Découvrez vos droits et nos responsabilités en un seul endroit
Politique de sécurité
Introduction
Objectif du document
Le but du présent document est de résumer les contrôles techniques, organisationnels et physiques et les pratiques de sécurité appliquées dans l’infrastructure ESET, qui comprend le portefeuille ESET, c’est-à-dire les produits, les applications, les solutions et les services ESET (ci-après dénommés « produits »). Mesures de sécurité, contrôles et politiques sont conçus pour protéger
•Opération du portefeuille ESET et traitement de données dans les environnements locaux ou en nuage
•confidentialité, intégrité et disponibilité des données des clients
•renseignements sur les clients résultant de la destruction, de la perte, de l'altération, de la divulgation ou de l'accès non autorisés
ESET peut mettre à jour ce document et les mesures, les contrôles et les politiques spécifiques qui les régissent afin de répondre aux menaces évoluantes et de s'adapter aux technologies de sécurité et aux normes de l'industrie en développement.
Audience
Ce document doit être lu par quiconque nécessite une assurance dans le domaine de la sécurité du portefeuille ESET, ou par le client qui entend utiliser les solutions ou services ESET par l'intégration à son environnement.
Contexte, concept et portée
ESET, spol s r.o. est certifiée ISO 27001:2022 avec un système de gestion intégrée.
Par conséquent, le concept de gestion de la sécurité de l’information utilise le cadre ISO 27001 pour mettre en œuvre une stratégie de sécurité à plusieurs niveaux lors de l’application de contrôles de sécurité à chaque couche de l’architecture du système d’information, par exemple le réseau, les systèmes d’exploitation, les bases de données, les applications, le personnel et les processus opérationnels. Les pratiques de sécurité appliquées et les contrôles de sécurité sont censés se chevaucher et se compléter.
Le champ d'application du présent document est de résumer les mesures techniques et organisationnelles mises en œuvre pour le portefeuille d'ESET; l'organisation, le personnel et les processus opérationnels.
Les pratiques et les contrôles de sécurité comprennent la gouvernance et les mesures techniques, y compris, mais sans s’y limiter :
•Stratégies de sécurité de l’information
•Organisation de la sécurité de l’information
•Sécurité des ressources humaines
•Contrôle d'accès
•Cryptographie
•Sécurité physique et environnementale
•Protection des données, sécurité du réseau, sécurité de l'application
•Sécurité opérationnelle
•Sécurité des communications
•Acquisition, développement et maintenance de systèmes
•Relation avec les fournisseurs
•Gestion des incidents de sécurité de l’information
•Aspects de la sécurité de l’information relatives à la gestion de la continuité des activités
•Conformité
Abréviations
Terme abrégé |
Terme complet |
|---|---|
Société |
ESET, spol. s r. o. |
CSP |
Fournisseur de services en nuage |
DR |
Récupération après catastrophes |
ESET |
ESET, spol. s r. o. |
RGPD |
Règlement général sur la protection des données |
TIC |
Technologies de l'information et de la communication |
IR |
Réponse aux incidents |
est |
Sécurité de l'information |
ISMS |
Système de gestion de la sécurité de l’information |
TI |
Technologie de l'information |
NIS |
Loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l'information |
PKI |
Infrastructure de clés publiques |
Produit |
Portfolio ESET, c’est-à-dire les produits, les applications, les plates-formes en nuage, les solutions et les services ESET en plus |
SIEM |
Information de sécurité et gestion des événements |
SSDLC |
Cycle de vie du développement logiciel sécurisé |
QMS |
Système de gestion de la qualité |
Remarque: Caractères italiques : utilisés pour les noms de documents internes de la société auxquels il est fait référence, non accessibles au public, par exemple, Politique en matière de réglementation interne
Gouvernance en matière de sécurité
Programme de gestion de la sécurité de l’information
La société ESET a établi et entretient un programme de gestion de la sécurité de l’information en tant que fonction interorganisatrice guidant la protection des actifs de l’information. La documentation de sécurité de l’information est guidée par les politiques, les processus et la documentation de sécurité au moyen de la politique sur les règlements internes. ESET a adopté la politique du système de gestion intégré qui sert de niveau supérieur
•politique ISMS,
•politique QMS et
•Politique de sécurité de l’information.
