La plateforme de gestion des données next-gen de Cohesity prend en charge les opérations informatiques intelligentes afin de libérer la valeur des données pour l’efficacité opérationnelle et l’innovation. L'architecture de défense contre les menaces de Cohesity offre des garanties étendues pour détecter et contrecarrer les cyberattaques.
Cohesity applique des normes rigoureuses en matière de sécurité des produits et contrôle l’adoption à chaque phase du cycle de vie de ses produits. Cohesity respecte les bonnes pratiques du secteur. Grâce à ces pratiques de sécurité ainsi qu’à l’inclusion de caractéristiques et de fonctionnalités de sécurité, Cohesity fournit à ses clients des produits et des services sécurisés et extrêmement fonctionnels.
Cohesity respecte les principes de sécurité fondamentaux, notamment : sécurité par défaut, sécurité en cas de défaillance et mise en œuvre sécurisée des algorithmes cryptographiques. Lorsque de nouvelles fonctionnalités sont développées, Cohesity aligne la conception du produit sur les bonnes pratiques de sécurité actuelles afin de garantir la stratégie ciblée en matière de sécurité, la conformité et la certification de ses produits.
Les équipes de développement de Cohesity collaborent avec une équipe dédiée à la sécurité des produits pendant les phases de conception et de planification du cycle de développement. L'équipe de sécurité des produits de Cohesity fait des recommandations pour l'adoption de modèles de conception sécurisés, réalise une modélisation des menaces, définit les normes de sécurité applicables et fixe les exigences de sécurité.
Expand AllCohesity a adopté le cadre STRIDE dans ses pratiques de conception afin de répondre aux objectifs de sécurité lors de la conception et de réduire les risques, notamment l’identification des menaces, des attaques, des vulnérabilités et des contre-mesures qui pourraient affecter une application ou un système. Cohesity met régulièrement à jour le modèle de menace du produit en fonction des nouvelles fonctionnalités et de l’évolution des menaces.
Les équipes chargées de la sécurité des produits, de la sécurité de l’information et de la gestion des produits de Cohesity définissent les normes de sécurité applicables et imposent des exigences de sécurité pour l’ensemble du portefeuille de produits et de services de Cohesity.
La plateforme et l’infrastructure de Cohesity sont régulièrement soumises à des tests de sécurité et à des renforcements visant à améliorer la sécurité. Le système d’exploitation et les composants sont spécifiquement configurés pour répondre aux exigences de renforcement de la sécurité, notamment les critères de référence du CIS (Center for Internet Security) ainsi que les normes de configuration du STIG (Security Technical Implementation Guide) du ministère américain de la Défense.
Expand AllCohesity effectue une analyse statique et binaire du code source afin de garantir l’hygiène de la sécurité de l’application.
Des scanners dynamiques de test de sécurité des applications sont intégrés dans le pipeline de développement de Cohesity pour analyser toutes les branches de développement importantes. Toutes les vulnérabilités découvertes sont atténuées conformément à la stratégie de gestion des vulnérabilités.
Cohesity analyse régulièrement le code et les binaires développés par Cohesity et par des tiers dans ses référentiels afin d’identifier l’utilisation de logiciels open source. Les vulnérabilités de sécurité identifiées ainsi que l’utilisation incorrecte des logiciels open source sont corrigées conformément aux stratégies de Cohesity.
Cohesity effectue en permanence des tests de pénétration internes à l’aide de diverses techniques automatisées intégrées au cycle de publication. Cohesity fait aussi régulièrement appel à des tiers pour effectuer des tests de pénétration externes. Les vulnérabilités découvertes lors des tests de pénétration sont atténuées conformément à la stratégie de gestion des vulnérabilités de Cohesity.
Cohesity effectue des évaluations régulières de la vulnérabilité de ses produits et de ses environnements opérationnels internes. La recherche de vulnérabilités est effectuée régulièrement, et les résultats sont réinjectés dans le développement et le déploiement pour corriger les risques. Cohesity corrige les vulnérabilités conformément à sa stratégie de gestion des vulnérabilités.
