Document original traduit : 3DEXPERIENCE-Cloud-Security-Privacy-Whitepaper-EN
INTRODUCTION
NOTRE PHILOSOPHIE
Le cloud computing représente un changement de paradigme dans notre façon de faire des affaires. Les organisations exécutent des applications, gèrent des données et transfèrent leurs opérations vers le cloud pour bénéficier de la rapidité et de la simplicité des provisions cloud, ainsi que de l'efficacité opérationnelle de la maintenance, des services informatiques et de la sécurité offerts par des fournisseurs spécialisés.
Dassault Systèmes fournit des services basés sur le cloud depuis la création de la plateforme 3DEXPERIENCE en 2012. Nous avons construit un écosystème entièrement basé sur le cloud, la plateforme 3DEXPERIENCE Cloud, qui permet à nos clients de bénéficier de ressources cloud sécurisées, flexibles et évolutives. Nous nous sommes donné pour mission de soutenir nos clients avec confiance et fiabilité dans chaque aspect de nos solutions.
Notre approche de la gestion des risques est multiforme et proactive, basée sur les meilleures pratiques et conçue pour anticiper les menaces de sécurité à travers nos opérations. Nous gérons un Système de Gestion de la Sécurité de l'Information et de la Confidentialité (ISPMS) certifié ISO/IEC 27001:2017 et ISO/IEC 27701:2019 et soumis à des audits de routine. Notre ISPMS est basé sur les valeurs fondamentales de confidentialité, d'intégrité, de disponibilité et de responsabilité.
Ce livre blanc décrit l'approche de Dassault Systèmes en matière de sécurité et de conformité pour 3DEXPERIENCE, notre plateforme basée sur le cloud où les clients accèdent aux applications, au stockage de données et aux ressources informatiques évolutives. Dans ce livre blanc, nous abordons les aspects fondamentaux de nos pratiques de sécurité cloud, de confidentialité et de conformité.
NOTRE DÉCLARATION DE MISSION SUR LA SÉCURITÉ DE L'INFORMATION ET LA CONFIDENTIALITÉ
La déclaration de mission de Dassault Systèmes sur la sécurité de l'information et la confidentialité est la suivante (cela correspond à la politique de sécurité de l'information et de confidentialité ISO 27001). Gérer l'exposition aux risques de sécurité de l'information et protéger les informations personnellement identifiables (PII) pour le Logiciel en tant que Service (SaaS) de la plateforme 3DEXPERIENCE, et améliorer continuellement la confidentialité, l'intégrité et la disponibilité des informations et la protection de ce qui suit:
La propriété intellectuelle du client et les données utilisateur, PII incluses
La réputation et la propriété intellectuelle de Dassault Systèmes
La disponibilité et la résilience du Cloud
La conformité avec les réglementations et normes applicables en matière de cybersécurité et de protection des données
Cette déclaration de mission est disponible pour les employés en tant qu'information documentée et pour les parties intéressées sur demande.
AVERTISSEMENT
Ce contenu représente les pratiques de sécurité, de confidentialité, de qualité et de conformité de la plateforme 3DEXPERIENCE Cloud en date de mars 2022. Le contenu de nos pratiques énoncées dans les présentes est sujet à changement à la seule discrétion de Dassault Systèmes. Les termes "Nous" et "notre" tels qu'utilisés dans ce document font spécifiquement référence à Dassault Systèmes.
DASSAULT SYSTÈMES : UNE ORGANISATION CENTRÉE SUR LA SÉCURITÉ ET LA CONFIDENTIALITÉ
GOUVERNANCE CYBERSÉCURITÉ & CONFIDENTIALITÉ DE LA PLATEFORME 3DEXPERIENCE SAAS
La R&D de Dassault Systèmes gère un Système de Gestion de la Sécurité de l'Information et de la Confidentialité (ISPMS) contrôlé centralement pour le SaaS de la plateforme 3DEXPERIENCE, certifié ISO/IEC 27001:2017 et ISO/IEC 27701:2019 par SGS International Certification Services (SGS-ICS).
Le périmètre de la certification comprend:
Conception, développement, livraison, déploiement, opérations cloud et support du SaaS de la plateforme 3DEXPERIENCE.
