Security | Datadog

Sécurité

La sécurité est notre priorité. Si vous avez des questions ou
souhaitez signaler un problème, n'hésitez pas à nous contacter.

Sécurité des produits

Chez Datadog, la sécurité des produits revêt une importance capitale. La société applique un cycle de développement logiciel conforme aux grands principes Agile. Lorsque le renforcement de la sécurité fait partie intégrante de l’ensemble du processus de développement Agile, il est possible d’identifier et de corriger les problèmes de sécurité logicielle beaucoup plus rapidement qu’avec un cycle de développement conventionnel. Les correctifs logiciels sont déployés dans le cadre de notre processus d’intégration continue. Les correctifs susceptibles d’affecter les utilisateurs finaux sont appliqués dès que possible, mais il peut être nécessaire de les informer à l’avance et de prévoir une période de maintenance.

Datadog apporte des changements en continu à sa solution, ce qui lui permet d’accélérer le processus de correction des problèmes de fonctionnement et de sécurité. La chronologie et la stratégie de déploiement de ces changements sont déterminées en fonction de politiques et de procédures clairement définies. Cette philosophie est le fondement même de la sécurité DevOps et des méthodologies de développement qui ont conduit à l’adoption de Datadog à grande échelle. De cette façon, la société est en mesure de minimiser le temps moyen de correction des problèmes, qu’ils concernent la sécurité ou le bon fonctionnement de la plateforme. Datadog améliore continuellement ses pratiques DevOps par le biais de processus itératifs.

Sécurité physique

L’infrastructure de production de Datadog est hébergée au sein d’environnements mis à disposition par des fournisseurs de solutions cloud. Ces fournisseurs sont chargés de la gestion des contrôles liés à la sécurité physique et environnementale des serveurs de production de Datadog, notamment en ce qui concerne les bâtiments, les serrures de porte ou les clés. « L’accès physique est strictement contrôlé à la fois dans l’enceinte et aux points d’accès du bâtiment par des professionnels de la sécurité. Le personnel autorisé doit passer avec succès au moins deux authentifications à deux facteurs pour pouvoir accéder aux étages des centres de données. »1

Sécurité interne

Datadog est bien conscient que la création de périmètres dans le but de renforcer la sécurité des réseaux modernes est une stratégie dont l’efficacité tend à montrer ses limites. Lorsqu’un périmètre est franchi, les services qui reposent sur la sécurité du périmètre réseau sont rapidement compromis. Par conséquent, Datadog tire parti de services internes fondés sur le protocole TLS (Transport Layer Security) pour contrôler l’accès au réseau et l’identité de chaque utilisateur, généralement en faisant appel à un fournisseur d’identité centralisé ainsi qu’à un système de double authentification lorsque cela est possible.

Tous les employés de Datadog doivent suivre une formation annuelle visant à les sensibiliser à l’importance de la sécurité, qu’ils exercent un rôle technique ou non ; chacun est invité à contribuer au renforcement de la sécurité des données client et des ressources de l’entreprise. Des ressources de formation adaptées à chaque rôle sont mises à la disposition des employés pour veiller à ce qu’ils soient tous en mesure de répondre aux défis associés à leurs tâches en matière de sécurité.

EN SAVOIR PLUS

Présentation de l’Agent

Les clients peuvent envoyer des données au service Datadog en utilisant un agent installé localement ou par l’intermédiaire de notre API HTTP. Bien que l’utilisation de Datadog n’exige pas obligatoirement l’utilisation de l’Agent Datadog, la grande majorité des utilisateurs font le choix de recourir à cet Agent.

L’Agent Datadog est open source, et le code de l’Agent v5 ainsi que de l’Agent v6 est disponible sur GitHub. La v6 est la toute dernière version majeure de l’Agent Datadog : les composants principaux ont été entièrement réécrits en Golang. Cela permet à Datadog de tirer parti de la programmation concurrente et de s’exécuter en tant que processus unique, contre quatre processus différents pour l’Agent v5 (redirecteur, collecteur, DogStatsD et superviseur).

