Présentation de la sécurité

Quelles sont les ressources à protéger ?

• Données client, telles que les numéros de carte de crédit
• Données internes, telles que le code source propriétaire
• Composants système (protégés contre les attaques externes ou les surcharges système intentionnelles)

De qui protégez-vous les données ?

Analysez vos workflows afin de déterminer qui a besoin d'accéder aux données. Par exemple, vous devez protéger les données des abonnés par rapport aux autres abonnés, mais quelqu'un de votre organisation doit pouvoir accéder à ces données pour les gérer.

Examinez attentivement la quantité d'accès à accorder à un administrateur système. Un administrateur système peut être en mesure de gérer les composants de votre système sans avoir à accéder aux données système.

Que se passe-t-il en cas d'échec des protections sur une ressource stratégique ?

Parfois, une erreur dans votre système de sécurité n'est qu'un inconvénient. À d'autres moments, une faute peut vous endommager ou endommager vos clients. Comprendre les implications de sécurité de chaque ressource vous aide à la protéger.

Identity and Access Management (IAM)

Vous êtes responsable de la protection de vos informations d'identification d'accès au cloud et de la configuration de comptes utilisateur individuels. Vous êtes également responsable de la gestion et de la vérification de l'accès pour les comptes d'employé, et pour toutes les activités survenant sous votre location.

Oracle est responsable de la fourniture de services IAM efficaces, tels que la gestion des identités, l'authentification, l'autorisation et l'audit.

Sécurité de la charge globale

Vous êtes responsable de la protection et de la sécurisation des couches de système d'exploitation et d'application de vos instances de calcul contre les attaques et les risques. Cette protection inclut l'application de patches aux applications et aux systèmes d'exploitation, la configuration des systèmes d'exploitation et la protection contre les logiciels malveillants et les attaques réseau.

Oracle est responsable de la fourniture d'images sécurisées et de l'application des derniers patches. Oracle vous permet également d'utiliser les solutions de sécurité tierces que vous utilisez déjà sur site.

Classification et conformité des données

Vous êtes responsable de la classification et du libellé corrects de vos données, ainsi que du respect des obligations de conformité. Vous êtes également chargé d'auditer vos solutions afin de vous assurer qu'elles remplissent les obligations en matière de conformité.

Sécurité de l'infrastructure hôte

Vous êtes responsable de la configuration et de la gestion sécurisées des services de calcul (hôtes virtuels, conteneurs), de stockage (objets, fichiers, stockage local, volumes de blocs) et de plate-forme (configuration de base de données).

Oracle partage la responsabilité avec vous de s'assurer que le service est configuré et sécurisé de manière optimale. Cette responsabilité inclut la sécurité de l'hyperviseur ainsi que la configuration des droits et des contrôles d'accès réseau.

Sécurité réseau

Vous êtes responsable de la configuration sécurisée des éléments de réseau tels que les réseaux virtuels, l'équilibrage de charge, DNS et les passerelles. Vous vous assurez que les hôtes peuvent communiquer correctement et que les appareils peuvent attacher ou monter les périphériques de stockage appropriés.

Oracle est responsable de la fourniture d'une infrastructure réseau sécurisée. La protection L3/4 DDoS est incluse avec tous les comptes Oracle Cloud Infrastructure et aucune configuration ni surveillance n'est requise.

Protection des adresses et des clients

Votre entreprise utilise divers systèmes matériels et logiciels, comme des appareils mobiles et des navigateurs, pour accéder à vos ressources cloud. Vous êtes responsable de la sécurisation de tous les clients et de toutes les adresses que vous autorisez à accéder aux services OCI.

Sécurité physique

Oracle est responsable de la protection de l'infrastructure globale qui exécute les services offerts par OCI. Cette infrastructure comprend le matériel, les logiciels, les réseaux et les installations.

