Vues :
Trend Micro, leader mondial de la cybersécurité, contribue à sécuriser le monde pour l'échange d'informations numériques. Alimentée par des décennies d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation continue, notre plate-forme de cybersécurité protège des centaines de milliers d'organisations et des millions d'individus sur les clouds, les réseaux, les dispositifs et les endpoints. En tant que leader du cloud et de la cybersécurité d'entreprise, notre plate-forme offre une gamme puissante de techniques de défense avancées contre les menaces optimisées pour des environnements tels qu'AWS, Microsoft et Google, ainsi qu'une visibilité centralisée pour une détection et une réponse plus rapides et sophistiquées.
Trend Micro s'engage à assurer la sécurité et la confidentialité de ses clients et de leurs données. Les ressources suivantes de Worry-Free Business Security Services sont représentatives de notre engagement en matière de sécurité, de confidentialité, de transparence et de conformité aux normes reconnues du secteur. Pour plus d'informations, consultez le Trust Center Trend Micro.
Les dernières informations sur la sécurité, la confidentialité et la conformité de Worry-Free Business Security Services sont fournies ci-dessous.
privacy.jpg
Confidentialité
 security.jpg
Sécurité
 compliance.jpg
Conformité
Confidentialité des données
RGPD
Worry-Free Business Security Services - Avis de collecte des données
Sécurité des données
Séparation des données
Chiffrement des données
Accès aux données
Journaux de sécurité
Conservation des données
Reprise après sinistre et continuité des activités (DR)
Suppression des données
Formation des employés
Contrôle des modifications
Gestion des failles de sécurité
Analyse du code
Évaluation d'application Web
Action en cas d'incidents
ISO 27001
ISO 27014
ISO 27034-1
ISO 27017
SOC2

Confidentialité des données

Pour obtenir des informations générales sur la façon dont Trend Micro protège vos données, consultez la Déclaration de protection des données de portée mondiale de Trend Micro.
En fonction de la nature de l'environnement protégé et de l'objet cible de l'événement de sécurité (fichiers, mémoire, trafic réseau, par exemple), il existe un risque que des informations personnelles soient collectées dans le cadre d'un événement de sécurité. La configuration de la stratégie de sécurité et la sélection des modules sont fournies pour répondre aux exigences de votre environnement cible et minimiser ce risque.
Pour plus d'informations sur les données envoyées à Trend Micro et les contrôles effectués par les clients sur ces données, consultez la section Worry-Free Business Security Services - Avis de collecte des données.

RGPD

Trend Micro se conforme aux lois applicables, y compris le RGPD. Pour plus d'informations, consultez le site relatif à la Conformité au RGPD Trend Micro.
  • Le cas échéant, nous mettons en œuvre des mesures techniques et organisationnelles (TOM) pour prendre en charge notre traitement des données dans le cadre du RGPD.
  • En tant que sous-traitant au sens du RGPD, notre traitement des données personnelles est limité dans un certain nombre de cas. Les détails des données traitées par Trend Micro Worry-Free Business Security Services et les contrôles dont vous disposez sur ces données sont documentés dans la section Worry-Free Business Security Services - Avis de collecte des données.

Worry-Free Business Security Services - Avis de collecte des données

Certaines fonctionnalités disponibles dans Worry-Free Business Security Services collectent et envoient des commentaires relatifs à l'utilisation du produit et des informations de détection à Trend Micro. Pour plus d'informations, consultez la section Worry-Free Business Security Services - Avis de collecte des données.

Sécurité des données

Trend Micro respecte les normes de l'industrie en matière de sécurité des données et fournit un aperçu des pratiques de sécurité générales. De plus, Worry-Free Services utilise les meilleures pratiques reconnues par l'industrie pour sécuriser vos données. Il s'agit de séparer les données individuelles des clients et de chiffrer les données en transit. La sauvegarde des données des clients est conforme aux meilleures pratiques définies par l'industrie et nos différentes certifications telles que ISO 27001 (pour le contrôle d'accès et la cryptographie) et ISO 27017 (pour la surveillance des services en ligne et la séparation des environnements) nous aident à élaborer nos processus de sauvegarde et de restauration des données.
Les clients peuvent choisir une région Worry-Free Services disponible pour approvisionner la console Worry-Free Services ainsi que stocker et traiter tous les services et toutes les données du lac de données. Les clients peuvent attribuer des rôles aux utilisateurs qui limitent les droits d'accès à Worry-Free Services, y compris, mais sans s'y limiter, l'octroi de l'accès au support, le lancement d'actions de réponse, la collecte de fichiers à partir des points finaux et la limitation des utilisateurs à un accès en lecture seule.
Les données au repos sont protégées par les technologies natives du cloud sur lequel elles résident. Les données des clients sont balisées avec un « ID client » lors de l'intégration dans le schéma de données. La couche d'accès aux données internes des applications Trend Micro requiert ce paramètre « ID client » pour accéder aux données. Cette mesure empêche toute autre partie d'accéder aux données des clients, car les requêtes ne peuvent accéder qu'à un seul « ID client » à la fois. Les clients ne fournissent pas directement leur « ID client » lorsqu'ils interagissent avec le service ; il est géré par l'application elle-même. Ainsi, un acteur malveillant n'a aucun moyen de transmettre un ID client erroné pour accéder à un autre ensemble de données.
Worry-Free Services utilise TLS 1.2 dans la mesure du possible pour la transmission des données.
Chiffres pris en charge :
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Séparation des données

