Conformité

Accessibilité

Veritas donne la priorité à l'accessibilité dans ses offres numériques, en veillant à les aligner sur les directives d'accessibilité au contenu web (WCAG) définies par le World Wide Web Consortium. Même si l'accessibilité universelle peut présenter des difficultés, Veritas entreprend des évaluations régulières de ses plates-formes. En traitant rapidement tous les problèmes identifiés, Veritas démontre son engagement inébranlable envers une expérience utilisateur inclusive pour tous.

AWS GovCloud

AWS GovCloud (aux États-Unis) est conçu pour les clients gouvernementaux et leurs partenaires, et offre un environnement de solution cloud sécurisée. Il assure la conformité à plusieurs normes et cadres réglementaires rigoureux, notamment :

• Baseline de haut niveau FedRAMP
• Politique de sécurité des systèmes d'information de la justice pénale (CJIS) du ministère de la Justice américain
• Réglementation américaine sur le trafic international d'armes (ITAR)
• Règlement d'administration des exportations américain (EAR)
• Guide des exigences de sécurité du cloud computing du ministère de la Défense américain (DoD) pour les niveaux d'impact 2, 4 et 5
• FIPS 140-2
• IRS-1075

Les utilisateurs peuvent ainsi mener leurs activités au sein d'une infrastructure cloud conforme, sécurisée et flexible, adaptée aux besoins uniques des entités gouvernementales.

Azure Government

Le programme Azure Government de Microsoft a été développé pour répondre aux normes de conformité rigoureuses imposées par les entités gouvernementales américaines. Il a obtenu des homologations et autorisations de la part de cadres de réglementation essentiels, notamment :

• Programme fédéral de gestion des risques et des autorisations (FedRAMP)
• Guide des exigences de sécurité cloud du ministère de la Défense américain (DoD) pour les niveaux d'impact 2, 4 et 5

Pour les régions gouvernementales américaines spécifiques telles que l'Arizona, le Texas et la Virginie, Azure Government a obtenu les autorisations suivantes :

• Autorisation provisoire d'exploitation de haut niveau (P-ATO) FedRAMP délivrée par le JAB (Commission d'autorisation conjointe)
• Autorisations provisoires DoD IL2, IL4 et IL5 délivrées par la Defense Information Systems Agency (DISA), et autorisations provisoires IL5 délivrées par la Defense Information Systems Agency (DISA)

CMMC

La certification CMMC (Cybersecurity Maturity Model Certification) est un cadre développé par le département de la Défense américain (DoD) pour évaluer et améliorer le niveau de cybersécurité des contractuels et sous-traitants de la défense dans la Base industrielle et technologique de défense (DIB). La certification CMMC exige que les contractuels respectent des normes et des pratiques de cybersécurité spécifiques pour répondre aux appels d'offres relatifs aux contrats du DoD à différents niveaux de maturité, allant de l'hygiène informatique de base aux pratiques avancées.

Critères communs

Les Critères communs d'évaluation de la sécurité des technologies de l'information, ainsi que leur équivalent, la Méthodologie commune d'évaluation de la sécurité des technologies de l'information, constituent l'élément fondamental de l'Accord international de reconnaissance des critères communs. Ils permettent de s'assurer que :

• Les produits sont évalués par des laboratoires indépendants et agréés afin de vérifier des caractéristiques de sécurité spécifiques
• Des documents guident le processus de certification en détaillant l'application des critères et méthodes adaptés aux différents types de technologie
• Les certificats validant les attributs de sécurité d'un produit évalué peuvent être distribués au moyen de nombreux systèmes d'autorisation de certificats, tous basés sur les résultats de l'évaluation
• Tous les signataires de l'Accord international de reconnaissance des critères communs reconnaissent ces certificats

Cybersecurity & Infrastructure Security Agency (CISA)

• Décret 14028
  Le décret 14028 est entré en vigueur le 12 mai 2021 pour renforcer la cybersécurité du pays. Il exige des agences qu'elles améliorent leur cybersécurité et l'intégrité de leur chaîne d'approvisionnement logicielle. Le décret 14028 demande à tous les fournisseurs de logiciels au gouvernement américain de répertorier les composants utilisés pour créer leurs produits avec une nomenclature logicielle. Il demande également aux agences d'appliquer l'authentification à plusieurs facteurs, le chiffrement des données au repos et en transit (FIPS 140-2) et l'architecture zéro confiance à leurs produits.

• IPv6/USGv6
  La version 6 du gouvernement des États-Unis (USG) est un ensemble d'exigences techniques et de recommandations élaborées par le gouvernement américain pour guider les agences fédérales dans l'adoption et le déploiement de la dernière version du protocole Internet (IP), la version 6. Le profil USGv6 décrit les normes et configurations spécifiques que les agences fédérales doivent suivre pour garantir l'interopérabilité, la sécurité et la conformité IPv6 des mandats et politiques.