Tous les composants tiers intégrés dans la base de code de Cohesity, notamment (mais sans s’y limiter) les paquets, le code source, les binaires et les bibliothèques sous licence commerciale et open source, ainsi que les micrologiciels des OEM, sont testés régulièrement pour détecter les vulnérabilités et autres risques de sécurité. Les pratiques d’atténuation des risques et les correctifs de vulnérabilité des tiers sont conformes à la stratégie de gestion des vulnérabilités de Cohesity.
Les outils de l’infrastructure d’ingénierie sont maintenus à jour et les protections de sécurité sont configurées. Les contrôles de sécurité et les options des compilateurs et des éditeurs de liens sont appliqués.
Cohesity applique de multiples contrôles et pratiques pour garantir l’intégrité des données des clients et la sécurité des applications sur la Marketplace de Cohesity. Ces contrôles comprennent :
Cohesity s’aligne sur les cadres standard du secteur pour la gestion de la vulnérabilité, la gestion du cycle de vie de produits sécurisés, et la réponse aux incidents.
Expand AllCohesity évalue et hiérarchise les vulnérabilités confirmées à l’aide de la version 3 du CVSS (Common Vulnerability Scoring System). Cohesity attribuera un identifiant CVE (Common Vulnerabilities and Exposures) aux vulnérabilités de sécurité confirmées.
Cohesity suit un cycle de développement de produit sécurisé afin de fournir et de maintenir la sécurité tout au long du cycle de vie de chaque produit. Cohesity suit les six pratiques suivantes :
Cohesity met en œuvre un programme de réponse aux incidents de sécurité conçu pour détecter rapidement et efficacement les incidents et événements de sécurité, y répondre et reprendre l’activité. Les événements de sécurité sont signalés au bureau de la sécurité de l’information, où les problèmes sont suivis et contrôlés jusqu’à leur résolution. Les équipes d’intervention de garde utilisent des manuels et des procédures d’intervention régulièrement testés pour gérer les événements liés à la sécurité et à la disponibilité.
Cohesity applique un plan de réponse aux incidents de produits qui prend en charge l’analyse, l’atténuation et la correction des vulnérabilités de ses produits. Le plan couvre également la divulgation responsable des chercheurs et des clients tiers.
Cohesity fournit à ses développeurs, architectes, responsables du développement, responsables des versions, ingénieurs AQ et chefs de produit une formation en sécurité et des ressources pour intégrer les pratiques de sécurité tout au long du cycle de développement du produit. Cohesity organise une formation trimestrielle sur le codage sécurisé qui couvre les bonnes pratiques de sécurité dans le développement de produits et qui est obligatoire pour tous les ingénieurs.
Cohesity suit les bonnes pratiques du secteur pour découvrir, étudier et traiter les vulnérabilités tout au long du cycle de vie du produit en utilisant une approche fondée sur les risques. L’équipe de sécurité des produits de Cohesity examine et répond rapidement à tous les rapports de vulnérabilités de sécurité potentielles. Le plan de réponse aux incidents de Cohesity prend en charge l’analyse, l’atténuation et la correction des vulnérabilités de ses produits. Le plan couvre également les processus de divulgation responsables lorsque des chercheurs, des clients ou des partenaires tiers signalent des problèmes.
Expand AllCohesity évalue et hiérarchise les vulnérabilités confirmées à l’aide du système CVSS (Common Vulnerability Scoring System) version 3, et applique un SLA de réponse pour chaque classe de gravité.
Les correctifs appliqués par Cohesity aux vulnérabilités identifiées sont résolus suivant un calendrier fondé sur leur criticité et leur impact (conformément à la stratégie de gestion des vulnérabilités de Cohesity).
Cohesity attribuera un identifiant CVE (Common Vulnerabilities and Exposures) aux vulnérabilités de sécurité confirmées.
Les vulnérabilités identifiées dans toutes les versions de produits prises en charge seront résolues conformément à la stratégie de gestion des vulnérabilités de Cohesity.
Les versions majeures, mineures et d’assistance à long terme des produits Cohesity intégreront au minimum les corrections de vulnérabilité cumulatives des versions précédentes.
Pour les vulnérabilités à risque critiques et à fort impact, Cohesity pourra périodiquement accélérer les versions de maintenance ou les correctifs des versions prises en charge de ses produits par rapport au SLA établi dans la stratégie de gestion des vulnérabilités de Cohesity.
