Aide en ligne ESET

Sélectionnez le sujet

Sécurité pour ESET LiveGuard Advanced

Introduction

Le but de ce document est de résumer les pratiques de sécurité et les mécanismes de contrôles de sécurité appliqués dans ESET LiveGuard Advanced. Les pratiques et les mécanismes de contrôles de sécurité sont conçus pour protéger la confidentialité, l’intégrité et la disponibilité des renseignements sur les clients. Veuillez noter que les pratiques et les mécanismes de contrôles de sécurité peuvent changer.

Portée

La portée du présent document est de résumer les pratiques de sécurité et les contrôles de sécurité pour l’infrastructure, l’organisation, le personnel et les processus opérationnels de ESET LiveGuard Advanced. Les pratiques et les contrôles de sécurité comprennent :

  1. Stratégies de sécurité de l’information
  2. Organisation de la sécurité de l’information
  3. Sécurité des ressources humaines
  4. Gestion des actifs
  5. Contrôle d'accès
  6. Cryptographie
  7. Sécurité physique et environnementale
  8. Sécurité des opérations
  9. Sécurité des communications
  10. Acquisition, développement et maintenance de systèmes
  11. Relation avec les fournisseurs
  12. Gestion des incidents de sécurité de l’information
  13. Aspects de la sécurité de l’information relatives à la gestion de la continuité des activités
  14. Conformité

Concept de sécurité

La société ESET, spol. s r.o. est certifiée ISO 27001: 2013 avec une portée de système de gestion intégrée couvrant explicitement les service de ESET LiveGuard Advanced.

Par conséquent, le concept de sécurité de l'information utilise le cadre définit par la norme ISO 27001 pour mettre en œuvre une politique de sécurité de la défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. Les pratiques de sécurité appliquées et les contrôles de sécurité sont censés se chevaucher et se compléter.

Pratiques et contrôles de sécurité

1. Stratégies de sécurité de l’information

ESET utilise des politiques de sécurité de l’information pour couvrir tous les aspects de la norme ISO 27001, y compris la gouvernance de la sécurité de l’information ainsi que les mécanismes de contrôles et les pratiques de sécurité. Les politiques sont examinées chaque année et mises à jour après des changements importants afin de s’assurer qu’elles continuent d’être convenables, adéquates et efficaces.

ESET effectue des examens annuels de cette politique et des contrôles de sécurité internes pour assurer la cohérence avec cette politique. Le non-respect des politiques de sécurité de l’information est passible de mesures disciplinaires pour les employés d’ESET ou de sanctions contractuelles pouvant aller jusqu’à la résiliation du contrat pour les fournisseurs.

2. Organisation de la sécurité de l’information

L’organisation de la sécurité de l’information pour ESET LiveGuard Advanced se compose de plusieurs équipes et personnes impliquées dans la sécurité de l’information et l’informatique, y compris :

  • Cadres de direction d’ESET
  • Équipes de sécurité interne ESET
  • Équipes informatiques des applications d’affaires
  • Autres équipes de soutien

Les responsabilités en matière de sécurité de l’information sont attribuées conformément aux politiques de sécurité de l’information en place. Les processus internes sont identifiés et évalués afin de détecter tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des actifs d'ESET. Les activités risquées ou sensibles des processus internes adoptent le principe de la séparation des tâches pour atténuer le risque.

L’équipe juridique d’ESET est responsable des contacts avec les autorités gouvernementales, y compris les régulateurs slovaques, sur la cybersécurité et la protection des données personnelles. L’équipe de sécurité interne d’ESET est chargée de contacter des groupes d’intérêts spéciaux tels que ISACA. L’équipe du laboratoire de recherche d'ESET est responsable de la communication avec les autres entreprises de sécurité et la communauté de la cybersécurité dans son ensemble.

La sécurité de l’information est prise en compte dans la gestion de projet à l’aide du cadre de gestion de projet appliqué de la conception à la réalisation du projet.

Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique mise en œuvre sur les périphériques mobiles qui comprend l'utilisation d'une protection cryptographique forte des données sur les périphériques mobiles lorsque celles-ci sont déplacées sur des réseaux non fiables. Les contrôles de sécurité sur les périphériques mobiles sont conçus pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.