Gestion de la confidentialité des données lorsque Dassault Systèmes agit en tant que: a. Responsable de traitement (Controller) pour la gestion des données personnelles fournies dans le contexte du SaaS de la plateforme 3DEXPERIENCE. b. Sous-traitant (Processor) pour les PII sous le contrôle d'un client et traitées dans le SaaS de la plateforme 3DEXPERIENCE.
Notre ISPMS est administré et soumis à une revue de direction par le Comité Exécutif R&D de Dassault Systèmes. Il est construit sur un Système de Gestion de la Qualité (QMS) bien établi qui est exploité sur la plateforme 3DEXPERIENCE et est certifié ISO 9001:2015 par SGS-ICS. Le QMS et l'ISPMS partagent de nombreux processus fondamentaux et de support qui sont basés sur une méthodologie de Cycle de Vie de Développement Logiciel Sécurisé (Secure SDLC).
L'ISPMS comprend également des processus supplémentaires basés sur les risques et axés sur la sécurité de l'information et la protection des données. Tous les processus et contrôles de l'ISPMS sont continuellement évalués pour leur conformité et leur efficacité par le programme d'Audit de Conformité R&D 3DEXPERIENCE de Dassault Systèmes. Les actions correctives résultantes et les améliorations continues sont suivies dans la plateforme 3DEXPERIENCE.
Les critères d'audit sont basés sur les exigences des systèmes de gestion et de contrôle ISO 9001, ISO 27001 et ISO 27701. Tous les contrôles de l'Annexe A de l'ISO 27001, et les contrôles des Annexes A et B de l'ISO 27701 sont inclus dans le périmètre du système de gestion, car Dassault Systèmes agit à la fois en tant que responsable de traitement PII et sous-traitant PII (voir Protection des Données & Confidentialité, p.11).
L'ISPMS est soutenu par une Déclaration de Mission sur la Sécurité de l'Information et la Confidentialité (Déclaration de Politique) de la plateforme 3DEXPERIENCE et des objectifs annuels. Les objectifs fournissent des buts mesurables et des Indicateurs Clés de Performance (KPIs) qui sont surveillés par les équipes opérationnelles. Les objectifs de cybersécurité et de protection des données sont examinés régulièrement pour leur adéquation dans le cadre du processus de planification annuel de Dassault Systèmes.
NOTRE PERSONNEL DE SÉCURITÉ, DE CONFIDENTIALITÉ ET DE CONFORMITÉ
Comité Exécutif R&D
Le Comité Exécutif R&D de Dassault Systèmes est ultimement responsable de l'efficacité du Système de Gestion de la Sécurité de l'Information et de la Confidentialité (ISPMS) de 3DEXPERIENCE avec le soutien du Directeur Juridique de Dassault Systèmes pour les exigences de protection des données et la confidentialité.
Le Comité Exécutif R&D démontre activement son engagement envers l'ISPMS et les attentes des clients par divers moyens, notamment:
S'assurer que la Politique de Sécurité de l'Information et de Confidentialité et les objectifs annuels sont compatibles avec l'orientation stratégique de l'organisation;
S'assurer de l'intégration des exigences de l'ISPMS dans les processus métier de l'organisation;
S'assurer que les ressources nécessaires à l'ISPMS sont disponibles;
Communiquer l'importance de l'ISPMS;
S'assurer que l'ISPMS atteint les résultats escomptés, diriger et soutenir les personnes pour qu'elles contribuent à l'efficacité de l'ISPMS;
Promouvoir l'amélioration continue des processus et opérations de l'ISPMS.
Équipes Cybersécurité, Confidentialité des Données et Conformité
Dassault Systèmes maintient un modèle de rôle d'entreprise qui définit la mission, la description, les livrables, les KPI, le profil de rôle et les compétences associés à chaque poste ou rôle. Une équipe de Responsables de la Sécurité des Systèmes d'Information (RSSI) et de leaders en sécurité ont la responsabilité globale de la mise en œuvre du Programme de Sécurité de l'Information de Dassault Systèmes. Ils sont responsables d'établir, de maintenir et de faire appliquer les politiques, normes, directives et procédures de sécurité de l'information au niveau mondial.