L’Agent V6 comprend une interface graphique activée par défaut, qui se lance dans votre navigateur Web favori. Cette interface ne peut être lancée que si l’utilisateur qui en fait la demande dispose des autorisations adéquates, et notamment du droit d’accéder au fichier de configuration de l’Agent. L’interface n’est accessible qu’à partir du réseau local (localhost/127.0.0.1). Enfin, l’utilisateur doit avoir activé les cookies, un jeton étant généré et enregistré afin d’authentifier toutes les communications avec le serveur de l’interface. Cette interface graphique peut également être totalement désactivée si l’utilisateur le souhaite.

Pour en savoir plus sur les interactions avec Datadog, consultez les sites https://docs.datadoghq.com/agent/ ou https://docs.datadoghq.com/api.

Authentification et gestion des accès

Les utilisateurs finaux peuvent se connecter à Datadog par l’intermédiaire d’un fournisseur d’identité, en tirant parti de la compatibilité de la plateforme avec le protocole SAML (Security Assertion Markup Language) ou le service OpenID « Se connecter avec Google ». Ces services permettent d’authentifier l’identité d’une personne et peuvent inviter l’utilisateur à partager certaines informations à caractère personnel avec Datadog, telles que son nom et son adresse e-mail, afin de pré-remplir notre formulaire d’inscription. La prise en charge du protocole SAML par Datadog permet aux entreprises de contrôler le processus d’authentification auprès de Datadog et d’appliquer des politiques de mots de passe, des stratégies de récupération de compte et des systèmes d’authentification multifacteur sur mesure.

Toutes les requêtes envoyées à l’API de Datadog doivent être authentifiées. Pour bénéficier des droits d’écriture, les requêtes nécessitent au moins un accès au reporting ainsi qu’une clé d’API. Les requêtes qui nécessitent des droits de lecture doivent disposer d’un accès utilisateur complet ainsi que d’une clé d’application. Ces clés correspondent à des jetons de porteur utilisés pour accorder l’accès aux fonctionnalités du service Datadog.

Protection des données client

Les données transmises au service Datadog par les utilisateurs autorisés sont considérées comme confidentielles. Ces données sont protégées pendant leur transfert sur les réseaux publics et chiffrées durant leur stockage. Les données client ne sont pas autorisées à quitter l’environnement de production de Datadog, sauf dans des circonstances exceptionnelles, par exemple lorsqu’un client en fait la demande.

Toutes les données qui transitent entre Datadog et les utilisateurs de Datadog sont protégées à l’aide des protocoles TLS (Transport Layer Security) et HSTS (HTTP Strict Transport Security). Si la communication chiffrée est interrompue, l’application Datadog devient inaccessible.

Les données client sont actuellement hébergées aux États-Unis d’Amérique, principalement dans l’État de Virginie. Datadog applique des processus de chiffrement à plusieurs niveaux afin de protéger ses données client et ses informations secrètes, notamment le chiffrement des données stockées (par exemple via AES-256), le chiffrement asymétrique (par exemple via PGP) pour les sauvegardes système, la protection des informations secrètes (mots de passe, jetons d’accès, clés d’API, etc.) via KMS et le chiffrement GPG.

L’accès aux données client est strictement limité au niveau requis pour fournir les services à l’entreprise. Datadog a mis en place un système de contrôle des accès multi-niveaux pour la gestion des rôles et des privilèges administrateur. L’accès aux environnements qui contiennent des données client est contrôlé par le biais de multiples protocoles d’authentification et d’autorisation, notamment un système d’authentification multifacteur (MFA). Datadog applique les principes du moindre-privilège et des droits sélectifs pour la gestion des accès aux données client, et chaque accès à un environnement est contrôlé et enregistré à des fins de sécurité. En plus des multiples contrôles mis en place pour assurer l’intégrité et la confidentialité des données et des mécanismes d’accès administrateur, les disques de stockage sont intégralement chiffrés et chaque poste de travail est associé à des identifiants uniques.

