Claroty FAQ sur la sécurité et la confidentialité

Mise à jour 14/01/2025

Claroty met en œuvre et maintient un programme robuste de protection des données et de sécurité des informations à plusieurs niveaux. Notre programme de protection des données implique la mise en œuvre d’une grande variété de contrôles techniques, organisationnels et procéduraux, que Claroty juge nécessaires pour protéger les données des clients, protéger l’environnement Clarory contre les menaces de cybersécurité et se conformer aux exigences réglementaires (ISO 27001, ISO 27701, SOC2 Type 2, RGPD, HIPAA et lois locales sur la confidentialité, ainsi qu’aux dispositions des meilleures pratiques).

ClarotyLa stratégie d’infosec et de protection des données de comprend les composants clés suivants :

Gouvernance, risque et conformité (GRC)
Politiques de sécurité de l’entreprise
Sécurité organisationnelle
Programme de gestion des risques de sécurité
Classification et contrôle des actifs
Gestion sécurisée du personnel/des ressources humaines
Sensibilisation à la sécurité des informations
Cryptographie
Sécurité des communications
Gestion des risques de sécurité des fournisseurs
Gestion du changement
Sécurité physique et environnementale
Sécurité opérationnelle
Gestion des vulnérabilités de sécurité
Contrôles d’accès
Développement et maintenance sécurisés des systèmes
Reprise après sinistre et continuité des activités
Programme d’actions correctives
Conformité réglementaire

1. Gouvernance, risque et conformité (GRC)

Politiques de sécurité des informations : établir et appliquer des politiques de protection des données, de sécurité et de conformité aux normes telles que HIPAA, RGPD, SOC 2 et ISO 27001.
Classification des données : classez les données en fonction de leur sensibilité (par ex., confidentielles, internes, publiques) et appliquez les contrôles de sécurité appropriés pour chaque classe.
Cadre de gestion des risques : mettre en œuvre un processus formel de gestion des risques pour identifier, évaluer et atténuer les risques de sécurité.
Surveillance de la conformité : surveillez en permanence la conformité aux cadres réglementaires tels que le RGPD, l’HIPAA et les normes du secteur.
Audits internes : auditez régulièrement les processus et contrôles de sécurité internes pour garantir la conformité aux politiques et normes établies.
Plan d’intervention en cas d’incident : développer et maintenir un plan d’ réponse aux incidents qui comprend les rôles, les responsabilités et les procédures pour gérer les violations de sécurité.

2. Contrôle d’accès et gestion des identités

Gestion de l’identité et de l’accès (IAM) : mettre en œuvre des solutions IAM pour gérer et contrôler l’accès des utilisateurs aux systèmes, applications et données.
Contrôle d’accès basé sur les rôles (RBAC) : assurez-vous que les utilisateurs n’ont accès qu’aux ressources nécessaires pour leurs rôles professionnels.
Authentification multifacteur (AMF) : appliquer l’AMF pour accéder aux systèmes et données critiques, à la fois pour les employés et les clients.
Privilège minimum : appliquez le principe du moindre privilège pour limiter les droits d'accès aux utilisateurs au minimum nécessaire.
Single Sign-On (SSO) : implémentez l’authentification unique pour rationaliser l’authentification et améliorer la sécurité.
Examen du compte et recertification : effectuer des examens périodiques des autorisations d’accès des utilisateurs pour s’assurer qu’elles sont à jour et appropriées.

3. Chiffrement des données

Chiffrement au repos : chiffrez toutes les données au repos à l’aide d’algorithmes de chiffrement puissants (par ex., AES-256) pour les bases de données, les systèmes de fichiers et les sauvegardes.
Chiffrement en transit : utilisez TLS/SSL pour chiffrer les données en transit entre la plateforme SaaS et les clients.
Chiffrement de bout en bout : pour les données hautement sensibles, implémentez un chiffrement de bout en bout pour garantir que les données restent chiffrées de l’origine à la destination.
Gestion des clés de cryptage : gérez les clés de cryptage en toute sécurité, y compris la rotation des clés, le stockage et les contrôles d'accès.