Cohesity communiquera de manière proactive les vulnérabilités aux clients par le biais d’alertes sur le portail d’assistance, d’e-mails et/ou de communications terrain. Des articles sont publiés dans la base de connaissances pour documenter l’impact de vulnérabilités spécifiques et décrire les actions requises.
Les clients, partenaires et chercheurs tiers peuvent signaler des vulnérabilités dans les produits et services de Cohesity en contactant le service de sécurité de Cohesity.
Cohesity applique des normes rigoureuses en matière de sécurité, de confidentialité et de résilience pour ses services cloud gérés par Cohesity et ses offres de logiciels en mode as a service (SaaS). Découvrez les pratiques clés adoptées par Cohesity pour assurer la sécurité et la disponibilité permanentes de la plateforme Helios, des services et des données des clients.
Les clients peuvent administrer la plateforme Helios basée sur le cloud qui fournit une gestion et des analyses centralisées pour les produits et services autogérés des clients (service de gestion Helios).
Selon le produit ou le service Cohesity déployé, le client sera obligé ou non d'utiliser le service de gestion Helios.
Expand AllLe service de gestion Helios exploité par Cohesity fournit aux clients une gestion et une analyse centralisées de leurs produits Cohesity autogérés et des services de gestion des données gérés par Cohesity. Les clients ne sont pas tenus d’enregistrer les produits autogérés auprès du service de gestion Helios.
Si le client choisit de s’inscrire, ses produits communiqueront avec le service de gestion Helios pour fournir la télémétrie des produits nécessaire à la prestation du service ainsi qu’une gestion centralisée et des analyses basées sur le cloud. Vous trouverez plus de détails sur le service de gestion d’Helios dans le document Résumé de la sécurité Helios SaaS, disponible sur le portail de documentation de Cohesity.
Les services de gestion des données gérés par Cohesity forment une famille d’offres SaaS qui permettent aux clients de stocker, de gérer et de sécuriser leurs données dans l’infrastructure basée sur le cloud de Cohesity. Les clients doivent gérer ces services par le biais du service de gestion Helios. Les clients peuvent bénéficier des services de gestion des données de Cohesity par le biais d’un abonnement.
Les clients de Cohesity peuvent être amenés à déployer le connecteur SaaS Helios dans le cadre de certains services de gestion des données. Ce connecteur SaaS est une VM sur site déployée dans le centre de données du client qui établit un canal sécurisé pour connecter les sources de données sur site aux services de gestion des données de Cohesity.
Les environnements de gestion des données Helios sont logiquement séparés les uns des autres avec les services de gestion et de données.
Les services Helios gérés par Cohesity sont mutualisés nativement, et chaque locataire est mis en œuvre comme une entreprise unique. Les entreprises sont séparées logiquement, et seule l’entreprise à laquelle les ressources (notamment les données, les stratégies, les administrateurs, etc.) appartiennent peut y accéder.
Les locataires bénéficient de référentiels de données dédiés pour leur garantir que leurs données sont isolées de celles des autres clients.
Cohesity assure une sécurité logique en déployant un contrôle d'accès basé sur les principes de Zero Trust. Celui-ci permet d’empêcher tout accès non autorisé ou toute compromission de son infrastructure cloud, notamment le service de gestion Helios et les services de gestion des données gérés par Cohesity.
Le service de gestion Helios fournit aux clients un large éventail de contrôles pour gérer les comptes utilisateurs et les accès qui leur sont attribués, conformément à des normes de sécurité strictes et à leur propre stratégie de sécurité. Chaque entreprise locataire a un utilisateur admin pour gérer ses propres utilisateurs. Les administrateurs de l’entreprise peuvent ajouter des utilisateurs et les gérer par le biais de contrôles d’accès basés sur les rôles (RBAC). Un contrôle fin des rôles standard et personnalisés permet d'appliquer les principes du moindre privilège et de la séparation des tâches. Les administrateurs locataires peuvent également intégrer le service de gestion Helios aux fournisseurs d'identité existants. Chaque entreprise peut ainsi appliquer ses contrôles d'authentification spécifiques en matière de stratégie de mots de passe, d'authentification multifactorielle (MFA), etc.