Toutes les informations relatives aux clients sont séparées afin de garantir l'accès des clients uniquement aux données qui les concernent. Les données des clients sont balisées avec un « ID client » lors de l'intégration dans le schéma de données. La couche d'accès aux données internes de l'application Trend Micro requiert ce paramètre « ID client » pour accéder aux données. Cette mesure empêche toute autre partie d'accéder aux données des clients, car les requêtes ne peuvent accéder qu'à un seul « ID client » à la fois. Les clients ne fournissent pas directement leur « ID client » lorsqu'ils interagissent avec le service, il est géré par l'application elle-même. Ainsi, il est impossible pour un acteur malveillant de transmettre un ID client erroné pour accéder à un autre ensemble de données.
Les coordonnées des clients, telles que leur adresse e-mail, sont chiffrées au repos pour garantir leur confidentialité. Les données collectées par Worry-Free Business Security Services sont répertoriées dans le Worry-Free Business Security Services - Avis de collecte des données

Chiffrement des données

Les informations traitées par Worry-Free Business Security Services sont chiffrées à la fois en transit et au repos, et envoyées à un nœud Worry-Free Business Security Services dans la région sélectionnée par le client lors de la configuration initiale.
Au repos: les données inactives sont protégées par les technologies natives cloud d'AWS (par exemple, les bases de données et les sauvegardes).
En transit: toutes les communications entre Worry-Free Business Security Services et les agents de sécurité des clients sont transmises via des connexions HTTPS sécurisées avec TLS 1.2.

Accès aux données

Tout accès aux bureaux et aux réseaux de Trend Micro est strictement contrôlé et réservé aux personnes autorisées ou accompagnées. L'accès se fait via un système de carte-clé et une approbation est requise avant d'autoriser l'entrée dans les zones sensibles. L'infrastructure Worry-Free Business Security Services est hébergée dans AWS.
Worry-Free Business Security Services est hébergé dans un sous-réseau hautement restreint sans accès direct à Internet. Seul un nombre limité d'administrateurs a accès à Worry-Free Business Security Services pour les tâches de maintenance. L'accès des opérateurs s'effectue grâce à des connexions chiffrées et sécurisées par plusieurs couches de réseau et de contrôles d'accès.
L'accès est limité à certaines adresses IP autorisées et contrôlé à l'aide de Trend Micro Deep Security (sécurité du point final & sécurité de la charge de travail Trend Micro Cloud One). Des alertes sont générées pour tout accès suspect. L'investigation des alertes est effectuée conformément aux procédures de gestion des incidents.
Les sous-traitants ne sont pas utilisés pour le développement ni l'exploitation de Worry-Free Business Security Services.

Journaux de sécurité

Worry-Free Business Security Services utilise l'agent Trend Micro Cloud One pour la surveillance : anti-programmes malveillants, réputation des sites Web, prévention des intrusions, surveillance des activités, surveillance de l'intégrité et inspection des journaux. Tous les accès à l'infrastructure sont surveillés et enregistrés grâce à des services de sécurité natifs proposés par Microsoft Azure.
Worry-Free Business Security Services permet d'émettre des alertes automatisées et emploie du personnel d'astreinte 24 heures sur 24 et 7 jours sur 7. Les journaux de sécurité sont examinés quotidiennement pour tous les systèmes. Si un incident de sécurité est suspecté, il est immédiatement signalé au centre des opérations de sécurité (SOC) de Trend Micro. Les incidents potentiels sont classés par ordre de priorité en fonction de la gravité de l'incident suspecté et une équipe du SOC, ainsi que des experts techniques, est désignée pour enquêter.
Ces journaux restent dans la région qui héberge le compte Worry-Free Business Security Services et les clients n'y ont pas accès. Pour plus d'informations sur les régions couvertes par Worry-Free Business Security Services voir Worry-Free Business Security Services - Avis de collecte des données.

Conservation des données

En ce qui concerne la conservation des journaux, Worry-Free Business Security Services applique des politiques de conservation qui suppriment les données lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées. Worry-Free Business Security Services conserve les informations brutes collectées pendant 30 jours. Lorsqu’une licence expire, toutes les données sont automatiquement supprimées après 60 jours (période de grâce de 30 jours et période de blocage de 30 jours).