4. Sécurité réseau

Pare-feu : déployez des pare-feu pour contrôler le trafic réseau entrant et sortant et empêcher tout accès non autorisé.
Systèmes de détection et de prévention des intrusions (IDPS) : utilisez IDPS pour surveiller le trafic réseau afin de détecter toute activité suspecte et bloquer tout comportement malveillant.
Segmentation du réseau : segmentez le réseau en différentes zones (par ex., production, développement, test) pour limiter la propagation d’une attaque.
Réseaux privés virtuels (VPN) : utilisez des VPN pour accès à distance sécurisé les systèmes internes, en particulier pour les employés travaillant hors site.
Protection contre les attaques DDoS : mettez en œuvre des mécanismes de protection contre les dénis de service distribués (DDoS) pour vous protéger contre les attaques à grande échelle sur la disponibilité du réseau.

5. Sécurité des terminaux

Antivirus et anti-malware : installez et maintenez à jour les logiciels antivirus et anti-malware sur tous les endpoints.
Détection et réponse des terminaux (EDR) : mettre en œuvre des solutions EDR pour détecter et répondre aux activités malveillantes sur les endpoint terminaux.
Gestion des correctifs : assurez-vous que tous les endpoint terminaux sont régulièrement mis à jour avec des correctifs de sécurité et des mises à jour logicielles.
Gestion des appareils mobiles (MDM) : appliquez des solutions MDM pour gérer, sécuriser et surveiller les appareils mobiles utilisés par les employés.

6. Sécurité des applications

Cycle de vie du développement logiciel sécurisé (SDLC) : intégrer la sécurité tout au long du processus de développement, y compris les pratiques de codage sécurisé, les examens de code et les évaluations de vulnérabilité.
Tests de sécurité des applications statiques et dynamiques (SAST et DAST) : effectuez des tests automatisés pour identifier les vulnérabilités du code et des applications pendant et après le développement.
Tests de pénétration : effectuez des tests de pénétration réguliers pour identifier les faiblesses de sécurité dans les applications.
Correctifs de sécurité : appliquez des correctifs pour les vulnérabilités d'application dès qu'elles sont identifiées.
Web Application Firewalls (WAF) : utilisez les WAF pour protéger les applications Web contre les menaces telles que l'injection SQL, les scripts intersites (XSS) et d'autres attaques.

7. Minimisation et protection de la confidentialité des données

Anonymisation et pseudonymisation des données : utilisez des techniques telles que l’anonymisation et la pseudonymisation pour protéger les informations personnellement identifiables (IPI) et d’autres données sensibles.
Minimisation des données : limiter la collecte et le traitement des données à caractère personnel à ce qui est nécessaire aux fins commerciales.
Conservation et suppression des données : mettre en œuvre des politiques pour la conservation et la suppression sécurisée des données des clients conformément aux réglementations sur la confidentialité.
Gestion des droits des personnes concernées : fournir des mécanismes pour se conformer aux demandes des clients concernant l’accès, la rectification, la suppression et la portabilité des données, conformément au RGPD et aux réglementations similaires.

8. Sécurité du cloud

Cloud Access Security Broker (CASB) : utilisez CASB pour appliquer des politiques de sécurité pour l’utilisation du cloud, surveiller l’accès aux services cloud et protéger les données hébergées dans le cloud.
Sécurité des conteneurs : mettre en œuvre des contrôles de sécurité pour les conteneurs (p. ex. Docker, Kubernetes), y compris la numérisation d’images et la protection de l’exécution.
Sécurité de l’infrastructure en tant que code (IaC) : sécurisation des configurations d’infrastructure déployées à l’aide d’outils IaC tels que Terraform ou AWS CloudFormation en validant les fichiers de configuration pour les mauvaises configurations de sécurité.
Isolation des ressources cloud : utilisez des techniques d’isolation des ressources cloud (par ex., VPC) pour vous assurer que les données client sont séparées et isolées dans des environnements multi-locataires.

9. Sauvegarde et reprise après sinistre

Sauvegardes régulières : effectuez des sauvegardes régulières des données critiques, en vous assurant que les sauvegardes sont cryptées et stockées de manière sécurisée dans des emplacements géographiquement distincts.
Plan de reprise après sinistre (DRP) : développer et maintenir un plan de reprise après sinistre qui décrit les procédures de restauration des systèmes et des données en cas de sinistre.
Tests de sauvegarde : testez régulièrement les procédures de sauvegarde et de restauration pour vous assurer que les données peuvent être récupérées efficacement.

