Sécurité pour ESET PROTECT
Introduction
Ce document a pour but de résumer les pratiques et les contrôles de sécurité appliqués dans ESET PROTECT. Les pratiques et les contrôles de sécurité sont conçus pour protéger la confidentialité, l'intégrité et la disponibilité des informations des clients. Notez que les pratiques et les contrôles de sécurité peuvent changer.
Portée
Ce document a pour but de résumer les pratiques et les contrôles de sécurité pour l'infrastructure ESET PROTECT, ESET Business Account (ci-après dénommé « EBA ») et ESET MSP Administrator (ci-après dénommé « EMA »), l'infrastructure, l'organisation, le personnel et les processus opérationnels. Les pratiques et contrôles de sécurité comprennent :
- Politiques de sécurité des informations
- Organisation de la sécurité des informations
- Sécurité des ressources humaines
- Gestion des ressources
- Contrôle d'accès
- Chiffrement
- Sécurité physique et environnementale
- Sécurité des opérations
- Sécurité des communications
- Acquisition, développement et maintenance des systèmes
- Relation avec les fournisseurs
- Gestion des incidents de sécurité des informations
- Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
- Conformité
Notion de sécurité
La société ESET s.r.o. est certifiée ISO 27001:2013 avec une portée de système de gestion intégrée couvrant explicitement les services ESET PROTECT, EBA et EMA.
Par conséquent, la notion de sécurité des informations utilise le cadre de la norme ISO 27001 pour mettre en place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. Les pratiques et les contrôles de sécurité appliqués sont censés se superposer et se compléter.
Pratiques et contrôles de sécurité
1. Politiques de sécurité des informations
ESET utilise des politiques de sécurité des informations pour couvrir tous les aspects de la norme ISO 27001, y compris la gouvernance de la sécurité des informations et les contrôles et pratiques de sécurité. Les politiques sont révisées chaque année et mises à jour après des changements significatifs afin de s'assurer qu'elles restent adaptées, adéquates et efficaces.
ESET effectue des révisions annuelles de cette politique et des contrôles de sécurité internes pour assurer la cohérence avec cette politique. Le non-respect des politiques de sécurité des informations est sujet à des actions disciplinaires pour les employés d'ESET ou à des pénalités contractuelles allant jusqu'à la résiliation du contrat pour les fournisseurs.
2. Organisation de la sécurité des informations
L'organisation de la sécurité des informations pour ESET PROTECT est composée de plusieurs équipes et personnes impliquées dans la sécurité des informations et l'informatique, notamment :
- Direction générale d'ESET
- Équipes de sécurité internes d'ESET
- Équipes informatiques chargées des applications métier
- Autres équipes de soutien
Les responsabilités en matière de sécurité des informations sont attribuées conformément aux politiques de sécurité des informations en vigueur. Les processus internes sont identifiés et évalués pour tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des ressources ESET. Les activités risquées ou sensibles des processus internes adoptent le principe de la séparation des tâches pour limiter le risque.
L'équipe juridique d'ESET est responsable des contacts avec les autorités gouvernementales, notamment les régulateurs slovaques en matière de cybersécurité et de protection des données à caractère personnel. L'équipe de sécurité interne d'ESET est chargée de contacter les groupes d'intérêt spéciaux tels que ISACA. L'équipe du laboratoire de recherche d'ESET est responsable de la communication avec les autres entreprises de sécurité et la communauté de la cybersécurité.
La sécurité des informations est prise en compte dans la gestion de projets en utilisant le cadre de gestion de projets appliqué, de la conception à l'achèvement d'un projet.
Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique appliquée aux appareils mobiles qui inclut l'utilisation d'une protection cryptographique forte des données sur les appareils mobiles utilisant des réseaux non approuvés lors des déplacements. Les contrôles de sécurité sur les appareils mobiles sont conçus pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.
3. Sécurité des ressources humaines
ESET utilise des pratiques standard en ce qui concerne les ressources humaines, y compris des politiques conçues pour maintenir la sécurité des informations. Ces pratiques couvrent l'ensemble du cycle de vie des employés, et elles s'appliquent à toutes les équipes qui accèdent à l'environnement ESET PROTECT.
