HP TechPulse Sécurité et Confidentialité - LIVRE BLANC - HP.com
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
HP TechPulse
Sécurité et Confidentialité
LIVRE BLANC
LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Sommaire
Introduction .................................................................................................................................................................................................... 3
Leadership éclairé en matière de sécurité .............................................................................................................................................3
Sécurité HP TechPulse ..............................................................................................................................................................................4
Architecture HP TechPulse ........................................................................................................................................................................... 5
Utilisateurs et rôles ...................................................................................................................................................................................5
Regional Root Admin (Administrateur Root Régional) ............................................................................................................................................ 5
Resellers (Revendeurs) ......................................................................................................................................................................................................... 5
Managed Service Provider (Fournisseur de services gérés) (MSP) ...................................................................................................................... 6
Company Owner (Propriétaire de l'entreprise) ........................................................................................................................................................... 6
Company User (Utilisateur de l'entreprise) .................................................................................................................................................................. 6
IT Admin (Admin. informatique) ....................................................................................................................................................................................... 6
Report Admin (Admin. des rapports) .............................................................................................................................................................................. 6
ServiceNow™ Admin (Admin. ServiceNow™) ............................................................................................................................................................... 7
HP Proactive Management Devices (Appareils HP Proactive Management) ..................................................................................... 7
HP DaaS Portal (Portail HP DaaS) ...........................................................................................................................................................8
Identity Management (Gestion des identités) ............................................................................................................................................................. 8
Session Management (Gestion des sessions) ............................................................................................................................................................. 8
Autorisation .............................................................................................................................................................................................................................. 8
Multi-Tenancy (Architecture mutualisée) ..................................................................................................................................................................... 8
Data-at-Rest (Données au repos) .................................................................................................................................................................................... 8
Data-in-Transit (Données en transit) ............................................................................................................................................................................. 9
Third-Party Integration (Intégration de tiers) ............................................................................................................................................................. 9
User Interface (UI) Validation (Validation de l'interface utilisateur) ................................................................................................................... 9
HP TechPulse Analytics Platform (Plateforme d'analyse HP TechPulse) .......................................................................................... 9
Data Collection (Collecte des données) ......................................................................................................................................................................... 9
Data-at-Rest (Données au repos) .................................................................................................................................................................................... 9
HP TechPulse Operational Security (Sécurité opérationnelle HP TechPulse) ......................................................................................10
Datacenter............................................................................................................................................................................................... 10
Network (Réseau)................................................................................................................................................................................... 11
Security Enhanced Access Points (Point d'accès sécurisés renforcés) ........................................................................................................... 11
Application, Host & Administrator Security (Sécurité des applications, des hôtes et des administrateurs) .............................. 11
Data Security (Sécurité des données).................................................................................................................................................. 12
Independent Verification (Vérification indépendante).............................................................................................................................13
HP Compliance & Security Frameworks (Structures de sécurité et de conformité HP) ................................................................ 14
Fréquence ............................................................................................................................................................................................... 14
1LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Certification ISO 27001:2013 ............................................................................................................................................................... 15
Certification ISO 27071:2015 (Automne 2020) ................................................................................................................................. 16
Certification ISO 27701:2019 (Automne 2020) ................................................................................................................................. 16
SOC2 (2020 / 2021) ............................................................................................................................................................................... 16
HP Secure Software Development Lifecycle (SSDL) (Cycle de vie du développement logiciel sécurisé HP) ...................................17
Data Collection (Collecte des données) ............................................................................................................................................... 18
Data Groupings (Regroupements de données) ....................................................................................................................................................... 21
Data Privacy (Confidentialité des données) ........................................................................................................................................ 22
Data Retention (Conservation des données) ...................................................................................................................................... 23
Stockage de données ......................................................................................................................................................................................................... 24
Service Monitoring & Reporting (Surveillance du service et rapports) ..................................................................................................24
Service Monitoring (Surveillance du service) ...................................................................................................................................... 25
Conclusion .....................................................................................................................................................................................................26
2LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Introduction
Pour les professionnels de l'informatique qui agissent dans un univers axé sur les données, HP TechPulse est une
plate-forme de télémétrie et d'analyse qui fournit des données stratégiques sur les appareils et les applications,
en mettant le deep learning à la disposition des équipes informatiques de manière à proposer aux employés les
ordinateurs, les logiciels et les services adaptés pour les accompagner jusqu'à la réussite. HP TechPulse intervient de
manière proactive : identification des problèmes, activation des corrections à grande échelle et réduction des menaces
grâce à la surveillance active du niveau de sécurité. La plateforme HP TechPulse comprend un portail HP DaaS basé
sur le cloud et des applications logicielles HP TechPulse (sur les systèmes d'exploitation Microsoft Windows, Android,
Google Chrome, Apple iOS et Apple MAC) et est disponible via les offres de services HP Proactive Management et HP
Proactive Security. HP s'appuie sur de nombreux centres d'excellence en ingénierie pour développer des technologies
allant des points de contrôle intégrés dans les appareils aux modèles de haut niveau destinés à la gestion
automatisée transsectorielle. Ceux-ci fournissent une chaîne de confiance solide de haut en bas. En outre, HP explore
en permanence de nouveaux mécanismes pour la détection et l'atténuation des attaques modernes à grande échelle.
