Base de connaissances sur la sécurité des plateformes basées sur le cloud

Les applications de Thales sont régulièrement soumises à des tests de pénétration des applications et du réseau par des tiers, et Thales Data Protection On Demand adhère à cette pratique. La méthodologie d’évaluation comprendra des processus d’examen structurés basés sur des pratiques reconnues comme étant les meilleures de leur catégorie, telles que définies par des méthodologies comme l’Open Source Security Testing Methodology Manual (OSSTMM) de l’ISECOM, l’Open Web Application Security Project (OWASP), le Web Application Security Consortium (WASC) et la norme de sécurité de l’information ISO 27001:2013.

Une approche d’évaluation en boîte grise de la sécurité des applications est adoptée aux fins de l’audit. La figure suivante montre certains des vecteurs d’attaque de sécurité qui sont testés. Tout problème constaté est résolu dans le cadre du cycle de développement régulier.

Les applications logicielles de Thales sont régulièrement soumises à des tests de pénétration des applications et du réseau par des tiers.

La méthodologie d’évaluation comprend des processus d’examen basés sur des pratiques reconnues comme étant les meilleures de leur catégorie, telles que définies par des méthodologies comme l’Open Source Security Testing Methodology Manual (OSSTMM) de l’ISECOM, l’Open Web Application Security Project (OWASP), le Web Application Security Consortium (WASC) et la norme de sécurité de l’information ISO 27001:2013.

Lorsqu’un incident de sécurité potentiel est détecté, un processus défini de gestion des incidents est lancé par le personnel autorisé. Les actions correctives sont mises en œuvre conformément aux politiques et procédures définies.

Avant la mise à jour effective du service, les tâches suivantes sont effectuées :

• Test de provisionnement : ce test est effectué sur le service mis à jour dans un environnement contrôlé et réalisé par l’équipe des opérations de service de Thales. Au terme de ces tests, le code a passé avec succès trois séries de tests, chacune effectuée par un groupe différent : les tests unitaires effectués par le développeur, les tests de code Sprint effectués par le groupe d’assurance qualité et les tests de provisionnement des mises à jour de service effectués par l’équipe des opérations de service de Thales.
• Une notification de mise à jour planifiée est envoyée à tous les clients existants pour les informer de la portée de la mise à jour et de la date prévue pour la mise à jour effective du service.
• Tests de pénétration : les tests de pénétration sont effectués sur un système dédié hors production, mais fonctionnant dans le même environnement que le service opérationnel.
• À la dernière étape, toutes les données sont sauvegardées à partir du service opérationnel, ce qui permet à Thales de faire immédiatement marche arrière en cas de problème inattendu.

Nous procédons à un examen mensuel de tous les correctifs pour les serveurs et les équipements de réseau.

Oui, Thales effectue un certain nombre de contrôles de services internes conformément à nos normes ISO 27001 et SOC2, y compris mais sans s’y limiter : la sécurité des réseaux et des informations internes, les contrôles basés sur la technologie, les contrôles environnementaux et de l’accès physique, la gestion des problèmes, la gestion du changement, la séparation des tâches, la gestion du changement des logiciels du système.

Le centre de données privé est doté de connexions multifournisseurs et de réseaux indépendants des principaux fournisseurs d’accès à Internet, et est situé à proximité des principaux hubs Internet.

Les connexions réseau aux centres de données sont assurées par des liaisons sécurisées avec une bande passante à haute capacité sur des connexions en fibre afin de garantir une latence minimale dans le traitement des demandes d’authentification. Toutes les connexions en fibre entrent dans les bâtiments du centre de données via des chambres fortes en béton sécurisées.

L’infrastructure du réseau interne du PoP est construite sur un réseau fibre à haut débit pour assurer un débit de grande capacité. Cette infrastructure utilise des connexions multiples par le biais de pare-feu et de routeurs hautement sécurisés afin d’assurer une redondance totale ainsi qu’une distribution optimale du trafic.

• Les centres de données sont indépendants des opérateurs de réseau
• Plusieurs canaux de fibre dans chaque centre de données
• Utilisation de plusieurs fournisseurs d’accès à Internet pour garantir un accès continu à l’Internet à haut débit

Les centres de données sont alimentés en électricité par un réseau souterrain, qui est ensuite complété et soutenu par des générateurs diesel redondants (N+1) sur site avec un stockage local de carburant diesel.

L’alimentation électrique est fournie aux salles par des systèmes CPS/UPS redondants (N+1) afin de garantir une alimentation continue. L’alimentation des racks d’équipement PoP est assurée par des unités de distribution d’énergie (PDU) redondantes. Cela permet de garantir un accès continu à l’Internet à haut débit.