Comprenez vos droits et nos responsabilités à un seul et même emplacement
Politique de sécurité
Introduction
Finalité du Document
Le présent document vise à résumer les contrôles techniques, organisationnels et physiques et les pratiques de sécurité appliquées dans l'infrastructure ESET, qui comprend le portefeuille ESET, c'est-à-dire les produits, applications, solutions et services ESET (ci-après le « Produit »). Les mesures de sécurité, les contrôles et les politiques sont conçus pour protéger
•Fonctionnement du portefeuille ESET et traitement des données dans les environnements locaux ou cloud
•confidentialité, intégrité et disponibilité des données des clients.
•informations sur le client suite à une destruction illicite, à une perte, à une altération, à une divulgation ou à un accès non autorisés
ESET peut mettre à jour ce document et les mesures, contrôles et politiques spécifiques qui le régissent afin de répondre aux menaces évoluant et de s'adapter au développement de technologies de sécurité et de normes industrielles.
Audience
Ce document doit être lu par quiconque nécessite une assurance dans le domaine de la sécurité du portefeuille ESET, ou par le Client qui entend utiliser les solutions ou services ESET par l'intégration dans son environnement.
Contexte, concept et champ d'application
La société ESET, spol s r.o. est ISO 27001:2022 certifiée avec un système de gestion intégré.
Par conséquent, la notion de gestion de la sécurité des informations utilise le cadre de la norme ISO 27001 pour mettre en place une stratégie de sécurité de défense à plusieurs niveaux lors de l'application de contrôles de sécurité à chaque couche de l'architecture du système d'information, par exemple le réseau, les systèmes d'exploitation, les bases de données, les applications, le personnel et les processus opérationnels. Les pratiques et les contrôles de sécurité appliqués sont censés se superposer et se compléter.
Le champ d'application du présent document est de résumer les mesures techniques et organisationnelles mises en œuvre pour le portefeuille ESET ; l'organisation, le personnel et les processus opérationnels.
Les pratiques et contrôles de sécurité comprennent des mesures de gouvernance et techniques, notamment, mais sans s'y limiter :
•Politiques de sécurité des informations
•Organisation de la sécurité des informations
•Sécurité des ressources humaines
•Contrôle d'accès
•Chiffrement
•Sécurité physique et environnementale
•Protection des données, Sécurité du réseau, Sécurité des applications
•Sécurité opérationnelle
•Sécurité des communications
•Acquisition, développement et maintenance des systèmes
•Relation avec les fournisseurs
•Gestion des incidents de sécurité des informations
•Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
•Conformité
Abréviations
Terme abrégé |
Terme complet |
|---|---|
Société |
ESET, spol. s r. o. |
CSP |
Fournisseur de services cloud |
DR |
Récupération d'urgence |
ESET |
ESET, spol. s r. o. |
RGPD |
Règlement général sur la protection des données |
TIC |
Technologies de l'information et de la communication |
IR |
Réponse aux incidents |
IS |
Sécurité de l'information |
ISMS |
Système de gestion de la sécurité de l'information |
Informatique |
Informatique |
NIS |
Loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et des informations |
PKI |
Infrastructure à clé publique |
Produit |
Portfolio ESET – c'est-à-dire produits, applications, plateformes cloud, solutions et services ESET en plus d'eux |
SIEM |
Informations de sécurité et gestion des évènements |
SSDLC |
Cycle de vie du développement de logiciels sécurisés |
QMS |
Système de gestion de la qualité |
Remarque : Scripture italienne – utilisée pour les noms de documents internes de la Société référencés, non accessibles au public, par exemple Politique relative à la réglementation interne
Gestion de la sécurité
Programme de gestion de la sécurité de l'information
La société ESET a établi et maintient un cadre de programme de gestion de la sécurité des informations en tant que fonction interorganisatrice guidant la protection des actifs d'information. La documentation sur la sécurité des informations est guidée par les politiques, les processus et la documentation en matière de sécurité via la Politique relative aux règlements internes. ESET a adopté la Politique relative au système de gestion intégrée, qui sert de niveau supérieur
•politique ISMS,
•politique QMS et
•politique de sécurité de l'information.