ESET adhère à sa politique relative au système de gestion intégrée, définissant le cadre de gestion de la qualité et de la sécurité de l’information. Cette politique est détenue par le responsable de la sécurité de l’information (CISO) pour ESET et représente l’engagement de la direction de haut niveau en matière de sécurité et de qualité. Il définit les responsabilités de gestion et d'assurance de ces domaines et décrit l'engagement d'ESET à évaluer et à améliorer en permanence l'efficacité de son système de gestion conformément aux normes ISO 9001 et ISO 27001.
Les politiques d’entreprise sont documentées, conservées et révisées chaque année, puis mises à jour après tout changement important afin de garantir leur pertinence, leur adéquation et leur efficacité. Les mises à jour sont communiquées au personnel interne, tandis que les politiques sont accessibles à tous les employés. Les politiques sont formellement adoptées, signées par le PDG, publiées et communiquées à tous les employés et aux parties concernées. Les politiques sont reconnues formellement par les employés d'ESET lors de leur inscription.
Outre les politiques, les équipes de sécurité de l’information et de sécurité technique d’ESET ont conçu des processus, des procédures, des normes et des bases de configuration basées sur les meilleures pratiques de sécurité de l’industrie et des fournisseurs (par exemple, les référentiels CIS, OWASP, NIST). Ceux-ci sont fournis aux équipes informatiques et technologiques pour assurer le développement, la configuration et le fonctionnement des systèmes informatiques et des produits ESET.
ESET maintient une documentation de gouvernance interconnectée, conçue et mise à disposition de tout le personnel conformément aux certifications d'ESET pour ISO 9001 et ISO 27001. Les procédures de fonctionnement sont adaptées aux besoins spécifiques de chaque équipe, gérées dans des espaces de travail désignés et mises à jour selon les besoins.
Des procédures disciplinaires et de surveillance de la conformité aux politiques sont mises en place pour traiter et remédier à toute non-conformité aux politiques de sécurité, renforçant l’engagement d’ESET en matière de responsabilité et d’amélioration continue.
Pour assurer une conformité et une efficacité permanentes, ESET a mis en place un cadre de gestion des risques, tout en conservant des contrôles techniques et organisationnels. Le processus de gestion des risques d'ESET implique une évaluation et une gestion complètes des risques au sein de son système de gestion intégrée (basé sur ISO 9001 et ISO 27001). Cela inclut l’évaluation des actifs, l’identification des exigences de sécurité, le calcul des risques et la sélection de stratégies d’atténuation appropriées. Le Chief Information Security Officer (CISO) supervise le processus global de gestion des risques, assurant la déclaration régulière des risques de sécurité et des indicateurs connexes à la direction générale. De plus, la gestion des risques tiers est strictement appliquée grâce à des évaluations des fournisseurs, conformément à la norme de sécurité des contrats d’ESET.
Conformité aux normes de l'industrie
La validation et l’accréditation externes sont essentielles pour les organisations qui comptent sur les capacités et la technologie d’ESET pour sécuriser leurs données et respecter les exigences réglementaires. Pour plus de détails, voir la page de certification d'ESET.
Monitoring de la conformité
La politique du système de gestion intégrée établit le système de gestion intégrée, y compris des révisions et des audits réguliers.
Les audits internes examinent régulièrement le respect des politiques et des processus d’ESET tels que décrits dans la politique d’audit interne. La politique relative aux réglementations internes stipule la responsabilité de surveiller régulièrement l'application des réglementations internes et les ajustements pertinents, le cas échéant.
Des révisions régulières et des audits internes et externes sont effectués conformément à un plan d'audit annuel et à long terme de trois ans. Les audits internes sont effectués par des auditeurs indépendants qui examinent régulièrement la conformité aux politiques et aux processus d’ESET ou aux normes applicables (par exemple, ISO 9001, ISO 27001 et SOC2), selon le champ d’application de l’audit. Les audits internes sont planifiés et effectués au moins une fois par an. Les conclusions de l’audit sont collectées et enregistrées dans un système de ticketing dédié, avec les propriétaires respectifs affectés, qui sont responsables de la résolution des non-conformités dans un délai prédéfini. Les conclusions d'audit nécessitant une surveillance de la direction et les décisions sont examinées lors de réunions régulières d'examen de la direction.
Organisation de la sécurité de l’information
Les responsabilités en matière de sécurité de l’information sont attribuées conformément aux politiques de sécurité de l’information en place. Les processus internes sont identifiés et évalués afin de détecter tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des actifs informationnels d’ESET. Les activités risquées ou sensibles des processus internes adoptent le principe des meilleures pratiques en matière de sécurité afin d’atténuer les risques.
