Sécurité pour ESET PROTECT
Introduction
Le but de ce document est de résumer les pratiques de sécurité et les mécanismes de contrôles de sécurité appliqués dans ESET PROTECT. Les pratiques et les mécanismes de contrôles de sécurité sont conçus pour protéger la confidentialité, l’intégrité et la disponibilité des renseignements sur les clients. Veuillez noter que les pratiques et les mécanismes de contrôles de sécurité peuvent changer.
Portée
Ce document a pour objet de résumer les pratiques de sécurité et les contrôles de sécurité pour l’infrastructure de ESET PROTECT et l’infrastructure, l’organisation, le personnel et les processus opérationnels de ESET Business Account (ci-après dénommés « EBA ») et ESET MSP Administrator (ci-après dénommés « EMA »). Les pratiques et les contrôles de sécurité comprennent :
- Stratégies de sécurité de l’information
- Organisation de la sécurité de l’information
- Sécurité des ressources humaines
- Gestion des actifs
- Contrôle d'accès
- Cryptographie
- Sécurité physique et environnementale
- Sécurité des opérations
- Sécurité des communications
- Acquisition, développement et maintenance de systèmes
- Relation avec les fournisseurs
- Gestion des incidents de sécurité de l’information
- Aspects de la sécurité de l’information relatives à la gestion de la continuité des activités
- Conformité
Concept de sécurité
La société ESET s.r.o. est certifiée ISO 27001: 2013 et dispose d'un système de gestion intégrée couvrant explicitement ESET PROTECT, les services EBA et EMA.
Par conséquent, le concept de sécurité de l'information utilise le cadre définit par la norme ISO 27001 pour mettre en œuvre une politique de sécurité de la défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. Les pratiques de sécurité appliquées et les contrôles de sécurité sont censés se chevaucher et se compléter.
Pratiques et contrôles de sécurité
1. Stratégies de sécurité de l’information
ESET utilise des politiques de sécurité de l’information pour couvrir tous les aspects de la norme ISO 27001, y compris la gouvernance de la sécurité de l’information ainsi que les mécanismes de contrôles et les pratiques de sécurité. Les politiques sont examinées chaque année et mises à jour après des changements importants afin de s’assurer qu’elles continuent d’être convenables, adéquates et efficaces.
ESET effectue des examens annuels de cette politique et des contrôles de sécurité internes pour assurer la cohérence avec cette politique. Le non-respect des politiques de sécurité de l’information est passible de mesures disciplinaires pour les employés d’ESET ou de sanctions contractuelles pouvant aller jusqu’à la résiliation du contrat pour les fournisseurs.
2. Organisation de la sécurité de l’information
L’organisation de la sécurité de l’information pour ESET PROTECT se compose de plusieurs équipes et personnes impliquées dans la sécurité de l’information et l’informatique, y compris :
- Cadres de direction d’ESET
- Équipes de sécurité interne ESET
- Équipes informatiques des applications d’affaires
- Autres équipes de soutien
Les responsabilités en matière de sécurité de l’information sont attribuées conformément aux politiques de sécurité de l’information en place. Les processus internes sont identifiés et évalués afin de détecter tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des actifs d'ESET. Les activités risquées ou sensibles des processus internes adoptent le principe de la séparation des tâches pour atténuer le risque.
L’équipe juridique d’ESET est responsable des contacts avec les autorités gouvernementales, y compris les régulateurs slovaques, sur la cybersécurité et la protection des données personnelles. L’équipe de sécurité interne d’ESET est chargée de contacter des groupes d’intérêts spéciaux tels que ISACA. L’équipe du laboratoire de recherche d'ESET est responsable de la communication avec les autres entreprises de sécurité et la communauté de la cybersécurité dans son ensemble.
La sécurité de l’information est prise en compte dans la gestion de projet à l’aide du cadre de gestion de projet appliqué de la conception à la réalisation du projet.
Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique mise en œuvre sur les périphériques mobiles qui comprend l'utilisation d'une protection cryptographique forte des données sur les périphériques mobiles lorsque celles-ci sont déplacées sur des réseaux non fiables. Les contrôles de sécurité sur les périphériques mobiles sont conçus pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.
3. Sécurité des ressources humaines
ESET utilise des pratiques standard en matière de ressources humaines, y compris des politiques conçues pour maintenir la sécurité de l’information. Ces pratiques couvrent l’ensemble du cycle de vie des employés et s’appliquent à toutes les équipes qui accèdent à l’environnement de ESET PROTECT.
