Sécurité d`Adobe Marketing Cloud
Sécurité d'Adobe Marketing Cloud Article technique
Sécurité d'Adobe Marketing Cloud
Sécurité Adobe
Chez Adobe, la sécurité de vos expériences numériques est notre priorité. En intégrant la sécurité dans nos
outils et processus internes de développement logiciel et en nous appuyant sur nos équipes
multifonctionnelles de résolution des incidents, nous nous efforçons d'être proactifs, rapides et précis sur
tous les aspects de la sécurité. À cela s'ajoute le travail en collaboration avec nos partenaires, des
chercheurs et d'autres organisations du secteur, qui nous permet de mieux comprendre les dernières
tendances et pratiques de sécurité et de les intégrer aux produits et services que nous offrons.
Cet article technique décrit l'approche proactive et les procédures adoptées par Adobe pour renforcer la
sécurité de vos données et de votre utilisation d'Adobe Marketing Cloud.
Organisation
Dans le cadre de notre engagement en matière de sécurité pour nos produits et services, Adobe place tous
ses efforts de sécurité sous la responsabilité du Chef de la sécurité. Le bureau du Chef de la sécurité
coordonne toutes les initiatives en matière de sécurité pour les produits et services ainsi que la mise en
place du SPLC (Adobe Secure Product Lifecycle) dans l'entreprise.
Le Chef de la sécurité gère également l'équipe ASSET (Adobe Secure Software Engineering Team), une
équipe centrale dédiée, constituée d'experts en sécurité. Elle conseille les équipes Adobe chargées de la
sécurité des produits et des opérations, notamment l'équipe DMIST (Digital Marketing Information
Security Team) pour Adobe Marketing Cloud. Les chercheurs ASSET travaillent avec chaque équipe
chargée de la sécurité des produits et des opérations pour obtenir un niveau de sécurité adapté aux
produits et services. Ils donnent à chacune des conseils d'utilisation qui leur permettront de mettre en
place des processus clairs et réutilisables pour le développement, le déploiement, les opérations et la
résolution des incidents.
Organisation de la sécurité Adobe
Sommaire
1: Sécurité Adobe
1: Organisation
2: Développement des
produits
3: Formation
3: Stratégies de sécurité
des informations
4: Le réseau Adobe
Marketing Cloud
5: Gestion des risques et
des vulnérabilités
5: Résolution des
incidents et
notication
6: Emplacements des
hébergements Adobe
7: Emplacements des
bureaux Adobe
7: Employés Adobe
8: Condentialité des
données client
8: Conclusion Chef de la
sécurité
Chef de la sécurité
des informations
Sécurité informatique
Chef de la
condentialité
Approche
proactive
Approche
réactive
Communications
Creative
Cloud
Marketing
Cloud
Document
Services
Services
gérés
2
Sécurité d'Adobe Marketing Cloud Article technique
Le responsable DMIST met en place des contrôles et des procédures, coordonne la résolution des
incidents et supervise les audits pour Adobe Marketing Cloud.
La DMIST garantit la mise en place des contrôles administratifs, techniques et physiques appropriés afin
d'empêcher l'accès non autorisé aux données client. Les membres de l'équipe de sécurité DMIST
obtiennent et mettent régulièrement à jour une certification CISSP® (Certified Information Systems
Security Professional), certification de sécurité indépendante reconnue mondialement et délivrée par
l'ISC²® (Information Systems Security Certification Consortium, Inc.). Chaque membre de l'équipe
renouvelle sa certification tous les 3 (trois) ans. Cette équipe est spécialisée dans de nombreux domaines
de sécurité, notamment la gestion des risques et des vulnérabilités, la sécurité du réseau, la surveillance,
l'audit, la conformité et la sécurité des applications.
Développement des produits
Comme pour d'autres produits et services Adobe, l'organisation Adobe Digital Marketing applique le
processus SPLC (Adobe Sofware Product Lifecycle). Réunissant plusieurs centaines de contrôles de
sécurité spécifiques stricts, dont des meilleures pratiques, des processus et des outils de développement
logiciel, le SPCL d'Adobe est intégré à tous les stades du cycle de vie du produit, depuis la conception et le
développement, jusqu'à l'assurance qualité, les tests et le déploiement. Des directives SPLC spécifiques
sont recommandées pour chaque produit ou service sur la base d'une évaluation détaillée des risques.