La sécurité de l’information est prise en compte dans la gestion de projet à l’aide du cadre de gestion de projet appliqué de la conception à la réalisation du projet.
Le travail à distance et le télétravail sont couverts par l’utilisation d’une politique mise en œuvre sur les périphériques mobiles qui comprend l’utilisation d’une protection cryptographique renforcée des données lors de leur transmission sur des réseaux non sécurisés. Les contrôles de sécurité sur les périphériques mobiles sont conçus pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.
Sécurité des ressources humaines
ESET utilise des pratiques standard en matière de ressources humaines, y compris des politiques conçues pour maintenir la sécurité de l’information. Ces pratiques couvrent l’ensemble du cycle de vie des employés et s’appliquent à tous les employés.
La société ESET exige du personnel ESET de subir une vérification et un dépistage de fond lors de l'embarquement; la signature de l'accord de non divulgation ou de confidentialité dans le cadre du contrat de travail qui les oblige à suivre les politiques et les normes de sécurité internes, à protéger les informations confidentielles d'ESET et les données des clients; à compléter la formation en sensibilisation à la sécurité de l'information lors de l'embarquement dans le cadre du programme de conformité et de sensibilisation d'ESET
Mesures techniques
Gestion de l’identité et de l’accès
La politique d'ESET sur la gestion de l'accès régit tout accès à l'infrastructure ESET. Processus de contrôle d'accès dans le domaine de l'octroi, de la révocation, du changement d'accès et également de la révision des droits d'accès accordés appliqués à tous les niveaux d'infrastructure, de technologie, d'application ou d'outils. La gestion complète de l’accès utilisateur au niveau de l’application est autonome. La connexion unique à l'identité est régie par un fournisseur d'identité central, ce qui garantit qu'un utilisateur ne peut accéder qu'à l'environnement ou à l'application autorisée.
La gestion de l’utilisateur et de l’accès, les processus et les mesures techniques pour la déprovisionnement de l’accès des utilisateurs, la fourniture d’accès des utilisateurs, la révision, la suppression et l’ajustement des droits d’accès sont utilisés pour gérer l’accès des employés d’ESET à l’infrastructure et aux réseaux d’ESET conformément aux normes de sécurité, qui comprennent, mais ne sont pas limitées à :
•Accès basé sur le principe du moindre privilège et du « besoin d’en connaître »
•Révision régulière de l'accès de l'utilisateur
•Résiliation de l'accès de l'utilisateur conformément à la politique de sécurité
•Assignation du compte unique à tous
•Enregistrement des tentatives d'accès de l'utilisateur, examen et surveillance
•Logging et révision d'accès physique
•Implémentation de l'authentification à plusieurs facteurs pour un accès hautement privilégié et administratif
•Exécution des délais pour les sessions interactives après une période d'inactivité spécifiée
Protection des données
Chiffrement des données
ESET protège les données dans son infrastructure; une cryptographie forte est utilisée pour chiffrer les données au repos (y compris les périphériques portables) et en transit. La mise en œuvre de la cryptographie suit les règles définies par la standard cryptographique interne. Les données des clients sont conservées conformément aux réglementations pertinentes telles que le RGPD, la directive NIS2 ou les réglementations industrielles et financières.
Mesures en place :
•L’autorité de certification généralement approuvée est utilisée pour émettre des certificats pour les services Web publics
•ESET PKI interne est utilisé pour gérer les clés de l'infrastructure ESET
•Le chiffrement natif de la plateforme CSP est activé pour assurer la protection des données en repos pour les parties pertinentes du traitement des données ou la persistance des données dans l'environnement en nuage (stores de données, sauvegardes)
•Une cryptographie forte (par exemple, TLS) est mise en place pour chiffrer les données en transit
Backup et récupération de données
Les sauvegardes sont régies par la politique sur la sécurité de l'information dans le fonctionnement des technologies de l'information et de la communication.
Toutes les données de configuration et de déploiement du portefeuille ESET sont stockées dans les dépôts protégés et régulièrement sauvegardés d'ESET afin de permettre la récupération automatisée d'une configuration environnementale. Un processus régulier de test de reprise après sinistre est utilisé pour vérifier la possibilité de restaurer les sauvegardes de configuration dans les délais prévus par l’entreprise.
