Votre entreprise est la cible d'une compromission ?

Déclaration de sécurité SentinelOne

sécurité SentinelOne

En plus de créer les solutions de protection des endpoints les plus avancées au monde, nous avons à cœur de protéger toutes les données que nous recueillons auprès des abonnés aux solutions, conformément aux normes les plus rigoureuses et aux bonnes pratiques du secteur. Nos clients exigent les plus hauts niveaux de sécurité des données, et nombre d’entre eux ont testé nos solutions pour vérifier qu’elles répondent à leurs exigences. Nous avons dépassé les attentes et reçu des éloges de la part d’entreprises qui comptent parmi les plus sophistiquées et soucieuses de la sécurité au monde.

Nous reconnaissons que les informations de nos clients doivent être correctement gérées, contrôlées et protégées. À cette fin, nous disposons d’une équipe de sécurité dédiée qui supervise le programme de sécurité des informations de SentinelOne, lequel englobe la sécurité des réseaux, la sécurité des applications, les contrôles de l’identité et des accès, la gestion des modifications, la gestion des vulnérabilités et les tests d’intrusion effectués par des tiers, la gestion des journaux et événements, la gestion des risques des fournisseurs, la sécurité des endpoints, la sécurité physique, la gouvernance et la conformité, la sécurité des personnes/RH, la reprise après sinistre et une foule de contrôles supplémentaires. Par exemple, nos serveurs sont protégés par des systèmes de pare-feu haut de gamme ; des analyses sont effectuées régulièrement pour s’assurer que toute vulnérabilité identifiée est rapidement repérée et corrigée ; des tests d’intrusion complets sont effectués chaque année ; et les données des clients sont traitées et stockées dans un centre de données connu du client situé dans une région spécifique telle que l’Amérique du Nord, l’Europe ou l’Asie. L’accès aux systèmes est limité à des personnes spécifiques sur la base du principe de nécessité et fait l’objet de contrôles et d’audits de conformité. Nous utilisons le cryptage TLS (Transport Layer Security), également connu sous le nom de HTTPS, pour tous les transferts de données des clients, et les clients peuvent choisir de faire chiffrer toutes leurs données au repos. Nos solutions sont hébergées par AWS, qui est soumis à des audits indépendants selon les normes ISO 27001 et SOC 3 Type II décrites ici. Afin de s’assurer que nous maintenons les niveaux de sécurité des informations les plus élevés possibles, SentinelOne s’est procuré les services d’un auditeur tiers réputé et évalue chaque année ses pratiques de sécurité des informations conformément à la norme ISO 27001. SentinelOne travaille également sur un programme de conformité FedRAMP et devrait recevoir la certification FedRamp Moderate ATO au troisième trimestre 2020.

Enfin, si vous êtes un client, nous vous demandons de veiller à ce que vos administrateurs des solutions observent des pratiques de sécurité rigoureuses pour la gestion des identifiants d’accès à votre instance des solutions, notamment en exigeant des mots de passe de compte forts et en limitant l’accès à vos comptes aux personnes autorisées. Si vous découvrez que des identifiants de compte ont été compromis, nous vous demandons de nous en informer immédiatement en contactant notre équipe de support.

Lire le message de SentinelOne concernant la COVID-19

Conformité de SentinelOne

Conformité à la loi GLBA

 

SentinelOne fournit des solutions de protection des endpoints qui collectent et traitent divers ensembles de données de manière égale, indépendamment de la manière dont un client peut classifier ses données. Tout traitement de types de données spécifiques est purement accessoire et n’est pas nécessaire pour utiliser les solutions. SentinelOne ne collecte aucune information non publique (NPI) telle que définie par la loi GLBA (Gramm-Leach-Bliley Act).

SentinelOne a conçu et mis en œuvre un programme de sécurité des informations sophistiqué pour protéger les données de ses clients conformément à la règle de protection définie par la loi GLBA, et est maintenant en conformité avec cette règle.

ISO 27001 Certification

En septembre 2018, SentinelOne a obtenu sa certification ISO/IEC 27001:2013, qui confirme le maintien par SentinelOne des plus hauts niveaux de sécurité des informations et son engagement en la matière.

La norme ISO/IEC 27001:2013 spécifie les exigences relatives à la création, l’implémentation, le maintien et l’optimisation du système de gestion de la sécurité des informations au sein de l’entreprise.

La certification ISO/IEC 27001:2013 de SentinelOne a été délivrée par Schellman & Company LLC à la suite d’un processus d’audit complet ; voir le certificat de SentinelOne. Vous pouvez également vérifier l’état de la certification de manière indépendante.

Comment SentinelOne peut aider votre entreprise à répondre aux besoins de conformité

Conformité PCI

La solution antimalware de SentinelOne peut aider votre entreprise à se mettre en conformité avec l’exigence numéro 5 de la norme PCI DSS, qui impose que les entreprises utilisent et mettent régulièrement à jour des logiciels ou programmes antivirus sur tous les systèmes couramment touchés par des malwares.

Pour plus d’informations sur la façon dont SentinelOne peut aider votre entreprise à se mettre en conformité avec la norme PCI, lisez le livre blanc de Tevora sur la norme PCI et la loi HIPAA.

Conformité à la loi GLBA

La solution antimalware SentinelOne peut aider votre entreprise à se mettre en conformité avec la règle de protection de la loi GLBA (Gramm-Leach-Bliley Act), qui exige que les institutions financières relevant de la FTC (Federal Trade Commission) mettent en place des mesures pour assurer la sécurité des informations sur les clients qui respectent les instructions de conformité de la FTC, lesquelles imposent aux établissements financiers d’utiliser un logiciel antivirus et antispyware mis à jour automatiquement.