ESET adhère à sa Politique relative au Système de gestion intégrée, qui définit le cadre de gestion de la qualité et de la sécurité des informations. Cette politique est détenue par le responsable de la sécurité des informations (CISO) d'ESET et représente l'engagement de la direction au niveau supérieur en matière de sécurité et de qualité. Il définit les responsabilités de gestion et d'assurance de ces domaines et définit l'engagement d'ESET à évaluer et à améliorer en permanence l'efficacité de son système de gestion conformément aux normes ISO 9001 et ISO 27001.
Les politiques d'entreprise sont documentées, conservées et révisées chaque année, puis mises à jour après tout changement important afin de garantir leur pertinence, leur adéquation et leur efficacité. Les mises à jour sont communiquées au personnel interne, où les politiques sont mises à la disposition de tous les employés. Les politiques sont formellement adoptées, signées par le PDG, publiées et communiquées à tous les employés et aux parties concernées. Les politiques sont officiellement reconnues par les employés ESET lorsqu'ils embarquent.
Outre les politiques, les équipes de sécurité des informations et de sécurité technique d'ESET ont conçu des processus, des procédures, des normes et des lignes de base de configuration basées sur les meilleures pratiques en matière de sécurité de l'industrie et des fournisseurs (par exemple, critères de référence CIS, OWASP, NIST). Ils sont fournis aux équipes informatiques et technologiques afin d'assurer le développement, la configuration et le fonctionnement sécurisés des systèmes et produits d'information ESET.
ESET maintient une documentation de gouvernance interconnectée, qui est conçue et mise à la disposition de tout le personnel conformément aux certifications ESET pour les normes ISO 9001 et ISO 27001. Les procédures opérationnelles sont adaptées aux besoins spécifiques de chaque équipe, gérées dans des espaces de travail désignés et mises à jour selon les besoins.
Des procédures disciplinaire et de surveillance de la conformité des politiques sont en place pour traiter et remédier à tout non-respect des politiques de sécurité, renforçant ainsi l'engagement d'ESET envers la responsabilité et l'amélioration continue.
Pour assurer la conformité et l'efficacité continue, ESET a mis en place un cadre de gestion des risques, qui maintient des contrôles techniques et organisationnels. Le processus de gestion des risques d'ESET implique une évaluation et une gestion complètes des risques au sein de son Système de gestion intégrée (sur la base des normes ISO 9001 et ISO 27001). Cela inclut l'évaluation des actifs, l'identification des exigences en matière de sécurité, le calcul des risques et la sélection des stratégies d'atténuation appropriées. Le Responsable de la sécurité des informations (CISO) supervise le processus global de gestion des risques, en veillant à ce que les risques de sécurité et les indicateurs connexes soient régulièrement signalés à la direction générale. En outre, la gestion des risques tiers est strictement appliquée par le biais d'évaluations des fournisseurs, conformément à la Norme de sécurité des contrats d'ESET.
Conformité aux normes de l'industrie
La validation et l'accréditation externes sont essentielles pour les organisations qui comptent sur les capacités et la technologie d'ESET pour sécuriser leurs données et respecter les exigences réglementaires. Pour plus de détails, consultez la page de certification ESET.
Contrôle de la conformité
La Politique relative au système de gestion intégrée établit le système de gestion intégré, y compris des révisions et des audits réguliers.
Les audits internes examinent régulièrement le respect des politiques et des processus d'ESET tels que décrits dans la Politique d'audit interne. La Politique relative aux règlements internes stipule la responsabilité de surveiller régulièrement l'application des règlements internes et les ajustements pertinents, le cas échéant.
Des contrôles réguliers et des audits internes et externes sont réalisés conformément à un plan d'audit annuel et à trois ans à long terme. Les audits internes sont effectués par des auditeurs indépendants qui examinent régulièrement le respect des politiques et des processus d'ESET ou des normes applicables (par exemple, ISO 9001, ISO 27001 et SOC2), selon le champ d'application de l'audit. Des audits internes sont planifiés et réalisés au moins une fois par an. Les conclusions de l'audit sont collectées et enregistrées dans un système de ticketing dédié, avec des propriétaires respectifs attribués, qui sont responsables de la résolution des non-conformités dans un délai prédéterminé. Les conclusions d'audit qui nécessitent une supervision de la direction et des décisions sont examinées lors de réunions régulières d'examen de la direction.
Organisation de la sécurité des informations
Les responsabilités en matière de sécurité des informations sont attribuées conformément aux politiques de sécurité des informations en vigueur. Les processus internes sont identifiés et évalués pour tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des ressources d'information ESET. Les activités risquées ou sensibles des processus internes adoptent le principe des meilleures pratiques en matière de sécurité afin d'atténuer les risques.