Cohesity applique une approche très restrictive de l’accès interne aux services de gestion Helios. L’accès repose sur un strict besoin d’en connaître lié à la responsabilité professionnelle de la gestion et de la maintenance du système. Cohesity adhère aux principes du moindre privilège et de la séparation des tâches, et applique des contrôles internes d’accès et d’autorisation. Avant de pouvoir se connecter à un rôle particulier, un utilisateur doit répondre à des critères de qualification établis et obtenir une autorisation préalable documentée de la direction. Tous les utilisateurs de Cohesity doivent posséder un identifiant unique et une authentification multifactorielle.
En ce qui concerne le service de gestion Helios, les données et les métadonnées de chaque locataire sont logiquement séparées et isolées de celles des locataires. En ce qui concerne les services de gestion des données gérés par Cohesity, chaque locataire reçoit des référentiels de stockage uniques pour garantir que le contenu d’un locataire ne pourra jamais être partagé ou accessible par d'autres locataires.
Le service de gestion Helios applique un taux de disponibilité de 99,9 % (trois 9), hors fenêtres de maintenance programmée ou d’urgence. Les services de gestion des données Helios s’appuient sur le service Amazon Web Services (AWS) S3 dans des régions définies par le client qui s’étendent sur trois zones de disponibilité minimum, chacune étant séparée par de nombreux kilomètres au sein de la même région AWS. Le service S3 d’AWS garantit une durabilité des données de 99,999999999 % (onze 9). En cas de sinistre, le service de gestion Helios peut recréer les données stockées dans le service de gestion des données en utilisant uniquement les données stockées dans S3.
Toutes les données des clients (les métadonnées dans le service de gestion Helios et les données dans les services de gestion des données eux-mêmes) sont chiffrées au repos et en transit à l'aide d'algorithmes et de protocoles de chiffrement puissants et conformes aux normes industrielles.
Expand AllToutes les données clients qui circulent vers et depuis le service de gestion Helios et les services de gestion des données sont chiffrées en vol afin de garantir une confidentialité maximale et d’empêcher toute divulgation ou modification autorisée. Cohesity utilise les protocoles TLS 1.2 et mTLS pour la sécurité de la couche transport avec uniquement des suites de chiffrement approuvées par la FIPS avec une protection PFS (Perfect Forward Secrecy).
Toutes les données clients dans le service de gestion Helios et les services de gestion des données sont chiffrées au repos à l’aide du chiffrement AES-256. Les clés de chiffrement sont toutes stockées de façon sécurisée dans un KMS (key management system). Les clients qui utilisent un service de gestion des données géré par Cohesity disposent en outre de plusieurs options pour gérer en toute sécurité leurs clés de chiffrement : ils peuvent s’appuyer sur le KMS géré par Cohesity, ou gérer leurs propres clés via le KMS d’Amazon Web Services.
Cohesity a mis en place plusieurs mesures pour faire face aux attaques par déni de service distribué (DDOS), aux intrusions et aux logiciels malveillants. Ces garanties sont intégrées à l’infrastructure de surveillance que nous avons mise en place pour gérer l’environnement Helios. Cohesity utilise des pare-feu pour surveiller en permanence les connexions et détecter les anomalies. Lorsqu’une anomalie est détectée, Cohesity bloque la connexion et l'évalue dans l'environnement du plan de contrôle Helios. Les serveurs, les conteneurs et l’infrastructure de l’environnement du plan de contrôle Helios sont surveillés pour détecter les vulnérabilités, et des correctifs sont apportés régulièrement.
Le service de gestion Helios et les services de gestion des données de Cohesity sont hébergés dans Amazon Web Services (AWS). Pour plus d’informations sur les contrôles de sécurité des centres de données AWS, veuillez consulter https://aws.amazon.com/compliance/data-center/controls/.
Cohesity applique un plan de continuité des activités couvrant les opérations commerciales et la réponse à la reprise après sinistre. Nous évaluons régulièrement les risques pour l’entreprise et appliquons des plans de traitement appropriés pour ramener les risques à des niveaux acceptables. Le plan identifie les processus métier essentiels, documente les menaces susceptibles d’interrompre les activités, et prévoit de récupérer la connectivité et de prendre en charge les systèmes afin de garantir que Cohesity puisse remplir ses obligations envers ses clients.
