Principesdesécuritéetdeprotectiondes données ServicesIBMCloud KUP12494-FRFR-01 2 Principes de sécurité et de protection des données : Services IBM Cloud Table des matières 2 Présentation 3 Gouvernance 3 Règles de sécurité 3 Contrôle d'accès, d'intervention, de transfert et de séparation 4 Contrôles d'intégrité et de disponibilité des services 4 Consignation d'activité et contrôle d'entrée 4 Sécurité physique et contrôle d'entrée 5 Contrôle des commandes 5 Conformité 5 Sous-traitants tiers du traitement des données Présentation Les services IBM incluent des offres d'infrastructure, de plateforme et de logiciel. Des mesures de sécurité et de confidentialité techniques et organisationnelles sont mises en oeuvre pour chaque service Cloud conformément à la politique d'IBM en fonction de son architecture, de l'usage auquel il est destiné et du type de service fourni. La figure 1 illustre le partage général des responsabilités dans chaque type de service. ServicesIBMCloud IaaS PaaS SaaS Applications Applications Applications Plateforme Plateforme Plateforme Infrastructure Infrastructure Infrastructure Légende GéréparleClient GéréparIBM Figure 1 : Types d'offre de service IBM Cloud Les offres Infrastructure as a Service (IaaS) d'IBM fournissent des ressources informatiques sur lesquelles les clients peuvent déployer et utiliser des logiciels, tels que les systèmes d'exploitation, les runtimes, les middleware et les applications de leur choix. Les clients IaaS sont responsables des applications, contenus, runtimes, middleware et systèmes d'exploitation qu'ils déploient sur la solution IaaS, notamment la mise en oeuvre et la KUP12494-FRFR-01 gestion des mesures non physiques de sécurité et de protection de données. Les offres Platform as a Service (PaaS) d'IBM permettent aux clients de créer, déployer et gérer des applications Cloud à l'aide des systèmes, réseaux, stockages, cadres d'exécution, bibliothèques et outils d'intégration et de gestion qui peuvent être inclus dans le service. Les clients PaaS gèrent les applications et contenus qu'ils déploient sur la solution PaaS, y compris la mise en oeuvre et la gestion des mesures de sécurité et de protection de données pour leurs applications et données. Les offres Software as a Service (SaaS) d'IBM fournissent des applications normalisées à partir des environnements de Cloud pour lesquels IBM gère le déploiement, l'administration, l'exploitation, la maintenance et la sécurité des applications, y compris les middleware, plateformes et infrastructures sous-jacents. Les clients SaaS continuent de gérer les comptes de leurs utilisateurs finaux, l'utilisation appropriée de l'offre IBM SaaS et les données qu'ils traitent conformément aux dispositions du contrat de service Cloud. Compte tenu de leurs propres exigences, les clients SaaS sont tenus d'évaluer l'adéquation des mesures de sécurité et de protection de données standard mises en oeuvre par IBM. Les responsabilités d'IBM en matière de gestion de chaque service cloud, quel qu'en soit le type, sont exposées dans le contrat d'offre concerné. Les mesures de sécurité et de protection de données destinées entre autres à protéger les services IBM Cloud contre des risques tels que la perte accidentelle, l'accès non autorisé et l'utilisation non autorisée des données client sont décrites ou incorporées dans chaque descriptif de service, y compris tous services et options configurables pouvant être disponibles. Le présent document Principes de sécurité et de protection des données décrit les politiques et pratiques d'IBM incorporées par référence dans chaque descriptif de services. Principes de sécurité et de protection des données : Services IBM Cloud Gouvernance Les politiques de sécurité informatique d'IBM, qui tirent leur autorité des instructions d'entreprise spécifiques, sont établies et gérées par l'organisation IBM CIO et font partie intégrante des activités d'IBM. Le respect des politiques informatiques internes est obligatoire et audité. Règles de sécurité Les règles de sécurité informatique d'IBM sont révisées au moins annuellement et adaptées en fonction des menaces modernes et des mises à jour des normes internationales généralement acceptées, telles que ISO/IEC 27001 et 27002. IBM se conforme à un ensemble d'exigences d'attestation d'emploi pour tous les nouveaux employés, y compris les intérimaires. Ces normes s'appliquent également aux coentreprises et filiales détenues à 100 %. Les exigences, qui peuvent faire l'objet de modifications, comprennent notamment, sans s'y limiter, des vérifications de casier judiciaire, la validation de la preuve d'identité ainsi que d'autres contrôles si le candidat a précédemment travaillé pour une entité