Grâce aux efforts continus de la communauté, le SPLC d'Adobe est constamment actualisé en fonction de
l'évolution des technologies, des pratiques de sécurité et de l'ensemble des menaces.
SPLC (Adobe Secure Product Lifecycle)
Les contrôles SPLC d'Adobe sont différents pour chaque service Adobe Marketing Cloud. Ils peuvent
inclure tout ou partie des meilleures pratiques, processus et outils recommandés suivants:
• Formation et certication en matière de sécurité pour les équipes produit
• Analyse de l'intégrité du produit, des risques et de l'ensemble des menaces
• Directives, règles et analyse en matière de codage sécurisé
• Feuilles de route du service, outils de sécurité et méthodes de test pour guider l'équipe de sécurité
Adobe Marketing Cloud dans la façon d'aborder le projet OWASP (Open Web Application Security
Project), les 10failles de sécurité des applications web les plus critiques et CWE/SANS, les 25erreurs
logicielles les plus dangereuses
• Examen complet de l'architecture de sécurité et test d'intrusion
• Examens du code source pour éliminer les failles connues pouvant entraîner des vulnérabilités
• Validation du contenu généré par l'utilisateur
• Analyse du code statique et dynamique
• Analyse de l'application et du réseau
• Vérication complète de l'état de préparation, plans de résolution et publication du matériel éducatif
pour les développeurs
SPLC (Adobe Secure Product Lifecycle)
3
Sécurité d'Adobe Marketing Cloud Article technique
Environnements de production et de développement
Adobe maintient des environnements segmentés de production et de développement, en s'appuyant sur
des contrôles techniques qui permettent de limiter l'accès aux systèmes en direct au niveau du réseau et
des applications. Les employés bénéficient d'autorisations spécifiques pour accéder aux systèmes de
développement et de production. Par ailleurs, Adobe se charge de la création, de la maintenance et de
l'analyse des journaux d'accès des systèmes clés afin d'établir la responsabilité des mesures prises dans les
environnements Adobe Digital Marketing.
Formation
Programme de certification Adobe sur la sécurité logicielle
Adobe dispense une formation continue sur la sécurité au sein des équipes de développement pour
renforcer les connaissances en matière de sécurité dans l'entreprise et améliorer la sécurité globale de nos
produits et services. Les employés qui participent au programme de certification Adobe sur la sécurité
logicielle atteignent différents niveaux de certification en réalisant des projets de sécurité.
Le programme compte quatre niveaux, chacun étant désigné par une «ceinture» de couleur: blanche, verte,
marron et noire. Les niveaux blanc et vert sont atteints après avoir suivi une formation informatique. Les
niveaux supérieurs de ceintures marron et noire passent par la réalisation de projets de sécurité pratiques sur
plusieurs mois, voire une année. Les employés qui atteignent les niveaux marron et noir deviennent
respectivement champions et experts en matière de sécurité au sein de leur équipe produit. Adobe actualise
chaque année sa formation pour prendre en compte les nouvelles menaces et les nouveaux langages logiciels.
Programme de certication Adobe sur la sécurité logicielle
L'équipe de sécurité d'Adobe Marketing Cloud dispense également une formation spécifique pour chaque
service (par ex., Opérations réseau, Ingénierie et Services à la clientèle) tous les ans et chaque fois qu'elle
s'avère nécessaire.
Formation de sensibilisation à la sécurité
Les employés Adobe suivent une formation de sensibilisation à la sécurité dans le cadre de leur processus
d'orientation. Par ailleurs, les employés d'Adobe Digital Marketing participent à des séminaires internes de
sensibilisation à la sécurité ainsi qu'à d'autres activités pour qu'ils comprennent la façon dont la sécurité
affecte leur rôle spécifique au sein de l'organisation et de l'entreprise en général.