Les données du client ESET sont régulièrement sauvegardées conformément aux normes et aux réglementations de l'industrie, au fonctionnement d'une haute disponibilité et aux exigences contractuelles en matière de récupération. Les sauvegardes sont protégées contre toute altération et leur validité est régulièrement testée dans le cadre d’exercices de reprise après sinistre.
Sécurité du réseau
La segmentation de réseau est appliquée dans tout l'environnement réseau ESET. Les réseaux sont séparés selon des critères définis et appliqués en utilisant des VLAN sur des pare-feu.
ESET utilise une variété de systèmes de protection des frontières, y compris les pare-feu L7, les systèmes de détection d'intrusion et les systèmes de prévention d'intrusion. Ces systèmes sont configurés et entretenus pour protéger les points d'accès externes, garantissant que toute tentative non autorisée d'accès au réseau est détectée et empêchée.
L'accès à distance aux actifs internes est fourni par l'intermédiaire d'un VPN utilisateur ou local avec des rôles et des responsabilités, des exigences de sécurité et des contrôles stipulés dans les politiques internes d'ESET et configurés conformément aux normes de l'industrie de la sécurité. Les comptes d'utilisateur VPN sont maintenus dans Active Directory et font partie du processus de fourniture du compte d'employé.
ESET met en œuvre et entretient des contrôles de sécurité réseau pour protéger les données qui sont traitées, reçues ou stockées dans l'environnement en nuage. Les comptes CSP et l'infrastructure sous-jacente utilisent les listes de contrôle d'accès au réseau et les groupes de sécurité au sein du réseau virtuel des CSP pour limiter l'accès à toutes les ressources fournies. L'accès aux ressources en nuage n'est possible que par des canaux chiffrés.
Durcissement
ESET utilise le processus de sécurisation des systèmes pour réduire la vulnérabilité possible aux attaques. Cela implique les techniques et les meilleures pratiques suivantes :
•avoir une image en or signée qui est utilisée pour installer ou déployer un hôte ou un conteneur
•désactiver les services inutiles
•attache automatique planifiée et patchage ad hoc des composants critiques en cas de risque élevé
•système d'exploitation avant d'atteindre sa fin de vie
•configuration des paramètres de sécurité
•automatisation de l'infrastructure et de la gestion des applications de manière répétitive et cohérente
•supprimer les logiciels inutiles
•restreindre l'accès aux ressources locales
•contrôles basés sur l'hébergeur tels que l'antivirus, la détection et la réponse aux terminaux et les politiques de réseau
ESET utilise une approche centralisée pour appliquer et vérifier le durcissement aux composants des environnements informatiques visant à minimiser la surface d'attaque, qui est la somme de tous les points d'entrée potentiels que les attaquants pourraient exploiter. Pour plus de détails, voir la partie suivante de ce document.
Sécurité de l’application
Pratiques de développement sécurisé
ESET met en œuvre des pratiques de développement logiciel sécurisé grâce à sa politique sur la sécurité dans le cycle de vie du développement logiciel (SSDLC), qui intègre les contrôles de sécurité et la gestion des risques à tous les stades du développement.
La politique SSDLC définit les exigences pour :
•Le code est écrit selon les directives de codage sécurisé et révisé avant la fusion
•La modélisation des menaces et les révisions de conception sont effectuées pour de nouvelles fonctionnalités et de grands changements
•Contrôles de sécurité automatisés (analyse statique, analyse de dépendance et tests dynamiques sélectionnés) effectués dans le cadre des pipelines CI/CD
•Les composants tiers et open source sont suivis et tenus à jour; un SBOM est maintenu pour tous les produits publiés
•Les résultats des incidents, des tests de pénétration et des rapports de récompense pour les bogues sont examinés et alimentés dans le processus de développement
L'objectif de la politique SSDLC est de garantir que tous les produits logiciels ESET sont sécurisés, fiables et conformes aux normes et aux réglementations applicables.
Gestion des vulnérabilités des produits
ESET maintient un processus défini pour identifier, évaluer et traiter les vulnérabilités de ses applications et de ses produits tout au long de leur cycle de vie.
Le processus couvre à la fois les problèmes découverts internement et les rapports provenant de sources externes.