Culture de sécurité

Une culture axée sur la sécurité est essentielle pour créer une organisation soucieuse de la sécurité. Tous les membres de l'équipe OCI comprennent le rôle que joue la sécurité dans notre entreprise, et ils sont activement engagés dans la gestion et l'amélioration de la posture de sécurité de nos produits. Nous avons également mis en place les mécanismes suivants pour nous aider à créer et maintenir une culture soucieuse de la sécurité :

• Leadership sécuritaire : les dirigeants sont activement impliqués dans la planification, la surveillance et la gestion de la sécurité. Nous nous caractérisons et nous évaluons selon des mesures de sécurité et la sécurité est un composant dans les processus d'évaluation d'équipe.
• Expertise intégrée : les membres de l'équipe de sécurité travaillent en étroite collaboration avec les équipes de développement de produits. Cette approche permet à notre organisation chargée de la sécurité d'acquérir une compréhension approfondie des processus de développement de produits et des architectures système. Cette approche aide également les équipes à résoudre rapidement les problèmes de sécurité et à mener les initiatives de sécurité plus efficacement.
• Normes de sécurité communes : nous intégrons la sécurité dans nos produits et nos opérations. Par exemple, nous établissons une référence de normes de sécurité. Cette référence fournit un point de référence unique en matière de sécurité et établit des lignes directrices claires et exploitables. Nous mettons fréquemment à jour cette base de référence pour intégrer les leçons apprises et refléter les facteurs commerciaux émergents. Nous créons également des supports pour aider nos équipes à mettre en œuvre des contrôles de sécurité. Ces documents comprennent des architectures de référence, des guides d'implémentation et l'accès à des experts en sécurité.
• Ouverture d'écran, débat constructif et escalade recommandée : les problèmes de sécurité peuvent être résolus uniquement si les personnes pouvant les corriger en sont conscientes. Nous encourageons l'escalade, et nous travaillons à créer un environnement dans lequel le fait de soulever des problèmes tôt et souvent est récompensé.
• Formation en matière de sécurité : nous maintenons des programmes de formation robustes en matière de sécurité et de sensibilisation qui renforcent notre culture de la sécurité. Nous avons besoin de formations approfondies en matière de sécurité pour tous les nouveaux employés et de formations annuelles de recyclage. Nous proposons également des formations en sécurité adaptées à des postes spécifiques. Tous les développeurs de logiciels suivent une formation en développement sécurisé qui établit les exigences de sécurité de base en matière de développement de produits et indique les meilleures pratiques à suivre. Nous fournissons également des formes engageantes et innovantes de formation à la sensibilisation à la sécurité, telles que des conférenciers invités et des forums interactifs.

Contrôles et conception de la sécurité

Nous intégrons la sécurité dans nos produits et opérations cloud grâce à une méthodologie centralisée. Cette méthodologie définit notre approche pour plusieurs domaines de sécurité de base, et ensemble ces domaines forment la base de sécurité à partir de laquelle nous construisons nos produits. Cette approche nous permet d'appliquer les meilleures pratiques et les enseignements tirés d'un seul produit dans l'ensemble de l'entreprise, renforçant ainsi la sécurité de tous nos produits.

• Authentification utilisateur et contrôle d'accès : une approche de moindre privilège est utilisée pour accorder l'accès aux systèmes de production. Les listes approuvées des membres de l'équipe de service sont révisées périodiquement pour révoquer l'accès lorsque la nécessité ne peut pas être justifiée. L'accès aux systèmes de production nécessite également une authentification multifacteur (MFA). L'équipe de sécurité accorde des jetons d'authentification à plusieurs facteurs, et les jetons des membres inactifs sont désactivés. Tous les accès aux systèmes de production sont journalisés et les journaux sont stockés à des fins d'analyse de la sécurité.
• Gestion des modifications : nous suivons un processus rigoureux de gestion des modifications et de déploiement qui utilise des outils de test et de déploiement propriétaires. Toutes les modifications déployées dans notre environnement de production sont testées et approuvées avant leur publication. Ce processus garantit que les modifications fonctionnent comme prévu et peuvent être annulées (rollback) jusqu'à un état précédent pour récupérer progressivement des bugs ou des problèmes opérationnels. Nous effectuons également un suivi de l'intégrité des configurations système stratégiques pour garantir qu'elles correspondent à l'état attendu.
• Gestion des vulnérabilités : pour identifier les vulnérabilités potentielles dans nos produits, nous faisons appel aux équipes internes chargées des tests d'intrusion et à des experts sectoriels externes. Ces experts nous aident à améliorer la sécurité de nos produits, et nous travaillons à intégrer les leçons que nous apprenons dans nos futurs travaux de développement. Nous analysons également régulièrement les hôtes OCI à la recherche de vulnérabilités à l'aide de scanners standard. Nous déterminons si les résultats de l'analyse s'appliquent à l'environnement OCI et si les équipes produit appliquent les correctifs requis selon les besoins.
• Réponse aux incidents : nous disposons de processus et de mécanismes solides pour répondre aux incidents et les résoudre en temps réel. Les équipes de réponse aux incidents sont prêtes à détecter et à répondre aux événements 24/7. Les membres critiques du personnel portent des dispositifs de radiomessagerie afin que nous puissions faire appel à l'expertise nécessaire pour résoudre les problèmes.