La sécurité des informations est prise en compte dans la gestion de projets en utilisant le cadre de gestion de projets appliqué, de la conception à l'achèvement d'un projet.
Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique appliquée aux appareils mobiles qui inclut l'utilisation d'une protection cryptographique forte des données pendant l'utilisation de réseaux non approuvés lors des déplacements. Les contrôles de sécurité sur les appareils mobiles sont conçus pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.
Sécurité des ressources humaines
ESET utilise des pratiques standard en ce qui concerne les ressources humaines, y compris des politiques conçues pour maintenir la sécurité des informations. Ces pratiques couvrent tout le cycle de vie des employés et s'appliquent à tous les employés.
La société ESET exige du personnel ESET qu'il soit soumis à une vérification d'arrière-plan et à un dépistage pendant l'embarquement ; la signature de l'accord de non-divulgation ou de confidentialité dans le cadre du contrat de travail qui les oblige à suivre des politiques et des normes de sécurité internes, à protéger les informations confidentielles d'ESET et les données des clients ; à compléter la formation en matière de sensibilisation à la sécurité des informations pendant l'embarquement dans le cadre du programme de
Mesures techniques
Gestion des identités et des accès
La Politique sur la gestion des accès d'ESET régit tout accès à l'infrastructure ESET. Processus de contrôle d'accès dans le domaine de l'octroi, de la révocation, du changement d'accès et de la révision des droits d'accès accordés appliqués à tous les niveaux d'infrastructure, de technologie, d'application ou d'outils. La gestion complète des accès des utilisateurs au niveau des applications est autonome. La connexion unique d'identité est régie par un fournisseur d'identité central, qui garantit qu'un utilisateur ne peut accéder qu'à l'environnement ou à l'application autorisée.
La gestion des utilisateurs et des accès, les processus et mesures techniques de déprovisionnement des accès des utilisateurs, la fourniture des accès des utilisateurs, la révision, la suppression et l'ajustement des droits d'accès sont utilisés pour gérer l'accès des employés ESET à l'infrastructure et aux réseaux ESET conformément aux normes de sécurité, qui comprennent, mais ne sont pas limités à :
•Fourniture d'accès sur la base du minimum de privilèges «necessité de savoir»
•Révision régulière de l'accès des utilisateurs
•Résiliation de l'accès de l'utilisateur conformément à la politique de sécurité
•Assignation du compte unique à tout le monde
•Enregistrement des tentatives d'accès des utilisateurs, examen et surveillance
•Enregistrement et examen des accès physiques
•Implémentation de l'authentification à plusieurs facteurs pour l'accès hautement privilégié et administrateur
•Exécution des délais pour les sessions interactives après une période d'inactivité spécifiée
Protection des données
Chiffrement des données
ESET protège les données dans son infrastructure ; un chiffrement fort est utilisé pour chiffrer les données au repos (y compris les appareils portables) et en transit. La mise en œuvre du chiffrement suit les règles définies par la norme interne Cryptographie. Les données des clients sont conservées conformément aux réglementations pertinentes, par exemple le RGPD, la directive NIS2 ou les réglementations industrielles et financières.
Mesures en place :
•Une autorité de certification de confiance est généralement utilisée pour émettre des certificats pour les services web publics.
•Le PKI interne ESET est utilisé pour gérer les clés dans l'infrastructure ESET.
•Le chiffrement natif de la plate-forme CSP est activé pour assurer la protection en repos des données pour les parties pertinentes du traitement des données ou la persistance des données dans l'environnement cloud (lagages de données, sauvegardes)
•Un chiffrement fort (p. ex. TLS) est en place pour chiffrer les données en transit.
Backup et récupération des données
Les sauvegardes sont régies par la Politique de sécurité des informations dans le fonctionnement des technologies de l'information et de la communication.
Toutes les données de configuration et de déploiement du portefeuille ESET sont stockées dans des dépôts protégés et régulièrement sauvegardés d'ESET afin de permettre la récupération automatisée d'une configuration d'environnement. Un processus de test régulier de récupération de catastrophes est utilisé pour vérifier la restaurabilité de la sauvegarde de configuration dans les délais attendus par l'entreprise.