Leadership éclairé en matière de sécurité
L'engagement de HP en matière de sécurité ne se limite pas à ses produits. L'entreprise joue un rôle important de
défenseur de meilleures pratiques de sécurité au sein de son écosystème partenaire et fournit des formations et des
ressources à des milliers de revendeurs informatiques indépendants et de prestataires de services dans le monde
entier. En fait, HP a été le premier Master Training Partner sélectionné par la Cloud Security Alliance (CSA), qui est la
principale organisation mondiale dédiée à la définition et à la sensibilisation aux meilleures pratiques afin d'aider à
garantir un environnement de cloud computing sécurisé. CSA exploite le programme de certification des fournisseurs
de services de sécurité cloud le plus populaire, le Security, Trust & Assurance Registry (STAR), un programme
d'assurance des fournisseurs à trois niveaux, avec auto-évaluation, audit par un tiers et surveillance continue.
En tant que fournisseur de technologies de sécurité bien établi dans le domaine du cloud computing et de la sécurité
des informations à l'échelle mondiale, HP occupe une position de premier plan pour offrir une formation sans parti
pris vis-à-vis d'un fournisseur, et axée sur les processus et la mise en œuvre de la sécurité dans le monde réel. Avec
des centres d'apprentissage répartis dans le monde entier, de nombreuses installations partenaires et des sites de
clients sur place, HP offre des cours qui s'appuient sur plus de 35 années de formation technologique complexe.
3LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Sécurité HP TechPulse
Dans les années 1950, W. Edwards Deming et d'autres ont introduit des concepts de qualité, comme la gestion de la
qualité totale (TQM) dans le secteur de la fabrication. Ces concepts se sont d'abord imposés au Japon, ce qui s'est
traduit par une qualité largement supérieure de l'automobile japonaise par rapport à la qualité américaine.
La transformation de la qualité est arrivée aux États-Unis dans les années 1970, dans le domaine des logiciels
informatiques dans les années 1980 et chez HP avec l'initiative de qualité 10X du PDG John Young. Son objectif était
d'obtenir une qualité dix fois supérieure de la qualité des logiciels d'ici une décennie. Ces initiatives axées sur la qualité
portaient sur la répétabilité, l'intégration de la qualité, la gestion de la qualité, le dépassement des tests.
Une longueur d'avance conservée depuis près de quarante ans, et cette approche globale de la qualité a abouti au
développement de capacités significatives pour renforcer la résilience de la cybersécurité dans le matériel,
les applications logicielles et les produits, et la collaboration HP avec les meilleurs fournisseurs de technologies
tierces.
La sécurité est préservée en déployant des contrôles de sécurité à chaque couche. En cas de défaillance au niveau
d'une couche, les contrôles sont en place dans d'autres zones pour minimiser les brèches et maintenir la sécurité en
permanence. HP TechPulse applique une sécurité du niveau de service éprouvée, au sein de son architecture ainsi que
dans ses processus de développement.
4LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Architecture HP TechPulse
En tant que solution unique basée sur le cloud pour la gestion des appareils, des données et des utilisateurs d'une
entreprise, HP TechPulse applique une sécurité du niveau de service éprouvée au sein de son architecture et de ses
processus de développement. HP Proactive Management avec HP TechPulse fournit une variété de services aux
entreprises clientes. Ces services sont principalement les suivants :
• Fournir une solution de collecte d'analyses et de télémétrie d'appareils sur de multiples systèmes
d'exploitation.
• Apporter aux fournisseurs de services gérés et aux entreprises clientes la capacité de générer des rapports et
des incidents pour la gestion proactive
• Fournir divers services tiers par le biais de l'offre HP Proactive Management
Utilisateurs et rôles
Le portail HP DaaS offre plusieurs types d'utilisateurs et de rôles, comme illustré dans le schéma suivant.
Regional Root Admin (Administrateur Root Régional)
Ce compte est utilisé par un administrateur des opérations commerciales au sein de HP afin de créer une nouvelle
entreprise, un revendeur ou un fournisseur de services gérés (MSP). Les comptes administrateurs Root régionaux sont
contrôlés et disposent d'un accès pour naviguer et administrer le MSP, le revendeur et les locataires de l'entreprise.
Généralement, les comptes administrateurs Root existent pour différentes régions. Actuellement,
HP TechPulse opère dans deux datacenters régionaux AWS comme suit :
1. Ouest des États-Unis (Oregon)
2. UE (Francfort)
Resellers (Revendeurs)
Les comptes revendeurs peuvent avoir un compte de spécialiste des ventes et un compte d'administrateur des
ventes. Un administrateur des ventes peut effectuer toutes les tâches d'un spécialiste des ventes et, en outre,
il peut inviter davantage de personnes à rejoindre l'entreprise en tant qu'administrateur des ventes ou spécialiste
des ventes.
5LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Un compte revendeur peut afficher certains rapports pour un client assigné.
Managed Service Provider (Fournisseur de services gérés) (MSP)
Un compte MSP peut accéder simultanément à plusieurs entreprises et peut gérer les appareils, les utilisateurs, ainsi
que les opérations quotidiennes pour le compte des clients. Un compte MSP peut être géré par l'équipe Opérations
commerciales de HP ou par un partenaire tiers.
Les MSP comprennent deux types d'utilisateurs effectuant des actions administratives, qui sont des administrateurs
de support et des spécialistes du support. Les administrateurs de support peuvent créer des comptes administrateurs
de support ou des comptes spécialistes de support.
Company Owner (Propriétaire de l'entreprise)
Lors de la création d'une entreprise, les administrateurs Root créent un propriétaire par défaut. Ces utilisateurs
administratifs, en fonction des rôles qui leur sont attribués, peuvent consommer des rapports et effectuer d'autres
tâches d'administration.
Les propriétaires d'entreprise ne peuvent pas créer ou gérer les utilisateurs d'une autre entreprise. Les MSP ont cette
responsabilité ; cependant, avec des rôles spécifiques qui leur sont assignés par un MSP, les propriétaires d'entreprise
peuvent effectuer la gestion des utilisateurs.
Company User (Utilisateur de l'entreprise)
Un utilisateur se réfère généralement à quelqu'un au sein du locataire de l'entreprise disposant d'un rôle spécifique
qui lui permet d'entreprendre une action ou rien. Un utilisateur de l'entreprise peut avoir ou non accès au portail HP
DaaS. Par exemple, un utilisateur créé lors de l'inscription de l'appareil est un employé d'une entreprise qui n'a pas
accès au portail HP DaaS ; cependant, il est possible de modifier les rôles des utilisateurs de l'entreprise afin que les
utilisateurs puissent accéder au portail HP DaaS.
Les utilisateurs peuvent être créés à partir des exemples suivants :
• Un MSP ou un utilisateur d'entreprise ayant un rôle spécifique peut créer un nouvel utilisateur et donner accès
au portail des utilisateurs.
• Un utilisateur est créé automatiquement lors de l'inscription de l'appareil (par ex. ordinateurs ou appareils
mobiles) à l'aide d'un PIN Entreprise. Un utilisateur est enregistré dans le portail lors de l'inscription
d'appareils.
Plusieurs rôles peuvent être attribués aux utilisateurs de l'entreprise pour étendre l'accès utilisateur dans le portail HP
DaaS.
IT Admin (Admin. informatique)
Le rôle d'administrateur informatique permet aux utilisateurs de l'entreprise d'effectuer la plupart des tâches que les
MSP sont autorisés à effectuer. Ce rôle est attribué aux entreprises autogérées.
Report Admin (Admin. des rapports)
Par défaut, les propriétaires d'entreprises ont accès aux rapports. En outre, tout utilisateur de l'entreprise peut avoir
accès aux rapports. Le rôle d'administrateur des rapports permet uniquement aux personnes d'utiliser des
informations à partir des rapports HP Proactive Management.
6LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
ServiceNow™ Admin (Admin. ServiceNow™)
Le rôle d'administrateur ServiceNow permet aux clients et aux partenaires de configurer le service d'intégration des
incidents HP TechPulse. Le service d'intégration des incidents HP TechPulse doit être acheté séparément.
Le service Intégration des incidents HP TechPulse fournit les services suivants :
• Gestion des incidents générés par HP Proactive Management au sein de ServiceNow.
• Mise en miroir des incidents entre HP Proactive Management et ServiceNow.
• Mise à jour des incidents depuis le portail HP DaaS et ServiceNow.
Le schéma suivant donne un aperçu général des fonctionnalités et des fonctions HP Proactive Management.
HP Proactive Management Devices (Appareils HP Proactive Management)
D'un point de vue architectural, HP Proactive Management est conçu pour empêcher les pirates de prendre le contrôle
des appareils des utilisateurs. En fonction du matériel et les systèmes d'exploitation, le logiciel de l'appareil doit être
installé pendant le processus d'approvisionnement.
Pour que les appareils puissent être ajoutés par l'administrateur informatique de votre entreprise ou un MSP, les
appareils doivent être enregistrés en toute sécurité dans HP Proactive Management à l'aide d'un PIN attribué à
l'ensemble de l'entreprise. Lors de l'inscription, un transfert de clé asymétrique se produit entre le serveur et
l'appareil. Chaque appareil génère une paire de clés unique lorsque les appareils sont identifiés, ensuite les appareils
reçoivent un jeton d'accès valide pendant 24 heures. Après 24 heures, les appareils doivent envoyer des signatures au
serveur afin de prouver leur identité pour de nouveaux jetons d'accès.