Stratégies de sécurité des informations
En s'appuyant sur la norme ISO27001, Adobe met en œuvre de nombreuses stratégies de sécurité des
informations au niveau de l'entreprise pour protéger à la fois nos données entreprise et celles de nos
clients. Chaque stratégie subit un processus d'approbation administratif:
• Stratégie générale de sécurité des informations
• Stratégie de sécurité réseau
• Stratégie d'accès à distance et d'utilisation des télécommunications
• Stratégie des télécommunications électroniques
• Stratégie d'autorisation d'accès limitée
• Stratégie d'identiant de connexion et mot de passe
• Code de conduite professionnelle
4
Sécurité d'Adobe Marketing Cloud Article technique
Pour les services Adobe Marketing Cloud, l'entreprise définit les stratégies et procédures suivantes:
• Normes de protection des données Adobe Digital Marketing
• Normes d'authentication
• Normes de cryptographie et de communication sécurisée
• Procédures de remplacement des données
• Procédures de résolution des incidents InfoSec
• Procédures d'accès réseau en direct
• Normes des informations personnelles
• Normes de sécurité physique
• Normes de gestion des vulnérabilités
Le réseau Adobe Marketing Cloud
Nous attachons beaucoup d'importance à la sécurité réseau en raison des activités menées sur le réseau
Adobe Marketing Cloud, telles que: la collecte des données, la diffusion du contenu des données et les
activités de rapport. À cette fin, l'architecture réseau met en œuvre des pratiques standard du secteur pour la
conception de la sécurité, notamment la segmentation des environnements de développement et de
production, les segments DMZ, les bastions Internet stricts et l'authentification unique.
Accès utilisateur protégé par mot de passe
L'accès aux services Adobe Marketing Cloud requiert une authentification avec un nom d'utilisateur et un
mot de passe. Pour les services qui utilisent les identifiants Adobe, Adobe exploite l'algorithme de hachage
SHA256 associé aux salages du mot de passe et à un grand nombre d'itérations de hachage. Nous
travaillons en permanence avec nos équipes de développement pour mettre en œuvre de nouvelles
protections en fonction de l'évolution des normes d'authentification.
Gestion sécurisée
Adobe déploie des connexions réseau dédiées entre nos bureaux et nos centres de données pour
permettre une gestion sécurisée des serveurs Adobe Marketing Cloud. Toutes les connexions
administratives aux serveurs sont effectuées sur des canaux chiffrés SSH (Secure Shell), SSL (Secure Socket
Layer) ou VPN (Virtual Private Network), et l'accès à distance requiert toujours une authentification à deux
facteurs. À moins que la connexion ne provienne d'une liste d'adresses IP de confiance, Adobe n'autorise
pas l'accès administratif via Internet.
Pare-feu et équilibreurs de charge
Les pare-feu mis en place sur le réseau Adobe Marketing Cloud refusent toutes les connexions Internet, à
l'exception des connexions aux ports autorisés: Port80 pour HTTP et Port443 pour HTTPS. Les pare-feu
effectuent aussi la traduction des adresses réseau (NAT). La NAT masque l'adresse IP réelle d'un serveur afin
qu'elle soit invisible au client qui s'y connecte. Les équilibreurs de charge se substituent aux connexions
HTTP/HTTPS entrantes et distribuent des requêtes qui permettent au réseau de gérer momentanément les
pics de charge sans interruption de service. Adobe met en œuvre des pare-feu et des équilibreurs de charge
parfaitement redondants pour réduire le risque d'une interruption de trafic provoquée par un seul appareil
défectueux.
Adressage privé non routé
Adobe maintient toutes les données client sur des serveurs avec des adresses IP non routées (RFC1918).
Ces adresses privées, associées aux pare-feu Adobe Marketing Cloud et à la NAT, permettent d'empêcher
qu'un serveur du réseau soit directement accessible par une adresse depuis Internet, ce qui réduit
considérablement les vecteurs d'attaque potentiels.
Détection d'intrusion
Adobe déploie des capteurs IDS (Intrusion Detection System) aux points critiques du réseau Adobe
Marketing Cloud pour détecter les tentatives non autorisées d'accès au réseau et en avertir notre équipe de
sécurité. L'équipe de sécurité donne suite aux notifications d'intrusion en validant l'alerte et en recherchant
sur la plate-forme ciblée des signes de piratage. Régulièrement, Adobe met à jour tous les capteurs et
surveille leur fonctionnement.
5
Sécurité d'Adobe Marketing Cloud Article technique
Surveillance des services
Adobe surveille tous les serveurs, routeurs, commutateurs, équilibreurs de charge et autre équipement
critique sur le réseau Adobe Marketing Cloud 24heures sur 24, 7jours sur 7 et 365jours par an (24x7x365).