Les équipes Cybersécurité et Confidentialité des Données R&D de Dassault Systèmes sont responsables de s'assurer que l'ISPMS 3DEXPERIENCE est planifié, mis en œuvre, maintenu et amélioré continuellement conformément aux exigences des normes ISO 27001 et ISO 27701. Elles sont responsables de la surveillance de la conformité et de l'efficacité de l'ISPMS et d'en rendre compte à la direction exécutive dans le cadre des réunions de gouvernance standard.
Un Délégué à la Protection des Données (DPO) Groupe informe et conseille Dassault Systèmes sur la protection des PII pour assurer les meilleures pratiques, la responsabilité et la croissance durable de Dassault Systèmes. Le DPO Groupe est l'interlocuteur privilégié des autorités de contrôle de la protection des données et rend compte de la conformité et de l'efficacité de l'ISPMS au Directeur Juridique de Dassault Systèmes.
Une équipe R&D Compliance & Risk gère un programme d'audit de conformité interne pour évaluer la conformité de Dassault Systèmes aux processus internes et aux certifications industrielles telles que ISO 9001, ISO 27001 et ISO 27701. Les conclusions des audits et les plans d'actions correctives et préventives (CAPA) correspondants sont gérés dans la plateforme.
Une équipe d'Audit Interne Groupe définit et évalue la conformité et l'efficacité du cadre d'Évaluation du Contrôle Interne (ICE) de Dassault Systèmes par le biais d'un programme d'audit interne au niveau de l'entreprise. Le Cadre de Contrôle Interne aide à atténuer les risques grâce à l'établissement et à la vérification des Contrôles Généraux et des Contrôles Généraux Informatiques (ITGC).
INTÉGRATION ET FORMATION POUR TOUS LES EMPLOYÉS
Les employés qui rejoignent Dassault Systèmes doivent accepter de respecter notre code de conduite, notre charte informatique et nos politiques de protection des données. Tous les nouveaux employés suivent une formation obligatoire sur l'éthique et la conformité portant sur la sécurité et la confidentialité, notamment:
Prévention des menaces à la sécurité des données.
Sécurisation des données physiques et des postes de travail, politique du bureau propre (clean desk).
Protection des données personnelles et confidentialité.
Comportement éthique dans les affaires, principes anti-corruption et droit de la concurrence.
Gestion des incidents ; reconnaissance et signalement des menaces potentielles.
Nous favorisons continuellement la sensibilisation à la sécurité et à la confidentialité dans toute l'organisation.
SÉCURITÉ EN TÉLÉTRAVAIL
En travaillant à distance, les employés de Dassault Systèmes ne peuvent accéder à leurs données, applications et utilitaires de plateforme que via un VPN. Cela s'applique aussi bien aux appareils de l'entreprise qu'aux appareils personnels. Seuls les appareils personnels enregistrés et approuvés avec accès VPN sont autorisés.
NOS PARTENAIRES EN SÉCURITÉ CLOUD
Nous travaillons en étroite collaboration avec nos fournisseurs d'infrastructure cloud (IaaS), y compris 3DS Outscale, pour assurer la sécurité et la conformité dans toutes nos opérations. Nous exigeons que nos fournisseurs IaaS soient certifiés ISO 27001, parmi d'autres critères.
NOS STANDARDS DE SÉCURITÉ
Notre approche de la cybersécurité est ancrée dans les standards industriels les plus respectés. Des experts indépendants en cybersécurité collaborent activement pour établir des normes mondiales pour les fournisseurs de logiciels. OWASP, NIST et ISO/IEC sont trois de ces organismes experts qui guident nos équipes de cybersécurité et de confidentialité avec les meilleures pratiques, exigences, contrôles, tests et autres outils pour réduire les risques et atténuer les vulnérabilités.
OWASP : OPEN WEB APPLICATION SECURITY PROJECT
L'OWASP se consacre à permettre aux organisations de développer et de maintenir des applications hautement sécurisées. La Fondation OWASP est la principale source de recherche de pointe, de cadres prévalents et d'informations vitales liées à la sécurité des applications. Avec l'aide d'alliances mondiales, l'OWASP fournit:
Outils, normes et méthodologies de sécurité des applications
Ressources pour le développement de code sécurisé, les revues de code de sécurité et les tests de sécurité des applications
Contrôles de sécurité standard et bibliothèques
Les principales publications de l'OWASP incluent:
Top 10 des risques de sécurité des applications Web
Pratiques de codage sécurisé
Guide de revue de code
Standard de vérification de la sécurité des applications
NIST : NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
Le NIST est la source prééminente de solutions de mesure critiques et de normes équitables en électronique, logiciels et autres technologies. La publication spéciale (SP) 800-53 du NIST définit les contrôles de sécurité et les contrôles de confidentialité pour les systèmes d'information et les organisations. Le NIST SP 800-53 est conçu pour protéger les opérations et actifs organisationnels, les individus et autres entités contre "un ensemble diversifié de menaces et de risques, y compris les attaques hostiles, les erreurs humaines, les catastrophes naturelles, les défaillances structurelles, les entités de renseignement étrangères et les risques liés à la confidentialité". Ces contrôles traitent de la sécurité et de la confidentialité à la fois du point de vue de la fonctionnalité et de l'assurance.