Avec le consentement de l'entreprise, les appareils téléchargent quotidiennement des données de télémétrie dans le
pipeline analytique HP TechPulse. Pendant la journée, les appareils reçoivent des commandes et des bits de contrôle
du portail HP DaaS. La communication est également protégée par le jeton d'accès précédemment décrit.
Le logiciel de l'appareil HP Proactive Management pour Microsoft Windows® utilise le protocole HTTPS/TLS1.2 pour
toutes les communications. HTTPS utilise le port 443 pour toutes les communications. HP DaaS n'installe aucun
certificat et n'altère pas le Windows Operating System Certificate Store.
7LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
HP DaaS Portal (Portail HP DaaS)
Le portail HP DaaS Portal est hébergé dans Amazon Web Services (AWS) dans deux régions différentes. L'une se
trouve aux États-Unis (Oregon) et l'autre dans l'Union européenne (Francfort). Selon le pays dans lequel vous
choisissez de vous inscrire, le locataire de votre entreprise est créé dans la région qui vous a été assignée.
Les administrateurs se connectent au portail HP DaaS Portal via un navigateur Web. Le portail HP DaaS fournit
également des interfaces pour l'inscription, l'authentification et la communication entre les appareils et le portail.
Les sections suivantes traitent des décisions de conception en matière de sécurité.
Identity Management (Gestion des identités)
Les identités sont gérées via HP Common Identity System. La qualité du mot de passe n'est pas configurable,
et la stratégie de mot de passe est définie par la page HP ID Signup. Les mots de passe doivent contenir au moins huit
caractères et comprendre au moins deux des critères suivants :
• Une majuscule et une minuscule
• Chiffres
• Symboles ou caractères spéciaux
Session Management (Gestion des sessions)
Les utilisateurs ne sont pas limités au niveau du nombre de sessions simultanées ; cependant, les sessions utilisateur
expireront après 30 minutes d'inactivité. Les sessions de l'appareil expirent après 24 heures et sont automatiquement
renouvelées.
L'authentification et l'autorisation sont mises en œuvre à l'aide du protocole Oauth2 et de la gestion des sessions. La
capacité est mise en œuvre en utilisant Json Web Token (JWT). Chaque microservice du portail HP DaaS applique la
vérification des jetons JWT pour la signature et l'expiration.
Autorisation
En plus de la vérification du jeton JWT, des vérifications de location sont effectuées pour toutes les API.
Cela garantit que les données appropriées du locataire sont transmises à l'appelant. De plus, des vérifications des
rôles sont effectuées pour toutes les opérations critiques.
Pour plus d'informations, veuillez consulter Utilisateurs, Rôles et Autorisations.
Multi-Tenancy (Architecture mutualisée)
HP TechPulse est une solution mutualisée, basée sur le cloud. Les conceptions existantes nécessitent la conservation
des informations des clients sur des serveurs distincts. HP TechPulse sépare logiquement les données du locataire à
l'aide de bases de données relationnelles et de vérifications des droits de location.
Les données sont logiquement connectées à un locataire via un identifiant unique universel (UUID), qui est unique
pour chaque locataire.
Data-at-Rest (Données au repos)
Les informations de l'entreprise telles que les appareils, les utilisateurs et les données associées sont stockées dans
une base de données MySQL du Service de base de données relationnelle AWS (RDS). La base de données RDS MySQl
est cryptée. Les champs sensibles comme les touches et les jetons sont également cryptés à l'aide du service de
gestion des clés AWS (KMS). La clé principale alterne conformément aux directives de cybersécurité de HP.
8LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Data-in-Transit (Données en transit)
Toutes les communications externes vers et depuis le portail HP DaaS utilisent le protocole HTTPS/TLS1.2.
Les services au sein de AWS Virtual Private Cloud (VPC) communiquent en texte clair. Pour plus d'informations,
veuillez consulter la section Sécurité opérationnelle.
Third-Party Integration (Intégration de tiers)
HP TechPulse s'intègre à divers services tiers tels que Vmware Airwatch, Microsoft Intune, et ServiceNow.
La communication entre serveurs s'effectue via HTTPS en utilisant les méthodes d'authentification fournies par les
systèmes de nos partenaires. Pour plus d'informations sur l'intégration de tiers, veuillez contacter un expert de
service HP.
User Interface (UI) Validation (Validation de l'interface utilisateur)
La validation des champs de l'interface utilisateur protège les champs du formulaire de saisie dans l'application client
HP TechPulse. La validation est fournie par type de données (chaîne, date/heure, devise, etc.) et les règles
commerciales (requises ou recommandées). Les champs peuvent également être sécurisés par les rôles et les
opérations de l'entreprise (lecture/écriture). Une validation supplémentaire peut être appliquée à l'aide de fonctions
de script.
HP TechPulse Analytics Platform (Plateforme d'analyse HP TechPulse)
La plateforme d'analyse HP TechPulse est hébergée dans AWS. La plateforme d'analyse est l'élément fondamental du
traitement des données pour HP Proactive Management. La plupart des parties de la plateforme d'analyse ne sont
pas exposées à l'extérieur.
