Rapport sur les fournisseurs de Bitwarden Enterprise

Bitwarden apporte la sécurité à des dizaines de milliers d'entreprises dans le monde entier, en leur fournissant un produit de classe mondiale, un service de niveau entreprise et un partenariat de confiance. Les entreprises qui envisagent d'utiliser Bitwarden peuvent avoir des questions sur le fonctionnement de Bitwarden, pour leur propre service ou pour des besoins d'approvisionnement. Ce rapport sur les fournisseurs sert d'outil d'évaluation pour ceux qui cherchent à apporter à leur entreprise la sécurité des mots de passe Bitwarden.

Structure organisationnelle

L'organisation Bitwarden est dirigée par le PDG Michael Crandell, assisté par le fondateur et directeur technique Kyle Spearrin, le directeur financier Stephen Morrison et le directeur des opérations Gary Orenstein. M. Spearrin dirige l'organisation de l'ingénierie, y compris l'assurance qualité et le DevOps, ainsi que l'équipe de produits. M. Orenstein dirige les ventes, le marketing et la réussite des clients. Bitwarden est une organisation en pleine croissance qui recrute activement les meilleurs talents.

Viabilité financière

Bitwarden compte des millions d'utilisateurs, des dizaines de milliers d'entreprises clientes et a récemment reçu un investissement de croissance de 100 millions de dollars pour poursuivre le développement de cette entreprise solide et en pleine croissance.

Expérience avec de nombreux types d'entreprises

Bitwarden travaille avec des clients de toutes tailles, y compris certaines des plus grandes entreprises et organisations du monde, dans de nombreux secteurs. Les documents destinés aux clients publics sont affichés sur la page des commentaires et des réussites.

Expérience de partenariat

Bitwarden soutient les partenariats et les intégrations avec les canaux et les solutions technologiques. Bitwarden s'est récemment associé à DuckDuckGo pour fournir une solution de gestion des mots de passe pour leur nouveau navigateur.

Architecture de la connaissance zéro

Bitwarden propose une architecture de chiffrement de bout en bout, , sans connaissance. Cela signifie que personne chez Bitwarden ni personne d'autre ne peut voir les données sensibles de votre coffre-fort, et que toutes les données du coffre-fort sont cryptées.

Chiffrement au repos

Deux cycles de chiffrement supplémentaires sont exécutés sur les données stockées, hébergées en toute sécurité sur les serveurs Microsoft Azure.

Normes de cryptage de haute fiabilité

Bitwarden utilise AES-256 CBC pour les données de la chambre forte et la clé de cryptage.

Niveau élevé d'entropie pour le cryptage

Les mots de passe principaux saisis par l'utilisateur sont hachés et étendus cryptographiquement à une clé principale de 256 bits.

Nombre élevé d'itérations KDF

Par défaut, Bitwarden utilise PBKDF2 pour la dérivation de clé avec 600 000 itérations qui peuvent être augmentées par les utilisateurs finaux.

Audit de code et tests de pénétration

Le code Bitwarden est open source et audité par des tiers, les résultats des rapports étant publiés en ligne.

Conformité

Le programme de sécurité et de conformité de Bitwarden est basé sur le système de gestion de la sécurité de l'information ISO 27001 (ISMS). Le livre blanc sur la sécurité de Bitwarden fournit une vue approfondie de la conformité et de la sécurité de Bitwarden.

Bitwarden réalise également un large éventail de certifications de conformité, notamment SOC 2, GDPR, CCPA, HIPAA, ainsi que des tests de pénétration, des tests de code et d'autres audits de tiers.

Capacités administratives

Les utilisateurs ayant un rôle administratif disposent d'une large gamme d'outils de gestion, présentés dans la liste de contrôle de la preuve de concept, et qui comprennent la création de comptes, la création de politiques à l'échelle du système, la connexion avec SSO, la réinitialisation du mot de passe administrateur, la synchronisation des groupes et des utilisateurs, les journaux d'événements et les rapports sur l'état de l'espace de stockage.

Exportation de la journalisation pour la fonctionnalité SIEM

Bitwarden permet d'exporter les journaux d'audit et d'utiliser plusieurs API pour extraire des données dans des outils SIEM, tels que Splunk, pour une surveillance automatisée.