3. Sécurité des ressources humaines

ESET utilise des pratiques standard en matière de ressources humaines, y compris des politiques conçues pour maintenir la sécurité de l’information. Ces pratiques couvrent l’ensemble du cycle de vie des employés et s’appliquent à toutes les équipes qui accèdent à l’environnement de ESET LiveGuard Advanced.

4. Gestion des actifs

L’infrastructure de ESET LiveGuard Advanced est incluse dans les inventaires d’actifs d'ESET avec une propriété stricte et des règles appliquées en fonction du type et de la sensibilité des actifs. ESET a défini un schéma de classification interne. Toutes les données et les configurations de ESET LiveGuard Advanced sont classées comme confidentielles.

5. Contrôle d'accès

La politique de contrôle d’accès d’ESET régit chaque accès à ESET LiveGuard Advanced. Le contrôle d’accès est défini au niveau de l’infrastructure, des services réseau, du système d’exploitation, de la base de données et de l’application. La gestion complète de l’accès utilisateur au niveau de l’application est autonome.

L’accès à l'application dorsale d'ESET est strictement limité aux personnes et aux rôles autorisés. Les processus ESET standard pour l'inscription ou la désinscription des utilisateurs, le provisionnement ou le déprovisionnement, la gestion des privilèges et l’examen des droits d’accès des utilisateurs sont utilisés pour gérer l’accès des employés d'ESET à l’infrastructure et aux réseaux de ESET LiveGuard Advanced.

Une authentification forte est mise en place pour protéger l’accès à toutes les données de ESET LiveGuard Advanced.

6. Cryptographie

Une cryptographie forte (SSL) est mise en place pour chiffrer les données en transit afin de protéger les données de ESET LiveGuard Advanced.

7. Sécurité physique et environnementale

ESET LiveGuard Advanced est basé sur le nuage. ESET s’appuie sur une infrastructure en nuage privée et le nuage de Microsoft Azure. Le centre de données en nuage privé est physiquement et exclusivement situé dans l’Union européenne (UE). Microsoft Azure n’est pas limité au territoire de l’UE; cependant, il n’est utilisé que pour stocker des hachages unidirectionnelles créés à partir de fichiers soumis sans inclure de données personnelles. Une cryptographie forte est mise en place pour protéger les données des clients pendant le transport.

8. Sécurité des opérations

Le service ESET LiveGuard Advanced est exploité par des moyens automatisés basés sur des procédures opérationnelles strictes et des modèles de configuration. Toutes les modifications, y compris les modifications de configuration et le déploiement de nouveaux paquets, sont approuvées et testées dans un environnement de test dédié avant le déploiement en production. Les environnements de développement, de test et de production sont séparés les uns des autres. Les données de ESET LiveGuard Advanced se trouvent uniquement dans l’environnement de production.

L’environnement de ESET LiveGuard Advanced est supervisé à l’aide d’une surveillance opérationnelle afin d'identifier rapidement les problèmes et doter tous les services de capacités suffisantes au niveau du réseau et des hôtes.

Toutes les données de configuration sont stockées dans nos référentiels régulièrement sauvegardés pour permettre la récupération automatisée de la configuration d’un environnement. Les sauvegardes de données de ESET LiveGuard Advanced sont stockées à la fois sur site et hors site.

Les sauvegardes sont chiffrées et régulièrement testées pour la récupération dans le cadre des tests de continuité d’activité.

L’audit des systèmes est effectué conformément aux normes et aux directives internes. Les journaux et les événements de l’infrastructure, du système d’exploitation, de la base de données, des serveurs d’applications et des mécanismes de contrôles de sécurité sont collectés en permanence. Les journaux sont ensuite traités par les équipes des TI et de sécurité interne afin d’identifier les anomalies opérationnelles et de sécurité ainsi que les incidents de sécurité de l’information.

ESET utilise un processus général de gestion des vulnérabilités techniques pour gérer l’apparition de vulnérabilités dans l’infrastructure d'ESET, y compris ESET LiveGuard Advanced et d’autres produits ESET. Ce processus comprend une analyse proactive des vulnérabilités et des tests de pénétration répétés de l’infrastructure, des produits et des applications.