ISO/IEC : ORGANISATION INTERNATIONALE DE NORMALISATION ET COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
L'ISO/IEC est un comité technique conjoint qui œuvre à la promotion des normes dans les technologies de l'information et des communications. Notre ISPMS pour le SaaS de la plateforme 3DEXPERIENCE est certifié ISO/IEC 27001:2017 et ISO/IEC 27701:2019, tandis que notre QMS est certifié ISO 9001:2015, tous deux par SGS-ICS.
ISO 9001 spécifie les exigences pour un système de gestion de la qualité lorsqu'une organisation: a. doit démontrer son aptitude à fournir constamment des produits et des services conformes aux exigences des clients et aux exigences légales et réglementaires applicables, et b. vise à améliorer la satisfaction des clients par l'application efficace du système, y compris les processus pour l'amélioration du système et l'assurance de la conformité aux exigences des clients et aux exigences légales et réglementaires applicables.
Notre Système de Gestion de la Qualité (QMS) est ancré dans les processus utilisés pour la conception, le développement, la livraison, le déploiement, les opérations cloud et le support de la plateforme 3DEXPERIENCE. Bon nombre de nos pratiques de sécurité des applications sont intégrées dans notre QMS.
ISO/IEC 27001 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer de manière continue un Système de Gestion de la Sécurité de l'Information (ISMS). L'Annexe A de l'ISO/IEC 27001 articule les contrôles attendus pour tout, de la sécurisation des services applicatifs sur les réseaux publics, la protection des transactions de sécurité des applications, l'application d'une politique de développement sécurisé, la restriction des changements aux progiciels, le respect des principes d'ingénierie système sécurisée, et ainsi de suite.
ISO/IEC 27701 spécifie les exigences et fournit des conseils pour établir, mettre en œuvre, maintenir et améliorer de manière continue un Système de Gestion de l'Information sur la Confidentialité (PIMS) sous la forme d'une extension à l'ISO/IEC 27001 et l'ISO/IEC 27002 pour la gestion de la confidentialité dans le contexte de l'organisation. La norme fournit des conseils pour les responsables de traitement de PII et les sous-traitants de PII ayant la responsabilité et l'obligation de rendre compte du traitement des PII. L'Annexe A spécifie les objectifs de contrôle et les contrôles pour les responsables de traitement de PII et l'Annexe B spécifie les objectifs de contrôle et les contrôles pour les sous-traitants de PII.
CARACTÉRISTIQUES CLÉS DE SÉCURITÉ
AUTHENTIFICATION ET AUTORISATION
Le mécanisme d'authentification et d'autorisation pour la plateforme 3DEXPERIENCE Cloud est 3D Passport, une connexion personnalisée qui permet aux utilisateurs un accès sécurisé à tous leurs rôles, applications et services. Les administrateurs maintiennent les politiques d'authentification des utilisateurs telles que la force du mot de passe, l'expiration et configurent des modèles pour détecter les tentatives de force brute pour déverrouiller les mots de passe.
Fonctionnalités de 3D Passport
Confidentialité des données Chaque utilisateur de nos solutions en ligne a accès à la Politique de Confidentialité de Dassault Systèmes et est tenu de l'accepter lors de la création de son 3D Passport. Les utilisateurs peuvent exercer leurs droits selon les politiques et processus de Dassault Systèmes en soumettant une demande via un formulaire web. De plus, une entreprise peut également présenter sa propre Politique de Confidentialité aux utilisateurs pour acceptation. Dans ce cas, l'administrateur de la plateforme télécharge sa propre Politique de Confidentialité via le tableau de bord de Gestion de la Plateforme.