Cohesity dispose d'un programme de gestion des menaces et des vulnérabilités qui surveille en permanence les vulnérabilités reconnues par les fournisseurs, signalées par les chercheurs ou découvertes en interne grâce à des analyses de vulnérabilité, des tests de pénétration ou une identification par le personnel de Cohesity. Les menaces sont classées en fonction de leur niveau de gravité et font l’objet de mesures correctives si nécessaire.
Helios met en place une surveillance continue de la sécurité et de la disponibilité du service.
La surveillance est une fonction de chaque service intégrant dès le départ des indicateurs et des mesures de performance clés. Les tableaux de bord et les mesures sont suivis par les équipes de surveillance et d’intervention. Les alertes sont conçues lors du processus de développement. L'équipe d'exploitation du cloud et les équipes de développement examinent les alertes pour s'assurer que les seuils sont définis et surveillés lors du déploiement en production.
Les pratiques de sécurité d’entreprise de Cohesity témoignent de notre engagement à garantir la sécurité, la sûreté et la conformité des ressources de Cohesity et de ses clients. Cohesity prend très au sérieux la sécurité des informations de ses clients. L’exécution des contrôles décrits ici illustre notre façon d’établir la confiance avec nos clients, partenaires et autres.
La sécurité de l'information de Cohesity est dirigée par le CISO de Cohesity et supervisée par le Conseil de sécurité de Cohesity. Cette équipe de professionnels dédiés a pour mission d'assurer la sécurité, la sûreté et la conformité des systèmes, des processus, des données et du personnel de Cohesity, ainsi que des ressources confiées par nos clients.
La suite de stratégies de sécurité de l’information de Cohesity couvre l’entreprise, son personnel et ses ressources d’information. Les stratégies sont alignées sur les normes de l'industrie et incluent des domaines comme l'organisation de la sécurité, l'utilisation acceptable des ressources, les contrôles d'accès, ainsi que la classification et le traitement des informations. Les stratégies sont régulièrement révisées par le service de sécurité de l’information de Cohesity et mises à jour si nécessaire.
Le service de sécurité de l’information de Cohesity est chargé de définir les exigences en matière de formation à la sécurité de l’information et de veiller à ce que tous les membres du personnel suivent la formation et comprennent leurs responsabilités. La formation à la sécurité de l'information est incluse dans l'intégration des nouveaux employés, et un recyclage annuel est requis. La formation est complétée par des présentations régulières, des communications et des sessions d’apprentissage sur des sujets particuliers. Le cas échéant, les unités opérationnelles recevront une formation spécialisée en fonction de leur rôle et de leurs responsabilités professionnelles. Par exemple, les membres de l’équipe d’ingénierie recevront une formation régulière sur les principes de sécurité et les pratiques de développement sécurisé.
Cohesity s’appuie sur un programme de gestion des cyber-risques pour identifier, hiérarchiser et gérer les risques liés à ses ressources informatiques, notamment l’infrastructure du système, les réseaux, les terminaux, les données et la propriété intellectuelle. Ce programme permet à Cohesity d’identifier les cyber-risques internes et externes, la probabilité qu’ils se produisent, et leur impact potentiel. Cohesity collabore avec les propriétaires de risques pour atténuer et corriger les risques conformément à la tolérance au risque de Cohesity.
Le programme de gestion des risques liés aux fournisseurs de Cohesity examine et valide la stratégie en matière de sécurité de ses fournisseurs tiers avant leur intégration, et fait des évaluations de suivi en fonction du niveau du fournisseur établi. Cohesity gère et surveille les risques de sécurité des fournisseurs par le biais de son programme de gestion des risques, conformément à la stratégie de sécurité de Cohesity, aux engagements des clients et aux exigences réglementaires applicables.
Le programme de gestion des vulnérabilités de la sécurité de l'information de Cohesity identifie les propriétaires de contrôle et s’y associe pour corriger les vulnérabilités et réduire les menaces pesant sur les produits et l’infrastructure de Cohesity. Des tests de pénétration sont par ailleurs effectués sur les ressources de Cohesity concernées, et les correctifs sont hiérarchisés afin d'optimiser la stratégie de sécurité de Cohesity.
