Sécurité et conformité

Virtustream Enterprise Cloud

Virtustream s’engage à fournir les meilleurs niveaux de sécurité et de conformité pour protéger votre entreprise.

Virtustream Enterprise Cloud regroupe, sur une plate-forme intégrée unique, une technologie complète permettant de prendre en charge la gestion des risques et de la conformité tout au long de la chaîne opérationnelle et technique.

UN ENGAGEMENT EN MATIÈRE DE CONFORMITÉ

Une approche rigoureuse de la gestion de la sécurité des systèmes d'information constitue un en enjeu essentiel pour l’administration des sites et des opérations. C’est la raison pour laquelle tous les datacenters Virtustream s’accompagnent des certifications appropriées. De plus, notre équipe technique affectée aux datacenters fait l’objet d’une accréditation au regard des exigences de sécurité gouvernementales.

Nos datacenters et notre offre IaaS font l’objet de plusieurs accréditations gouvernementales et sectorielles majeures, dont les certifications, notamment :

  • SSAE18/ISAE3402/HITRUST/SOC1
  • SOC2
  • SOC3
  • PCI DSS 3.2
  • FedRAMP
  • ISO 27001:2013
  • ISO 9001:2015
  • ISO 22301:2012
  • HIPAA/HITECH
  • IRAP

Virtustream travaille en étroite collaboration avec les clients afin de garantir que leurs charges applicatives d’entreprise sont hébergées dans l’environnement approprié en fonction de leurs besoins de conformité.

Certifications de conformité de Virtustream Enterprise Cloud

Security_Chart_fr.png#asset:4658

CONFORMITÉ GLOBALE

Virtustream propose VirtustreamEnterprise Cloud dans les datacenters dans le monde entier, notamment enEurope, au Japon, en Australie et dans de nombreux sites aux États-Unis. Comptetenu de cette implantation mondiale, l’initiative de conformité de Virtustreamrépond aux besoins de nos clients avec des offres, certifications, attestationset structures locales, régionales et sectorielles, ainsi que des services Cloudet des logiciels qui aident nos clients à respecter les obligations du Règlementgénéral sur la protection des données (GDPR) de l’Union européenne et à faire face aux risques élevés quil’accompagnent. En ce qui concerne le GDPR, Virtustream Enterprise Cloud a été certifiépar CISPE, association professionnellede fournisseurs de services d’infrastructure Cloud en Europe.

CONFIANCE

L’établissement de relations de confiance constitue la pierre angulaire de toute stratégie de sécurité. Cette exigence se vérifie tout particulièrement pour les systèmes de type Cloud, dans lesquels des utilisateurs, systèmes et logiciels disséminés doivent être capables de valider l’identité d’autres utilisateurs, systèmes et logiciels. Pour garantir des environnements de Cloud computing sécurisés, Virtustream Enterprise Cloud fait appel à des innovations leaders sur le marché telles que l’authentification à deux facteurs Intel TXT et le chiffrement sur l’ensemble du système.

INTEL TRUSTED EXECUTION TECHNOLOGY (TXT)

Le logiciel Virtustream xStream prend en charge la technologie Intel TXT afin de garantir un environnement d’amorçage sécurisé lors de l’utilisation avec des composants matériels compatibles avec TXT. Intel TXT protège les logiciels système critiques en validant le code appartenant à des programmes dignes de confiance (par exemple, un BIOS ou un hyperviseur « réputé de qualité », ou encore le logiciel xStream lui-même) avant d’autoriser son exécution.

En assurant la prévention des menaces émergentes sur les machines hôtes telles que les attaques d’hyperviseur, du BIOS et du microprogramme, les installations de rootkits malveillants, ou d’autres exploitations des logiciels, xStream et Intel TXT fournissent une plate-forme informatique fiable pour l’exécution des services Cloud adaptés aux entreprises.

AUTHENTIFICATION À DEUX FACTEURS

Virtustream Enterprise Cloud s’appuie sur une authentification à deux facteurs puissante en tant que mécanisme d’authentification standard pour les utilisateurs accédant au portail de gestion. Les utilisateurs sont reconnus via un code PIN et un mot de passe à usage unique sélectionnés par eux-mêmes et générés via un jeton logiciel ou matériel, afin de garantir avec un niveau de confiance élevé que l’accès à la console de gestion est restreint aux utilisateurs autorisés. Nous prenons en charge les jetons logiciels sur différentes plates-formes, dont les systèmes iOS, Android ou les postes de travail.