Datadog a mis au point une solution sur mesure, fondée sur des technologies aussi bien open source que commerciales, afin d’assurer la surveillance des infrastructures critiques et de détecter les problèmes de sécurité. Les données d’activité telles que les appels d’API et les appels système sont enregistrées sur une plateforme centralisée, où les informations sont analysées en appliquant diverses règles personnalisées conçues pour identifier les comportements malveillants ou non approuvés. Les données obtenues sont ensuite transmises vers une plateforme d’orchestration chargée de déclencher des actions automatisées, par exemple en alertant directement l’équipe en charge de la sécurité ou en déployant des exigences d’authentification supplémentaires.

EN SAVOIR PLUS

Certifications, attestations et normes

Datadog a reçu une certification de conformité aux principes du Bouclier de protection des données UE-États-Unis et fait partie du registre STAR de la Cloud Security Alliance (CSA). De plus, Datadog fait appel à des organismes tiers indépendants pour assurer la validation de ses systèmes de sécurité, de ses processus et de ses services, l’entreprise ayant notamment passé avec succès son audit SOC 2 Type II.

Lois et réglementations

La solution de Datadog est conforme à l’ensemble des lois et régulations applicables aux services fournis en matière de protection des données.

Datadog répond aux exigences du Règlement général sur la protection des données (RGPD) depuis le 25 mai 2018. Datadog s’est efforcé d’améliorer ses produits, processus et procédures afin de respecter ses obligations en tant que sous-traitant de données.

Préparation au RGPD

Le RGPD vise à harmoniser les réglementations au sein de l’UE et à renforcer les droits des résidents de l’UE (les Personnes concernées) en ce qui a trait aux données à caractère personnel, tout en élargissant la définition de ce qui constitue des données à caractère personnel. Le RGPD renforce les droits des Personnes concernées en matière de contrôle et de suppression de leurs données personnelles, en interdisant également le traitement de certaines catégories spécifiques de données. Toute organisation ou entité chargée de traiter les données à caractère personnel des Personnes concernées est tenue de comprendre les exigences du RGPD afin de s’y conformer.

Pour en savoir plus sur le RGPD, consultez la page https://www.datadoghq.com/gdpr/.

Conformité de Datadog au RGPD

Nous avons adapté nos produits, processus et procédures afin de respecter nos obligations en tant que sous-traitant de données (Sous-traitant). Si un client estime que des données à caractère personnel ont été incluses dans ses informations traitées par Datadog, Datadog l’aidera à remplir ses obligations conformément aux exigences du RGPD et aux termes de notre contrat relatif au traitement des données. Le client concerné sera considéré comme le responsable du traitement des données (Responsable du traitement), tandis que Datadog sera considéré comme le Sous-traitant.

Processus d’assistance

Datadog a mis en place un portail en ligne pour recueillir, examiner et traiter les demandes d’accès aux données à caractère personnel soumises à ses clients. Lorsqu’une personne fait valoir son droit d’accès, les clients peuvent demander à Datadog de supprimer ou de renvoyer de façon sécurisée les données à caractère personnel de la Personne concernée. En raison de leur sensibilité, ces demandes seront traitées au cas par cas par Datadog.

Si vous avez des questions ou des demandes relatives au RGPD, contactez-nous à l’adresse gdpr@datadoghq.com.

Safety and Security

To ensure a safe and trustworthy user experience, Datadog builds security into our platform through safe design and proactive monitoring.

Safety Center

Datadog provides security alerts and best practices dynamically in your organization in the Safety Center. Admins of an organization can visit this page to review recommendations and take action on high priority security warnings and alerts. The Safety Center can be found in Organization Settings.

Safety Center example

Security Contacts

You can set primary and secondary email addresses to receive security notifications for your Datadog organization, keeping you informed about important account safety events and notifying the appropriate individuals promptly. Upon detecting security issues, like publicly exposed Datadog keys needing rotation (see Token Safety), your assigned Security Contact will be notified. This proactive approach lets you quickly address and mitigate potential security risks. To configure Security Contacts for your organization you must have organization management permissions.

Token Safety

Datadog automatically detects if one of your private Datadog API or application keys is accidentally uploaded to a public GitHub repository. If a valid key is detected, you’ll immediately receive an email notification with instructions on how to secure your account.