4. Gestion des ressources
L'infrastructure ESET PROTECT est incluse dans les inventaires de ressources d'ESET avec une propriété stricte et des règles appliquées selon le type et la sensibilité des ressources. ESET possède un modèle de classification interne défini. Toutes les données et configurations d'ESET PROTECT sont classées confidentielles.
5. Contrôle d'accès
La politique de contrôle d'accès d'ESET régit chaque accès dans ESET PROTECT. Le contrôle d'accès est défini au niveau de l'infrastructure, des services réseau, du système d'exploitation, de la base de données et des applications. La gestion complète des accès des utilisateurs au niveau des applications est autonome. L'authentification unique ESET PROTECT et ESET Business Account est régie par un fournisseur d'identité central, qui garantit qu'un utilisateur ne peut accéder qu'au tenant autorisé. L'application utilise des autorisations ESET PROTECT standard pour appliquer le contrôle d’accès basé sur les rôles au tenant.
L'accès au back-end d'ESET est strictement limité aux personnes et aux rôles autorisés. Les processus standard d'ESET pour l'inscription/la désinscription, l'attribution/l'annulation de l'attribution des utilisateurs, la gestion des privilèges et la révision des droits d'accès des utilisateurs sont utilisés pour gérer l'accès des employés d'ESET aux infrastructures et aux réseaux d'ESET PROTECT.
Une authentification forte est en place pour protéger l'accès à toutes les données d'ESET PROTECT.
6. Chiffrement
Pour protéger les données d'ESET PROTECT, un chiffrement fort est utilisé pour chiffrer les données au repos et en transit. Une autorité de certification de confiance est généralement utilisée pour émettre des certificats pour les services publics. L'infrastructure interne de clés publiques ESET est utilisée pour gérer les clés au sein de l'infrastructure d'ESET PROTECT. Les données stockées dans la base de données sont protégées par des clés de chiffrement générées par le cloud. Toutes les données de sauvegarde sont protégées par des clés gérées par ESET.
7. Sécurité physique et environnementale
Comme ESET PROTECT et ESET Business Account sont basés sur le cloud, nous nous appuyons sur Microsoft Azure pour la sécurité physique et environnementale. Microsoft Azure utilise des centres de données certifiés dotés de solides mesures de sécurité physique. L'emplacement physique du centre de données dépend du choix de la région du client. Un chiffrement fort est utilisé pour protéger les données des clients pendant le transport hors site depuis l'environnement cloud (par exemple, en transit vers un stockage de données de sauvegarde physique).
8. Sécurité des opérations
Le service ESET PROTECT est exploité par des moyens automatisés basés sur des procédures opérationnelles et des modèles de configuration stricts. Toutes les modifications, y compris les changements de configuration et le déploiement de nouveaux packages, sont approuvées et testées dans un environnement de test dédié avant d'être déployées en production. Les environnements de développement, de test et de production sont séparés les uns des autres. Les données d'ESET PROTECT sont situées uniquement dans l’environnement de production.
L’environnement ESET PROTECT est supervisé à l'aide d'une surveillance opérationnelle pour identifier rapidement les problèmes et fournir les capacités suffisantes à tous les services au niveau du réseau et des hôtes.
Toutes les données de configuration sont stockées dans nos répertoires régulièrement sauvegardés afin de permettre une récupération automatisée de la configuration d'un environnement. Les sauvegardes de données d'ESET PROTECT sont stockées à la fois sur site et hors site..
Les sauvegardes sont chiffrées et leur capacité de récupération est régulièrement testée dans le cadre des tests de continuité de l'activité.
L'audit des systèmes est réalisé conformément aux normes et directives internes. Les journaux et les événements de l'infrastructure, du système d'exploitation, de la base de données, des serveurs d'applications et des contrôles de sécurité sont collectés en permanence. Les journaux sont ensuite traités par les équipes informatiques et de sécurité internes afin d'identifier les anomalies opérationnelles et de sécurité et les incidents de sécurité des informations.
ESET utilise un processus général de gestion des vulnérabilités techniques pour traiter l'apparition de vulnérabilités dans l'infrastructure ESET, notamment ESET PROTECT et d'autres produits ESET. Ce processus comprend une analyse proactive des vulnérabilités et des tests de pénétration répétés de l'infrastructure, des produits et des applications.
