La sécurité est au premier plan chez Blackboard.

Blackboard porte une attention particulière à l'intégration de la sécurité à ses produits et à la fourniture de mises à jour rapides et soigneusement testées.

Blackboard suit des pratiques de sécurité approuvées par le secteur. Blackboard Learn est développé conformément à des instructions techniques de sécurité. Celles-ci proviennent de nombreux organismes, tels que la communauté OWASP (Open Web Application Security Project), notamment des mesures de protection spécifiques contre les 10 principales vulnérabilités OWASP. Blackboard incorpore ces pratiques de sécurité dans toutes les phases du cycle de développement de ses logiciels.


Code d'application

Le code d'application SaaS a été conçu dans un souci de sécurité. L'équipe de sécurité a été impliquée dans toutes les phases du SDLC afin d'assurer une sécurité de bout en bout, conformément à notre programme de garantie de la sécurité. Nous avons adopté de nouvelles technologies, et tiré parti de leurs caractéristiques de sécurité intégrées et de leurs pratiques exemplaires.


Assurer la sécurité

Blackboard utilise plusieurs méthodes pour protéger ses applications, notamment les évaluations de sécurité « descendantes » à travers la modélisation et l'analyse des menaces. Nous réalisons également une détection « ascendante » des menaces au niveau du code via des analyses statiques, des analyses dynamiques et des tests de pénétration manuels.

Blackboard suit les pratiques d'excellence de nombreux organismes pour renforcer la sécurité du produit et du programme Blackboard Learn, notamment les suivants :

  • National Institute of Standards and Technology (NIST)
  • Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)
  • SANS Institute Open Web Application Security Project (OWASP)
  • Cloud Security Alliance (CSA)

Les menaces de sécurité et les mesures de protection des systèmes de gestion de l'apprentissage sont en constante évolution. C'est pourquoi Blackboard évalue régulièrement sa feuille de route de sécurité des produits.

Blackboard intègre la sécurité à Blackboard Learn depuis le début. Les éléments suivants présentent les mesures et les pratiques de sécurité que Blackboard a mises en place pour sécuriser l'offre SaaS.


Sécurité réseau

Communications sécurisées

L'offre SaaS Learn sécurise toutes les communications Internet grâce à la technologie TLS (Transport Layer Security). Le protocole TLS garantit que les communications ne sont pas lues ou modifiées par une autre entité. Blackboard Learn utilise le protocole TLS pour sécuriser les communications entre le serveur Web et le terminal client, comme un navigateur.

L'offre SaaS nécessite l'activation du protocole TLS à l'échelle du système par défaut. La terminaison TLS se fait sur l'Amazon Elastic Load Balancer (ELB). Les certificats TLS nécessitent un chiffrement 2 048 bits.

Exposition minimale aux attaques

Les instances client de l'offre SaaS Learn prennent en charge la terminaison TLS sur l'ELB. Les seules ressources disposant d'un accès entrant sont donc les ELB. Les ports disponibles sont le port 80 (http) et le port 443 (https). L'accès au port 80 génère une redirection vers le port 443, ce qui garantit une communication sécurisée via TLS. Dans le cadre de l'offre Saas Learn, Blackboard applique une politique de pare-feu de blocage par défaut par le biais des groupes de sécurité AWS. Tous les autres ports sont donc inaccessibles de l'extérieur. En outre, l'offre SaaS Learn place toute l'infrastructure non ELB sur un sous-réseau privé totalement isolé d'Internet.


Gestion des accès

Accès administrateur client

Les clients peuvent accéder à leurs instances Learn SaaS correspondantes via l'interface Web sur TLS. Pour des raisons de sécurité, l'accès au back-end ou à la ligne de commande est impossible.

Accès administrateur Blackboard

Accès aux applications

Seul le personnel Blackboard autorisé peut accéder aux instances de l'offre SaaS Learn via l'interface Web sur TLS.

Accès au back-end

Un nombre limité d'employés disposent d'un accès au back-end et à la ligne de commande via des clés SSH. L'accès est uniquement possible via ces clés SSH, une méthode d'accès plus sécurisée que l'utilisation d'identifiants/mots de passe. Les clés sont gérées par un petit groupe et peuvent être révoquées à tout moment.

Accès à la console

L'accès de Blackboard à la console Web Amazon Web Services exige une authentification MFA (Multi-Factor Authentication).

Reprise après sinistre

Sauvegardes et résilience de la base de données

L'offre Learn SaaS utilise la base de données PostgreSQL. Le service de base de données PostgreSQL offre une disponibilité et une durabilité optimisées pour passer rapidement à une autre zone de disponibilité en cas de panne de la base de données. Notre service de base de données PostgreSQL prend également en charge les sauvegardes nocturnes.

Les sauvegardes sont stockées sur un support offrant une durabilité extrêmement élevée. Pour le moment, l'offre SaaS Learn n'utilise pas de chiffrement de base de données au repos.

L'offre SaaS Learn utilise le contrôle d'accès pour protéger la base de données. L'accès à la base de données n'est pas possible depuis l'extérieur et est limité au personnel Blackboard autorisé.

Sauvegardes et résilience du système de fichiers

L'offre Learn SaaS utilise Amazon Simple Storage Service (S3) pour sauvegarder les données critiques du système de fichiers. Les données sont sauvegardées toutes les 5 minutes. S3 offre une durabilité des données de 99,999999999 %.

Pour le moment, les sauvegardes ne sont pas chiffrées, mais Blackboard examine ce point dans le cadre de sa feuille de route SaaS Learn. Les sauvegardes ne sont pas accessibles depuis l'extérieur et l'accès est limité au personnel Blackboard autorisé.

Audit de sécurité

Les clients ont accès aux journaux au niveau de l'application Blackboard Learn via l'interface Kibana intégrée du panneau de configuration de l'administrateur. Customers will be able to review security logs as described here: Audit and Accountability.

L'offre Learn SaaS tire parti des puissants outils d'audit AWS, tels que S3, CloudWatch, CloudTrail et TrustedAdvisor.

Sécurité intégrée, vérification par un tiers

Dès le départ, Blackboard s'est associé à Amazon pour que son offre Learn SaaS repose sur une base solide de pratiques d'excellence AWS. Blackboard a ensuite engagé un auditeur tiers pour qu'il se concentre sur le déploiement AWS de l'offre Learn SaaS. Ces deux approches combinées garantissent le plus haut niveau de confiance dans la sécurité de notre offre SaaS.

Mesures de protection contre les attaques DDoS

Notre partenariat avec AWS pour Learn SaaS offre de nombreux avantages en termes d'échelle, d'efficacité et de sécurité. L'infrastructure haute disponibilité sur laquelle repose AWS présente un avantage clair. Par exemple, l'offre SaaS Learn bénéficie des mesures de protection contre les attaques DDoS natives d'AWS.