10. Journalisation et surveillance

Security Information and Event Management (SIEM) : utilisez les systèmes SIEM pour collecter et analyser les journaux de sécurité en temps réel afin de détecter et de répondre aux événements de sécurité.
Surveillance continue : mettre en œuvre une surveillance continue des systèmes, des réseaux et des applications pour les activités suspectes.
Conservation des journaux : conservez les journaux de sécurité pendant une période définie par les exigences réglementaires et les besoins commerciaux pour faciliter les audits et analyse forensique.
Pistes d’audit : gérer des pistes d’audit détaillées des activités des utilisateurs et du système, y compris les modifications apportées aux données, à la configuration et aux paramètres de contrôle d’accès.

11. Gestion des vulnérabilités

Analyse régulière des vulnérabilités : effectuez des analyses régulières des vulnérabilités des réseaux, des applications et des systèmes pour identifier les problèmes de sécurité potentiels.
Gestion des correctifs : mettre en œuvre un processus formel de gestion des correctifs pour s’assurer que toutes les vulnérabilités critiques sont corrigées en temps opportun.
Programmes de primes aux bugs : envisagez d’exécuter un programme de primes aux bugs pour encourager les chercheurs en sécurité externes à trouver des vulnérabilités.

12. Sécurité physique

Sécurité des centres de données : assurer la sécurité physique des centres de données, y compris les contrôles d’accès biométriques, la surveillance 24/7 et les contrôles environnementaux (par ex., suppression des incendies, contrôle de la climatisation).
Contrôle d’accès pour les bureaux : utilisez des mécanismes de contrôle d’accès tels que les badges, la biométrie et la vidéosurveillance dans les immeubles de bureaux pour empêcher tout accès non autorisé.

13. Réponse aux incidents et reprise

Plan d’intervention en cas d’incident (Incident Response Plan, IRP) : établir un IRP documenté qui définit les mesures à prendre en cas d’incident de sécurité.
Détection et signalement des incidents : mettez en œuvre des processus de détection, de signalement et de gestion des incidents de sécurité en temps réel.
Examen post-incident : effectuez des examens post-incident pour analyser les causes profondes des incidents et améliorer les efforts de réponse futurs.

14. Formation et sensibilisation

Formation de sensibilisation à la sécurité : dispenser une formation continue de sensibilisation à la sécurité aux employés sur des sujets tels que l’hameçonnage, l’ingénierie sociale et le traitement approprié des données.
Simulations d’hameçonnage : effectuez des simulations d’hameçonnage régulières pour tester et améliorer la sensibilisation des employés aux attaques d’ingénierie sociale.
Formation aux politiques de sécurité : assurez-vous que tous les employés sont informés des politiques et procédures de sécurité de la société.

15. Gestion des tiers et des fournisseurs

Évaluation des risques liés aux fournisseurs : effectuer des évaluations de sécurité des fournisseurs tiers pour s’assurer qu’ils respectent les mêmes normes de sécurité et de confidentialité que l’entreprise.
Audits tiers : Exiger des fournisseurs critiques qu’ils fassent l’objet d’audits de sécurité réguliers (par ex., SOC 2, ISO 27001) et qu’ils fournissent des rapports pour examen.
Accords de traitement des données : s’assurer que les contrats avec des sous-traitants tiers comprennent des clauses de protection des données qui sont conformes aux normes réglementaires telles que le RGPD et l’HIPAA.

16. Planification de la continuité des activités (BCP)

Plan de continuité des activités : développer et maintenir un PCA qui assure la continuité des opérations critiques en cas de panne ou de perturbation prolongée.
Analyse de l’impact sur l’activité (Business Impact Analysis, BIA) : mener une BIA pour identifier les fonctions et les ressources essentielles de l’entreprise nécessaires à la continuité pendant les perturbations.

Claroty est nommé leader du Gartner® Magic Quadrant 2025 pour les plateformes de protection CPS

Claroty Remporte le meilleur prix KLAS pour la sécurité de l'IdO dans le secteur de la santé - Cinq années consécutives

État de la sécurité CPS : expositions OT 2025

Impacts financiers de la sécurisation des opérations CPS

Présentation de Claroty xDome pour le secteur de la santé

Phlow tire parti des technologies Claroty pour une protection inégalée des systèmes cyberphysiques