Dans le cadre de la gestion des vulnérabilités des produits, ESET :
•Utilise des outils de numérisation automatisée pour numériser le code source, les dépendances et construire des artefacts pour les vulnérabilités connues
•Examine manuellement les résultats afin de confirmer leur impact et leur pertinence avant d’assigner des mesures correctives
•Suivi et priorisation des correctifs en fonction de la gravité, de l'exploitabilité et de l'exposition du produit
•Effectue des tests de sécurité ciblés et des réessai pour vérifier la réparation
•Integre les données de vulnérabilité dans la planification du développement et de la sortie, de sorte que les problèmes critiques soient traités avant l'expédition
•Accepte et traite les rapports externes grâce à une divulgation coordonnée et à un programme de récompense pour les bogues publics
•Assigne des identifiants CVE pour les vulnérabilités de produits confirmées dans le cadre de son rôle d'autorité de numérotation CVE (CNA)
•Applique des correctifs et des correctifs en fonction de la gravité de la vulnérabilité et de l'impact commercial, suivant un processus de tri structuré
oLe processus de triage est conforme à la norme ISO/IEC 30111 (traitement des vulnérabilités) et à la norme ISO/IEC 29147 (divulgation des vulnérabilités)
oLe score CVSS et les sources de renseignements externes telles que le catalogue des vulnérabilités exploitées connues (KEV) du CISA sont utilisés pour guider la priorisation
oLes décisions de réparation finale sont prises en collaboration par les équipes de produit et de sécurité responsables
Ces processus garantissent que les vulnérabilités sont gérées de manière cohérente, transparente et traçable sur tous les produits ESET.
Test de pénétration
ESET effectue régulièrement des tests de pénétration de ses produits dans le cadre du processus global d’assurance de la sécurité des produits – dans le cadre de son propre programme de tests de pénétration. Les tests sont effectués avant les grandes sorties et à intervalles planifiés pour les produits maintenus.
Les tests de pénétration chez ESET se concentrent sur :
•Vérifier que les contrôles de sécurité et les mesures d'atténuation mis en œuvre sont efficaces
•Identification de vulnérabilités potentielles que les outils automatisés peuvent ne pas détecter
•Validation des résultats des efforts de réparation précédents
•Évaluation de la surface d'attaque globale et de l'exposition aux risques des produits libérés
Les tests sont effectués dans des environnements isolés par des spécialistes internes qualifiés ou par des partenaires externes de confiance utilisant des méthodologies reconnues par l'industrie (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Les résultats sont documentés, évalués et suivis au moyen du même processus de gestion des vulnérabilités utilisé pour les problèmes signalés internement et externellement.
Les résultats des tests de pénétration s'intègrent directement aux plans d'amélioration du produit et à la SSDLC, ce qui permet de s'assurer que les leçons tirées sont capturées et que les faiblesses récurrentes sont réduites au fil du temps.
Sécurité opérationnelle
Politique de sécurité de l’information dans les opérations des TIC
La politique sur la sécurité de l’information dans le fonctionnement des TIC au sein de la société établit des règles de sécurité fondamentales liées au fonctionnement des TIC conformément à la norme ISO 27001.
Politique de sécurité de l’information dans le fonctionnement des TIC définit les exigences de sécurité pour les processus opérationnels informatiques et leur documentation, y compris les procédures opérationnelles, la gestion des changements, la séparation des rôles et des responsabilités, la séparation de la production, les environnements de test et de développement, les services informatiques tiers, la planification des performances, les projets informatiques, les protections contre les logici
Logging et audit
L’enregistrement et l’audit sur un système sont effectués conformément aux normes et aux lignes directrices internes (politique sur la surveillance de la sécurité et la gestion des incidents de sécurité).
Les journaux et les événements de l’infrastructure, du système d’exploitation, de la base de données, des serveurs d’applications et des mécanismes de contrôles de sécurité sont collectés en permanence. ESET utilise une plateforme de gestion centrale des journaux (SIEM) pour protéger les journaux concernés contre une modification ou une destruction non autorisée. Les journaux sont ensuite traités par les équipes des TI et de sécurité interne afin d’identifier les anomalies opérationnelles et de sécurité ainsi que les incidents de sécurité de l’information. Les données dans le SIEM sont conservées pendant le temps requis par les réglementations et pour la chasse aux menaces rétrospectives.
Surveillance de la sécurité et réaction aux incidents
La surveillance de la sécurité et la gestion des incidents de sécurité sont définis par la politique sur la surveillance de la sécurité et la gestion des incidents de sécurité.