4. Gestion des actifs
L’infrastructure de ESET PROTECT est incluse dans les inventaires d’actifs d'ESET avec une propriété stricte et des règles appliquées en fonction du type et de la sensibilité des actifs. ESET a défini un schéma de classification interne. Toutes les données et les configurations de ESET PROTECT sont classées comme confidentielles.
5. Contrôle d'accès
La politique de contrôle d’accès d’ESET régit chaque accès à ESET PROTECT. Le contrôle d’accès est défini au niveau de l’infrastructure, des services réseau, du système d’exploitation, de la base de données et de l’application. La gestion complète de l’accès utilisateur au niveau de l’application est autonome. L’authentification unique de ESET PROTECT et de ESET Business Account est régie par un fournisseur d’identité central, qui garantit qu’un utilisateur ne peut accéder qu’au locataire autorisé. L’application utilise des autorisations standard de ESET PROTECT pour appliquer le contrôle d’accès basé sur les rôles pour le client.
L’accès à l'application dorsale d'ESET est strictement limité aux personnes et aux rôles autorisés. Les processus ESET standard pour l'inscription ou la désinscription des utilisateurs, le provisionnement ou le déprovisionnement, la gestion des privilèges et l’examen des droits d’accès des utilisateurs sont utilisés pour gérer l’accès des employés d'ESET à l’infrastructure et aux réseaux de ESET PROTECT.
Une authentification forte est mise en place pour protéger l’accès à toutes les données de ESET PROTECT.
6. Cryptographie
Pour protéger les données de ESET PROTECT, une cryptographie forte est utilisée pour chiffrer les données au repos et en transit. L’autorité de certification généralement approuvée est utilisée pour émettre des certificats pour les services publics. L’infrastructure interne de clé publique d'ESET est utilisée pour gérer les clés au sein de l’infrastructure ESET PROTECT. Les données stockées dans la base de données sont protégées par des clés de chiffrement générées par le nuage. Toutes les données de sauvegarde sont protégées par des clés gérées par ESET.
7. Sécurité physique et environnementale
ESET PROTECT et ESET Business Account étant basés sur le nuage, nous comptons sur Microsoft Azure pour la sécurité physique et environnementale. Microsoft Azure utilise des centres de données certifiés avec des mesures de sécurité physique robustes. L’emplacement physique du centre de données dépend du choix de la région du client. Une cryptographie forte est utilisée pour protéger les données des clients pendant le transport hors site à partir de l’environnement en nuage (par exemple, en transit vers un stockage de données de sauvegarde physique).
8. Sécurité des opérations
Le service ESET PROTECT est exploité par des moyens automatisés basés sur des procédures opérationnelles strictes et des modèles de configuration. Toutes les modifications, y compris les modifications de configuration et le déploiement de nouveaux paquets, sont approuvées et testées dans un environnement de test dédié avant le déploiement en production. Les environnements de développement, de test et de production sont séparés les uns des autres. Les données de ESET PROTECT se trouvent uniquement dans l’environnement de production.
L’environnement de ESET PROTECT est supervisé à l’aide d’une surveillance opérationnelle afin d'identifier rapidement les problèmes et doter tous les services de capacités suffisantes au niveau du réseau et des hôtes.
Toutes les données de configuration sont stockées dans nos référentiels régulièrement sauvegardés pour permettre la récupération automatisée de la configuration d’un environnement. Les sauvegardes de données de ESET PROTECT sont stockées à la fois sur site et hors site.
Les sauvegardes sont chiffrées et régulièrement testées pour la récupération dans le cadre des tests de continuité d’activité.
L’audit des systèmes est effectué conformément aux normes et aux directives internes. Les journaux et les événements de l’infrastructure, du système d’exploitation, de la base de données, des serveurs d’applications et des mécanismes de contrôles de sécurité sont collectés en permanence. Les journaux sont ensuite traités par les équipes des TI et de sécurité interne afin d’identifier les anomalies opérationnelles et de sécurité ainsi que les incidents de sécurité de l’information.
ESET utilise un processus général de gestion des vulnérabilités techniques pour gérer l’apparition de vulnérabilités dans l’infrastructure d'ESET, y compris ESET PROTECT et d’autres produits ESET. Ce processus comprend une analyse proactive des vulnérabilités et des tests de pénétration répétés de l’infrastructure, des produits et des applications.
