Sécurité : règle et procédures de sécurité des données

Avril 2022

La sécurité des données est le socle sur lequel reposent la confidentialité et la conformité. Dans le Trust Center, nous clarifions les règles et procédures de sécurité des données qui régissent la façon dont nous gérons la sécurité de nos propres systèmes et les données que nos clients nous confient.

NetApp respecte les lois internationales sur la sécurité des données, qui exigent des mesures de sécurité raisonnables pour le stockage, la transmission et le traitement des données. Nous prenons des mesures reconnues comme faisant partie intégrante d'une sécurité appropriée, notamment le chiffrement, les contrôles d'authentification et d'autorisation, le reporting sur les violations, la prévention de la perte de données et la gestion des correctifs.

NetApp propose une gamme de solutions de chiffrement et de gestion des clés de chiffrement. D'autres mesures incluent un large éventail de stratégies et d'outils conçus pour aider votre entreprise à assurer sa résilience face aux menaces de ransomwares, ainsi que des règles strictes de conservation et de suppression des données qui prennent en charge la réduction des données. Les chercheurs en sécurité NetApp travaillent avec diligence pour détecter les bogues logiciels et les vulnérabilités de sécurité, les atténuer et y répondre.

NetApp met en œuvre ces mesures de protection pour protéger ses systèmes d'information et les données qu'ils contiennent. Sur la base du modèle de responsabilité partagée, nous proposons également des stratégies, des outils et des services pour permettre à nos clients de faire de même.

Lorsqu'une entreprise passe d'une infrastructure sur site à une infrastructure de cloud hybride, privé ou public, il est essentiel qu'elle partage la responsabilité de la sécurité des données avec le fournisseur de services cloud. Le modèle de responsabilité partagée attribue aux différentes parties de cet environnement de cloud computing la responsabilité de la gestion de la sécurité des données ainsi que des questions de confidentialité, d'intégrité et de disponibilité.

NetApp, en tant que fournisseur de services, est responsable des opérations sécurisées des services cloud NetApp, telles que la sécurité physique des data centers NetApp et la correction des vulnérabilités de nos solutions SaaS. 

En tant que client, vous pouvez être responsable de la sécurité des opérations dans le cloud, notamment en vous assurant que les politiques d'entreprise (en matière de complexité des mots de passe, par exemple) sont en place et suivies dans les déploiements virtuels comme elles l'étaient sur site.

NetApp est également partenaire de plusieurs fournisseurs d'infrastructure cloud, notamment Amazon Web Services, Microsoft Azure et Google Cloud, qui gèrent les opérations sécurisées de leurs offres.

Les lois internationales sur la confidentialité exigent des mesures de sécurité raisonnables pour le stockage, la transmission et le traitement des données personnelles. Aux États-Unis, une sécurité raisonnable est une exigence légale pour des types spécifiques d'informations telles que les données financières, médicales et autres données personnelles. Elle sous-tend les lois qui régissent les pratiques commerciales équitables et les lois sur la confidentialité en dehors des États-Unis, telles que le RGPD de l'Union européenne. 

Bien que la sécurité raisonnable ne soit associée à aucune norme définie ni à aucune mesure technique, les organismes de réglementation et les tribunaux reconnaissent certaines mesures comme faisant partie intégrante de cette sécurité. Ces mesures incluent le chiffrement, les contrôles d'authentification et d'autorisation, le reporting sur les violations, la prévention des pertes de données et la gestion des correctifs.

NetApp met en œuvre ces mesures de protection pour protéger ses systèmes d'information et les données qu'ils contiennent, et conçoit également des produits et des services qui permettent à ses clients de faire de même.

Les attaques par ransomware constituent une menace pour la sécurité de l'entreprise et la disponibilité des données, et leur coût est bien supérieur à la rançon exigée. Les entreprises doivent également prendre en compte les coûts liés à la restauration, aux interruptions opérationnelles et à la perte de chiffre d'affaires, ainsi que les implications juridiques et même l'impact sur la marque. 

