Déclaration de sécurité SentinelOne
sécurité SentinelOne
En plus de créer les solutions de protection des endpoints les plus avancées au monde, nous avons à cœur de protéger toutes les données que nous recueillons auprès des abonnés aux solutions, conformément aux normes les plus rigoureuses et aux bonnes pratiques du secteur. Nos clients exigent les plus hauts niveaux de sécurité des données, et nombre d’entre eux ont testé nos solutions pour vérifier qu’elles répondent à leurs exigences. Nous avons dépassé les attentes et reçu des éloges de la part d’entreprises qui comptent parmi les plus sophistiquées et soucieuses de la sécurité au monde.
Nous reconnaissons que les informations de nos clients doivent être correctement gérées, contrôlées et protégées. À cette fin, nous disposons d’une équipe de sécurité dédiée qui supervise le programme de sécurité des informations de SentinelOne, lequel englobe la sécurité des réseaux, la sécurité des applications, les contrôles de l’identité et des accès, la gestion des modifications, la gestion des vulnérabilités et les tests d’intrusion effectués par des tiers, la gestion des journaux et événements, la gestion des risques des fournisseurs, la sécurité des endpoints, la sécurité physique, la gouvernance et la conformité, la sécurité des personnes/RH, la reprise après sinistre et une foule de contrôles supplémentaires. Par exemple, nos serveurs sont protégés par des systèmes de pare-feu haut de gamme ; des analyses sont effectuées régulièrement pour s’assurer que toute vulnérabilité identifiée est rapidement repérée et corrigée ; des tests d’intrusion complets sont effectués chaque année ; et les données des clients sont traitées et stockées dans un centre de données connu du client situé dans une région spécifique telle que l’Amérique du Nord, l’Europe ou l’Asie. L’accès aux systèmes est limité à des personnes spécifiques sur la base du principe de nécessité et fait l’objet de contrôles et d’audits de conformité. Nous utilisons le cryptage TLS (Transport Layer Security), également connu sous le nom de HTTPS, pour tous les transferts de données des clients, et les clients peuvent choisir de faire chiffrer toutes leurs données au repos. Nos solutions sont hébergées par AWS, qui est soumis à des audits indépendants selon les normes ISO 27001 et SOC 3 Type II décrites ici. Afin de s’assurer que nous maintenons les niveaux de sécurité des informations les plus élevés possibles, SentinelOne s’est procuré les services d’un auditeur tiers réputé et évalue chaque année ses pratiques de sécurité des informations conformément à la norme ISO 27001. SentinelOne travaille également sur un programme de conformité FedRAMP et devrait recevoir la certification FedRamp Moderate ATO au troisième trimestre 2020.
Enfin, si vous êtes un client, nous vous demandons de veiller à ce que vos administrateurs des solutions observent des pratiques de sécurité rigoureuses pour la gestion des identifiants d’accès à votre instance des solutions, notamment en exigeant des mots de passe de compte forts et en limitant l’accès à vos comptes aux personnes autorisées. Si vous découvrez que des identifiants de compte ont été compromis, nous vous demandons de nous en informer immédiatement en contactant notre équipe de support.
Comment SentinelOne peut aider votre entreprise à répondre aux besoins de conformité
Conformité PCI
La solution antimalware de SentinelOne peut aider votre entreprise à se mettre en conformité avec l’exigence numéro 5 de la norme PCI DSS, qui impose que les entreprises utilisent et mettent régulièrement à jour des logiciels ou programmes antivirus sur tous les systèmes couramment touchés par des malwares.
Pour plus d’informations sur la façon dont SentinelOne peut aider votre entreprise à se mettre en conformité avec la norme PCI, lisez le livre blanc de Tevora sur la norme PCI et la loi HIPAA.
Conformité à la loi GLBA
La solution antimalware SentinelOne peut aider votre entreprise à se mettre en conformité avec la règle de protection de la loi GLBA (Gramm-Leach-Bliley Act), qui exige que les institutions financières relevant de la FTC (Federal Trade Commission) mettent en place des mesures pour assurer la sécurité des informations sur les clients qui respectent les instructions de conformité de la FTC, lesquelles imposent aux établissements financiers d’utiliser un logiciel antivirus et antispyware mis à jour automatiquement.