DISA STIG

Les Guides de mise en œuvre technique de la sécurité (STIG) de l'Agence des systèmes d'information de la défense (DISA) servent de repères de configuration destinés à optimiser la sécurité du matériel et des logiciels. Leur objectif principal est de protéger l'infrastructure informatique du ministère de la Défense.

FedRAMP

• La gestion des données sur le matériel interne est souvent compliquée, longue et coûteuse, mais s'il n'est pas géré correctement, le cloud constitue un risque potentiel pour la sécurité.
• Le programme fédéral de gestion des risques et des autorisations (FedRAMP) offre « une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services cloud ».
• bluesource s'est associé à Veritas pour créer une solution cloud sécurisée conforme aux directives strictes du FedRAMP, afin de créer un environnement sécurisé au sein de Microsoft Azure permettant aux agences fédérales d'accéder à Enterprise Vault, à eDiscovery Platform et à Merge1 en tant que solutions SaaS.
• Les organismes gouvernementaux peuvent répondre aux exigences de « Cloud Smart », améliorer leur score FITARA et bénéficier d'économies immédiates sans embaucher de personnel supplémentaire.
• Le client sera propriétaire de la licence du logiciel Veritas, tout comme dans les environnements sur site. bluesource établira un devis pour le matériel et les frais de gestion afin que le logiciel soit entièrement hébergé et géré conformément aux exigences strictes de FedRAMP.
• Pour recevoir un devis ou pour en savoir plus, vous pouvez contacter bluesource par e-mail à l'adresse sales@bluesource.net.

FIPS 140-2

La norme FIPS 140-2 (Federal Information Processing Standard) définit les attentes en matière de sécurité pour les modules cryptographiques. Elle couvre un éventail d'applications et d'environnements sur quatre étapes qualitatives progressives. Les domaines clés comprennent les spécifications de conception, les ports, les interfaces, les rôles, la sécurité physique, l'environnement opérationnel, la gestion des clés cryptographiques, les considérations électromagnétiques, les tests automatiques, l'assurance de la conception et l'atténuation des attaques.

IRAP

Le programme Information Security Registered Assessors Program (IRAP) est une initiative de l'Australian Cyber Security Centre (ACSC) visant à améliorer le niveau de cybersécurité des agences gouvernementales australiennes et des organisations qui fournissent des services au gouvernement.

National Institute of Standards in Technology (NIST)

Le National Institute of Standards in Technology (NIST) est une agence fédérale non réglementaire du ministère du Commerce des États-Unis qui promeut l'innovation et la compétitivité industrielle des États-Unis. Le NIST a développé des cadres et des normes de cybersécurité, tel que le NIST Cybersecurity Framework (CSF) qui fournit des conseils aux entreprises pour gérer et améliorer leurs processus de gestion des risques de cybersécurité. Parmi les publications spéciales (SP)/cadres de gestion des risques (RMF) notables, citons NIST SP 800-53, NIST SP 800-37 RMF, Intelligence Community Directive (ICD) 503, NIST 800-171 et NIST 800-218.

Sheltered Harbor

Sheltered Harbor est une initiative sectorielle américaine à but non lucratif visant à améliorer la résilience et la sécurité du secteur financier contre les cybermenaces et les risques opérationnels. Celle-ci a été lancée en réponse à la fréquence et à la sophistication croissantes des cyberattaques visant les institutions financières. En adoptant les normes de Sheltered Harbor comme pratique d'excellence, les institutions financières renforcent la protection des actifs de leurs clients et la confiance dans la stabilité et la sécurité du système financier.

SOC 2

Les évaluations SOC 2 fournissent des documents d'examen indépendants, réalisés par des tiers, qui mettent en évidence la manière dont une entreprise respecte les contrôles essentiels et les objectifs en matière de conformité. Élaborées conformément aux critères des services fiduciaires du Conseil des normes d'audit de l'AICPA, ces évaluations se concentrent sur les systèmes d'information d'une entreprise en matière de sécurité, de disponibilité, d'intégrité, de confidentialité et de protection de la vie privée.

TLS 1.3

Le protocole de chiffrement TLS (Transport Layer Security) 1.3 fournit des mécanismes pour protéger en toute sécurité les données pendant les communications Internet. Il fonctionne en établissant une connexion sécurisée entre un client et un serveur à l'aide de mécanismes de chiffrement, d'authentification et d'échange de clés.

Conformité WORM

Les politiques définies par la Financial Industry Regulatory Authority imposent que les données soient conservées en toute sécurité, chiffrées et stockées de manière immuable sur des supports WORM (stockage non réinscriptible). Ces données doivent pouvoir être récupérées et les entreprises doivent être en mesure de fournir des journaux d'audit complets concernant l'utilisation et la suppression des données.