Data Collection (Collecte des données)
La plateforme d'analyse fournit diverses interfaces pour télécharger les données à partir des appareils.
La plateforme d'analyse utilise Cognito Identity Pool (CIP) pour télécharger des données. Avec CIP, les connexions,
les commandes et les politiques ne sont jamais envoyées aux appareils ni collectées à partir de ceux-ci.
Data-at-Rest (Données au repos)
Les données non structurées au repos sont conservées dans S3 ; cependant, les données structurées sont stockées
dans RedShift. Les données structurées et non structurées sont cryptées dans la plateforme d'analyse.
9LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
HP TechPulse Operational Security (Sécurité opérationnelle HP TechPulse)
Cette section décrit comment HP TechPulse applique la sécurité de niveau de service pour assurer la sécurité à
différents niveaux de communication.
Datacenter
L'application HP TechPulse est hébergée par Amazon Web Services (AWS), et plus précisément Amazon Elastic
Compute Cloud (Amazon EC2). Amazon EC2 offre une capacité de calcul évolutive dans le cloud AWS.
HP TechPulse gère des datacenters situés dans l'Oregon, États-Unis (AWS-OR) et à Francfort, Allemagne (AWS-DE).
Les données des clients situés dans les pays européens peuvent être hébergées dans le datacenter situé en
Allemagne. Les données des clients de tous les autres pays peuvent être hébergées dans le datacenter américain.
Toutes les données situées au sein d'un seul « locataire » client sont hébergées dans un seul datacenter, bien que les
clients qui souhaitent avoir des locataires séparés dans différents datacenters pour héberger différentes unités
d'affaires peuvent demander une telle option. Lors de l'utilisation d'AWS, HP TechPulse peut bénéficier des plus de
quinze années d'expérience d'Amazon en fournissant une infrastructure mondiale à grande échelle de manière fiable
et sécurisée. Pour plus d'informations, veuillez consulter le portail d'informations AWS : http://aws.amazon.com/ec2/.
Au niveau de la couche physique, il est important d'évaluer les contrôles qui sont en place pour sécuriser les
installations et le réseau. Les données des clients et des appareils sont stockées des datacenters AWS, répartis
géographiquement pour assurer une redondance. AWS est un leader reconnu dans l'hébergement cloud. En
s'associant à AWS, HP TechPulse hérite d'une infrastructure cloud qui a été conçue pour être l'un des environnements
cloud computing les plus flexibles et sécurisés disponibles aujourd'hui. Voici quelques-unes de ses principales
caractéristiques en matière de sécurité :
• Conçus pour la sécurité – L'infrastructure cloud AWS est hébergée dans des datacenters AWS, conçus pour
répondre aux exigences des clients les plus sensibles à la sécurité. L'infrastructure AWS a été conçue pour
fournir une haute disponibilité tout en mettant en place des garanties solides pour la confidentialité des
clients et la séparation des données. Les données relatives aux appareils, aux applications et à la localisation
sont anonymisées pour ne pas être liées à une personne avant d'être transmises et stockées dans le
datacenter Gestion Analyse des États-Unis. Les bases de données qui contiennent des données personnelles
sont cryptées.
− Hautement automatisés – AWS conçoit la plupart de ses outils de sécurité dans un but précis : les adapter
sur mesure aux exigences uniques d'environnement et d'échelle d'AWS. Ces outils de sécurité sont conçus
pour assurer une protection maximale des données et des applications. Cela signifie que les experts en
sécurité AWS consacrent moins de temps aux tâches de routine, ce qui leur permet de se concentrer
davantage sur les mesures proactives qui peuvent augmenter la sécurité de l'environnement cloud AWS.
10LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
− Hautement disponibles – AWS construit ses datacenters dans différentes régions géographiques ainsi que
dans plusieurs zones de disponibilité au sein de chaque région afin d'offrir une résilience maximale contre
les pannes de système. AWS conçoit ses datacenters avec des connexions à bande passante d'une
capacité excédentaire considérable dans un but précis : en cas de perturbation majeure, il reste une
capacité suffisante pour permettre l'équilibrage du trafic vers les sites restants.
− Hautement accrédités – Les certifications signifient que les auditeurs ont vérifié que des contrôles de
sécurité spécifiques sont en place et qu'ils fonctionnent comme prévu. Vous pouvez consulter les
rapports de conformité applicables en contactant un représentant de compte AWS pour vous aider à
respecter les normes et réglementations de sécurité spécifiques du gouvernement, de l'industrie et de
l'entreprise. AWS fournit des rapports de certification qui décrivent de quelle manière l'infrastructure
cloud AWS répond aux exigences d'une longue liste de normes de sécurité internationales, notamment :
ISO 27001, SOC, Payment Card Industry (PCI) Data Security Standard, FedRAMP, Australian Signals
Directorate (ASD) Information Security Manual, et Singapore Multi-Tier Cloud Security Standard (MTCS SS
584). Pour plus d'informations sur les réglementations et normes qu'AWS respecte, consultez la page
Web Conformité AWS.