ESET énonce des directives internes pour la sécurité de l’infrastructure interne, des réseaux, des systèmes d’exploitation, des bases de données, des serveurs d’applications et des applications. Ces lignes directrices sont vérifiées par le biais d’une surveillance de la conformité technique et de notre programme d’audit de sécurité de l’information interne.
9. Sécurité des communications
L’environnement de ESET PROTECT est segmenté à l'aide de la segmentation native en nuage avec un accès au réseau limité uniquement aux services nécessaires parmi les segments de réseau. La disponibilité des services réseau est assurée par des mécanismes de contrôle natifs du nuage, tels que les zones de disponibilité, l’équilibrage de charge et la redondance. Des composants d'équilibrage de charge dédiés sont déployés pour fournir des terminaux spécifiques pour le routage des instances de ESET PROTECT qui appliquent l'autorisation du trafic et l'équilibrage de charge. Le trafic réseau est surveillé en permanence afin de détecter les anomalies opérationnelles et de sécurité. Les attaques potentielles peuvent être résolues à l’aide des mécanismes de contrôle natifs du nuage ou de solutions de sécurité déployées. Toutes les communications réseau sont chiffrées grâce à des techniques généralement disponibles, y compris IPsec et TLS.
10. Acquisition, développement et maintenance de systèmes
Le développement des systèmes ESET PROTECT est effectué conformément à la politique de développement de logiciels sécurisés d’ESET. Les équipes de sécurité interne sont incluses dans le projet de développement de ESET PROTECT dès la phase initiale et supervisent toutes les activités de développement et de maintenance. L’équipe de sécurité interne définit et vérifie le respect des exigences de sécurité à différentes étapes du développement logiciel. La sécurité de tous les services, y compris ceux nouvellement développés, est testée en continu après la publication du logiciel.
11. Relation avec les fournisseurs
Une relation pertinente avec les fournisseurs est menée selon les directives valides d'ESET, qui couvrent l'ensemble de la gestion de la relation et les exigences contractuelles du point de vue de la sécurité de l'information et de la confidentialité. La qualité et la sécurité des services fournis par les fournisseurs de services essentiels sont évaluées régulièrement.
En outre, ESET utilise le principe de portabilité pour ESET PROTECT afin d'éviter le verrouillage des fournisseurs.
12. Gestion de la sécurité de l’information
La gestion des incidents de sécurité de l'information dans ESET PROTECT est effectuée de la même manière qu'avec les autres infrastructures d'ESET et s'appuie sur des procédures de réponse aux incidents définies. Les rôles dans la réponse aux incidents sont définis et répartis entre plusieurs équipes, y compris l’informatique, la sécurité, les services juridiques, les ressources humaines, les relations publiques et la haute direction. L’équipe d’intervention en cas d’incident est établie en fonction du triage des incidents par l’équipe de sécurité interne. Cette équipe assure une coordination accrue des autres équipes qui s’occupent de l’incident. L’équipe de sécurité interne est également responsable de la collecte des éléments de preuve et des leçons apprises. La survenance et la résolution des incidents sont communiquées aux parties touchées. L’équipe juridique d’ESET est chargée d’informer les organismes de réglementation si nécessaire conformément au Règlement général sur la protection des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l’information (NIS).
13. Aspects de la sécurité de l’information relatives à la gestion de la continuité des activités
La continuité des activités du service ESET PROTECT est codée dans l’architecture robuste utilisée pour maximiser la disponibilité des services fournis. Une restauration complète à partir de données de sauvegarde et de configuration hors site est possible en cas de défaillance catastrophique de tous les nœuds redondants pour les composants de ESET PROTECT ou le service ESET PROTECT. Le processus de restauration est testé régulièrement.
14. Conformité
La conformité aux exigences réglementaires et contractuelles de ESET PROTECT est régulièrement évaluée et examinée de la même manière que les autres infrastructures et processus d'ESET, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. ESET est enregistré en tant que fournisseur de services numériques infonuagiques comprenant plusieurs services d'ESET, y compris ESET PROTECT. Notez que les activités de conformité d'ESET ne signifient pas nécessairement que les exigences de conformité globales des clients sont satisfaites en tant que telles.