Sauvegarde des données

Les bases de données Worry-Free Business Security Services sont sauvegardées quotidiennement et conservées séparément avec plusieurs copies. Des tests de validation des données sauvegardées sont effectués périodiquement à des fins de récupération après sinistre. Les normes et stratégies de sauvegarde, les procédures et les contrôles sont vérifiés, documentés et audités en interne et par des évaluateurs tiers.

Reprise après sinistre et continuité des activités (DR)

Trend Micro prépare les BCP des opérations de traitement des informations sur la base des résultats du BIA et effectue l'exploration du BCP au moins une fois par an. Le BCP est couvert par notre certification ISO 27001.
Les objectifs de Worry-Free Business Security Services sont les suivants :
  • Objectif de temps de récupération (RTO) : 2 heures
  • Objectif de point de restauration (RPO) : 24 heures
Les bases de données disposent d'une réplication en temps réel et d'une sauvegarde quotidienne pour limiter les problèmes.

Suppression des données

Pour envoyer une demande de suppression des données, veuillez accéder au site :
https://www.trendmicro.com/en_us/about/trust-center/privacy/gdpr/individual-rights.html.
ISO 27001 contient des dispositions pour la destruction des données. Worry-Free Business Security Services, Microsoft Azure et AWS sont conformes à la norme ISO 27001.
Pour lancer une demande de suppression de leurs données personnelles, les clients doivent envoyer un e-mail à Trend Micro à l'adresse gdpr@trendmicro.com.

Formation des employés

Les développeurs de logiciels de Worry-Free Business Security Services sont formés aux pratiques de codage sécurisé à l'aide d'un programme standard du secteur basé sur SANS 25/OWASP Top 10. Des campagnes de formation sont menées sur une base annuelle et lorsqu'un employé rejoint l'entreprise. Tous les employés doivent adhérer aux stratégies de Trend Micro relatives à l'utilisation acceptable d'Internet, des ordinateurs, de l'accès à distance et des dispositifs mobiles. Le non-respect de ces politiques peut entraîner des mesures disciplinaires, pouvant inclure le licenciement. Les équipes de développement de Worry-Free Business Security Services emploient du personnel spécialisé pour gérer la sécurité des produits. Les tests de sécurité, la revue de code sécurisé et la modélisation des menaces font partie du cycle de vie du développement. Pour plus d'informations sur nos bonnes pratiques de codage sécurisé, consultez le Trust Center Trend Micro pour la conformité.
Trend Micro adhère aux stratégies et aux normes de mot de passe suivantes :
  • Tous les mots de passe doivent être modifiés au moins une fois par trimestre.
  • Les mots de passe ne doivent pas être insérés dans des e-mails ou d'autres formes de communication électronique.
  • Les mots de passe ne doivent être ni partagés ni révélés à qui que ce soit.
  • Les mots de passe doivent être modifiés immédiatement en cas de suspicion de compromission.
  • Les mots de passe doivent être chiffrés pendant la transmission et stockés hachés avec un sel.
  • Les mots de passe doivent comporter au moins huit caractères alphanumériques.
  • Les mots de passe doivent contenir des majuscules et minuscules (par exemple, a-z, A-Z).
  • La prévention de la réutilisation des mots de passe est appliquée.
  • Les mots de passe ne doivent pas être basés sur des informations personnelles, des noms de famille, etc.

Contrôle des modifications

L'une des principales priorités de notre équipe est de veiller à ce que nos clients continuent à bénéficier des dernières fonctionnalités de sécurité de manière sûre et fiable. Outre les pratiques de développement relatives à la révision du code, aux tests fonctionnels et aux tests d'échelle, ainsi que nos scans de vulnérabilité et nos tests d'intrusion, nous prenons un certain nombre de mesures pour garantir que toutes les mises à jour de services sont effectuées de manière sûre et contrôlée. De petites mises à jour incrémentielles sont d'abord déployées dans un environnement de test, puis de production. Chaque modification fait l'objet d'une surveillance étroite et de multiples procédures, tant automatisées que manuelles, sont en place pour faire face aux situations qui pourraient se présenter. Toutes les mises à jour du service sont réalisées de manière transparente pour les clients et peuvent être annulées de la même façon en cas de problème imprévu.
Les mises à niveau des applications au sein de l'environnement de Worry-Free Business Security Services sont effectuées après avoir atteint nos objectifs en matière de qualité. Trend Micro utilise les meilleures pratiques pour les modifications, notamment les sauvegardes complètes et les processus d'approbation. Worry-Free Business Security Services dispose de plusieurs environnements de développement et de test dédiés. Toutes les modifications demandées sont d'abord examinées par les parties prenantes techniques afin d'en déterminer l'urgence et l'impact potentiel. Toutes les modifications nécessitent un plan de sauvegarde documenté. Celles-ci font l'objet d'un suivi et sont enregistrées dans un système de contrôle des modifications.