Pour des informations détaillées sur la sécurité physique et environnementale, l'accès AWS et la sécurité du réseau,
veuillez lire le Livre blanc Présentation des processus de sécurité AWS.
Network (Réseau)
Les appareils réseau, y compris les pare-feu et d'autres dispositifs installés en limite, sont mis en place pour surveiller
et contrôler les communications aux limites externes du réseau et aux limites internes essentielles à l'intérieur du
réseau. Ces dispositifs installés en limite utilisent des ensembles de règles, des listes de contrôle d'accès (ACL) et des
configurations pour faire passer le flux d'informations dans des services de système d'information spécifiques.
Des ACL ou des politiques de flux de trafic sont établies sur chaque interface gérée, qui régit le flux de trafic. Les
politiques ACL sont approuvées par Amazon Information Security. Ces politiques sont automatiquement mises en
place à l'aide de l'outil de gestion ACL d'AWS, afin de garantir que ces interfaces gérées appliquent les ACL les plus
récentes.
Security Enhanced Access Points (Point d'accès sécurisés renforcés)
AWS a stratégiquement placé un nombre limité de points d'accès au cloud pour permettre une surveillance plus
complète des communications entrantes et sortantes et du trafic réseau. Ces points d'accès client sont appelés points
de terminaison API, et ils permettent un accès HTTP (HTTPS), qui sécurise les sessions de communication avec les
instances de stockage ou de calcul au sein d'AWS. En outre, AWS a mis en place des appareils réseau dédiés à la
gestion des communications d'interface avec les fournisseurs d'accès à Internet (FAI). AWS utilise une connexion
redondante sur plus d'un service de communication au niveau de chaque périphérie du réseau AWS face à Internet.
Toutes les connexions possèdent des appareils réseau dédiés.
Application, Host & Administrator Security (Sécurité des applications, des hôtes et des
administrateurs)
Au niveau de la couche logique, différents contrôles sont utilisés pour sécuriser les systèmes hôtes,
les applications exécutées sur ces systèmes et pour les administrateurs qui gèrent les systèmes hôtes et les
applications associées.
11LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
L'accès administrateur à HP TechPulse et aux données clients est limité et fait l'objet d'une gestion rigoureuse. Seules
les personnes indispensables à l'exécution d'une tâche sont autorisées à y accéder, à condition qu'elles répondent aux
exigences appropriées en matière de vérification des antécédents et de gestion des comptes.
Data Security (Sécurité des données)
Les données échangées avec HP TechPulse utilisent la mise en œuvre AWS de Transport Layer Security (TLS) v1.2, la
dernière version du protocole SSL (Secure Sockets Layer) conforme aux normes de l'industrie. TLS contribue à
sécuriser les données à plusieurs niveaux, en fournissant l'authentification du serveur, le cryptage des données et
l'intégrité des données. TLS étant mis en œuvre sous la couche d'application, il s'agit d'un mécanisme de sécurité
passif qui ne repose pas sur des étapes ou des procédures supplémentaires de la part de l'utilisateur.
Les applications sont mieux protégées contre les pirates même si les utilisateurs possèdent des connaissances
limitées ou inexistantes en matière de communications sécurisées. Ces fonctionnalités permettent de protéger les
données contre toute corruption accidentelle et toute attaque malveillante, et elles visent à éviter les menaces
couramment répandues sur le Web. Outre le cryptage SSL pour la communication réseau entre les clients et les
serveurs, HP crypte également les journaux et les données au repos qui sont sauvegardées nos bases de données de
serveur. La localisation des appareils est un exemple de données cryptées à l'aide de cet algorithme.
Les appareils HP TechPulse doivent être équipés des systèmes d'exploitation et du logiciel de l'appareil décrits dans la
configuration système requise. Alors que les experts de service HP peuvent vous aider à appliquer les politiques de
sécurité à des appareils spécifiques tels que définis par les politiques administratives (le cas échéant), il n'existe pas
d'exigence de sécurité supplémentaire pour le déploiement de l'utilisateur final, hormis sont e-mail de connexion et
son mot de passe. L'adresses e-mail de l'employé est utilisée comme identifiant de connexion. L'e-mail de connexion
et le mot de passe sont tous les deux cryptés à l'aide du chiffrement AES 128 bits via le protocole TLS au moment de
la connexion.
12LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Independent Verification (Vérification indépendante)
Deux techniques différentes de modélisation de surveillance des menaces sont exécutées sur HP TechPulse :
• Norme d'exécution des tests de pénétration
• Projet de sécurité des applications Web ouvertes (OWASP)
Le logiciel HP TechPulse est soumis à une modélisation de surveillance des menaces pour toutes les nouvelles
fonctionnalités publiées et de manière périodique pour toutes les améliorations mineures apportées aux
fonctionnalités existantes. Avant de commencer le développement logiciel de nouvelles fonctionnalités, HP TechPulse
fait également l'objet d'un examen de l'architecture de sécurité effectué par HP Cyber Security.