Authentification unique (SSO) En échangeant des données d'authentification et d'autorisation dans un format standard, 3D Passport offre une expérience d'authentification unique transparente à travers les applications sur la plateforme 3DEXPERIENCE Cloud.
Authentification multifacteur (MFA) Un niveau de sécurité plus élevé peut être atteint en tirant parti des capacités MFA sur la plateforme. Par exemple, une fois que le MFA a été configuré par un administrateur, l'utilisateur peut utiliser une application mobile pour générer un code à saisir avec le mot de passe pour une sécurité accrue.
CONTRÔLE D'ACCÈS
Le contrôle d'accès régule qui peut accéder, voir ou utiliser les ressources dans notre environnement de cloud computing. Ces autorisations aident à sécuriser les données des clients ainsi qu'à soutenir la conformité des clients et les processus de certification réalisables au sein de la plateforme 3DEXPERIENCE Cloud.
CHIFFREMENT
Les données en transit sont sécurisées à l'aide d'un protocole de chiffrement HTTPS/TLS de bout en bout pour protéger l'intégrité et la confidentialité.
HAUTE DISPONIBILITÉ ET ANTI-DDOS
Tous les services sont protégés par un service proxy à haute disponibilité, haute performance et équilibrage de charge qui s'intègre avec des mécanismes anti-DDoS (déni de service distribué) et de mise sur liste noire.
SÉCURITÉ OPÉRATIONNELLE
NOS OPÉRATIONS CLOUD
Nos solutions cloud sont construites et exploitées sur une structure à trois couches. Nous identifions et surveillons les menaces et effectuons des mesures d'atténuation à chaque couche en utilisant les normes industrielles pour examiner et prioriser les risques.
Logiciel en tant que Service (SaaS)
Au niveau le plus élevé se trouve la couche Logiciel en tant que Service (SaaS) ou couche applicative. C'est là que les utilisateurs de la plateforme 3DEXPERIENCE Cloud accèdent et utilisent leurs applications.
Plateforme en tant que Service (PaaS)
La couche intermédiaire est la couche Plateforme en tant que Service (PaaS) ou couche plateforme. C'est là que notre plateforme 3DEXPERIENCE est construite et exploitée. Cette couche nous permet de gérer en toute sécurité notre relation avec nos fournisseurs d'infrastructure et de stocker les bases de données avec lesquelles notre couche SaaS interagit. Notre équipe PaaS détermine la configuration, le système d'exploitation, la structure et les ressources virtuelles qui composent la plateforme 3DEXPERIENCE Cloud et détermine comment nous recevons les informations de nos fournisseurs d'infrastructure cloud. Les stratégies critiques d'atténuation des risques pour nos couches SaaS et PaaS incluent l'authentification, le contrôle d'accès basé sur les rôles, le chiffrement, la surveillance et l'audit, DAST et SAST, le durcissement du middleware, le durcissement du serveur et les vérifications SSL/TLS.
Infrastructure en tant que Service (IaaS)
La couche Infrastructure en tant que Service (IaaS) ou couche d'infrastructure est l'endroit où nos ressources de cloud computing sont situées. Elles fournissent des capacités de virtualisation et maintiennent les sauvegardes et les Services de Reprise après Sinistre. Cette couche offre une évolutivité à Dassault Systèmes et à nos clients, avec une puissance de traitement et un stockage supplémentaires disponibles à la demande. Nos principaux fournisseurs de cloud sont 3DS Outscale, une société du Groupe Dassault Systèmes, et Amazon Web Services.
LE MODÈLE DE RESPONSABILITÉ PARTAGÉE
Dans un modèle de cloud computing, les fournisseurs de cloud et les utilisateurs de cloud ont une responsabilité partagée pour assurer le plus haut niveau de sécurité et de conformité pour les services en ligne. Chaque partie est responsable de différents aspects de la sécurité du cloud:
Le fournisseur de cloud est responsable de la sécurité de l'infrastructure cloud.
Le fournisseur de plateforme (Dassault Systèmes) est responsable de la configuration, de la gestion et de l'exploitation de la sécurité.
Le client est responsable de la sécurité au niveau de la couche applicative, y compris la gestion admin / locataire.
