Notre Approche de Sécurité Holistique

Afin de réduire les risques de sécurité au minimum, une approche holistique de la sécurité est nécessaire. Nos processus de sécurité sont nés d'une définition claire des menaces pour notre système.

Objectifs de Sécurité

Confidentialité - L'information au sein de notre infrastructure et de nos systèmes ne sera accessible qu'aux utilisateurs autorisés

Intégrité - Les données et les informations contenues dans notre infrastructure ne peuvent être altérées par un utilisateur non autorisé

Protection des données - Les données contenues dans les systèmes ne peuvent pas être endommagées, effacées ou détruites

Identification et authentification - S'assure que tout utilisateur du système est celui qu'il prétend être et élimine les risques d'usurpation d'identité

Protection du Service Réseau - garantit que l'équipement réseau est protégé contre les tentatives de piratage ou les attaques malveillantes qui menacent la disponibilité

Notre Modèle de Sécurité Holistique

Notre plate-forme de sécurité et notre processus de levier sur plusieurs niveaux de sécurité - composé de systèmes de sécurité et de l'équipement1 combiné avec les procédures de sécurité et pratiques2 et processus d'audit3, pour assurer une sécurité sans pareil pour tous les services que nous fournissons. La plateforme aborde la sécurité à 7 niveaux différents

Niveau-1 Sécurité du Centre Data

Nos partenariats de centres de données mondiaux sont le résultat d'un processus exhaustif de diligence raisonnable. La sécurité et la stabilité sont deux des variables les plus importantes de notre processus de diligence raisonnable. Tous les centres de données sont équipés de caméras de surveillance, de verrous biométriques, de règles d'accès basées sur les autorisations, d'un accès limité au centre de données, de personnel de sécurité et d'équipements, processus et opérations de sécurité standard similaires.

Ce qui nous sépare cependant est le fait que notre processus de due diligence intègre également une mesure de proactivité démontrée par le centre de données vers la sécurité. Ceci est mesuré en évaluant les pratiques passées, les études de cas des clients et le temps que le centre de données consacre à la recherche et à l'étude de la sécurité.

Niveau-2 Sécurité Réseau

Nos déploiements d'infrastructure globaux intègrent des atténuateurs DDOS, des systèmes de détection d'intrusion et des pare-feu, tant au niveau périphérique qu'au niveau rack. Nos déploiements ont résisté à de fréquentes tentatives de piratage et de DDOS (parfois jusqu'à 3 tentatives en une seule journée) sans aucune dégradation.

Protection Pare-feu - Notre système de protection coupe-feu 24 heures sur 24 sécurise le périmètre et offre la meilleure première ligne de défense. Il utilise une technologie d'inspection hautement adaptative et avancée pour protéger vos données, votre site Web, vos courriels et vos applications Web en bloquant l'accès non autorisé au réseau. Il assure une connectivité contrôlée entre les serveurs qui stockent vos données et Internet grâce à l'application de politiques de sécurité élaborées par des experts en la matière.

Détection d'Intrusion Réseau system - Notre système de détection d'intrusion, de prévention et de gestion des vulnérabilités offre une protection rapide, précise et complète contre les attaques ciblées, les anomalies de trafic, les vers «inconnus», les logiciels espions / publicitaires, les virus réseau, les applications malveillantes et autres exploits. Il utilise des processeurs réseau ultramodernes haute performance qui effectuent des milliers de contrôles sur chaque flux de paquets simultanément sans augmentation perceptible de la latence. Au fur et à mesure que les paquets passent à travers nos systèmes, ils sont entièrement examinés pour déterminer s'ils sont légitimes ou nuisibles. Cette méthode de protection instantanée est le mécanisme le plus efficace pour s'assurer que les attaques nuisibles n'atteignent pas leurs cibles.