Les données du Client ESET sont régulièrement sauvegardées conformément aux normes et réglementations de l'industrie, au fonctionnement de la haute disponibilité et aux exigences contractuelles en matière de récupération. Les sauvegardes sont protégées contre les manipulations, et la validité des sauvegardes est régulièrement testée par des processus d'exercice de récupération des catastrophes.
Sécurité du réseau
La segmentation de réseau est appliquée dans l'ensemble de l'environnement réseau ESET. Les réseaux sont séparés selon des critères définis et appliqués en utilisant des VLAN sur les pare-feu.
ESET utilise une variété de systèmes de protection des frontières, notamment des pare-feu L7, des systèmes de détection des intrusions et des systèmes de prévention des intrusions. Ces systèmes sont configurés et entretenus pour protéger les points d'accès externes, en veillant à ce que toute tentative non autorisée d'accès au réseau soit détectée et empêchée.
L'accès à distance aux ressources internes est fourni via un VPN utilisateur ou site-à-site avec des rôles et responsabilités, des exigences de sécurité et des contrôles stipulés dans les politiques internes d'ESET, et configuré conformément aux normes de l'industrie de la sécurité. Les comptes d'utilisateurs VPN sont conservés dans Active Directory et font partie du processus de fourniture du compte d'employé.
ESET met en œuvre et maintient des contrôles de sécurité de réseau afin de protéger les données traitées, reçues ou stockées dans l'environnement cloud. Les comptes CSP et l'infrastructure sous-jacente utilisent des listes de contrôle d'accès au réseau et des groupes de sécurité au sein du Réseau virtuel des CSP afin de limiter l'accès à toutes les ressources fournies. L'accès aux ressources cloud est uniquement par le biais de canaux chiffrés.
Sécurisation renforcée
ESET utilise le processus de sécurisation des systèmes pour réduire la vulnérabilité possible aux attaques. Cela implique les techniques et les meilleures pratiques suivantes :
•avoir une image en or signée qui est utilisée pour installer ou déployer un hôte ou un conteneur
•désactiver les services inutiles
•attachement automatique planifié et patchage ad hoc des composants critiques en cas de risque élevé.
•mise à niveau du système d'exploitation avant d'atteindre sa fin de vie.
•Configuration des paramètres de sécurité
•automatisation de la gestion des infrastructures et des applications de manière répétitive et cohérente
•supprimer les logiciels inutiles
•Restriction de l'accès aux ressources locales
•contrôles basés sur l'hôte, tels que l'antivirus, la détection et la réaction des endpoints et les politiques de réseau.
ESET utilise une approche centralisée pour appliquer et vérifier le durcissement à des composants d'environnements informatiques visant à minimiser la surface d'attaque, qui est la somme de tous les points d'entrée potentiels que les attaquants pourraient exploiter. Pour plus de détails, consultez la partie suivante du présent document.
Sécurité des applications
Pratiques de développement sécurisées
ESET met en œuvre des pratiques de développement de logiciels sécurisés grâce à sa Politique sur la sécurité dans le cycle de vie du développement de logiciels (SSDLC) qui intègre les contrôles de sécurité et la gestion des risques à tous les stades du développement.
La politique SSDLC définit des exigences pour :
•Le code est écrit conformément aux lignes directrices de codage sécurisé et révisé avant la fusion.
•La modélisation des menaces et les révisions de conception sont effectuées pour les nouvelles fonctionnalités et les changements majeurs.
•Contrôle automatique de la sécurité (analyse statique, analyse de dépendance et tests dynamiques sélectionnés) effectué dans le cadre des pipelines CI/CD.
•Des composants tiers et open source sont suivis et mis à jour ; un SBOM est maintenu pour tous les produits publiés.
•Les conclusions des incidents, des tests de pénétration et des rapports de récompense des bugs sont examinées et renvoyées au processus de développement.
L'objectif de la politique SSDLC est de s'assurer que tous les Produits logiciels ESET sont sûrs, fiables et conformes aux normes et réglementations applicables.
Gestion des vulnérabilités des produits
ESET maintient un processus défini pour identifier, évaluer et résoudre les vulnérabilités dans ses applications et produits tout au long de leur cycle de vie.
Le processus couvre à la fois les problèmes découverts en interne et les rapports provenant de sources externes.
Dans le cadre de la gestion des vulnérabilités des Produits, ESET :
•Utilise des outils de numérisation automatisés pour analyser le code source, les dépendances et construire des artefacts à la recherche de vulnérabilités connues.