Gestion des failles de sécurité

Les failles de sécurité sont surveillées et suivies en permanence. Chaque faille de sécurité se voit attribuer un score CVSS. Les exigences d'application de correctifs qui spécifient des délais pour traiter une faille de sécurité en fonction de la gravité CVSS sont incluses dans la stratégie de conformité du développement sécurisé. Le logiciel Worry-Free Business Security Services de l'environnement Worry-Free Business Security Services est mis à jour toutes les deux semaines pour utiliser la dernière base de code disponible, notamment les correctifs de faille de sécurité. L'équipe Worry-Free Business Security Services est chargée d'appliquer les correctifs au logiciel Worry-Free Business Security Services et de prendre en charge les services AWS. Les clients sont responsables de la mise à jour des agents de sécurité déployés sur leurs charges de travail.

Analyse du code

Le code source de Trend Micro est scanné grâce à une analyse de code statique à l'aide d'outils standard du secteur tels que Fortify, BlackDuck, etc., qui sont déployés à chaque étape ou phase de développement. Trend Micro dispose également d'un système interne PLVRS (Projet juridique & système de vérification de la faille de sécurité) pour identifier les failles de sécurité tierces. Les tests de sécurité, la révision du code sécurisé et la modélisation des menaces font également partie du cycle de vie de développement de tous les produits Trend Micro.
Worry-Free Business Security Services est soumis à des contrôles de qualité stricts, de la phase de développement jusqu'à chaque lancement. Après le lancement, les équipes effectuent des scans de vulnérabilité hebdomadaires, de manière automatisée. La gravité des failles de sécurité est évaluée à l'aide du score CVSS. Les failles de sécurité critiques doivent être corrigées dans un délai d'un mois ou traitées par le biais d'une solution d'atténuation ou de contournement.

Évaluation d'application Web

L'équipe dédiée à la sécurité de l'information (InfoSec) de Trend Micro effectue des évaluations d'application Web pour Worry-Free Business Security Services à la recherche de nouvelles versions majeures et utilise au moins une fois par an des outils de sécurité de pointe pour des analyses dynamiques.
Pour plus d'informations sur notre programme d'action en cas de failles de sécurité, consultez le site sur les actions en cas de failles de sécurité de Trend Micro.

Action en cas d'incidents

Trend Micro dispose d'une équipe dédiée à la sécurité de l'information (InfoSec), chargée de garantir la conformité avec les stratégies de sécurité de Trend Micro. Les ingénieurs de Worry-Free Business Security Services contactent immédiatement l'équipe InfoSec lorsqu'un incident de sécurité est détecté. Celle-ci surveille aussi indépendamment les journaux d'environnement de Worry-Free Business Security Services. Si un incident de sécurité est détecté, sa priorité est établie en fonction de sa gravité. Une équipe d'experts techniques dédiée est chargée d'enquêter, de conseiller sur les procédures de confinement, d'effectuer des investigations légales et de gérer la communication. Après un incident, l'équipe examine la cause première et révise le plan de réponse en conséquence. En cas de violation des données d'un client, Trend Micro respectera ses obligations en vertu du RGPD. Pour plus d'informations, consultez le site relatif à la Conformité au RGPD de Trend Micro.

Certifications

ISO 27001, ISO 27014, ISO 27034-1, ISO 27017 et SOC2

Trend Micro et les services en ligne Trend Micro sont soumis à des audits annuels effectués par des auditeurs externes de confiance afin de garantir le respect des meilleures pratiques du secteur. ISO 27001 est une norme internationale qui permet de définir l'ensemble du système de gestion de la sécurité de l'information de Trend Micro. ISO 27001 aborde les aspects tels que la sécurité des ressources humaines, le contrôle d'accès, la sécurité des opérations et la gestion des incidents de sécurité de l'information. La certification SOC de type II permet de valider les contrôles de sécurité de nos systèmes informatiques et inclut les systèmes internes de Trend Micro ainsi que ses offres SaaS. Les contrôles SOC de type II incluent des aspects tels que la sécurité (pare-feu, IPS, etc.), la disponibilité (reprise après sinistre et traitement des incidents), la confidentialité (chiffrement et contrôle d'accès), la vie privée et l'intégrité du traitement (assurance qualité).
Worry-Free Business Security Services est certifié ISO 27001, 27014, 27034-1 et 27017. Vous trouverez les certificats de conformité sur le Trust Center Trend Micro pour la conformité.
Worry-Free Business Security Services a terminé une évaluation SOC 2 de type II. Le rapport SOC 3 et le formulaire de demande du rapport SOC 2 sont disponibles sur le Trust Center Trend Micro pour la conformité.