La politique définit
•responsabilités et règles pour le développement, la configuration appropriée, la protection, le stockage, l'analyse, l'évaluation et la conservation du journalisme et de l'audit de sécurité
•processus, rôles et responsabilités pour la gestion des incidents de sécurité
•prévenir les incidents de sécurité
•réduire au minimum l'impact des incidents de sécurité
•apprendre des incidents de sécurité
•éduquer les employés sur les activités de surveillance, leur portée et le rôle des employés dans la surveillance et la réponse aux incidents
Un centre d’exploitation de sécurité (SOC) établi, opérant 24h/24h, est autorisé à surveiller en permanence l’état de sécurité de l’infrastructure informatique et des applications et à répondre aux incidents de sécurité.
La gestion des incidents de sécurité de l’information dans ESET s’appuie sur la procédure de réponse aux incidents définie. Les rôles dans la réponse aux incidents sont définis et répartis entre plusieurs équipes, y compris l’informatique, la sécurité, les services juridiques, les ressources humaines, les relations publiques et la haute direction. Les incidents standard sont gérés par l'équipe SOC. Pour des incidents de sécurité plus importants, le centre de commandement est informé. Le centre de commandement, en coopération avec l'équipe SOC, coordonne la réponse aux incidents et engage d'autres équipes pour gérer l'incident. L’équipe SOC, soutenue par les membres responsables de l’équipe de sécurité interne, est également chargée de la collecte des preuves et des enseignements tirés. Les incidents et leur résolution sont communiqués aux parties concernées, notamment aux clients et aux partenaires. L’équipe juridique d’ESET est chargée d’informer les organismes de réglementation si nécessaire conformément au Règlement général sur la protection des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de l’information (NIS2).
Gestion des correctifs
La gestion des correctifs est utilisée comme l'une de plusieurs activités d'atténuation pour remédier aux vulnérabilités.
Les correctifs de sécurité sont évalués et appliqués en fonction de la gravité et du risque des vulnérabilités identifiées.
Un processus de tri et de priorisation défini détermine l'ordre et les délais de déploiement des correctifs. Ce processus suit les lignes directrices internes d'ESET conformes à la norme ISO/IEC 30111. La notation CVSS et les sources externes d'intelligence sur les menaces, telles que le catalogue des vulnérabilités exploitables connues (KEV) du CISA, soutiennent les décisions basées sur le risque et la priorisation.
Tous les correctifs sont vérifiés dans des environnements contrôlés avant leur déploiement dans la production pour s'assurer qu'ils résolvent le problème cible sans affecter négativement la stabilité ou la compatibilité du système.
Le déploiement suit des procédures de gestion des changements établies qui assurent la traçabilité, la responsabilité et la capacité de rétroaction lorsque nécessaire.
Les activités de correctifs sont continuellement surveillées et examinées afin de confirmer leur efficacité, d’identifier les systèmes obsolètes et d’améliorer en permanence les processus.
La Guide de journalisation des applications spécifie les mesures techniques et les exigences régissant le journalisation pour toutes les applications développées par ESET.
Malware et protection contre les menaces
La protection contre les logiciels malveillants (par des logiciels antivirus et des ADR) est stipulée dans la politique sur la sécurité de l’information dans le fonctionnement des technologies de l’information et de la communication. Les employés sont tenus de signaler immédiatement toute suspicion d'infection par logiciel malveillant à SOC, comme indiqué dans la politique de sécurité de l'information pour les employés d'ESET.
Les exigences applicables aux terminaux des employés sont énoncées dans la norme de sécurité pour les stations de travail.
ESET utilise ses propres outils anti-malware enrichis par des solutions tierces vérifiées pour protéger les terminaux et les charges de travail en nuage.
L’équipe SOC effectue des activités de chasse aux menaces basées sur la politique sur la surveillance de la sécurité et la gestion des incidents de sécurité. Les données de menaces (feeds) sont collectées dans le système SIEM, qui est automatiquement ingéré pour produire des renseignements sur les menaces appliqués aux événements de surveillance de la sécurité.
Conformité technique
L'équipe de sécurité interne fournit et maintient diverses normes de sécurité technique pour l'infrastructure, le nuage, les composants liés au Web et les meilleures pratiques pour les développeurs et les administrateurs informatiques à suivre. Basé sur les normes techniques, l’équipe de sécurité interne prépare des fichiers de base de configuration qui sont utilisés par les équipes informatiques pour l’automatisation du déploiement et l’application de configurations sécurisées.
