Pratiques de sécurité

Khan Academy s'engage à créer un environnement sûr et sécurisé pour vous. Nous prenons très au sérieux toutes les questions liées à la sécurité et à la confidentialité, et nous voulons que vous ayez confiance en notre capacité à protéger les informations que vous partagez avec nous. Vous trouverez ci-dessous un résumé de nos pratiques de sécurité. Si vous avez des questions, veuillez nous contacter à l'adresse privacy@khanacademy.org, et nous serons ravis d'y répondre.

Khan Academy teste et évalue régulièrement son programme de sécurité et effectue des audits de sécurité SOC 2 Type 2 chaque année. Nous actualisons notre programme et ces pratiques de sécurité en réponse à ces évaluations, ainsi qu’aux tendances changeantes de l’industrie, afin d’améliorer les protections qu’ils offrent.  

 

Quelles informations sont collectées par Khan Academy ?

Khan Academy collecte les informations de contact et du profil, les données du compte et d'authentification, les informations du navigateur ou de l'appareil utilisé, les informations concernant les donateurs et les requérants, et toute autre information non personnelle qui pourrait être liée aux comptes. Pour davantage de détails concernant ces catégories et ce qu'elles couvrent, consultez notre politique de confidentialité ici :https://www.khanacademy.org/about/privacy-policy#what-information-do-we-collect

Comme détaillé plus loin dans notre politique de confidentialité, nous ne vendons pas vos données à des parties tierces, et nous ne diffusons pas de publicité sur le site Khan Academy. Nous avons formalisé ces engagements en signant le Student Privacy Pledge, une charte de protection des données des étudiant·e·s, parents et enseignant·e·s dans le cadre des établissements scolaires (https://studentprivacypledge.org/faqs/324). Notre mission est l'éducation, pas le profit.

 

Hébergement des données et des serveurs

Le site Internet et l'application mobile Khan Academy sont hébergés aux États-Unis sur le Google AppEngine, qui fait partie de la Google Cloud Platform (GCP). Nous avons choisi ce fournisseur sur la base de leurs bonnes pratiques en termes de normes de sécurité, et nous reposons sur eux pour la sécurité et la stabilité de nos serveurs et données. Toutes les informations sur GCP sont cryptées pendant leur stockage conformément aux pratiques de sécurité de Google, que vous pouvez consulter ici :https://cloud.google.com/security/. 

Nous ajoutons une couche supplémentaire de chiffrage sur les données personnelles de tout·e utilisateur·ice stockées sur GCP afin que celles-ci ne soient consultables que par le personnel disposant des autorisations nécessaires. L'accès aux serveurs Khan Academy sur AppEngine est réservé à un personnel dédié à la résolution de problèmes. L'accès aux registres liés à la sécurité est également restreint au personnel compétent afin de pouvoir intervenir en cas d'incident.

En plus de notre utilisation de la GCP, nous avons recours au réseau de livraison de contenus Fastly, qui contribue à la performance et la fiabilité de Khan Academy.

 

Données en transit

Khan Academy soutient et encourage l'utilisation des derniers protocoles cryptographiques pour l'ensemble du trafic des réseaux, notamment le TLS 1.3, le chiffrement AES256 et les signatures SHA256. 

 

Réponse en cas d'incident

Dans le cas où un incident de sécurité surviendrait (ou lorsqu'un incident potentiel a été identifié), nous déployons notre plan de réponse spécifique qui comprend les modalités suivantes : une première détection et notification, la communication aux parties affectées, l'isolation, la résolution et les leçons apprises. Ce plan de réponse en cas d'incident est testé au moins une fois par an pour assurer que nous sommes prêts à faire face à l'inattendu.

 

Gestion des vulnérabilités

Chez Khan Academy, nous utilisons un éventail d'outils, de méthodes et de procédures pour surveiller et protéger nos données et nos systèmes. Notre équipe responsable de la sécurité étudie les rapports du secteur pour permettre d'évaluer l'impact des technologies émergentes et des vulnérabilités sur nos systèmes de production. Nous assurons également un programme confidentiel de dénonciation des vulnérabilités : nous recevons des rapports de chercheurs en sécurité qui sont ensuite rapidement triés, classés par ordre de priorité et traités en fonction de leur gravité.

 

Cycle de développement logiciel

Khan Academy a recours aux meilleures pratiques du secteur pour le développement de ses produits. Nous incluons donc un examen manuel du code, des tests par des ingénieurs, des tests de qualité et des essais automatisés pour chaque implémentation ou changement de code qui ferait partie de notre service. Nous suivons le NIST (National Institute of Standards and Technology), l'OWSP (Open Web Application Security Project) ainsi que les meilleures pratiques et recommandations reconnues mondialement lorsque nous développons nos produits. L'accès aux secrets de production est réservé au personnel directement concerné.

 

Pratiques propres au fonctionnement interne de Khan Academy

Tou·te·s les employé·e·s de Khan Academy se voient vérifier leurs antécédents avant de commencer à travailler avec nous (conformément à la législation en vigueur). Nous assurons une formation à la sécurité et à la confidentialité à chaque nouvel·le employé·e au moment de l'embauche, et une par an ensuite.  Les ordinateurs fournis par l'organisation sont gérés par notre équipe IT et équipés d'un système de détection de menace et de fonctionnalités de reporting.

 

Contrôle de l'accès aux données

De temps à autre, les employé·e·s de Khan Academy ont besoin d'avoir accès aux données des utilisateur·ice·s pour des tâches de routine. Par exemple, un membre de l'équipe du support technique pourrait accéder aux informations d'un profil pour répondre à la demande de l'utilisateur en question. L'accès aux données utilisateur·ice est contrôlé par une politique d'accès minimum et doit être accordé affirmativement à chaque employé·e. Cet accès est ensuite contrôlé et soumis à un examen trimestriel. Tou·te·s les employé·e·s doivent utiliser une authentification multifacteur pour accéder aux ressources Khan Academy. En outre, nos pratiques qui visent à assurer la sécurité de vos données sont définies par une politique écrite de sécurité, que tou·te·s nos employé·e·s se sont engagé·e·s à respecter.

 

Parties tierces

Afin de vous offrir nos services, nous travaillons avec plusieurs fournisseurs, notamment pour l'hébergement des serveurs et des données, le service client et les outils de productivité interne et de communication. Nous travaillons également avec des organisations que nous considérons comme pouvant nous aider aux mieux dans notre objectif : offrir un enseignement de qualité à tout le monde. Nous avons des accords avec ces parties tierces qui appliquent nos normes en matière de sécurité des données afin de protéger les vôtres. Nos fournisseurs importants sont soumis à une vérification et approuvés par notre équipe de sécurité avant que vos données ne leur soient confiées. Chacun de ces fournisseurs est contrôlé chaque année.

 

Évaluation et contrôle

Khan Academy réalise régulièrement des évaluations sur l'application des règles de sécurité et fait l'objet, une fois par an, d'un test d'intrusion et d'un audit SOC 2 type 2.