CHIFFREMENT

Le chiffrement, un fondement de la confidentialité et de l’intégrité, est présent à tous les niveaux de la solution Virtustream Enterprise Cloud. Différents produits tiers sont utilisés pour sécuriser les données au repos et en mouvement, ainsi que pour authentifier les différents composants du package technologique Virtustream Enterprise Cloud. Le recours à une technologie de chiffrement conforme aux prescriptions FIPS permet à Virtustream Enterprise Cloud de prendre en charge toutes les exigences cryptographiques majeures en matière de protection des systèmes de fichiers, des bases de données et de la couche de transport réseau.

VISIBILITÉ

La visibilité, autrement dit la possibilité de vérifier et surveiller l’état de votre environnement IT à tout moment, est un critère indissociable de la sécurité. Virtustream Enterprise Cloud garantit une visibilité complète de la pile Cloud, depuis la couche réseau jusqu’à la sécurité et la conformité globales de l’organisation, via une interface de gestion unifiée.

Audit

La réalisation d’audits de sécurité efficaces exige la journalisation de l’ensemble des éléments constitutifs du niveau de gestion de Cloud de Virtustream. Pour répondre à cette nécessité, Virtustream Enterprise Cloud procède à une consignation de tous les événements auditables au sein du système et permet la création de rapports depuis le portail des opérations. Les clients peuvent étendre leurs outils d’audit dans leur espace de tenant ou décider de mettre en œuvre la fonctionnalité payante de consignation de la gestion des événements et des informations relatives à la sécurité de Virtustream.

Virtustream Enterprise Cloud fournit des fonctions d’audit et de conformité en continu pour satisfaire aux exigences des infrastructures de conformité et de protection des informations les plus récentes.

ALERTES

Le moteur de génération d’alertes de Virtustream Enterprise Cloud aide les entreprises à surveiller et à gérer les risques en matière de sécurité de façon permanente, en permettant aux administrateurs de définir des alertes et des alarmes concernant une grande diversité d’événements de sécurité sur les systèmes.

GESTION DES ÉVÉNEMENTS ET DES INFORMATIONS DE SÉCURITÉ (SIEM)

Pour répondre aux exigences de sécurité d’entreprise les plus strictes, Virtustream Enterprise Cloud fournit un framework SIEM en temps réel étroitement intégré afin de garantir un degré élevé de précision d’évaluation des situations. L’architecture SIEM de Virtustream Enterprise Cloud comprend des fonctionnalités de gestion avancée des fichiers journaux, de corrélation des événements, de gestion des alarmes et des alertes, ainsi que des tableaux de bord de sécurité détaillés. En outre, Virtustream Enterprise Cloud SIEM propose un large éventail de fonctions de gestion de la conformité.

CONTRÔLE

Une fois la fiabilité et la visibilité établies, un plan de sécurité sain doit s’appuyer sur des contrôles fonctionnels pour mettre pleinement en œuvre la stratégie de l’entreprise. Virtustream Enterprise Cloud dispose de plusieurs fonctionnalités destinées à assurer les contrôles de sécurité d’entreprise, y compris l’autorisation basée sur les rôles, le contrôle du réseau, ainsi que les fonctionnalités avancées de multitenancy et de fédération dans le Cloud.

CONTRÔLE D'ACCÈS BASÉ SUR LES RÔLES (RBAC)

La réduction au minimum des menaces au niveau interne exige une séparation stricte des responsabilités administratives. Pour faciliter cette tâche, Virtustream Enterprise Cloud fournit des contrôles d’accès basés sur les rôles qui délivrent des autorisations granulaires en fonction des rôles définis par l’utilisateur. La portée de ces rôles va des super-administrateurs, disposant d’un contrôle total, à l’accès en lecture seule pour les utilisateurs soumis à des restrictions.

Dans le cadre du processus d’embauche, les employés sont soumis à un processus de filtrage applicable selon les réglementations locales. La formation annuelle sur la conformité de Dell exige des employés qu’ils suivent un cours en ligne et qu’ils se soumettent à une évaluation couvrant la sécurité des informations et la protection des données personnelles. Le programme de sensibilisation à la sécurité peut également fournir des documents spécifiques à certaines fonctions.

PARE-FEU VIRTUEL

La technologie complète du pare-feu virtuel disponible dans Virtustream Enterprise Cloud peut être activée afin de protéger l’infrastructure virtuelle contre les attaques visant la couche de transport. En offrant une vue complète de l’ensemble du trafic réseau, des paramètres du réseau virtuel et du statut des machines virtuelles, ce pare-feu virtuel garantit le contrôle d’accès au moyen de règles avec état (stateful) qui définissent les ports, protocoles, destinations et machines virtuelles devant être bloqués.