ESET énonce des directives internes pour la sécurité de l’infrastructure interne, des réseaux, des systèmes d’exploitation, des bases de données, des serveurs d’applications et des applications. Ces lignes directrices sont vérifiées par le biais d’une surveillance de la conformité technique et de notre programme d’audit de sécurité de l’information interne.

9. Sécurité des communications

L’environnement de ESET LiveGuard Advanced est segmenté à l'aide de la segmentation native en nuage avec un accès au réseau limité uniquement aux services nécessaires parmi les segments de réseau. La disponibilité des services réseau est assurée par des mécanismes de contrôle natifs du nuage, tels que les zones de disponibilité, l’équilibrage de charge et la redondance. Des composants d'équilibrage de charge dédiés sont déployés pour fournir des terminaux spécifiques pour le routage des instances de ESET LiveGuard Advanced qui appliquent l'autorisation du trafic et l'équilibrage de charge. Le trafic réseau est surveillé en permanence afin de détecter les anomalies opérationnelles et de sécurité. Les attaques potentielles peuvent être résolues à l’aide des mécanismes de contrôle natifs du nuage ou de solutions de sécurité déployées. Toutes les communications réseau sont chiffrées grâce à des techniques généralement disponibles, y compris IPsec et TLS.

10. Acquisition, développement et maintenance de systèmes

Le développement des systèmes ESET LiveGuard Advanced est effectué conformément à la politique de développement de logiciels sécurisés d’ESET. Les équipes de sécurité interne sont incluses dans le projet de développement de ESET LiveGuard Advanced dès la phase initiale et supervisent toutes les activités de développement et de maintenance. L’équipe de sécurité interne définit et vérifie le respect des exigences de sécurité à différentes étapes du développement logiciel. La sécurité de tous les services, y compris ceux nouvellement développés, est testée en continu après la publication du logiciel.

11. Relation avec les fournisseurs

Une relation pertinente avec les fournisseurs est menée selon les directives valides d'ESET, qui couvrent l'ensemble de la gestion de la relation et les exigences contractuelles du point de vue de la sécurité de l'information et de la confidentialité. La qualité et la sécurité des services fournis par les fournisseurs de services essentiels sont évaluées régulièrement.

En outre, ESET utilise le principe de portabilité pour ESET LiveGuard Advanced afin d'éviter le verrouillage des fournisseurs.

12. Gestion de la sécurité de l’information

La gestion des incidents de sécurité de l'information dans ESET LiveGuard Advanced est effectuée de la même manière qu'avec les autres infrastructures d'ESET et s'appuie sur des procédures de réponse aux incidents définies. Les rôles dans la réponse aux incidents sont définis et répartis entre plusieurs équipes, y compris l’informatique, la sécurité, les services juridiques, les ressources humaines, les relations publiques et la haute direction. L’équipe d’intervention en cas d’incident est établie en fonction du triage des incidents par l’équipe de sécurité interne. Cette équipe assure une coordination accrue des autres équipes qui s’occupent de l’incident. L’équipe de sécurité interne est également responsable de la collecte des éléments de preuve et des leçons apprises. La survenance et la résolution des incidents sont communiquées aux parties touchées. L’équipe juridique d’ESET est chargée d’informer les organismes de réglementation si nécessaire conformément au Règlement général sur la protection des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l’information (NIS).

13. Aspects de la sécurité de l’information relatives à la gestion de la continuité des activités

La continuité des activités du service ESET LiveGuard Advanced est codée dans l’architecture robuste utilisée pour maximiser la disponibilité des services fournis. Une restauration complète à partir de données de sauvegarde et de configuration hors site est possible en cas de défaillance catastrophique de tous les nœuds redondants pour les composants de ESET LiveGuard Advanced ou le service ESET LiveGuard Advanced. Le processus de restauration est testé régulièrement.

14. Conformité

La conformité aux exigences réglementaires et contractuelles de ESET LiveGuard Advanced est régulièrement évaluée et examinée de la même manière que les autres infrastructures et processus d'ESET, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. ESET est enregistré en tant que fournisseur de services numériques infonuagiques comprenant plusieurs services d'ESET, y compris ESET LiveGuard Advanced. Notez que les activités de conformité d'ESET ne signifient pas nécessairement que les exigences de conformité globales des clients sont satisfaites en tant que telles.