gouvernementale. Chaque société IBM est responsable de la mise en oeuvre des exigences ci-dessus dans le cadre de ses procédures de recrutement en vertu de la législation locale. Les employés d'IBM sont tenus de suivre annuellement une formation complète dans le domaine de la sécurité et la confidentialité et certifient chaque année qu'ils respecteront les obligations en matière d'éthique professionnelle, de confidentialité et de sécurité d'IBM, telles qu'elles sont exposées dans le document « Principes de conduite dans les affaires » d'IBM. Les incidents de sécurité sont traités conformément aux règles d'IBM en matière de gestion des incidents et d'intervention, pour tenir compte des exigences de notification d'atteinte à la protection de données en vertu de la législation applicable. Les principales fonctions des pratiques d'IBM en matière de gestion des incidents de cybersécurité à l'échelle mondiale sont exercées par l'Equipe CSIRT 3 (Computer Security Incident Response Team) d'IBM. L'équipe CSIRT est dirigée par le Responsable de la sécurité des informations d'IBM et comprend des responsables d'incident et des experts légistes informatiques à l'échelle mondiale. Les directives du National Institute of Standards and Technology (NIST) de l'US Department of Commerce relatives au traitement des incidents de sécurité informatique ont contribué à l'élaboration des procédures d'IBM en matière de gestion des incidents à l'échelle mondiale et en constituent les fondements. L'équipe CSIRT collabore avec d'autres fonctions au sein IBM pour étudier les incidents suspectés et, le cas échéant, définir et exécuter le plan d'intervention approprié. Une fois qu'il est établi qu'un incident de sécurité s'est produit, IBM en informera dans les meilleurs délais les clients de services cloud concernés. Contrôle d'accès, d'intervention, de transfert et de séparation L'architecture des services IBM cloud gère la séparation logique des données client. Les règles et mesures internes séparent le traitement de données, tel que l'insertion, la modification, la suppression et le transfert de données, conformément aux buts souscrits. L'accès aux données client, y compris les informations personnelles, n'est autorisé que par le personnel agréé, conformément aux principes de répartition des tâches, est strictement contrôlé dans le cadre des politiques de gestion des identités et des accès et surveillé conformément au programme de surveillance et d'audit d'utilisateur privilégié interne d'IBM. L'autorisation d'accès privilégié d'IBM est individuelle, basée sur les rôles et soumise à une validation régulière. L'accès aux données client est limité au niveau requis pour fournir les services et la maintenance au Client (c-à-d, privilège le moins requis). Le transfert des données dans le réseau d'IBM a lieu sur l'infrastructure câblée et derrière les pare-feux, sans utilisation du réseau sans fil. KUP12494-FRFR-01 4 Sur demande ou à la résiliation du service, conformément aux dispositions du contrat de service Cloud, les données client deviennent irrécupérables en conformité avec les directives NIST relatives à l'expurgation des supports. Contrôles d'intégrité et de disponibilité des services Les services IBM Cloud sont soumis à des tests d'intrusion et à un scannage de vulnérabilité avant la mise en production. En outre, les tests d'intrusion, le scannage de vulnérabilité et le piratage éthique sont réalisés régulièrement par IBM et des tiers indépendants agréés. Les modifications des logiciels d'application et des ressources de système d'exploitation sont régies par la procédure de gestion des modifications d'IBM. Les modifications des périphériques réseau et des règles de pare-feu sont également régies par la procédure de gestion des modifications et sont séparément examinées par le personnel de sécurité avant d'être mises en oeuvre. Les services de centre de données d'IBM prennent en charge de nombreux protocoles de distribution d'informations pour la transmission de données sur les réseaux publics, par exemple HTTPS, SFTP et FTPS. IBM surveille systématiquement les ressources de centre de données de production 24 heures sur 24 et 7 jours sur 7. Des scannages de vulnérabilité internes et externes sont régulièrement effectués par des administrateurs autorisés pour aider à détecter et résoudre les risques potentiels. Chaque service IBM Cloud est associé à des plans de continuité des opérations et de reprise après incident qui sont développés, gérés, vérifiés et testés conformément à la norme ISO 27002 « Code de bonne pratique relatif à la gestion de la sécurité de l'information ». Les objectifs de point de reprise et de temps de reprise pour chaque service Cloud sont établis en fonction