Nous suivons les meilleures pratiques de sécurité pour durcir et exploiter l'environnement cloud, conformément aux meilleures pratiques de nos fournisseurs de cloud en plus des directives de la CSA (Cloud Security Alliance) et du NIST. Pour plus d'informations, veuillez vous référer aux Meilleures Pratiques Outscale.
SLA DE DISPONIBILITÉ (ACCORD DE NIVEAU DE SERVICE)
Notre objectif est de fournir une disponibilité de nos services en ligne pendant un minimum de 99,5 % du temps durant lequel les services en ligne ne sont pas sous (i) une Interruption de Service Planifiée ou (ii) une interruption résultant d'une demande d'un Client. Pour plus d'informations, veuillez consulter notre Accord de Niveau de Service pour les Services en Ligne.
GESTION DES VULNÉRABILITÉS
Dans le cadre de nos mesures pour surveiller et atténuer continuellement les vulnérabilités, nous appliquons une évaluation complète des risques pour identifier, analyser et évaluer les risques et sélectionner les contrôles de traitement des risques basés sur NIST SP 800-53, ISO/IEC 27001 et ISO/IEC 27701. Nous employons un système de gestion des vulnérabilités multicouche basé sur les meilleures pratiques du NIST, combinant des systèmes externes et internes pour identifier, tester et contrôler les vulnérabilités. Une partie majeure de notre système de gestion des vulnérabilités est notre utilisation de scanners de réseau et de vulnérabilité. Si une vulnérabilité nécessitant une remédiation a été identifiée, elle est enregistrée et priorisée selon la gravité, puis suivie jusqu'à ce qu'elle ait été corrigée. Nous utilisons l'analyse de code statique (SAST), l'analyse dynamique (DAST) et des tests d'intrusion manuels intensifs en plus des contrôles basés sur les meilleures pratiques de l'OWASP pour ajouter continuellement de nouvelles mesures de sécurité contre les menaces potentielles.
Méthodes de détection des menaces
Nos méthodes de détection des menaces incluent:
Prévention des malwares Nous interdisons l'utilisation de logiciels non autorisés et formons les employés concernant l'utilisation acceptable de l'équipement. Nous avons des contrôles techniques pour identifier le code malveillant et nous menons une formation de sensibilisation des employés. De plus, nous avons mis en place des procédures pour assurer une réponse efficace et rapide en cas d'incident de malware.
Surveillance Nous surveillons l'efficacité des contrôles et les événements de sécurité sur toutes les couches cloud, y compris le middleware, le réseau, l'accès OS et l'OS. La surveillance automatisée fournit des données en temps réel sur les performances opérationnelles et fonctionnelles.
Gestion des incidents Nous employons une approche systématique pour identifier, classifier, enregistrer et communiquer les incidents de sécurité et de confidentialité. Tous les incidents sont évalués par le point de contact en fonction de notre échelle de classification et traités via nos processus établis de gestion des incidents et de violation de données.
Gestion des vulnérabilités de la couche applicative
Exécuter un SaaS et PaaS cloud sécurisé nécessite une identification et une atténuation continues des vulnérabilités, qui sont courantes dans les Technologies de l'Information et de la Communication. Dans le cadre de notre Cycle de Vie de Développement Logiciel Sécurisé (Secure SDLC), nous avons intégré plusieurs mesures clés pour identifier les vulnérabilités logicielles et valider nos contrôles de sécurité existants. Ces mesures incluent des scans statiques et dynamiques à divers stades du développement, ainsi que des tests d'intrusion manuels approfondis.
Tests statiques de sécurité des applications (SAST) SAST évalue automatiquement le code source pendant le processus de développement pour corriger les problèmes avant que le code ne passe à la phase suivante du Secure SDLC. Nous travaillons avec un fournisseur SAST leader selon Gartner.
Tests dynamiques de sécurité des applications (DAST) DAST évalue automatiquement la plateforme via l'interface frontale pour détecter les faiblesses architecturales et les vulnérabilités de sécurité potentielles. Notre DAST est effectué à l'aide d'outils de sécurité leaders de l'industrie.
Tests d'intrusion manuels Des professionnels de la sécurité tiers autorisés simulent manuellement des attaques sur la plateforme 3DEXPERIENCE Cloud ou un ensemble spécifique d'applications pour confirmer leur posture de sécurité.
