Aide en ligne ESET

Rechercher Français
Sélectionner la catégorie
Sélectionner la rubrique

Sécurité pour ESET PROTECT Hub

Introduction

Ce document a pour but de résumer les pratiques et les contrôles de sécurité appliqués dans ESET PROTECT Hub. Les pratiques et les contrôles de sécurité sont conçus pour protéger la confidentialité, l'intégrité et la disponibilité des informations des clients. Notez que les pratiques et les contrôles de sécurité peuvent changer.

Portée

Ce document a pour but de résumer les pratiques et les contrôles de sécurité pour l'infrastructure ESET PROTECT Hub, l'organisation, le personnel et les processus opérationnels. Les pratiques et contrôles de sécurité comprennent :

  1. Politiques de sécurité des informations
  2. Organisation de la sécurité des informations
  3. Sécurité des ressources humaines
  4. Gestion des ressources
  5. Contrôle d'accès
  6. Chiffrement
  7. Sécurité physique et environnementale
  8. Sécurité des opérations
  9. Sécurité des communications
  10. Acquisition, développement et maintenance des systèmes
  11. Relation avec les fournisseurs
  12. Gestion des incidents de sécurité des informations
  13. Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
  14. Conformité

Notion de sécurité

La société ESET s.r.o est certifiée ISO 27001:2013 avec une portée de système de gestion intégrée couvrant explicitement les services ESET PROTECT Hub.

Par conséquent, la notion de sécurité des informations utilise le cadre de la norme ISO 27001 pour mettre en place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des processus opérationnels. Les pratiques et les contrôles de sécurité appliqués sont censés se superposer et se compléter.

Pratiques et contrôles de sécurité

1. Politiques de sécurité des informations

ESET utilise des politiques de sécurité des informations pour couvrir tous les aspects de la norme ISO 27001, y compris la gouvernance de la sécurité des informations et les contrôles et pratiques de sécurité. Les politiques sont révisées chaque année et mises à jour après des changements significatifs afin de s'assurer qu'elles restent adaptées, adéquates et efficaces.

ESET effectue des révisions annuelles de cette politique et des contrôles de sécurité internes pour assurer la cohérence avec cette politique. Le non-respect des politiques de sécurité des informations est sujet à des actions disciplinaires pour les employés d'ESET ou à des pénalités contractuelles allant jusqu'à la résiliation du contrat pour les fournisseurs.

2. Organisation de la sécurité des informations

L'organisation de la sécurité des informations pour ESET PROTECT Hub est composée de plusieurs équipes et personnes impliquées dans la sécurité des informations et l'informatique, notamment :

  • Direction générale d'ESET
  • Équipes de sécurité internes d'ESET
  • Équipes informatiques chargées des applications métier
  • Autres équipes de soutien

Les responsabilités en matière de sécurité des informations sont attribuées conformément aux politiques de sécurité des informations en vigueur. Les processus internes sont identifiés et évalués pour tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des ressources ESET. Les activités risquées ou sensibles des processus internes adoptent le principe de la séparation des tâches pour limiter le risque.

L'équipe juridique d'ESET est responsable des contacts avec les autorités gouvernementales, notamment les régulateurs slovaques en matière de cybersécurité et de protection des données à caractère personnel. L'équipe de sécurité interne d'ESET est chargée de contacter les groupes d'intérêt spéciaux tels que ISACA. L'équipe du laboratoire de recherche d'ESET est responsable de la communication avec les autres entreprises de sécurité et la communauté de la cybersécurité.

La sécurité des informations est prise en compte dans la gestion de projets en utilisant le cadre de gestion de projets appliqué, de la conception à l'achèvement d'un projet.

Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique appliquée aux appareils mobiles qui inclut l'utilisation d'une protection cryptographique forte des données sur les appareils mobiles utilisant des réseaux non approuvés lors des déplacements. Les contrôles de sécurité sur les appareils mobiles sont conçus pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.