•Revue manuellement les conclusions pour confirmer l'impact et la pertinence avant d'attribuer une correction.
•Suit et priorise les correctifs en fonction de la gravité, de l'exploitabilité et de l'exposition du produit.
•Exécute des tests de sécurité ciblés et des tests de réévaluation afin de vérifier la réparation.
•Integre les données de vulnérabilité dans la planification du développement et de la sortie, de sorte que les problèmes critiques soient abordés avant l'expédition.
•Accepte et traite les rapports externes par le biais de divulgations coordonnées et d'un programme public de récompense pour les bugs.
•Assigne des identifiants CVE aux vulnérabilités confirmées des produits dans le cadre de son rôle d'Autorité de numérotation des CVE (CNA)
•Applique les correctifs et les corrections en fonction de la gravité des vulnérabilités et de leur impact sur l'activité, selon un processus de tri structuré.
oLe processus de tri est conforme à la norme ISO/IEC 30111 (management des vulnérabilités) et à la norme ISO/IEC 29147 (divulgation des vulnérabilités)
oLe score CVSS et les sources d'intelligence externes telles que le catalogue des vulnérabilités exploitées connues (KEV) du CISA sont utilisés pour guider la priorisation.
oLes décisions finales de réparation sont prises en collaboration par les équipes de produit et de sécurité responsables.
Ces processus garantissent que les vulnérabilités sont traitées de manière cohérente, transparente et traçable dans tous les Produits ESET.
Test de pénétration
ESET effectue régulièrement des tests de pénétration de ses Produits dans le cadre du processus global d'assurance de la sécurité des produits – dans le cadre de notre propre Programme d'essai de pénétration. Les tests sont effectués avant les grandes sorties et à intervalles planifiés pour les Produits maintenus.
Les tests de pénétration chez ESET se concentrent sur :
•Vérifier que les contrôles de sécurité et les mesures d'atténuation mis en œuvre sont efficaces.
•Identifier des vulnérabilités potentielles que les outils automatisés peuvent ne pas détecter.
•Valider les résultats des efforts de correction antérieurs
•Évaluation de la surface totale d'attaque et de l'exposition au risque des Produits libérés
Les tests sont effectués dans des environnements isolés par des spécialistes internes qualifiés ou des partenaires externes de confiance en utilisant des méthodes reconnues de l'industrie (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Les résultats sont documentés, notés et suivis grâce au même processus de gestion des vulnérabilités utilisé pour les problèmes signalés à l'intérieur et à l'extérieur.
Les résultats des tests de pénétration s'intègrent directement dans les plans d'amélioration du Produit et le SSDLC, ce qui permet de s'assurer que les leçons apprises sont saisies et que les faiblesses récurrentes sont réduites au fil du temps.
Sécurité opérationnelle
Politique de sécurité des informations dans les opérations des TIC
La Politique de sécurité des informations dans le fonctionnement des TIC au sein de la Société établit des règles de sécurité fondamentales relatives au fonctionnement des TIC conformément à la norme ISO 27001.
Politique de sécurité des informations dans le fonctionnement des TIC définit les exigences de sécurité applicables aux processus opérationnels informatiques et à leur documentation, y compris les procédures opérationnelles, la gestion des changements, la séparation des rôles et des responsabilités, la séparation des rôles et des responsabilités, la séparation de la production, les environnements de test et de développement, les services informatiques tiers, la planification des performances,
Journalisation et audit
Le registre et l'audit d'un système sont effectués conformément aux normes et directives internes (Politique sur la surveillance de la sécurité et la gestion des incidents de sécurité).
Les journaux et les événements de l'infrastructure, du système d'exploitation, de la base de données, des serveurs d'applications et des contrôles de sécurité sont collectés en permanence. ESET utilise une plateforme centrale de gestion des journaux (SIEM) pour protéger les journaux pertinents contre toute modification ou destruction non autorisée. Les journaux sont ensuite traités par les équipes informatiques et de sécurité internes afin d'identifier les anomalies opérationnelles et de sécurité et les incidents de sécurité des informations. Les données dans le SIEM sont conservées pendant le temps requis par les réglementations et pour la recherche rétrospective des menaces.
Surveillance de la sécurité et réponse aux incidents
La surveillance de la sécurité et la gestion des incidents de sécurité sont définies dans la Politique sur la surveillance de la sécurité et la gestion des incidents.