  Nous avons également un processus pour nous aider à apprendre de nos incidents. Nous réalisons une analyse de la cause première via notre processus d'action corrective/action préventive. Les ACP nous aident à repérer les lacunes et les changements de processus que nous pouvons apporter après un incident. Les ACP sont un langage commun que nous pouvons utiliser pour réfléchir à un problème et capturer des étapes afin d'améliorer la disponibilité opérationnelle à l'avenir. Les ACP contiennent la cause première d'un problème, la manière dont le problème peut être corrigé et les étapes à suivre pour s'assurer que le problème ne se reproduira pas. Notre équipe de direction révise toutes les actions correctives/préventives, recherche des applications interorganisationnelles afin d'identifier les enseignements tirés et garantit leur implémentation dans les meilleurs délais.

• Surveillance et journalisation de la sécurité : nous disposons de mécanismes automatisés pour la journalisation des événements liés à la sécurité (par exemple, les appels d'API et les événements réseau) dans l'infrastructure et pour la surveillance des journaux en cas de comportement anormal. L'équipe de sécurité suit et trie les alertes générées par les mécanismes de surveillance.
• Sécurité du réseau : par défaut, les communications client avec les services OCI utilisent les derniers cryptages et la configuration TLS (Transport Layer Security) pour sécuriser les données client en transit et empêcher les attaques man-in-the-middle. Pour une défense supplémentaire, les commandes client destinées aux services sont signées numériquement à l'aide de clés publiques afin d'empêcher toute altération. Les services déploient également des mécanismes et des outils de pointe dans le secteur pour réduire les risques de refus de service (DDoS) et assurer une haute disponibilité.
• Sécurité du plan de contrôle : les hôtes de back-end OCI (plan de contrôle) sont isolés en toute sécurité des instances client à l'aide de listes de contrôle d'accès réseau. Vos instances sont provisionnées et gérées par des agents logiciels qui doivent interagir avec les hôtes back-end. Seuls les agents logiciels authentifiés et autorisés peuvent interagir avec ces hôtes back-end. Pour ces hôtes, les environnements de pré-production (par exemple, développement, test et intégration) sont séparés des environnements de production afin que les activités de développement et de test n'aient pas d'impact sur les systèmes de production.
• Sécurité du serveur et gestion des médias : notre équipe de sécurité du matériel est responsable de la conception et du test de la sécurité du matériel utilisé pour les services OCI. Cette équipe utilise notre chaîne d'approvisionnement et teste les composants matériels pour les valider selon les normes de sécurité matérielles OCI rigoureuses. Cette équipe travaille également en étroite collaboration avec nos fonctions de développement produit pour s'assurer que le matériel peut retrouver son état d'origine et être sécurisé après la publication du matériel par les clients.
• Effacement sécurisé de l'hôte et destruction des médias : les instances OCI sont effacées en toute sécurité après la publication du matériel par les clients. Cet effacement sécurisé restaure le matériel à son état d'origine. Nous avons reconçu la plate-forme avec des composants matériels propriétaires qui nous permettent d'effacer et de réinitialiser le matériel de façon sécurisée. Lorsque le matériel sous-jacent a atteint sa fin de vie, il est détruit en toute sécurité. Avant de quitter nos centres de données, les lecteurs sont rendus inutilisables à l'aide de dispositifs de destruction de support de pointe.

Développement logiciel sécurisé

Le développement logiciel sécurisé nécessite l'application cohérente de méthodologies qui répondent à des objectifs et des principes de sécurité clairs. Nous élaborons des pratiques de sécurité dans tous les aspects de notre cycle de développement de produit. Nous avons des normes de développement de produits de sécurité formelles qui sont une feuille de route et un guide pour les développeurs. Ces normes abordent des domaines de connaissances de sécurité généraux, tels que les principes de conception et les vulnérabilités courantes, et fournissent des conseils spécifiques sur la validation des données, la confidentialité des données et la gestion des utilisateurs.