Protection contre les Attaques par Déni de Dervice Distribué (DDoS) - Le Déni de Service est actuellement la principale source de perte financière due à la cybercriminalité. L'objectif d'une attaque par déni de service est de perturber les activités de votre entreprise en arrêtant le fonctionnement de votre site Web, de votre messagerie électronique ou de vos applications Web. Ceci est obtenu en attaquant les serveurs ou le réseau qui hébergent ces services et en surchargeant les ressources clés telles que la bande passante, le processeur et la mémoire. Les motivations typiques derrière de telles attaques sont l'extorsion, les droits de vantardise, les déclarations politiques, la concurrence dommageable etc. Pratiquement n'importe quelle organisation qui se connecte à Internet est vulnérable à ces attaques. L'impact commercial de grandes attaques DoS soutenues est colossal, car il conduirait à la perte de profits, l'insatisfaction des clients, la perte de productivité, etc. en raison de l'indisponibilité ou la détérioration du service. Dans la plupart des cas, une attaque par déni de service vous enverrait même la plus grosse facture d'excédent de bande passante que vous ayez jamais vue.

Notre système de protection de déni de service distribué offre une protection inégalée contre les attaques DoS et DDoS sur vos infrastructures Internet, à savoir vos sites Web, vos e-mails et vos applications Web critiques, en utilisant une technologie sophistiquée de pointe qui se déclenche automatiquement Dès qu'une attaque est lancée. Le système de filtrage DDoS atténue la quasi-totalité du trafic frauduleux et garantit que le trafic légitime est autorisé dans toute la mesure du possible. Ces systèmes ont protégé de manière transparente plusieurs sites Web contre les pannes de service importantes causées par des attaques simultanées de plus de 300 Mbits / s dans le passé, permettant ainsi aux organisations de se concentrer sur leur activité.

Niveau-3 Sécurité de l'Hôte

Système de détection d'intrusion basé sur l'hôte - Avec l'avènement d'outils capables de contourner les systèmes de défense périmétrique bloquant les ports tels que les pare-feu, il est désormais essentiel pour les entreprises de déployer un système de détection d'intrusion basé sur l'hôte (HIDS) qui surveille et analyse les composants internes d'un système informatique. Notre système de détection d'intrusion basé sur l'hôte aide à détecter et à repérer les modifications apportées aux fichiers système et de configuration (accident, intrusion malveillante ou intrusion externe) en utilisant des scanners heuristiques, des informations sur le journal hôte et en surveillant l'activité du système. La découverte rapide des modifications réduit le risque de dommages potentiels et réduit également les délais de dépannage et de récupération, diminuant ainsi l'impact global et améliorant la sécurité et la disponibilité du système.

Normalisation Matérielle- Nous avons standardisé les fournisseurs de matériel qui ont des antécédents de normes de sécurité élevées et un support de qualité. La plupart de nos partenaires infrastructure et datacenter utilisent des équipements de Cisco, Juniper, HP, Dell, etc.

Niveau-4 Sécurité Logicielle

Nos applications fonctionnent sur une myriade de systèmes avec un logiciel serveur myriad. Les systèmes d'exploitation incluent différentes versions de Linux, BSD, Windows. Le logiciel de serveur inclut des versions et des saveurs d'Apache, d'IIS, de résine, de Tomcat, de PostgreSQL, de MySQL, de MSSQL, de Qmail, de Sendmail, de Proftpd etc ... Nous assurons la sécurité malgré le portefeuille diversifié de produits

Application en temps opportun des mises à jour, corrections de bugs et correctifs de sécurités - Tous les serveurs sont enregistrés pour des mises à jour automatiques pour s'assurer qu'ils ont toujours le dernier correctif de sécurité installé et que toute nouvelle vulnérabilité est rectifiée dès que possible. Le plus grand nombre d'intrusions résulte de l'exploitation de vulnérabilités connues, d'erreurs de configuration ou d'attaques de virus où des contre-mesures sont déjà disponibles. Selon le CERT, les systèmes et les réseaux sont affectés par ces événements, car ils n'ont pas «déployé de manière cohérente» les correctifs publiés.

Nous comprenons parfaitement l'exigence de processus de gestion de correctifs et de mises à jour solides. À mesure que les systèmes d'exploitation et les logiciels de serveur deviennent plus complexes, chaque nouvelle version est encombrée de failles de sécurité. Les informations et mises à jour pour les nouvelles menaces de sécurité sont publiées presque quotidiennement. Nous avons établi des processus cohérents et reproductibles ainsi qu'un cadre d'audit et de reporting fiable qui garantit que tous nos systèmes sont toujours à jour.

