Sécurité et conformité

La conformité SOC2 (Service Organization Control 2) est une norme de sécurité reconnue à l'international, qui aide les entreprises (notamment les fournisseurs de services Cloud) à protéger les données des clients et à prouver leur conformité aux réglementations en vigueur. Cette norme a été développée par l'American Institute of Certified Public Accountants (AICPA) et elle repose sur les critères de services de confiance de l'AICPA. Pour la conformité SOC2, les entreprises doivent répondre à des exigences spécifiques de sécurité et de confidentialité concernant le stockage, le traitement et la transmission des données. La mise en conformité implique l'implémentation des contrôles techniques, physiques et administratifs appropriés, avec surveillance continue.

La norme ISO/IEC 27001 (International Organization for Standardization/International Electrotechnical Commission) est une norme internationale qui détermine les exigences d'un système de gestion de la sécurité de l'information (ISMS). Elle fournit un cadre de contrôles de sécurité qui aide les entreprises à gérer les risques de sécurité de leurs informations. Elle est conçue pour protéger les entreprises des menaces de sécurité, notamment des fuites de données, des logiciels malveillants et des cyberattaques. ISO/IEC 27001 est une norme largement reconnue pour la gestion de la sécurité des informations, qui est acceptée par de nombreuses entreprises de par le monde.

L'autorisation d'exploiter (ATO) est l'approbation de sécurité nécessaire pour lancer un nouveau système IT pour le Gouvernement fédéral. Les agences gouvernementales décident d'attribuer (ou non) à un système informatique une autorisation de fonctionner sur une période donnée, en vérifiant si les risques pour la sécurité sont dans les limites acceptables.
Ivanti a reçu des autorisations ATO des organismes suivants : Air Force, Armée américaine, Département de la défense (DoD), Agence de sécurité sanitaire (DHA), Sécurité intérieure (DHS), Garde nationale, Marine, Pacific Air Forces (PACAF), Commandement des opérations spéciales des États-Unis (SOCOM) et Commandement stratégique américain (STRATCOM).

Le programme FedRAMP (Federal Risk and Authorization Management Program) est un programme applicable à l'ensemble du Gouvernement des États-Unis, qui fournit une approche standardisée de l'évaluation de la sécurité, des autorisations et de la surveillance en continu des produits et services Cloud. Il est conçu pour aider les administrations à évaluer et à autoriser les produits et services Cloud plus efficacement et de façon plus économique. FedRamp a été développé par l'Administration générale des services (GSA) en collaboration avec la Sécurité intérieure (DHS), le Département de la défense (DoD), l'Institut national des normes et de la technologie (NIST) et d'autres agences fédérales.

La directive NIS 2, loi de l'Union européenne visant à booster la sécurité des réseaux et systèmes d'information dans tous les états membres, fixe un cadre pour mettre en place un niveau de sécurité plus élevé. Pour les entreprises qui se battent pour appliquer cette réglementation, il est essentiel de comprendre comment les contrôles de sécurité s'ajustent à la NIS 2. Ivanti s'engage à soutenir les efforts de cybersécurité de ses clients. Pour consulter la courte liste des contrôles ISO 27001 couverts par Ivanti, cliquez ici. La liste complète est disponible dans notre Trust Center.

Le Digital Operational Resilience Act (règlement (UE) 2022/2554) (DORA) représente un changement majeur dans la réglementation financière de l'UE, visant à atteindre un niveau élevé et commun de résilience opérationnelle numérique dans l'ensemble du secteur financier de l'UE, grâce à l'établissement d'exigences uniformes pour les mesures de cybersécurité des entités financières. Suite à l'introduction de DORA, les institutions financières sont tenues de suivre des règles strictes pour se prémunir contre les incidents liés aux TIC. DORA introduit des lignes directrices pour la gestion des risques liés aux TIC, la déclaration des incidents, les tests de résilience opérationnelle et la surveillance des risques liés aux tiers prestataires de services TIC.

La conformité Common Criteria est un ensemble de normes qui sert à évaluer la sécurité des produits et services IT. Elle fournit un cadre commun qui aide les entreprises à mesurer et à comparer les fonctions de sécurité des différents produits et services IT. Les normes sont établies par un comité international, et servent aux entreprises à évaluer la sécurité des produits et services IT qu'elles envisagent d'acquérir. Ces normes couvrent notamment l'authentification, l'autorisation, le cryptage, l'audit, entre autres sujets liés à la sécurité.

Les VPAT (Voluntary Product Accessibility Template) Section 508 sont des documents contenant des informations détaillées sur le degré d'accessibilité d'un produit ou service pour les personnes porteuses d'un handicap. Ces documents sont développés dans le respect de la Section 508 des l'U.S. Rehabilitation Act de 1973, qui exige que les agences fédérales s'assurent que leurs technologies électroniques et informatiques soient accessibles aux personnes porteuses d'un handicap. Les agences fédérales utilisent souvent les VPAT pour l'approvisionnement en logiciels, en matériel, et en autres produits et services technologiques.

Depuis 2014, le Royaume-Uni exige que les fournisseurs qui manipulent certains types d'informations sensibles et personnelles pour son Gouvernement central obtiennent une certification Cybersecurity Essentials. Cette certification garantit aux clients qu'Ivanti connaît bien son niveau de cybersécurité et qu'il veille à sécuriser son département IT contre les cyberattaques. Vous pouvez consulter notre certification la plus récente en visitant le site IASME et en recherchant « Ivanti ».

La certification australienne IRAP (Information Security Registered Assessors Program) garantit que les systèmes TIC répondent aux normes strictes de cybersécurité du Gouvernement australien.

Le processus d'évaluation s'appuie sur les directives de sécurité détaillées dans le cadre de stratégie de sécurité protectrice (PSPF) du ministère du Procureur général australien (AGD), sur le manuel de sécurité de l'information (ISM) du Gouvernement australien produit par l'Australian Cyber Security Center (ACSC), sur la stratégie Cloud sécurisée de l'Agence de transformation digitale (DTA) et sur d'autres directives de cybersécurité. L'évaluation couvre les composants modulaires d'Ivanti Neurons for ITSM et les services SaaS complémentaires.

Tous les contrôles ont été évalués, l'IRAP certifie que des contrôles de sécurité appropriés et efficaces sont en place pour le traitement, le stockage et la transmission des données de niveau PROTECTED et au-delà.