How it works

Datadog proactively monitors your API and application keys as follows:

  1. We provide GitHub with regex patterns that could potentially match a Datadog API or application key.
  2. GitHub runs those regex patterns against commits and pushes to public repositories. If a match is found, GitHub automatically sends it to Datadog’s validation endpoint to be verified.
  3. If our validation endpoint determines that the candidate token is valid and active, we immediately take the following actions:
    • Automatically notify you via email
    • Display a banner in the Datadog UI on the API Keys and Application Keys pages within your Organization Settings

What is the impact of a leaked key?

A leaked API or application key can have the following consequences:

  • API keys are used to submit data to Datadog. Exposure may result in unintended data being submitted to your organization.
  • Application keys have the same permissions and capabilities as the key creator. Exposure results in a high risk of unauthorized access.

How will I be notified?

In the event of a key leak, Datadog immediately sends an email notification to the key creator/owner:

Leaked key email

By default, the key creator/owner receives the email notification. If the key creator is no longer part of your organization, then the administrators of your organization will be notified.

To notify additional contacts about a key leak, configure Security Contacts.

Additionally, Datadog displays the following warning banner under Organization Settings to alert you to the active leaked key:

Leaked key banner

What should I do if I receive a leaked key notification?

If you receive a leaked key notification, follow these steps as soon as possible to ensure the security of your account.

Password Safety

To protect your account from brute force and password-spraying attacks, Datadog restricts the use of unsafe passwords. Passwords that appear in third-party, non-Datadog data breaches are considered unsafe.

What restrictions apply?

If you try to register a new account using an unsafe password or change your current password to one, Datadog will display the following warning:

Unsafe password warning

Existing accounts with unsafe passwords will be prompted to reset their password before logging in.

How does Datadog determine that a password is unsafe?

Datadog maintains a database of hashed passwords obtained from third-party, non-Datadog data breaches. When you sign in, a hashed version of your password is checked against this list. This check follows guidelines established by the National Institute of Standards and Technology.

Content Safety

Many of Datadog’s products combine live data, rich Markdown text, and collaborative features that enable users to create meaningful content. As a proactive safety measure, Datadog protects you against potentially harmful links that may be found in user-generated content.

If you try to access a potentially unsafe link, Datadog displays a warning that shows the full URL and gives you the option of continuing to that site or returning to the previous page:

Unsafe link warning

Datadog protects you from harmful links by following this protocol:

  1. Datadog monitors for clicks on external, user-defined links found in a dashboard, notebook, monitor, log, etc.
  2. When a user clicks an external link, the link is rewritten on the fly and checked against our URL Protection Endpoint to determine if it is potentially harmful.
  3. If the link is determined as potentially harmful, Datadog displays a warning with the option to either proceed to the destination or go back.

Disclosure

If you believe you’ve discovered a bug in Datadog’s security, please get in touch at security@datadoghq.com and we will get back to you within 24 hours, and usually earlier. Our PGP key is available for download in case you need to encrypt communications with us. We request that you not publicly disclose the issue until we have had a chance to address it.

Program

Datadog hosts its private Bug Bounty Program with HackerOne. If you’re an independent security expert or researcher and believe you’ve discovered a security-related issue on our platform, we appreciate you disclosing the issue to us responsibly and thank you for your time and expertise.

If you are eligible and want to participate in our private Bug Bounty Program, send us an email at bugbounty@datadoghq.com with your HackerOne username or the email you want an invitation for.

You will report the vulnerability directly in the HackerOne platform and all communication after submission will be conducted there. Before submitting an issue, please read our guidelines and scope of the program.

Eligibility

Datadog employees or contractors—current or former—are not eligible to participate in this program. Please read the complete eligibility requirements before joining the program.

Scope

The scope of the Bug Bounty Program includes Datadog’s products, services, and systems. Vulnerabilities found in vendor systems fall outside of this policy’s scope and should be reported directly to the vendor via their own disclosure programs.

The following describes what systems and types of research are covered under this program. Always be careful to verify whose assets you are testing while performing research.