Tests d'ingénierie qualité interfonctionnels Nos équipes indépendantes d'Ingénierie Qualité contribuent au processus de vérification de la sécurité en exécutant régulièrement des scénarios de menaces. Leur connaissance approfondie des produits et leur forte maîtrise des concepts clés de sécurité servent de couche supplémentaire de vérification et de validation de la sécurité.
Gestion des vulnérabilités du Middleware, du Réseau et du Système d'Exploitation
Nous utilisons de multiples vérifications de vulnérabilité et un scan authentifié pour identifier les actifs exposés à Internet, en utilisant un scanner de vulnérabilité leader selon Gartner pour identifier rapidement et efficacement les failles potentielles dans notre réseau et nos actifs.
GESTION DES PATCHS
Nous appliquons régulièrement des mises à jour logicielles, y compris des correctifs fonctionnels et liés à la sécurité. Des interruptions de service planifiées ont lieu régulièrement comme indiqué dans notre SLA. De plus, nos processus de gestion des patchs et de gestion des incidents prennent en compte les correctifs de sécurité d'urgence qui peuvent être appliqués en quelques heures, ce qui entraîne des interruptions de service occasionnelles non planifiées.
SURVEILLANCE DE LA SÉCURITÉ ET GESTION DES INCIDENTS
Notre système complet de surveillance de la sécurité et de gestion des incidents identifie, analyse et répond aux menaces de sécurité en temps réel. Nous adoptons une approche à deux volets consistant à identifier et corriger les vulnérabilités, d'une part, et à répondre rapidement aux incidents de sécurité.
Surveillance de la sécurité
Les journaux et événements sont collectés et analysés de manière centralisée via notre solution SIEM (Gestion des Informations et des Événements de Sécurité) et surveillés 24h/24 et 7j/7 par notre équipe SOC (Centre des Opérations de Sécurité) dédiée. Notre plateforme SIEM collecte les données de manière centralisée et utilise un moteur de corrélation avancé pour identifier de manière proactive les événements de sécurité, analysant de grands volumes de données de journaux de sécurité pour identifier les tentatives d'activité malveillante. Notre service de supervision et de surveillance de la plateforme 3DEXPERIENCE Cloud comprend des douzaines d'indicateurs à travers les couches cloud pour surveiller la fonctionnalité, la performance et la sécurité.
Processus de réponse aux incidents
Notre équipe SOC surveille et évalue en continu les risques identifiés par notre solution SIEM en fonction de la nature de l'incident. Nous traitons les incidents immédiatement sur la base de notre évaluation des risques, en suivant notre procédure de gestion des incidents selon les directives du NIST SP 800-61. Cela inclut les phases principales de confinement, d'éradication, de récupération et de notification. Dans le cadre de notre processus de gestion des patchs, les correctifs d'urgence sont effectués en quelques heures (voir Gestion des Patchs).
PLANS DE CONTINUITÉ D'ACTIVITÉ (BCP) ET PLANS DE REPRISE APRÈS SINISTRE (DRP)
Les Plans de Continuité d'Activité (BCP) et les Plans de Reprise après Sinistre (DRP) sont critiques pour toute fourniture de logiciel basé sur le cloud. Notre BCP traite de la planification pour restaurer les services informatiques, les services logiciels, les connexions et les données à leur pleine fonctionnalité en cas de perte. Notre DRP traite des procédures pour limiter ou inverser les pertes en cas d'événements majeurs. Nous suivons les meilleures pratiques de l'industrie pour les BCP/DRP, notamment:
Maintenir un plan cohérent pour la sauvegarde et la récupération des données clients, et s'assurer que tous les composants du plan sont accessibles en cas de désastre majeur.
Maintenir des copies des données critiques en dehors de notre région de production, loin de notre centre de données principal.
Garder notre BCP/DRP à jour et s'assurer qu'il prend en compte tout changement dans l'environnement de production.
Exercer notre BCP/DRP annuellement.
Tirer parti des capacités de virtualisation, telles que l'équilibrage de charge et les systèmes de basculement, pour assurer des interruptions de service minimales.
Nous visons un Objectif de Temps de Récupération (RTO) et un Objectif de Point de Récupération (RPO) agressifs pour assurer la continuité des activités de nos clients dans tous les scénarios.