La politique énonce
•responsabilités et règles relatives au développement, à la configuration correcte, à la protection, au stockage, à l'analyse, à l'évaluation et à la conservation des journaux de sécurité et des audits.
•processus, rôles et responsabilités pour la gestion des incidents de sécurité
•prévention des incidents de sécurité
•minimiser l'impact des incidents de sécurité
•apprendre des incidents de sécurité
•éduquer les employés sur les activités de surveillance, leur champ d'application et le rôle des employés dans la surveillance et la réaction aux incidents
Un Centre d'opérations de sécurité (SOC) établi, opérant 24 heures sur 24, est autorisé à surveiller en permanence l'état de sécurité de l'infrastructure informatique et des applications et à réagir aux incidents de sécurité.
La gestion des incidents de sécurité des informations dans ESET repose sur la Procédure de réponse à des incidents définie. Les rôles au sein de la réponse aux incidents sont définis et répartis entre plusieurs équipes, notamment le service informatique, le service de sécurité, le service juridique, les ressources humaines, les relations publiques et la direction générale. Les incidents standard sont traités par l'équipe SOC. Pour les incidents de sécurité plus importants, le centre de commande est informé. Le Centre de commande, en collaboration avec l'équipe SOC, coordonne la réaction à l'incident et engage d'autres équipes pour gérer l'incident. L'équipe SOC, soutenue par les membres responsables de l'équipe de sécurité interne, est également chargée de la collecte des preuves et des enseignements tirés. L'occurrence et la résolution des incidents sont communiquées aux parties concernées, notamment aux clients et aux partenaires. L'équipe juridique d'ESET est chargée de notifier les organismes de réglementation si nécessaire, conformément au règlement général sur la protection des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l'information (NIS2).
Gestion des correctifs
La gestion des correctifs est utilisée comme l'une des plusieurs activités d'atténuation visant à remédier aux vulnérabilités.
Les correctifs de sécurité sont évalués et appliqués en fonction de la gravité et du risque des vulnérabilités identifiées.
Un processus de tri et de priorisation défini détermine l'ordre et les délais de déploiement des patchs. Ce processus suit les lignes directrices internes d'ESET, conformes à la norme ISO/IEC 30111. Scoring CVSS et sources externes d'information sur les menaces, telles que le catalogue des vulnérabilités exploitables connues (KEV) du CISA, soutiennent les décisions basées sur les risques et la priorisation.
Tous les correctifs sont vérifiés dans des environnements contrôlés avant de les déployer dans la production afin de s'assurer qu'ils résolvent le problème cible sans affecter négativement la stabilité ou la compatibilité du système.
Le déploiement suit des procédures de gestion des changements établies qui garantissent la traçabilité, la responsabilité et la capacité de retour si nécessaire.
Les activités de patch sont continuellement contrôlées et examinées afin de confirmer leur efficacité, d'identifier les systèmes obsolètes et d'améliorer en permanence les processus.
La Guide de journalisation des applications spécifie les mesures techniques et les exigences régissant le journalisation pour toutes les applications développées par ESET.
Logiciel malveillant et protection contre les menaces
La protection contre les logiciels malveillants (par des logiciels antivirus et EDR) est stipulée dans la Politique sur la sécurité des informations dans le fonctionnement des technologies de l'information et de la communication. Les employés sont tenus de signaler immédiatement toute suspicion d'infection par un logiciel malveillant à SOC, comme indiqué dans la Politique de sécurité des informations pour les employés ESET.
Les exigences applicables aux endpoints des employés sont énoncées dans la Norme de sécurité pour les postes de travail.
ESET utilise ses propres outils antimalware enrichis par des solutions tierces vérifiées pour protéger les endpoints et les charges de travail cloud.
L'équipe SOC effectue des activités de recherche de menaces sur la base de la Politique sur la surveillance de la sécurité et la gestion des incidents de sécurité. Des données sur les menaces (feeds) sont collectées dans le système SIEM, qui est automatiquement ingéré pour produire des informations sur les menaces appliquées aux événements de surveillance de la sécurité.
Conformité technique
L'équipe de sécurité interne fournit et maintient diverses normes de sécurité techniques pour l'infrastructure, le cloud, les composants liés au web et les meilleures pratiques pour les développeurs et les administrateurs informatiques. Sur la base des normes techniques, l'équipe de sécurité interne prépare des fichiers de base de configuration qui sont utilisés par les équipes informatiques pour l'automatisation du déploiement et l'application des configurations sécurisées.