Elles doivent définir des stratégies de réponse pour être prêtes en cas d'attaque par ransomware. Des plans de continuité de l'activité, conçus notamment pour assurer la sauvegarde et la restauration des données, peuvent également contribuer à réduire l'impact d'une attaque par ransomware. Il est essentiel de pouvoir compter sur des sauvegardes viables et isolées d'une boucle d'attaque par ransomware. En outre, la rationalisation des objectifs de point de récupération en points de données non infectés permet de se protéger contre la réinfection des systèmes. 

En tant que leader mondial du stockage des données, NetApp offre un large éventail de stratégies, d'outils et de services pour aider votre entreprise à faire face aux menaces de ransomwares avec résilience, à limiter les efforts de restauration et à réduire le délai de restauration.

Les vulnérabilités de sécurité sont largement reconnues dans le secteur informatique ainsi que par les entreprises et les organisations du monde entier. NetApp a élaboré un cycle de vie de développement sécurisé (SDL) afin de lutter contre les failles de sécurité. Le cycle de vie de développement sécurisé de NetApp est un processus en 6 étapes reproductible conçu pour développer des logiciels sécurisés en fonction des bonnes pratiques et des normes du secteur. Il fournit un framework et un processus qui aident les équipes produit à évaluer les failles de sécurité et à y répondre dans le cadre du développement de tous les produits et services NetApp.

Une formation rigoureuse en matière de sécurité et la nomination d'experts en sécurité constituent le socle de ce processus. Le processus SDL commence par une évaluation de la sécurité et la publication des plans de conformité et de test. Il se poursuit par une analyse approfondie des vulnérabilités de sécurité des produits, leur résolution et la validation de la résolution des vulnérabilités. La dernière étape consiste à communiquer et à surveiller les risques grâce à une équipe d'intervention en cas d'incident de sécurité des produits (PSIRT).

Les correctifs servent généralement à résoudre des problèmes connus liés aux logiciels ou aux données, tels qu'un bogue logiciel ou une vulnérabilité de sécurité. Les chercheurs en sécurité NetApp travaillent avec diligence pour protéger nos produits et services. Ils sont membres de communautés de sécurité qui assurent le suivi des vulnérabilités publiées. Ils gèrent également un programme qui permet aux clients et aux chercheurs extérieurs à ces communautés de soumettre des informations sur les failles de sécurité. NetApp évalue ces soumissions et effectue leur suivi conformément à notre politique de gestion des vulnérabilités, et publie régulièrement des correctifs via des conseils de sécurité.

La gestion de ces correctifs fait partie intégrante des mesures de sécurité raisonnables nécessaires pour sécuriser vos réseaux et vos données. Nos opérations de gestion des vulnérabilités et des correctifs sont également conçues pour assister les clients à tous les niveaux du modèle de responsabilité partagée.

Le chiffrement est largement reconnu comme une mesure fondamentale pour la sécurité des données personnelles. Certaines réglementations, comme la publication 1075 de l'IRS aux États-Unis, exigent que certaines informations soient chiffrées à l'aide d'une technologie spécifique pendant que les données sont au repos ou en transit. D'autres réglementations, telles que le RGPD de l'Union Européenne et la loi californienne sur la protection de la vie privée des consommateurs (CCPA), n'exigent pas de mesures de chiffrement, mais elles reconnaissent le rôle important qu'elles jouent dans la lutte contre les violations de données impliquant des données personnelles.

NetApp propose une gamme de solutions de chiffrement. Elles incluent le chiffrement matériel et logiciel au niveau du volume ou du disque, ainsi que la gestion des clés de chiffrement pour l'administration des clés utilisées pour le chiffrement et le déchiffrement des données.

Selon un principe fondamental de la sécurité des données, les entreprises ne doivent pas collecter ou conserver plus de données personnelles que nécessaire, et elles doivent supprimer ces données lorsqu'elles ne sont plus nécessaires à des fins autorisées. Ce principe de réduction des données simplifie la conformité et protège les données contre tout préjudice en cas de faille de sécurité. 

La méthode la plus courante consiste à mettre en place et à appliquer des règles de conservation et de suppression des données qui définissent quelles informations conserver, pendant combien de temps, à quel moment et comment les supprimer.

Les règles de suppression des données de NetApp permettent de réduire les données stockées sur les disques renvoyés par les clients : les clients sont invités à supprimer, chiffrer ou rendre irrécupérable toutes les données stockées sur un support avant son renvoi.