurée dans un Cloud Privé Virtuel (VPC), avec une segmentation en plusieurs zones de sécurité. Ces zones offrent des niveaux de contrôle accrus à proximité des données client.
Les serveurs sont segmentés logiquement selon les listes de contrôle d'accès réseau, les groupes de sécurité et les règles de pare-feu. Chaque serveur est dédié et conçu pour une seule fonction. Les ports et services inutiles sont désactivés.
Cloudflare, en conjonction avec le pare-feu d'applications Web AWS (WAF), protège l'infrastructure contre les attaques automatisées et manuelles. Des systèmes de détection des intrusions hôtes (« Host-based Intrusion Detection Systems », ou IDS) sont déployés dans tous les systèmes de production.
Entretien
L'infrastructure est construite et entretenue selon l'approche de l'architecture zero-trust. Le personnel se voit accorder l'accès aux systèmes strictement en fonction de l'accès requis pour leur rôle, conformément au principe du moindre privilège. Les individus qui effectuent la maintenance du système doivent se connecter à l'infrastructure via un VPN, et plusieurs couches de vérification et d'authentification sont appliquées.
Les activités de maintenance sont réalisées sans impact ni interruption pour les clients.