Nos normes de développement de produits sécurisés évoluent et s'étendent au fil du temps pour résoudre les problèmes courants affectant le code, les nouvelles menaces lorsqu'elles sont découvertes et les nouveaux cas d'utilisation de nos clients. Ces normes intègrent des informations et des enseignements tirés d'expériences passées. Elles ne sont pas isolées et ne sont pas un ajout postérieur au développement logiciel. Ils font partie intégrante des normes propres aux langages, telles que C/C++, Java, PL/SQL et autres, et constituent la pierre angulaire de nos processus et programmes de développement sécurisés.

L'analyse et les tests d'assurance de sécurité vérifient les qualités de sécurité de nos produits contre différents types d'attaques. Deux grandes catégories de tests sont utilisées : l'analyse statique et l'analyse dynamique. Ces tests s'intègrent différemment dans le cycle de développement du produit et trouvent généralement différentes catégories de problèmes, de sorte qu'ils sont utilisés conjointement par nos équipes produit.

Sécurité du personnel

Nous cherchons à embaucher les meilleurs et nous investissons dans nos employés. Nous accordons de l'importance à la formation, nous exigeons une formation de base en matière de sécurité pour tous nos employés, et nous exigeons également une formation spécialisée pour tenir nos équipes au courant des dernières technologies, exploits et méthodologies en matière de sécurité. Nos programmes annuels de formation corporative couvrent nos programmes de sécurité de l'information et de confidentialité, entre autres. Nous collaborons également avec divers groupes de l'industrie et envoyons nos employés à des conférences spécialisées pour collaborer avec d'autres experts de l'industrie sur les défis émergents. L'objectif de nos programmes de formation sur la sécurité consiste à aider nos employés à mieux protéger nos clients et nos produits. Ils peuvent ainsi progresser dans leurs domaines de connaissances en matière de sécurité, et nous aider à attirer et à fidéliser les meilleurs talents.

Nous embauchons des gens avec une éthique forte et un bon jugement. Nos employés font l'objet d'une vérification préalable à leur embauche dans les limites prévues par la loi, notamment en ce qui concerne leurs antécédents judiciaires et leur poste précédent. Nous utilisons également les processus d'évaluation des performances des équipes et des employés pour identifier les bonnes performances et aider nos équipes et nos employés à identifier les opportunités d'évolution. La sécurité est une composante des processus d'évaluation de notre équipe. Cette approche montre les performances des équipes par rapport à nos normes de sécurité et nous permet d'identifier les meilleures pratiques et les domaines d'amélioration pour les processus de sécurité critiques.

Sécurité physique

Les centres de données Oracle Cloud Infrastructure sont conçus pour la sécurité et la disponibilité des données client. Cette conception commence par notre processus de sélection de site. Les sites de paramétrage des candidats et les emplacements des fournisseurs sont soumis à un processus d'évaluation des risques approfondi. Ce processus tient compte des critères suivants, entre autres : menaces environnementales, disponibilité et stabilité de l'énergie, réputation et historique des fournisseurs, fonctions des installations voisines (par exemple, fabrication à haut risque ou cibles à haut risque) et problèmes géopolitiques.

Les centres de données OCI s'alignent sur les normes de l'Uptime Institute et de la Telecommunications Industry Association (TIA) ANSI/TIA-942-A de niveau 3 ou 4 et suivent une méthodologie de redondance N2 pour les opérations d'équipement critiques. Les centres de données hébergeant les services OCI utilisent des sources d'alimentation redondantes et maintiennent des sauvegardes de générateur pour éviter une panne électrique généralisée. Les salles de serveurs sont étroitement surveillées au niveau de la température et de l'humidité de l'air, et disposent de systèmes d'extinction des incendies. Le personnel des centres de données est formé aux procédures de réponse et d'escalade des incidents pour gérer les événements de disponibilité ou de sécurité susceptibles de se produire.

Notre approche par couches de la sécurité physique commence par la construction du site. Les centres de données sont construits de manière durable avec de l'acier, du béton ou des matériaux comparables et sont conçus pour résister aux chocs d'un véhicule léger. Nos sites sont dotés de gardes de sécurité qui sont prêts à réagir aux incidents 24/7. L'extérieur de chaque site est fixé avec des barrières de périmètre et les véhicules sont activement surveillés par des gardes et des caméras qui couvrent le périmètre du bâtiment.