La sécurité de l'information de Cohesity applique une stratégie de gestion des incidents avec des procédures qui fournissent la structure et les directives à suivre pour nos opérations de réponse. Les procédures de réponse aux incidents de cette stratégie détaillent les étapes que le personnel de Cohesity doit suivre pour détecter rapidement les événements de sécurité et les vulnérabilités, et pour promouvoir une réponse rapide aux incidents de sécurité, notamment l'identification, l'évaluation, la maîtrise, l'atténuation et la récupération des incidents.
Les antécédents d’un employé sont vérifiés lors de l’embauche. Le personnel reçoit et reconnaît également le code de conduite, les stratégies et les accords de non-divulgation de l’entreprise.
Les bureaux de Cohesity sont physiquement sécurisés par des gardes ou du personnel d’accueil. Les contrôles d’accès par badge sont gérés et appliqués de manière centralisée. L’accès aux zones sécurisées nécessite une escalade des privilèges. Des systèmes de caméras sont en place. Les centres de données de Cohesity sont certifiés ISO 27001, SOC 2 et PCI DSS, entre autres normes. Tous les sites sont dotés d’un portail et d’un système de surveillance 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Ils sont équipés de caméras et de systèmes d’éclairage, et l’accès est réservé aux personnes désignées.
Cohesity suit les directives de confidentialité des données personnelles et traite les données personnelles conformément aux lois et réglementations applicables en matière de protection des données. Toutes les données personnelles restent la propriété du client. Vous trouverez ici des informations sur la conformité et les certifications de sécurité de Cohesity. En outre, notre Addendum sur le traitement des données (disponible sur https://www.cohesity.com/agreements/) définit plusieurs protections juridiques, techniques et organisationnelles qui s’appliquent à nos clients le cas échéant.
Notre politique de confidentialité est disponible sur https://www.cohesity.com/agreements/.
Cohesity peut traiter des données personnelles en dehors de l’Espace économique européen (EEE). Par exemple, des services d'assistance 24 heures sur 24 et 7 jours sur 7 peuvent être fournis si le client choisit de partager ses données personnelles avec Cohesity. Les mécanismes juridiques utilisés pour permettre ces transferts de données sont les clauses contractuelles types détaillées dans l’addendum sur le traitement des données de Cohesity qui est disponible sur https://www.cohesity.com/agreements/.
Cohesity a actuellement des centres d’assistance aux États-Unis, en Irlande, en Inde, au Canada et au Japon.
Les transferts de données transfrontaliers sont traités en détail dans notre addendum sur le traitement des données, qui est disponible sur https://www.cohesity.com/agreements/.
Cohesity traite les données personnelles conformément à toutes les lois et réglementations applicables en matière de protection des données, notamment les lois et réglementations de l’Union européenne (RGPD), de l’Espace économique européen et de leurs États membres, de la Suisse et du Royaume-Uni, du California Consumer Privacy Act (CCPA) et de la Loi sur la protection des renseignements personnels et les documents électroniques (Canada), dans chaque cas comme et dans la mesure où elles sont applicables à Cohesity en matière de traitement des données personnelles. Vous trouverez de plus amples informations dans notre addendum sur le traitement des données, disponible sur https://www.cohesity.com/agreements/.
Expand AllEn vertu des lois et réglementations applicables en matière de protection des données comme le RGPD, lorsqu’un client utilise les produits et services de Cohesity et partage des données personnelles avec Cohesity, le client est généralement considéré comme le contrôleur de données et désigne Cohesity pour agir en tant que processeur de données.
Le California Consumer Privacy Act (CCPA) est détaillé dans notre addendum sur le traitement des données, qui est disponible sur www.cohesity.com/agreements.
L’addendum sur le traitement des données de Cohesity est disponible sur https://www.cohesity.com/agreements/. Il s’applique automatiquement à tous les clients utilisant Helios SaaS, et est incorporé dans les conditions de service Helios SaaS de Cohesity (également disponibles sur https://www.cohesity.com/agreements/). Veuillez contacter le service juridique de Cohesity si un client estime que l’addendum sur le traitement des données doit s’appliquer à d’autres activités.