Sauvegarde et récupération des données
Conformément à notre Accord de Niveau de Service, nous assurons des sauvegardes quotidiennes des données clients et utilisateurs, qui sont conservées selon le SLA. Nous effectuons des sauvegardes continues à chaud et à froid pour minimiser les temps d'arrêt tout en maximisant la protection des données. Les données clients de la plateforme 3DEXPERIENCE Cloud continuent d'être disponibles pour récupération pendant une période définie telle que spécifiée dans le SLA. Pour plus d'informations, veuillez vous référer à notre Accord de Niveau de Service pour les Services en Ligne.
PROTECTION DES DONNÉES & CONFIDENTIALITÉ
Nos solutions cloud sont construites dans le respect de la vie privée de nos clients et utilisateurs. Nous suivons des normes élevées pour garantir que toutes les PII sont stockées et traitées en toute sécurité, conformément aux lois et normes pertinentes telles que le Règlement Général sur la Protection des Données européen 2016/679 (RGPD).
Responsable de traitement (Controller)
Les responsables de traitement, tels que définis dans le RGPD, doivent déterminer les politiques et procédures de traitement des données personnelles, y compris la détermination de la durée de conservation du stockage, la conformité à la minimisation des PII et le traitement des demandes des personnes concernées. Dassault Systèmes agit en tant que responsable de traitement lors du traitement des PII liées à ses processus internes et systèmes d'information. Un client des solutions SaaS de Dassault Systèmes est responsable du traitement des PII maintenues dans la solution et agit donc en tant que responsable de traitement. Le RGPD et d'autres lois sur la protection des données visent à renforcer les droits fondamentaux de leurs résidents en élargissant les droits à la vie privée et en donnant aux individus le contrôle sur leurs PII. En tant qu'entreprise mondiale, Dassault Systèmes se conforme au RGPD, ainsi qu'aux autres lois sur la protection des données là où Dassault Systèmes mène ses activités. Le RGPD et les autres lois spécifiques aux pays sont référencés dans la Politique de Confidentialité de Dassault Systèmes disponible sur 3ds.com.
Pour la plateforme 3DEXPERIENCE Cloud, Dassault Systèmes agit en tant que responsable de traitement pour ce qui suit:
3D Passport sauf pour les offres de cloud privé
3D Passport créé par un individu via 3ds.com
Communautés publiques 3DEXPERIENCE disponibles sur les plateformes publiques de Dassault Systèmes
Support Client Dassault Systèmes
Marketplace 3DEXPERIENCE
En plus du RGPD, d'autres lois et réglementations locales sur la protection des données sont surveillées par des Délégués à la Protection des Données de Dassault Systèmes basés régionalement et sont appliquées par des processus et procédures locaux.
3D Passport est le profil d'authentification qui est créé par utilisateur. Le traitement des PII au sein de 3D Passport est sous la responsabilité de Dassault Systèmes. Les PII associées au 3D Passport sont stockées en Europe avec quelques exceptions spécifiques dues aux exigences réglementaires.
Sous-traitant (Processor)
Lorsque Dassault Systèmes fournit des offres basées sur le cloud, telles que la plateforme 3DEXPERIENCE Cloud, Dassault Systèmes agit en tant que sous-traitant pour les PII qu'il lui est demandé de traiter et de stocker. À ce titre, Dassault Systèmes traite les PII conformément à l'accord contractuel signé entre les parties.
Dassault Systèmes agit en tant que sous-traitant, tel que défini dans le RGPD, pour ce qui suit:
Offres Cloud Dassault Systèmes (privées et publiques) fournies aux clients et partenaires commerciaux
3D Passport pour les offres Cloud privées
En agissant en tant que sous-traitant, les données de la plateforme seront stockées par un fournisseur IaaS tiers (par exemple 3DS Outscale ou Amazon Web Services) dans un centre de données local.
CONCLUSION
Dassault Systèmes place la sécurité et la confidentialité au cœur de ses opérations. Nos mesures de cybersécurité et de protection des données sont basées sur les normes industrielles les plus réputées et sont systématiquement appliquées par la formation, les exigences de conception, les contrôles de sécurité, les mesures de confidentialité et les audits et tests tiers. Nous améliorons continuellement nos mesures de sécurité et de confidentialité dans un esprit d'innovation et d'excellence, en veillant à soutenir nos clients de la meilleure façon possible.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.