Le NOC (Network Operations Center) d'Adobe reçoit des notifications des différents systèmes de surveillance
et tente immédiatement de résoudre le moindre problème ou le transmet au personnel Adobe qualifié. Par
ailleurs, Adobe travaille également avec plusieurs entreprises tierces pour la surveillance externe.
Sauvegardes des données
Les données client de chaque produit de notre gamme Adobe Marketing Cloud sont sauvegardées
quotidiennement par des captures instantanées. Chaque capture instantanée est stockée pendant 7(sept)
jours. La combinaison des procédures de sauvegarde permet à la fois une restauration rapide des données
à partir de la sauvegarde à court-terme et une protection hors site des données.
Gestion des modifications
Adobe utilise un système de gestion des modifications à des fins de planification, ce qui favorise la
communication entre les équipes qui partagent les mêmes ressources et permet d'informer les parties
concernées des modifications en cours. Par ailleurs, Adobe utilise le système de gestion des modifications
afin de planifier les interruptions pour maintenance en dehors des périodes de trafic élevé sur le réseau.
Gestion des correctifs
Dans le but d'automatiser la distribution des correctifs aux ordinateurs hôtes au sein de l'organisation Adobe
Marketing Cloud, Adobe utilise des référentiels internes pour les correctifs et les packages, en plus d'une gestion
standard de configuration et des correctifs. Selon le rôle de l'hôte et l'importance des correctifs à appliquer,
Adobe distribue les correctifs aux hôtes au moment du déploiement et suivant un calendrier d'application de
correctifs régulier. En cas de nécessité, Adobe publie et déploie des versions d'urgence des correctifs.
Contrôles d'accès
Seuls les utilisateurs autorisés dans l'intranet d'Adobe ou les utilisateurs distants ayant terminé le
processus d'authentification à plusieurs facteurs pour la connexion VPN, ont accès aux outils
administratifs. Par ailleurs, Adobe enregistre toutes les connexions au serveur de production Adobe
Marketing Cloud à des fins d'audit.
Analyse scientifique
Adobe adopte un processus d'analyse scientifique qui comprend les éléments suivants: capture d'images
complète, conservation sécurisée des preuves et enregistrement de la chaîne de responsabilité. Adobe
peut être amené à faire appel aux forces publiques dans les situations qui requièrent une investigation plus
poussée ou des poursuites judiciaires.
Gestion des risques et des vulnérabilités
Audits
Adobe effectue des audits internes et travaille en collaboration avec des tiers pour effectuer des audits de
sécurité en guise de vérification supplémentaire par rapport aux stratégies, procédures et contrôles mis en
place sur le réseau Adobe Marketing Cloud. Ces audits sont effectués au niveau de l'entreprise, du produit
ou pour déceler des menaces spécifiques identifiées.
Test d'intrusion
Adobe coopère avec des fournisseurs tiers approuvés afin d'effectuer des tests d'intrusion capables de
déceler des potentielles failles de sécurité et visant à améliorer la sécurité globale des produits et services
Adobe. Les fournisseurs effectuent les tests conformément aux meilleures pratiques de l'industrie. Une
fois le rapport des fournisseurs reçu, Adobe documente ces vulnérabilités, évalue leur gravité et priorité à
l'aide de processus internes conformes aux meilleures pratiques de l'industrie, comme le système CVSS
(Common Vulnerability Scoring System), puis crée une stratégie d'atténuation ou un plan de rectification.
Les clients peuvent demander par écrit, et sous couvert d'un accord de confidentialité, que le fournisseur
tiers lui envoie une Lettre de conclusion des tests, incluant des informations sur la méthodologie de test
utilisée ainsi qu'un aperçu des conclusions.
Résolution des incidents et notication
De nouvelles vulnérabilités et menaces apparaissent chaque jour et Adobe s'efforce d'être aussi réactif que
possible afin d'atténuer les nouvelles menaces identifiées. Outre l'abonnement aux listes d'annonce des
vulnérabilités à l'échelle du secteur, notamment US-CERT, Bugtraq et SANS, Adobe est également abonné
aux listes des dernières alertes de sécurité émises par les plus grands fournisseurs de sécurité.
6
7
8
1
/
8
100%