Voici les catégories des tests de modélisation de surveillance des menaces effectués sur HP TechPulse :
• Sur le portail HP DaaS – voici un aperçu des tests effectués :
− script intersites
− attaques par phishing (hameçonnage)
− vol de jeton d'authentification
− « fuzzing » d'entrée
− usurpation d'adresse e-mail
− injection SQL
− falsification de requête intersites, etc.
• Sur les services cloud HP TechPulse (c'est-à-dire les microservices HP TechPulse et l'infrastructure associée,
ainsi que l'infrastructure d'analyse) – voici un aperçu des tests effectués
− test de l'interface pour authentification et autorisation
− modification des identifiants des détenteurs pour s'assurer que les données appropriées vont uniquement
aux utilisateurs autorisés
− injection SQL
− injection de code à distance
− attaques DOS
− « fuzzing » d'entrée
• Sur le logiciel HP TechPulse sur les appareils exécutant différentes plateformes de systèmes d'exploitation
(Windows, Android, Google Chrome, Apple iOS et MAC) – voici un aperçu des tests effectués :
− intégrité de la source d'installation et de l'application,
− escalade des privilèges
− attaques MITM
− « fuzzing » d'entrée
− vérification de commande avec vérification de l'intégrité des données
− empoisonnement des magasins de certificats
− violation d'authentification
− configuration de sécurité, etc.
• Sur les interfaces externes avec HP TechPulse, voici un aperçu des tests effectués – connexion à des services
tiers tels que Dell VMWareOne, terminaux SSH etc.
13LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Voici quelques-uns des outils utilisés pour la modélisation des menaces.
• Accunetix
• Burp suite
• Nmap
• Metasploit
• Editthiscookie
L'équipe de développement du logiciel HP TechPulse suit un processus de développement logiciel sécurisé. Celui-ci
inclut des examens de sécurité en plus des examens réguliers de l'architecture et du code qui mettent l'accent sur la
sécurité, la modélisation des menaces et l'analyse. En outre, l'équipe HP TechPulse effectue également des analyses
régulières de l'infrastructure et des mesures d'atténuation grâce à des outils tels que Nessus agent.
Tous ces éléments sont audités de manière indépendante par le cabinet KPMG tout en accordant au logiciel HP
TechPulse la certification ISO27001.
La modélisation des menaces est généralement effectuée sur une dernière version dans un environnement séparé,
qui n'est pas accessible pour les clients ou tout autre processus de développement. La modélisation des menaces sur
HP TechPulse est effectuée par des équipes HP Cyber Security et HP Cloud séparées, qui ne font pas partie de l'équipe
de développement logiciel HP TechPulse. De plus, l'équipe de développement logiciel HP TechPulse compte
également des membres internes de l'équipe de modélisation des menaces dans le cadre de son équipe élargie
d'assurance qualité et sécurité pour tester régulièrement les composants logiciels existants.
HP Compliance & Security Frameworks (Structures de sécurité et de conformité HP)
HP TechPulse fait preuve d'un engagement envers nos clients en mettant en œuvre une approche robuste et
accréditée, de gestion du risque et de sécurité de l'information et de gestion des risques. Toutes les structures de
conformité en matière de sécurité sont essentielles pour les données que les clients confient à HP. Pour cette raison,
notre orientation stratégique est de veiller à ce que HP TechPulse dispose de procédures et d'outils de sécurité
appropriés pour protéger les données des clients. Grâce à des accréditations reconnues à l'échelle mondiale dans le
secteur, les données des clients, y compris les informations exclusives, générales et opérationnelles – et les données
de confidentialité, sont analysées minutieusement pour s'assurer que HP TechPulse dispose de contrôles de sécurité
qui satisfont aux structures de conformité de sécurité reconnues.
Fréquence
14LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Certification ISO 27001:2013
• La sécurité des systèmes d'information et de l'information essentielle à l'entreprise exige une mesure et
une gestion constantes. La certification ISO 27001:2013, délivrée par l'auditeur indépendant KPMG, est la
vérification de l'engagement de HP à assurer la continuité opérationnelle et la protection des données.
• L'Organisation internationale de normalisation (ISO) est responsable de l'élaboration de plusieurs normes
internationalement reconnues pour les produits, les services et les systèmes. La certification ISO 27001:2013
est délivrée à l'issue d'un audit externe par un organisme de certification accrédité et est basée sur les
ressources (informations, processus, personnes et technologies). HP a obtenu la certification ISO dans
l'environnement Services de gestion et de surveillance à distance, à la fois pour les services Managed Print et
les services Personal Systems.
• La norme ISO 27001 spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la maintenance
et à l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI) dans le contexte
d'une entreprise. Un SGSI désigne une approche systématique de la gestion des informations sensibles de
l'entreprise afin de garantir la préservation de la sécurité des informations conformément aux principes de
confidentialité, d'intégrité et de disponibilité. L'approche englobe les personnes, les processus et les systèmes
informatiques, et consiste en plusieurs documents d'accompagnement et lignes directrices définissant le
chemin de mise en œuvre et de certification.