Cohesity applique un programme complet de certification de sécurité conçu pour protéger la confidentialité, l’intégrité et la disponibilité des données de nos clients conformément aux normes industrielles, gouvernementales américaines et internationales. Des auditeurs tiers indépendants ont également certifié que les produits et services de Cohesity répondent à diverses normes de sécurité.
La plateforme SaaS Cohesity Helios est soumise à des audits SOC 2 (Service Organization Controls) de Type II afin d’évaluer les contrôles de son système de sécurité de l’information en ce qui concerne la sécurité, la disponibilité et la confidentialité des critères des services Trust.
Les produits et services de Cohesity respectent les critères et exigences de sécurité conformes aux directives du HIPAA (Health Insurance Portability and Accountability Act).
Cohesity se conforme à la loi sur les accords commerciaux, et le matériel est expédié depuis San Jose, en Californie. Les systèmes Cohesity en marque blanche sont fabriqués et assemblés dans des pays désignés qui sont conformes à la loi sur les accords commerciaux.
Cohesity se conforme à la section 889 de la loi de 2019 sur l’autorisation de la défense nationale.
La plateforme Cohesity a été certifiée par la Defense Information Systems Agency (DISA), une agence du département américain de la défense (DoD), et figure sur la liste des produits approuvés du DoDIN (DoD Information Network). La liste des produits approuvés du DoDIN est une liste unique et consolidée de produits qui ont satisfait à des exigences strictes de certification en matière de cybersécurité et d’interopérabilité pour être déployés sur les réseaux du DoD.
Cohesity applique des autorisations d’exploitation sur ses produits afin qu’ils puissent fonctionner au sein des réseaux hautement classifiés des agences du département américain de la défense (DoD), du département américain de l’énergie (DoE) et de la communauté du renseignement américaine. Il existe des STIG (Security Technical Information Guides) pour les produits Cohesity destinés à être déployés sur les réseaux DoD Top Secret.
La plateforme Cohesity est certifiée Critères Communs EAL2+ ALC_FLR.1. Les Critères Communs d’évaluation de la sécurité des technologies de l’information (appelés Critères Communs) sont une norme internationale (ISO/IEC 15408) de certification de la sécurité informatique.
Pour plus de détails, cliquez ici.
Le module cryptographique utilisé dans les produits de Cohesity a été validé par le NIST (National Institute of Standards and Technology) aux États-Unis selon la norme FIPS (Federal Information Processing Standards) 140-2 niveau 1. FIPS 140-2 est une norme du gouvernement américain pour les modules cryptographiques qui garantit que la conception du module et la mise en œuvre des algorithmes cryptographiques sont sécurisées et correctes.
Pour plus de détails, cliquez ici.
La plateforme Cohesity a été certifiée par l’UNH-IOL (University of New Hampshire-InterOperability Lab) comme étant conforme à la norme USGv6 dans le cadre du programme de test USGv6.
Pour plus de détails, cliquez sur https://www.iol.unh.edu/registry/usgv6-2008?name=cohesity.
La plateforme Cohesity prend en charge la fonctionnalité WORM (write-once, read-many). Cohasset Associates a estimé que sa mise en œuvre WORM était conforme aux règles SEC 17a-4(f), FINRA Rule 4511(c) et CFTC Regulation 1.31(c)-(d).
Pour plus de détails, cliquez ici.
Les ressources suivantes fournissent aux clients et partenaires de Cohesity plus de détails sur les pratiques de Cohesity en matière de sécurité et de confidentialité pour l’ensemble de ses produits et services.
Cohesity propose un addendum au traitement des données pour les besoins des clients en matière de conformité au RGPD ou au CCPA.
Cohesity peut faire appel à des tiers en tant que (sous-)processeurs de données personnelles afin de fournir ses services.
Le portail de documentation de Cohesity est accessible à partir de MyCohesity.
Le résumé sur la sécurité de Helios SaaS est disponible sur le portail de documentation de Cohesity.
Le livre blanc sur la sécurité de DataPlatform est disponible sur le portail de documentation de Cohesity.
Le Guide pour renforcer la sécurité de DataPlatform est disponible sur le portail de documentation de Cohesity.
Le livre blanc intitulé Protection contre les ransomwares de Cohesity : se préparer et récupérer est disponible sur le portail de documentation de Cohesity.