3. Sécurité des ressources humaines

ESET utilise des pratiques standard en ce qui concerne les ressources humaines, y compris des politiques conçues pour maintenir la sécurité des informations. Ces pratiques couvrent l'ensemble du cycle de vie des employés, et elles s'appliquent à toutes les équipes qui accèdent à l'environnement ESET PROTECT Hub.

4. Gestion des ressources

L'infrastructure ESET PROTECT Hub est incluse dans les inventaires de ressources d'ESET avec une propriété stricte et des règles appliquées selon le type et la sensibilité des ressources. ESET possède un modèle de classification interne défini. Toutes les données et configurations d'ESET PROTECT Hub sont classées confidentielles.

5. Contrôle d'accès

La politique de contrôle d'accès d'ESET régit chaque accès dans ESET PROTECT Hub. Le contrôle d'accès est défini au niveau de l'infrastructure, des services réseau, du système d'exploitation, de la base de données et des applications. La gestion complète des accès des utilisateurs au niveau des applications est autonome grâce au contrôle d'accès basé sur les rôles de Microsoft Azure.

L'accès au back-end d'ESET est strictement limité aux personnes et aux rôles autorisés. Les processus standard d'ESET pour l'inscription/la désinscription, l'attribution/l'annulation de l'attribution des utilisateurs, la gestion des privilèges et la révision des droits d'accès des utilisateurs sont utilisés pour gérer l'accès des employés d'ESET aux infrastructures et aux réseaux d'ESET PROTECT Hub.

Une authentification forte est en place pour protéger l'accès à toutes les données d'ESET PROTECT Hub.

6. Chiffrement

Les bases de données ESET PROTECT Hub sécurisent les données en les chiffrant en transit avec TLS. En outre, les données au repos sont chiffrées et un certificat de serveur intégré protège la clé de chiffrement de la base de données.

Une autorité de certification de confiance est généralement utilisée pour émettre des certificats pour les services publics.

7. Sécurité physique et environnementale

ESET PROTECT Hub est basé sur le cloud et utilise Microsoft Azure pour la sécurité physique et environnementale. L'emplacement physique du centre de données se trouve exclusivement dans l'Union européenne (UE). Un chiffrement fort est en place pour protéger les données des clients pendant le transport.

8. Sécurité des opérations

ESET PROTECT Hub est exploité par des moyens automatisés basés sur des procédures opérationnelles et des modèles de configuration stricts. Toutes les modifications, y compris les changements de configuration et le déploiement de nouveaux packages, sont approuvées et testées dans un environnement de test dédié avant d'être déployées en production. Les environnements de développement, de test et de production sont séparés les uns des autres. Les données d'ESET PROTECT Hub sont situées uniquement dans l’environnement de production.

L’environnement ESET PROTECT Hub est supervisé à l'aide d'une surveillance opérationnelle pour identifier rapidement les problèmes et fournir les capacités suffisantes à tous les services au niveau du réseau et des hôtes.

Toutes les données de configuration sont sauvegardées régulièrement et des fonctionnalits de redondance sont appliquées.

Les sauvegardes sont chiffrées et leur capacité de récupération est régulièrement testée dans le cadre des tests de continuité de l'activité.

L'audit des systèmes est réalisé conformément aux normes et directives internes. Les journaux et les événements de l'infrastructure, du système d'exploitation, de la base de données, des serveurs d'applications et des contrôles de sécurité sont collectés en permanence. Les journaux sont ensuite traités par les équipes informatiques et de sécurité internes afin d'identifier les anomalies opérationnelles et de sécurité et les incidents de sécurité des informations.

ESET utilise un processus général de gestion des vulnérabilités techniques pour traiter l'apparition de vulnérabilités dans l'infrastructure ESET, notamment ESET PROTECT Hub et d'autres produits ESET. Ce processus comprend une analyse proactive des vulnérabilités et des tests de pénétration répétés de l'infrastructure, des produits et des applications.