La certification ISO 27001:2013 de HP Proactive Management couvre les domaines suivants :
• Politiques en matière de sécurité de l'information
• Sécurité des opérations
• Organisation de la sécurité de l'information
• Sécurité des communications
• Sécurité des ressources humaines
• Acquisition, développement et maintenance des systèmes
• Gestion des ressources
• Relations avec les fournisseurs
• Contrôle des accès
• Gestion des incidents de sécurité de l'information
• Cryptographie
• Aspects de la sécurité de l'information dans la gestion de la continuité des opérations
• Sécurité physique et environnementale
• Conformité
En 2020, HP étend la certification ISO pour inclure :
• ISO 27701:2019 (Systèmes de gestion des informations confidentielles PIMS)
• ISO 27017:2015 (Contrôles de sécurité de l'information des services cloud)
15LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
Certification ISO 27071:2015 (Automne 2020)
Les efforts déployés par HP pour la certification de HP offrent aux clients et aux partenaires l'assurance que la
solution TechPulse répond aux normes accréditées de l'industrie en matière de protection, de mise en œuvre,
de maintenance et d'amélioration continue de la gestion de la confidentialité.
Certification ISO 27701:2019 (Automne 2020)
Les clients et partenaires qui utilisent la plateforme de surveillance continue HP TechPulse veulent être sûrs qu'ils
peuvent faire confiance à la protection de leurs données lorsqu'ils ont recours à un fournisseur de services cloud.
La norme ISO 27071:2015 comprend les normes reconnues de l'industrie en matière de contrôles de sécurité de
l'information pour les clients et les fournisseurs de services cloud.
SOC2 (2020 / 2021)
Une attestation SOC2 offre aux clients l'assurance que HP TechPulse respecte les normes mondialement reconnues
en matière de sécurité, de confidentialité, de respect de la vie privée, etc. SOC2 apporte aux clients et aux partenaires
une vérification de la manière dont HP détient, stocke et traite les données privées du client conformément à un effort
répétable et continu. Les clients exigent des structures supplémentaires pour soutenir leur tolérance au risque. HP a
commencé à rechercher l'attestation SOC2 dès le printemps 2020 afin de continuer à s'améliorer pour l'avenir et de
répondre à la demande des clients.
16LIVRE BLANC Confidentialité et
Sécurité HP TechPulse
HP Secure Software Development Lifecycle (SSDL) (Cycle de vie du
développement logiciel sécurisé HP)
Les approches menées par l'industrie en matière de sécurité des applications se sont généralement avérées réactives,
et elles ne sont pas parvenues à appliquer les leçons tirées du domaine de la qualité. Le deux principales approches
sont les suivantes :
• S'enfoncer la tête dans le sable – Cette approche se caractérise par des correctifs de sécurité mis en œuvre
par réaction. Cette approche repose sur des vulnérabilités et des expositions courantes (CVE) et nécessite un
effort moindre pour éviter ou minimiser l'introduction de vulnérabilités. C'est ce que l'on observe le plus
souvent dans les segments de l'industrie où la charge réglementaire lié à la sécurité est minimale.
• Tester la sécurité après coup – Cette approche se manifeste par le manque de résilience conçu dans les
applications. Au contraire, des efforts sont déployés pour trouver et corriger les vulnérabilités lors des tests
en combinaison avec les correctifs de sécurité. Cette approche semble plus courante dans le secteur public,
les industries régies par des réglementations de sécurité et les soins de santé. Ces segments doivent être
conformes aux réglementations, y compris la Federal Information Security Management Act (FISMA) des
États-Unis, la Payment Card Industry Data Security Standard (PCI-DSS), la Health Information Portability and
Accountability Act (HIPAA), et la Health Information Technology for Economic and Clinical Health (HITECH).
Cependant, la sécurité en tant qu'attribut de qualité doit être appliquée à chaque étape du cycle de vie tout comme le
domaine de la qualité appris il y a un demi-siècle. Les éléments clés sont les suivants :
• La qualité ne peut pas être testée après coup ; elle doit faire partie de la conception, être intégrée puis testée.
• Les défauts de sécurité et les vulnérabilités doivent être détectés le plus tôt possible durant le cycle de vie,
dans l'intérêt des coûts.
HP prend la sécurité logicielle très au sérieux, et HP a adopté un cycle de vie de développement logiciel sécurisé
(SSDL). Plusieurs objectifs sont liés au processus SSDL, notamment les suivants :
• Réduire la surface de cyberattaque grâce à une architecture logicielle sécurisée
• Minimiser les vulnérabilités induites par le code
• Protéger la confidentialité et la sécurité des identités et des données clients
HP inclut des procédures spécifiques liées à la sécurité dans ses processus SSDL, effectue des revues d'étape pour
s'assurer que les processus de sécurité se soldent par un succès, et offre une formation continue en matière de
sécurité à ses architectes logiciels, développeurs, ingénieurs d'essais, gestionnaires de programme et leurs équipes de
direction.
17Vous pouvez aussi lire