Informations détaillées sur la sécurité des données

Le livre blanc sur la sécurité de Bit warden fournit des détails détaillés sur la sécurité de Bitwarden, y compris le cryptage, les flux de données, la sécurité du cloud, et plus encore.

Longévité de la sauvegarde

Bitwarden maintient des politiques de restauration au point dans le temps (PITR) pour la reprise après sinistre. Le stockage des données sur les serveurs Bitwarden est configuré pour une politique de conservation stricte de 7 jours pour PITR, sans conservation à long terme.

Données PII stockées et maintenance

Les données administratives permettent d'assurer la gestion et le service des comptes.

Facilité d'utilisation et remplissage automatique

Fonctions de remplissage automatique dans les extensions de navigateur et les applications mobiles. Dans les extensions de navigateur, une touche de raccourci, une fenêtre contextuelle ou une interaction avec l'extension déclenche le remplissage automatique. Ces méthodes n'affectent pas le codage de la page web consultée.

Sur mobile, Bitwarden agit en tant que fournisseur de services de remplissage automatique et s'intègre au système d'exploitation de l'appareil mobile.

Les champs personnalisés pour le remplissage automatique peuvent également être créés dans le cadre d'un élément du coffre-fort.

Politiques de l'administrateur

Les politiques d'entreprise permettent aux organisations d'appliquer des règles de sécurité à tous les utilisateurs. Des politiques supplémentaires peuvent être utilisées par le biais de la connexion avec SSO, en tirant parti de la fonctionnalité d'authentification IdP existante.

Contrôler et auditer le partage des données

Partager au sein d'une organisation par le biais de groupes et de collections. Bitwarden Send permet de transmettre des données en toute sécurité à n'importe qui et maintient un cryptage à connaissance nulle. Si vous le souhaitez, l'envoi peut être désactivé par le biais d'une politique d'entreprise à l'échelle de l'organisation.

Les autorisations déterminent les actions qu'un utilisateur peut entreprendre avec les éléments d'une collection particulière. Les rôles des utilisateurs sont définis au niveau de chaque membre, et les autorisations peuvent être définies soit pour un membre individuel, soit pour un groupe dans son ensemble.

Les journaux d'événements enregistrent plus de 50 types d'événements différents. L'écran des journaux d'événements capture un horodatage de l'événement, des informations sur l'application client, notamment le type d'application et l'adresse IP, l'utilisateur connecté à l'événement, ainsi qu'une description de l'événement.

Dark web et rapports de violations

Les rapports détaillent les violations de données et autres pour les coffres-forts des utilisateurs individuels et aux administrateurs pour les coffres-forts des organisations.

Possibilité d'utiliser un justificatif d'identité pour plusieurs URL

Les justificatifs peuvent avoir plusieurs URI pour être utilisés sur plusieurs sites.

Possibilité d'utiliser plusieurs identifiants pour un seul URL

L'interface utilisateur des clients Bitwarden répertorie les identifiants disponibles pour un site web. Le raccourci clavier du remplissage automatique peut également être utilisé pour parcourir rapidement les informations d'identification.

Délais de réauthentification

L'activation de la politique de temporisation du coffre-fort met en œuvre une durée maximale de temporisation du coffre-fort et une action de temporisation.

Génération de mots de passe aléatoires

Les clients Bitwarden comprennent un générateur de mots de passe intégré qui permet de créer facilement des mots de passe forts et uniques et de les enregistrer dans le coffre-fort. Le générateur de Bitwarden basé sur le web offre la même logique de génération en tant qu'utilitaire gratuit pour tout le monde.

Capacité de partage limitée dans le temps

Bitwarden Send peut être utilisé pour distribuer des fichiers ou des pièces jointes uniques ou limités dans le temps. Bitwarden Secrets Manager permet une gestion avancée du cycle de vie des références.

Bitwarden a établi une liste de contrôle pour la validation du concept afin d'aider les équipes d'évaluation à démarrer. Y compris des ressources sur :

• Politiques

• SSO

• Migration

• Dispositifs gérés