ESET donne des directives internes pour la sécurité de l'infrastructure interne, des réseaux, des systèmes d'exploitation, des bases de données, des serveurs d'applications et des applications. Ces directives sont vérifiées par le biais d'un contrôle de conformité technique et de notre programme interne d'audit de sécurité des informations.

9. Sécurité des communications

L'accès au réseau d'ESET PROTECT Hub est limité aux seuls services nécessaires.

Le trafic réseau est surveillé en permanence pour détecter les anomalies opérationnelles et de sécurité. Les attaques potentielles peuvent être résolues en utilisant des contrôles natifs du cloud ou des solutions de sécurité déployées. Toutes les communications réseau sont chiffrées par des techniques généralement disponibles, notamment IPsec et TLS.

10. Acquisition, développement et maintenance des systèmes

Le développement des systèmes ESET PROTECT Hub est réalisé conformément à la politique de développement de logiciels sécurisés d'ESET. Les équipes de sécurité internes sont incluses dans le projet de développement d'ESET PROTECT Hub dès la phase initiale et supervisent toutes les activités de développement et de maintenance. L'équipe de sécurité interne définit et vérifie le respect des exigences de sécurité à différents stades du développement du logiciel. La sécurité de tous les services, y compris ceux nouvellement développés, est testée en permanence après leur mise en service.

11. Relation avec les fournisseurs

Une relation pertinente avec les fournisseurs est entretenue selon les directives valides d'ESET, qui couvrent l'ensemble de la gestion de la relation et les exigences contractuelles du point de vue de la sécurité des informations et de la confidentialité. La qualité et la sécurité des services fournis par les fournisseurs de services critiques sont évaluées régulièrement.

En outre, ESET utilise le principe de portabilité pour ESET PROTECT Hub afin d'éviter le verrouillage des fournisseurs.

12. Gestion de la sécurité des informations

La gestion des incidents de sécurité des informations dans ESET PROTECT Hub est effectuée de manière similaire aux autres infrastructures ESET et s'appuie sur des procédures définies de réponse aux incidents. Les rôles au sein de la réponse aux incidents sont définis et répartis entre plusieurs équipes, notamment le service informatique, le service de sécurité, le service juridique, les ressources humaines, les relations publiques et la direction générale. L'équipe de réponse à un incident est établie en fonction du triage de l'incident par l'équipe de sécurité interne. Cette équipe assurera la coordination des autres équipes chargées de l'incident. L'équipe de sécurité interne est également responsable de la collecte des preuves et des enseignements tirés. L'occurrence et la résolution des incidents sont communiquées aux parties concernées. L'équipe juridique d'ESET est chargée de notifier les organismes de réglementation si nécessaire, conformément au règlement général sur la protection des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l'information (NIS).

13. Aspects de la gestion de la continuité d'activité liés à la sécurité des informations

La continuité opérationnelle du service ESET PROTECT Hub est codifiée dans l'architecture robuste utilisée pour maximiser la disponibilité des services fournis. Une restauration complète à partir des données de sauvegarde et de configuration hors site est possible en cas de défaillance catastrophique de tous les nœuds redondants des composants ESET PROTECT Hub ou du service ESET PROTECT Hub. Le processus de restauration est testé régulièrement.

14. Conformité

La conformité aux exigences réglementaires et contractuelles d'ESET PROTECT Hub est régulièrement évaluée et examinée de la même manière que les autres infrastructures et processus d'ESET, et les mesures nécessaires sont prises pour assurer la conformité de manière continue. ESET est enregistré en tant que fournisseur de services numériques pour le service numérique de cloud computing couvrant plusieurs services ESET, notamment ESET PROTECT Hub. Notez que les activités de conformité d'ESET ne signifient pas nécessairement que les exigences de conformité globales des clients sont satisfaites en tant que telles.