Analyses de sécurité périodiques - Des vérifications fréquentes sont exécutées à l'aide d'un logiciel de sécurité de niveau entreprise afin de déterminer si des serveurs présentent des vulnérabilités connues. Les serveurs sont analysés par rapport aux bases de données les plus complètes et les plus à jour des vulnérabilités connues. Cela nous permet de protéger proactivement nos serveurs contre les attaques et d'assurer la continuité de l'activité en identifiant les failles de sécurité ou les vulnérabilités avant qu'une attaque ne se produise.

Processus de test préalable à la mise à niveau - Les mises à niveau logicielles sont publiées fréquemment par divers éditeurs de logiciels. Bien que chaque fournisseur suive ses propres procédures de test avant la mise à niveau, il ne peut pas tester les problèmes d'interopérabilité entre différents logiciels. Par exemple, une nouvelle version d'une base de données peut être testée par le fournisseur de la base de données. Cependant, l'impact du déploiement de cette version sur un système de production exécutant divers autres logiciels FTP, Mail, Web Server ne peut pas être déterminé directement. Notre équipe d'administration du système documente l'analyse d'impact de diverses mises à niveau logicielles et si l'une d'entre elles est perçue comme présentant un risque élevé, elle est d'abord testée en bêta dans nos laboratoires avant le déploiement en direct.

Niveau-5 Sécurité de l'Application

Tous les logiciels d'application utilisés dans la plate-forme sont construits par nous. Nous ne sous-traitons pas le développement. Tous les produits ou composants tiers sont soumis à des procédures de formation et de test complètes, où tous les éléments de ces produits sont décomposés et les connaissances sur leur architecture et leur implémentation sont transférées à notre équipe. Cela nous permet de contrôler complètement toutes les variables impliquées dans un produit particulier. Toutes les applications sont conçues à l'aide de notre processus d'ingénierie de produit exclusif qui suit une approche proactive en matière de sécurité.

Chaque application est décomposée en différents composants tels que l'interface utilisateur, l'API de base, la base de données backend, etc. Chaque couche d'abstraction possède ses propres contrôles de sécurité, malgré les contrôles de sécurité effectués par une couche d'abstraction supérieure. Toutes les données sensibles sont stockées dans un format crypté. Nos pratiques d'ingénierie et de développement assurent le plus haut niveau de sécurité en ce qui concerne tous les logiciels d'application

Niveau-6 Sécurité du Personnel

Le lien le plus faible dans la chaîne de sécurité est toujours les personnes en qui vous avez confiance. Personnel, personnel de développement, fournisseurs, essentiellement toute personne ayant un accès privilégié à votre système. Notre approche de sécurité holistique tente de minimiser les risques de sécurité causés par le «facteur humain». L'information n'est divulguée que sur la base du "besoin de savoir". L'autorisation expire à l'expiration de l'exigence. Le personnel est encadré spécifiquement dans les mesures de sécurité et la criticité de les observer.

Chaque employé qui possède des privilèges d'administrateur sur l'un de nos serveurs passe par une vérification complète des antécédents. Les entreprises qui s'en écarter mettent en péril toutes les données sensibles et importantes appartenant à leurs clients, car peu importe le montant investi dans des solutions de sécurité haut de gamme, une mauvaise embauche - ayant le bon accès - peut causer plus de dommages. que toute attaque externe.

Niveau-7 Processus d'Audit de Sécurité

Dans un vaste déploiement de serveurs répartis dans le monde entier, des processus d'audit sont nécessaires pour assurer la réplication et la discipline des processus. Tous les serveurs sont-ils corrigés régulièrement ? Les scripts de sauvegarde sont-ils exécutés tout le temps ? Les sauvegardes hors site sont-elles pivotées comme vous le souhaitez ? Des vérifications de références appropriées sont-elles effectuées sur tout le personnel ? L'équipement de sécurité envoie-t-il des alertes en temps opportun ?

Ces questions et bien d'autres sont régulièrement vérifiées dans un processus hors bande qui implique des enquêtes, des sondages, des tentatives de piratage éthiques, des interviews, etc. Nos mécanismes d'audit nous alertent sur nos processus de sécurité avant qu'ils ne soient découverts par des utilisateurs externes.