de l'architecture du service et de l'usage auquel il est destiné et sont indiqués dans le descriptif de service ou un autre document de transaction. Les données de sauvegarde destinées au KUP12494-FRFR-01 Principes de sécurité et de protection des données : Services IBM Cloud stockage hors site, le cas échéant, sont chiffrées avant le transport. Des activités de configuration de paramètres de sécurité et de gestion de correctifs sont effectuées et examinées régulièrement. L'infrastructure d'IBM est soumise à des concepts de planification d'urgence, tels que reprise après incident et fonction miroir de disque solide. Les plans de continuité des opérations pour l'infrastructure d'IBM sont documentés et régulièrement re-validés. Consignation d'activité et contrôle d'entrée La politique IBM nécessite la consignation et la surveillance des accès et activités d'administration dans les environnements informatiques de ses services Cloud, ainsi que l'archivage et la conservation des journaux conformément au plan WRM (Worldwide Records Management) d'IBM. Les modifications apportées aux services Cloud de production sont enregistrées et gérées conformément à la procédure de gestion des modifications d'IBM. Sécurité physique et contrôle d'entrée IBM gère des normes de sécurité physique conçues pour restreindre l'accès physique non autorisé aux ressources de centre de données. Les points d'entrée des centres de données IBM sont limités, contrôlés par des lecteurs d'accès et surveillés par des caméras de surveillance. L'accès n'est autorisé que par le personnel agréé. Les zones de livraison et les plateformes de chargement permettant l'accès des personnes non autorisées aux locaux sont rigoureusement contrôlées. Les livraisons sont planifiées d'avance et doivent être approuvées par le personnel autorisé. Les employés ne faisant pas partie du personnel des opérations, des installations et de la sécurité sont enregistrés dès leur arrivée dans les locaux et sont accompagnés lorsqu'ils se trouvent dans les locaux. Les employés dont le contrat de travail prend fin sont retirés de la liste d'accès et doivent restituer leurs badges d'accès. L'utilisation des badges d'accès est consignée. Principes de sécurité et de protection des données : Services IBM Cloud 5 Contrôle des commandes Le traitement des données est réalisé conformément à un contrat d'offre dans lequel IBM décrit les modalités, les fonctionnalités, l'assistance et la maintenance d'une offre de service cloud et les mesures prises pour maintenir la confidentialité, l'intégrité et la disponibilité des données client. Conformité Les pratiques de gestion et normes de sécurité des informations d'IBM pour les services Cloud sont alignées sur la norme ISO/IEC 27001 relative à la gestion de la sécurité des informations et sont conformes à la norme ISO/IEC 27002 « Code de bonne pratique relatif à la gestion de la sécurité de l'information ». Des évaluations et des audits sont effectués régulièrement par IBM pour suivre le respect des normes de sécurité des informations. En outre, des audits répondant aux normes de l'industrie sont menés annuellement par des tiers indépendants dans tous les centres de données de production IBM. Sous-traitants tiers du traitement des données Les services IBM Cloud peuvent exiger que des soustraitants tiers du traitement des données accèdent aux données client dans le cadre de l'exercice normal de leurs obligations contractuelles. Si un tel soustraitant tiers du traitement des données participe à la prestation d'un service Cloud, le rôle de sous-traitant du traitement des données sera accordé sur demande. IBM exige que tous lesdits sous-traitants du traitement des données respectent les normes, pratiques et politiques permettant de conserver le niveau global de sécurité et de protection de données fourni par IBM. KUP12494-FRFR-01 6 Principes de sécurité et de protection des données : Services IBM Cloud © Copyright IBM Corporation 2016 IBM Corporation Route 100 Somers, NY 10589 Produit aux Etats-Unis Avril 2016 IBM, le logo IBM et ibm.com sont des marques d'International Business Machines Corp., enregistrées auprès de nombreuses juridictions dans le monde. Les autres noms de produits et de services peuvent être des marques d'IBM ou d'autres sociétés. La liste actualisée des marques commerciales d'IBM est disponible sur le Web sous « Copyright and trademark information », à l'adresse ibm.com/legal/copytrade.shtml Le présent document est en vigueur et valide à la date de la première publication et peut être modifié par IBM à tout moment. Les produits IBM sont garantis conformément aux dispositions des contrats de licence avec lesquels ils sont fournis. Merci de recycler KUP12494-FRFR-01