ESET donne des directives internes pour la sécurité de l'infrastructure interne, des réseaux, des systèmes d'exploitation, des bases de données, des serveurs d'applications et des applications. Ces directives sont vérifiées par le biais d'un contrôle de conformité technique et de notre programme interne d'audit de sécurité des informations.
9. Sécurité des communications
L'environnement ESET PROTECT est segmenté par le biais d'une segmentation cloud native, l'accès au réseau étant limité uniquement aux services nécessaires entre les segments réseau. La disponibilité des services réseau est assurée par des contrôles natifs du cloud, tels que les zones de disponibilité, l'équilibrage des charges et la redondance. Des composants d'équilibrage de charge dédiés sont déployés pour fournir des endpoints spécifiques pour le routage des instances ESET PROTECT qui appliquent l'autorisation du trafic et l'équilibrage de charge. Le trafic réseau est surveillé en permanence pour détecter les anomalies opérationnelles et de sécurité. Les attaques potentielles peuvent être résolues en utilisant des contrôles natifs du cloud ou des solutions de sécurité déployées. Toutes les communications réseau sont chiffrées par des techniques généralement disponibles, notamment IPsec et TLS.
10. Acquisition, développement et maintenance des systèmes
Le développement des systèmes ESET PROTECT est réalisé conformément à la politique de développement de logiciels sécurisés d'ESET. Les équipes de sécurité internes sont incluses dans le projet de développement d'ESET PROTECT dès la phase initiale et supervisent toutes les activités de développement et de maintenance. L'équipe de sécurité interne définit et vérifie le respect des exigences de sécurité à différents stades du développement du logiciel. La sécurité de tous les services, y compris ceux nouvellement développés, est testée en permanence après leur mise en service.
11. Relation avec les fournisseurs
Une relation pertinente avec les fournisseurs est entretenue selon les directives valides d'ESET, qui couvrent l'ensemble de la gestion de la relation et les exigences contractuelles du point de vue de la sécurité des informations et de la confidentialité. La qualité et la sécurité des services fournis par les fournisseurs de services critiques sont évaluées régulièrement.
En outre, ESET utilise le principe de portabilité pour ESET PROTECT afin d'éviter le verrouillage des fournisseurs.
12. Gestion de la sécurité des informations
La gestion des incidents de sécurité des informations dans ESET PROTECT est effectuée de manière similaire aux autres infrastructures ESET et s'appuie sur des procédures définies de réponse aux incidents. Les rôles au sein de la réponse aux incidents sont définis et répartis entre plusieurs équipes, notamment le service informatique, le service de sécurité, le service juridique, les ressources humaines, les relations publiques et la direction générale. L'équipe de réponse à un incident est établie en fonction du triage de l'incident par l'équipe de sécurité interne. Cette équipe assurera la coordination des autres équipes chargées de l'incident. L'équipe de sécurité interne est également responsable de la collecte des preuves et des enseignements tirés. L'occurrence et la résolution des incidents sont communiquées aux parties concernées. L'équipe juridique d'ESET est chargée de notifier les organismes de réglementation si nécessaire, conformément au règlement général sur la protection des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l'information (NIS).
13. Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
La continuité opérationnelle du service ESET PROTECT est codifiée dans l'architecture robuste utilisée pour maximiser la disponibilité des services fournis. Une restauration complète à partir des données de sauvegarde et de configuration hors site est possible en cas de défaillance catastrophique de tous les nœuds redondants des composants ESET PROTECT ou du service ESET PROTECT. Le processus de restauration est testé régulièrement.
14. Conformité
La conformité aux exigences réglementaires et contractuelles d'ESET PROTECT est régulièrement évaluée et examinée de la même manière que les autres infrastructures et processus d'ESET, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. ESET est enregistré en tant que fournisseur de services numériques pour le service numérique de cloud computing couvrant plusieurs services ESET, notamment ESET PROTECT. Notez que les activités de conformité d'ESET ne signifient pas nécessairement que les exigences de conformité globales des clients sont satisfaites en tant que telles.