Essai gratuit

enterprise security

Sécurité

Lansweeper gère les données de plus de 20 000 entreprises dans le monde entier, et avec cette responsabilité, nous nous engageons à fournir à nos clients les normes de sécurité les plus élevées.

Nous sommes conscients de notre responsabilité lorsque vous, nos clients, nous confiez un volume important de données. Afin de maintenir la confiance de nos clients dans notre dispositif de sécurité et dans les fonctions de sécurité que nous fournissons, nous travaillons avec diligence pour améliorer en permanence les processus et les contrôles de sécurité et fournir à nos clients la plus grande transparence dont ils ont besoin.

Conservez vos données en toute sécurité

Nous obtenons des certifications reconnues par l’industrie et nous nous conformons aux normes et réglementations actuelles de l’industrie afin que vous puissiez avoir l’assurance que vos données restent sécurisées et conformes.

  • TX-RAMP
  • SSO
  • STAR Level One
  • GDPR
  • SOC 2 Type II

Security 3 1

L'approche de Lansweeper en matière de sécurité

Le programme de sécurité de l’information de Lansweeper est planifié, construit, géré et contrôlé par notre responsable de la sécurité de l’information. Il est assisté par plusieurs représentants des équipes des opérations, du développement et de l’informatique.

Nous organisons tous nos processus et mesures de sécurité dans un cadre de sécurité interne Lansweeper, ce qui rend facile et transparent la définition, la mise en œuvre, la surveillance et l’amélioration de nos processus et contrôles de sécurité. Les processus sont soutenus par un cadre de politique de sécurité complet. Ce cadre est organisé sur la base de normes industrielles (par exemple NIST CSF, ISO 2700x) et mis en œuvre en utilisant une approche basée sur le risque.

Nous avons mis en place plusieurs structures organisationnelles à différents niveaux pour nous assurer que notre programme de sécurité est aligné sur les objectifs de Lansweeper :

  • Équipe de gouvernance de la sécurité avec des parties prenantes du niveau C
  • Équipe de sécurité opérationnelle composée de représentants des équipes chargées des opérations, du développement et de l’informatique
  • Équipe de champions de la sécurité composée de représentants des équipes de développement

Security 4

Gestion de la vulnérabilité

Lansweeper s’efforce constamment de réduire la gravité et la fréquence des vulnérabilités dans ses logiciels et son infrastructure. À cette fin, nous avons une approche à multiples facettes et en constante évolution de la gestion des vulnérabilités qui utilise à la fois des processus automatisés et manuels dans nos logiciels et notre infrastructure pour détecter les vulnérabilités dans la production :

  • Analyse trimestrielle des vulnérabilités de nos logiciels et de notre infrastructure
  • Programme de récompenses pour les bogues
  • Politique de divulgation responsable
  • Tests de pénétration dans l’équipe d’assurance qualité

Nous centralisons et suivons les vulnérabilités que nous identifions à l’aide de nos systèmes de billetterie internes dans Jira afin de disposer d’une “vitre unique”.

Nous disposons d’un processus de réponse aux vulnérabilités, assorti d’un accord de niveau de service (SLA) interne, qui vise à remédier aux vulnérabilités dans un délai précis. Ce délai est basé sur le score CVSS.

Security 5

Sécurité des applications

Une procédure SDLC sécurisée est définie et mise en œuvre dans l’ensemble de Lansweeper afin de garantir que la sécurité est intégrée dès le début d’un nouveau projet et qu’elle se poursuit pendant toute la durée de vie du système. Le personnel responsable révise la procédure chaque année et obtient l’approbation de la direction pour les versions révisées créées au cours du processus de révision.

Notre procédure SDLC comprend, sans s’y limiter, la sécurité dans la phase de conception, le SAST, les évaluations par les pairs, le SCA, les tests de bout en bout, etc.

La plateforme cloud de Lansweeper utilise un fournisseur d’identité de confiance (Auth0) qui garantit une authentification sécurisée et à la pointe de la technologie de vos données d’actifs. Les demandes d’authentification sont protégées par un mot de passe fort.

Nous partageons avec nos clients la responsabilité de la sécurité de nos logiciels sur site. Cependant, nous aidons nos clients autant que possible à assumer leurs responsabilités en matière de sécurité. Vous trouverez ici de plus amples informations sur la manière de configurer correctement le logiciel sur site en toute sécurité.

Security 2

Sécurité des infrastructures

Notre plateforme est hébergée sur AWS et Azure. Conformément au “modèle de responsabilité partagée”, ils sont responsables de la protection de l’infrastructure qui fait fonctionner tous les services offerts dans le nuage. Notre infrastructure est protégée par de multiples mécanismes de sécurité :

  • Les données sur les actifs des clients sont logiquement séparées des données sur les actifs des autres clients dans un environnement multi-tenant ;
  • Journalisation et surveillance complètes, 24 heures sur 24 et 7 jours sur 7, des problèmes et incidents liés à l’exploitation et à la sécurité ;
  • des pare-feu pour filtrer le trafic réseau et assurer la segmentation du réseau ;
  • Un pare-feu d’application web (WAF) pour le blocage des attaques dynamiques basées sur le contenu ;
  • Des sauvegardes et des services de haute disponibilité et de résilience sont en place pour garantir qu’aucune donnée n’est perdue.
  • Un plan de reprise après sinistre est en place et est revu chaque année par le personnel concerné. Le plan de reprise après sinistre est testé au moins une fois par an.

Tous les fournisseurs de services qui soutiennent notre plateforme en nuage sont soumis à un examen des rapports d’audit et de certification disponibles afin d’évaluer et de confirmer les pratiques de sécurité mises en œuvre.

Security 5

Cryptage

Lansweeper crypte toutes les données en transit et au repos :

  • Les données en transit sont cryptées à l’aide de TLS ;
  • Les données au repos sont cryptées dans notre infrastructure à l’aide de protocoles de cryptage puissants (AES-256) ;
  • Les informations d’identification sont cryptées à l’aide d’un cryptage puissant avant d’être ajoutées à votre base de données Lansweeper.

 

Gestion de l’accès

L’accès à notre plateforme en nuage par le personnel de Lansweeper ou les sous-traitants est basé sur le principe du moindre privilège et du besoin de savoir. Nous procédons régulièrement à des examens de l’accès des utilisateurs afin de nous assurer que les autorisations appropriées sont en place. L’accès est accordé et révoqué selon des processus formels de gestion de l’accès.

Security 6 e1634653584473

Sensibilisation et formation à la sécurité

L’ensemble du personnel est soumis et tenu de suivre des sessions récurrentes de sensibilisation à la sécurité lors de l’intégration et de l’emploi par le biais d’un programme automatisé de sensibilisation à la sécurité. La sensibilisation à la sécurité se concentre sur la compréhension du cadre de sécurité de Lansweeper et des menaces et risques actuels dont tout le personnel doit être conscient.