Norme d'assurance

Introduction


L'assurance de sécurité est un terme générique désignant plusieurs processus visant à garantir que les composants individuels du système peuvent se protéger de manière adéquate contre les attaques. La mise en œuvre de ces processus ne constitue pas un effort ponctuel mais couvre tout le cycle de vie du système. Les processus clés qui contribuent au programme d'assurance de sécurité du Groupe Altus sont :

  • Renforcement de la sécurité  - Le renforcement de la sécurité décrit la minimisation de la surface d'attaque d'un système et la configuration appropriée des fonctions de sécurité.

  • Tests de sécurité - Les tests de sécurité visent à évaluer la sécurité d’un système en essayant d’identifier les faiblesses ou vulnérabilités restantes après le renforcement de la sécurité. Cela comprend des tests internes et une assurance tierce.

  1. Tests internes

  2. Assurance tierce



Environnement


  • Aucune vulnérabilité élevée ou critique n'est introduite en production

  • Toutes les vulnérabilités nouvellement découvertes en production sont évaluées avec contrôles en place pour déterminer s'ils sont activement exploitables.

  • Des évaluations tierces sont entreprises sur l'environnement hors production, à moins qu'il ne s'agisse pas d'un fac-similé de l'environnement de production.

  • Toute modification apportée à l'infrastructure des applications client existante est évaluée par l'équipe de sécurité de l'information afin de déterminer si une évaluation par un tiers est nécessaire.



Conception, développement et documentation


  • Le renforcement est pris en compte lors des étapes de planification de chaque nouveau développement d'application d'infrastructure.

  • La documentation de l'application est tenue à jour pour garantir des conseils clairs aux testeurs tiers.

  • Le code source de l'application est examiné pour détecter les vulnérabilités pendant le développement.



Protection des données et sécurité des informations


  • Le type de données et la classification des données stockées ou transférées par les composants de l'application éclairent le processus de renforcement.

  • Outils de test de sécurité approuvés par Altus n'envoyez à aucun moment des données client hors des environnements Altus.

  • Les tests d'assurance tiers doivent être conformes aux lois pertinentes sur la protection des données pour les données contenues dans l'environnement testé.



Essai


  • Les applications client Altus sont analysées avec les outils de gestion des vulnérabilités approuvés par Altus.

  • Les nouvelles applications ou les modifications importantes apportées aux applications sont testées par un tiers avant d'être utilisées en production.



Assainissement


  • La correction de la vulnérabilité est terminée dans le délai prévu par le SLA.

  • S'il n'est pas possible de remédier à la vulnérabilité, des contrôles compensatoires sont appliqués pour réduire le risque.

  • Les vulnérabilités découvertes par des tests tiers sont testées à nouveau après correction.



Gestion des versions et déploiement


Toutes les nouvelles infrastructures et applications doivent être renforcées et mises en œuvre conformément à la norme ou à la directive pertinente.

  • L'infrastructure cloud est évaluée par rapport au cadre de cybersécurité du NIST à l'aide d'un Outil de gestion de la posture approuvé par Altus.

  • Le nouveau code d'application est examiné avant le déploiement


Liens rapides
Contrôle d'accèsNorme d'assuranceGestion du changementGouvernance d'entrepriseNorme cryptographiqueSécurité RHPlan de réponse aux incidentsAppareils mobiles et ordinateurs portablesSécurité InternetSécurité physique et environnementaleGestion des risquesDéveloppement sécurisé