En outre, des analyses de conformité sont effectuées par l'intermédiaire d'un outil d'évaluation de la vulnérabilité si possible. ESET a un Programme de test de pénétration établi, et les produits, applications et services développés par ESET sont soumis à des tests de pénétration réguliers en fonction du plan du programme. Toutes les conclusions sont documentées et signalées aux parties prenantes du Produit afin de s'assurer qu'elles sont atténuées le plus rapidement possible.
Sécurité physique
La Politique de sécurité physique et les normes de sécurité physique connexes définissent les règles de sécurité physique autour des locaux des bureaux et des centres de données. La présente politique énonce des règles et des procédures pour :
•Protection des locaux d'ESET
•Contrôle d'accès physique
•Sécurité des bureaux, des chambres et des bâtiments
•Travail dans des zones sécurisées
•Sécurité des équipements, des câblages et des infrastructures
Sécurité des centres de données
Les composants de l'infrastructure informatique sont physiquement situés dans plusieurs centres de données ; par conséquent, la redondance est atteinte dans chaque région.
Le périmètre de sécurité physique est défini dans la Politique de sécurité physique et les normes de sécurité connexes pour les bureaux et les centres de données - norme de sécurité physique pour les centres de données. ESET a défini des règles pour définir un périmètre de sécurité et des contrôles à appliquer au périmètre de sécurité physique. Les contrôles clés — y compris la zone de sécurité physique et la séparation, la gestion de l'accès et des visiteurs, la prévention des incendies et des inondations, ainsi que la CCTV et la surveillance par équipage — sont clairement définis, mis en œuvre et surveillés en permanence. La sécurité des centres de données est régulièrement contrôlée par le personnel responsable et des auditeurs externes.
ESET s'appuie sur les mesures et contrôles de sécurité physiques des CSP ; par conséquent, il révise régulièrement les rapports de conformité des CSP correspondants.
Contrôle d'accès physique
Les contrôles physiques d'entrée sont énoncés dans la Politique de sécurité physique et les normes de sécurité connexes pour les bureaux et les centres de données. Les locaux sont divisés en zones protégées avec des contrôles d'accès spécifiques.
L'authentification est gérée conformément aux meilleures pratiques de sécurité en utilisant des clés, des cartes d'identité/accès et des PIN.
Surveillance d'accès physique et prévention/détection d'accès non autorisé sont mis en œuvre. Toutes les entrées sont surveillées par CCTV avec un enregistrement enregistré. Le périmètre est également surveillé par des capteurs de mouvement ou de rupture de verre (y compris des murs à faible résistance (par exemple, verre ou mur sec), des sorties d'incendie et des fenêtres).
Continuité des affaires et récupération des catastrophes
ESET maintient, révise régulièrement, évalue et met en œuvre des améliorations à son système de gestion de la continuité de l'activité conformément à la Politique sur la gestion de la continuité de l'activité conformément à la norme ISO 22301.
ESET a établi le Programme BCM, qui met en priorité toutes les activités au sein de l'entreprise et subit l'approbation du CISO conformément à la Politique BCM. Le Programme BCM définit des activités opérationnelles et des activités visant à atténuer les risques liés au BCM, par exemple par le biais de licenciements ou de répliques de fonctions et d'infrastructures informatiques.
Des analyses d'impact des affaires (BIA) avec des objectifs de continuité des affaires définis (RTO, RPO, MTD, priorités de récupération) sont en cours de préparation et d'examen. Les plans de récupération des catastrophes (DRP) sont examinés et testés conformément au Programme BCM. La stratégie de continuité des affaires détermine l'approche visant à maintenir les actifs critiques de l'entreprise. Tous les résultats des activités régulières de continuité de l'activité servent de base à l'amélioration continue.
Gestion des risques tiers
La surveillance et l'examen des services fournisseurs sont régies par la Politique sur la sécurité des informations dans les relations avec les fournisseurs. Les révisions sont effectuées trimestriellement et les résultats sont enregistrés dans l'évaluation des fournisseurs .
Documentation, cycle de vie, mises à jour et intégrations
- Afficher le site des postes de travail
- Aide en ligne ESET
- Fin de vie
- Versions les plus récentes
- Journal des modifications
- API et intégrations
- Mises à jour du moteur de détection