Rules of Engagement

The following is intended to give security researchers clear guidelines for conducting vulnerability discovery activities to limit the potential for company and/or customer data to be at risk:

  • Do add a prefix Bugbounty- to your Datadog org name.
  • Do report a potential security issue immediately.
  • Do NOT attack other users. If you are testing the ability to access another customer’s data, do not iterate randomly. Create another test account or ask for assistance at bugbounty@datadoghq.com.
  • Do NOT attempt Denial of Service (DoS) attacks. If you notice performance interruption or degradation, immediately suspend all testing.
  • Do NOT perform any phishing, spamming, social engineering, or other form of fraud on our employees or customers.
  • Do NOT perform any physical attacks against Datadog’s property (including workstations, office spaces, servers, or networks) or otherwise try to discover risk beyond digital means against Datadog.
  • Do NOT exploit a security issue you discover for any reason other than to validate your finding.
  • Do NOT deface any Datadog-associated publicly available resource for a proof of concept (PoC) which explicitly states the vulnerability. For example, for a subdomain takeover PoC, upload a file with hello world in it.

Out-of-Scope Vulnerabilities

Any of the following (or related) activities will be automatically considered out of scope for the Bug Bounty Program:

Application Vulnerabilities:

  • Clickjacking or UI redressing (on pages with no sensitive actions)
  • Content injection or “HTML injection” unless you can clearly show risk (other than social engineering)
  • Cross-Site Request Forgery (CSRF) on features which are available to anonymous users
  • Low-impact CSRF including, but not limited to, login, logout, and unauthenticated
  • User session duration
  • Username/email enumeration
  • Same-site scripting and Self-XSS
  • Self-exploitation (i.e., password reset links or cookie reuse)
  • Missing flags on non-essential session cookies
  • Missing security-related HTTP headers which do not lead directly to a vulnerability
  • Open redirects on ad/analytics subdomains
  • Presence of autocomplete attribute on web forms
  • Reflected File Download (RFD) attacks

Data Exposure:

  • Banner or version disclosure of server or software
  • Information disclosure that has no practical use for exploitation
  • Descriptive/verbose/unique error pages (without proof of exploitability)
  • Default configuration files which do not disclose sensitive information

Denial of Service:

  • Denial of Service (DoS) attacks
  • Distributed Denial of Service (DDoS) attacks

End of Life (EoL)/ Outdated Software:

  • Any Datadog-developed software that is EoL or no longer supported
  • Client side bugs which do not affect (and/or are exploitable on) the latest version of modern browsers
  • Outdated dependencies without a working PoC

Physical Security:

  • Man-in-the-middle (MITM) attacks or those requiring physical access to the victim’s device
  • Physical or social engineering attacks

Security Best Practices:

  • Missing SSL/TLS best practices
  • Mixed content warnings
  • Missing best practices in Content Security Policy
  • Missing email security best practices (such as incomplete or missing SPF/DKIM/ DMARC) without a proof of exploitability
  • Issues related to networking protocols or industry standards

Miscellaneous:

  • Bugs Datadog is already aware of (or ones previously submitted by another researcher)
  • Pivoting, scanning, exploiting, or exfiltrating data from internal Datadog systems
  • Pervasive issues or vulnerabilities such as heartbleed, meltdown, spectre, or others without a PoC
  • Results of automated tools or scanners without a PoC
  • Theoretical subdomain takeover claims with no supporting evidence
  • Using unreported vulnerabilities to find other bugs
  • Vulnerabilities in community-contributed API and DogStatsD client libraries
  • Public zero-day vulnerabilities that have had an official patch for less than one month will be awarded on a case by case basis.

Disclosure Policy

The Disclosure Policy of Datadog’s private Bug Bounty Program follows HackerOne’s private program disclosure policy and Datadog’s HackerOne program policy. This program is subject to strict confidentiality requirements. You will need consent from Datadog for any disclosure outside of the program. Prior to accepting an invitation to Datadog’s private program, you should carefully review the program policies and the non-disclosure agreements required for participation.