Toutes les personnes qui entrent dans nos centres de données doivent d'abord passer par la sécurité aux entrées du site, qui est assurée par des agents de sécurité. Les personnes sans badge de sécurité propre au site doivent présenter une pièce d'identité émise par le gouvernement et disposer d'une demande d'accès approuvée leur permettant d'accéder au bâtiment du centre de données. Tous les employés et visiteurs doivent toujours porter des badges d'identification officiels visibles. D'autres mesures de sécurité entre l'entrée et les salles de serveurs varient en fonction de la construction du site et du profil de risque.

Les salles de serveur du centre de données sont construites avec plus de sécurité, notamment des caméras qui couvrent les salles de serveur, un contrôle d'accès à deux facteurs et des mécanismes de détection des intrusions. Des barrières physiques sont mises en place pour créer des zones de sécurité isolées autour des racks de serveur et de réseau qui s'étendent du sol (en dessous du plancher technique, le cas échéant) au plafond (y compris au-dessus des dalles du plafond, le cas échéant).

L'accès aux centres de données est soigneusement contrôlé et suit une approche d'accès avec le moins de privilèges possible. Le personnel autorisé doit approuver tous les accès aux salles du serveur et l'accès n'est accordé que pour la période nécessaire. L'utilisation d'un accès fait l'objet d'un audit et la direction du centre de données vérifie régulièrement l'accès provisionné au sein du système. Les salles de serveurs sont isolées dans des zones sécurisées qui sont gérées individuellement. L'accès est provisionné uniquement pour les zones requises par le personnel.

Opérations de sécurité

L'équipe des opérations de sécurité d'Oracle Cloud Infrastructure est responsable de la surveillance et de la sécurisation des technologies uniques d'hébergement OCI et de réseau virtuel. Cette équipe travaille et forme directement avec les ingénieurs Oracle qui développent ces technologies.

Nous nous chargeons de surveiller les menaces de sécurité Internet quotidiennes émergentes et d'implémenter les plans de réponse et de défense appropriés afin de réduire les risques pour l'entreprise. Lorsque nous estimons que des modifications urgentes sont recommandées et qu'elles relèvent de la responsabilité des clients, nous émettons des bulletins d'alerte de sécurité auprès de ces derniers pour assurer leur protection.

Lorsqu'un problème de sécurité détecté ou signalé affecte des serveurs ou des réseaux OCI, le personnel des opérations de sécurité est disponible 24/7 pour répondre, escalader ou prendre les mesures correctives requises. Si nécessaire, nous escaladons et coordonnons avec les parties externes (notamment les fournisseurs de services de réseau et d'hébergement, les fournisseurs de matériel ou les forces de l'ordre) afin de protéger OCI, nos clients, ainsi que la sécurité et la réputation de notre réseau.

Lorsque l'équipe des opérations de sécurité répond à un problème de sécurité, elle agit conformément à notre processus documenté et toutes les actions sont consignées conformément aux exigences de conformité. Nous veillons toujours à protéger les objectifs d'intégrité des services et des données, le respect de la vie privée et la continuité des activités.

Propriété des données et droits relatifs

Les clients Oracle Cloud Infrastructure conservent la propriété et les droits de propriété intellectuelle sur leur contenu. Nous nous efforçons d'être transparents quant à nos processus de protection des données et aux demandes d'application de la loi que nous pourrions recevoir.

Confidentialité des données

OCI propose des fonctionnalités qui aident les clients à s'aligner sur les principes communs de confidentialité des données. Reportez-vous aux caractéristiques de confidentialité d'Oracle Cloud Infrastructure.

Demandes d'application de la loi

Sauf obligation contraire de la loi, Oracle notifie rapidement aux clients toute citation à comparaître, ordonnance judiciaire, administrative ou arbitrale d'une agence exécutive ou administrative ou d'une autre autorité gouvernementale qu'il reçoit et qui concerne les données à caractère personnel qu'Oracle traite au nom du client. Sur demande des clients, Oracle leur fournit des informations raisonnables en sa possession, relatives à la demande d'application de la loi, ainsi que toute assistance nécessaire pour leur permettre de répondre à la demande dans les meilleurs délais.

Conformité

Nous opérons selon des pratiques conformes au Code de bonne pratique de la norme ISO/CEI 27002 pour les contrôles de sécurité des informations, à partir duquel nous avons identifié un ensemble complet de contrôles de sécurité qui s'appliquent à nos activités. Ces contrôles de sécurité et nos opérations font l'objet d'audits externes. Nous suivons un large éventail de certifications, d'audits et de programmes réglementaires du secteur et du gouvernement. Reportez-vous à Conformité d'Oracle Cloud.