De plus, des scans de conformité sont effectués à l'aide d'un outil d'évaluation de vulnérabilité, le cas échéant. ESET a établi un programme de tests de pénétration et les produits, applications et services développés par ESET sont soumis à des tests de pénétration réguliers basés sur le plan du programme. Toutes les conclusions sont documentées et signalées aux parties prenantes du produit afin de s’assurer qu’elles sont atténuées le plus rapidement possible.
Sécurité physique
La politique de sécurité physique et les normes de sécurité physique connexes définissent les règles de sécurité physique autour des locaux de bureaux et des centres de données. Cette politique stipule des règles et des procédures pour :
•protection des locaux d'ESET
•contrôle d’accès physique
•sécurité des bureaux, des chambres et des bâtiments
•travail dans des zones sécurisées
•sécurité des équipements, des câblages et des infrastructures
Sécurité du centre de données
Les composants de l’infrastructure informatique sont physiquement situés dans plusieurs centres de données; par conséquent, la redondance est atteinte dans chaque région.
Le périmètre de sécurité physique est défini dans la politique de sécurité physique et les normes de sécurité connexes pour les locaux de bureaux et les centres de données. ESET a défini des règles pour définir un périmètre de sécurité et des contrôles à appliquer au périmètre de sécurité physique. Les contrôles clés, y compris la zonisation et la ségrégation de sécurité physique, la gestion de l'accès et des visiteurs, la prévention des incendies et des inondations, ainsi que la CCTV et la surveillance équipée, sont clairement définis, mis en œuvre et surveillés en permanence. La sécurité de DC est régulièrement évaluée par le personnel responsable et par des auditeurs externes.
ESET s'appuie sur les mesures et les contrôles de sécurité physique des CSP; par conséquent, il révise régulièrement les rapports de conformité correspondants des CSP.
Contrôles d'accès physique
Les contrôles d’entrée physique sont définis dans la politique de sécurité physique et les normes de sécurité connexes pour les locaux de bureaux et les centres de données. Les locaux sont divisés en zones protégées avec des contrôles d'accès spécifiques.
L'authentification est gérée conformément aux meilleures pratiques de sécurité en utilisant des clés, des cartes d'identité/de accès et des PIN.
La surveillance de l'accès physique et la prévention/détection de l'accès non autorisé sont mises en œuvre. Tous les enregistrements sont surveillés par CCTV avec un enregistrement enregistré. Le périmètre est également surveillé par des capteurs de mouvement ou de rupture de verre (y compris des murs à faible résistance (c'est-à-dire, du verre ou du mur sec), des sorties de feu et des fenêtres).
Continuité des activités et récupération en cas de catastrophe
ESET maintient, révise régulièrement, évalue et met en œuvre des améliorations à son système de gestion de la continuité des affaires conformément à la politique sur la gestion de la continuité des affaires conformément à ISO 22301.
ESET a établi le programme BCM, qui met en priorité toutes les activités au sein de la société et subit l'approbation de la CISO conformément à la politique BCM. Le programme BCM définit les activités opérationnelles et les activités visant à atténuer les risques liés à la BCM, par exemple, par le biais de licenciements ou de réplication de fonctions et d’infrastructure informatique.
Des analyses d'impact commercial (AIA) avec des objectifs de continuité des affaires définis (RTO, RPO, MTD, priorités de récupération) sont en cours d'élaboration et de révision. Les plans de récupération des catastrophes (DRP) sont examinés et testés conformément au programme BCM. La stratégie de continuité des affaires détermine l'approche visant à maintenir des actifs d'affaires critiques. Toutes les sorties provenant des activités de continuité des affaires régulières servent d’entrée pour des améliorations continues.
Gestion des risques tiers
La surveillance et l’examen des services fournisseurs sont régies par la politique sur la sécurité de l’information dans les relations avec les fournisseurs. Les évaluations sont effectuées trimestriellement et les résultats sont stockés dans évaluation des fournisseurs.
Documentation, cycle de vie, mises à jour et intégrations
- Afficher le site pour ordinateur de bureau
- Aide en ligne d'ESET
- Fin de vie
- Dernières versions
- Journal des modifications
- Interfaces API et intégrations
- Mises à jour du moteur de détection