Customer Trust Portal

Vous trouverez ici des informations et de la documentation sur les politiques de Symantec en matière de sécurité de l'information, sur les normes appliquées, ainsi que sur les programmes d'assurance protégeant les données des clients.

Récapitulatif des programmes de sécurité

La confiance, une valeur fondamentale pour notre entreprise

Notre engagement vis-à-vis de la confidentialité et des données personnelles

La protection de vos biens les plus précieux est au cœur de ce que nous faisons. Nous veillons à la protection de vos données et de votre vie privée.

  • Les données et leur protection sont un élément central de notre activité : notre entreprise est fondée sur des valeurs de sécurité, de conformité et de responsabilité, ce qui nous permet de protéger les biens les plus précieux de nos clients.
  • Nous soutenons le règlement général sur la protection des données de l'Union européenne (GDPR), ainsi que le droit au respect de la vie privée.
  • La confidentialité est un droit humain fondamental et la protection des données personnelles (les nôtres, comme celles de nos clients et de nos partenaires) fait partie intégrante de nos engagements pris en termes de responsabilité sociale.
Gestion internationale de la certification

Customer Trust Office

Le Customer Trust Office joue un rôle de premier plan dans cet engagement envers nos clients au cours du processus de vente et, ultérieurement, dans la communication des informations relatives aux politiques, aux pratiques et aux assurances Symantec liées à la sécurité de l'information. Cette équipe établie au sein du Global Security Office (GSO) collabore avec les équipes de vente, de produit et juridique pour répondre aux questionnaires d'évaluation de sécurité des informations de leurs clients et pour mettre à disposition de la documentation sur les assurances produit (par exemple, certifications ISO 27001, rapports d'audit SOC, preuves de tests de pénétration ou résultats d'évaluation des vulnérabilités).

En savoir plus

Certifications de sécurité

Déclaration de confidentialité

La déclaration de confidentialité de Symantec décrit les types d'informations que nous collectons via les sites web de Symantec, comment nous pouvons être amenés à utiliser ces données et avec qui nous serions susceptibles de les partager. Notre déclaration de confidentialité décrit les mesures que nous prenons pour préserver la sécurité des données personnelles. Nous vous indiquons également comment nous contacter pour mettre à jour vos données personnelles, supprimer votre nom de nos listes de distribution ou obtenir des réponses à d'éventuelles questions au sujet des pratiques de confidentialité de Symantec.

Learn More

Politiques et normes en matière de sécurité de l'information

Les politiques et les normes de sécurité de l'information de Symantec sont alignées sur les normes du serveur, notamment les normes ISO, CSA, NIST/IEC 27001, SOC 2 et PCI. Ces politiques et normes sont révisées et mises à jour (si nécessaire) chaque année. Les domaines suivants sont couverts par les politiques et normes de sécurité de l'information de Symantec :

  • Gestion des risques et conformité
  • Formation et sensibilisation à la sécurité
  • Sécurité du personnel
  • Classification et protection des données
  • Chiffrement et gestion des clés
  • Gestion des incidents de sécurité et intervention
  • Gestion des risques de la chaîne d'approvisionnement
  • Contrôle d'accès logique
  • Sécurité du lieu de travail et du centre de données
  • Sécurité des terminaux
  • Sécurité de l'architecture et dans le cloud
  • Gestion des changements
  • Gestion des ressources
  • Développement de produits et sécurité des opérations
  • Résilience de l'entreprise et reprise après incident
  • Sauvegarde et récupération des données
  • Utilisation acceptable et gestion des médias
  • Gestion des vulnérabilités et des correctifs
  • Surveillance de la sécurité

Mission

Le personnel de certification de Symantec dans le monde entier promeut la prise en compte des recommandations internationales en matière de certification et fournit toute l'assistance nécessaire aux équipes produit afin de les rediriger vers les contacts commerciaux et techniques qui se chargeront de la certification des produits Symantec.

 

Certifications Symantec

Critères communs

L'accord de reconnaissance des critères communs (Common Criteria Recognition Arrangement ou CCRA) est reconnu par 26 pays qui acceptent d'uniformiser leur approche des évaluations des produits de technologie de l'information et des profils de protection à des fins de protection des informations et de sécurité. Il profite aux gouvernements des États membres et à d'autres utilisateurs de produits informatiques car il facilite les décisions d'achat, donne plus de précision aux évaluations, assure un meilleur équilibre entre sécurité et fonctionnalités et accélère l'accès aux produits industriels.

Servant de base aux normes internationales ISO/IEC 15408 et ISO/IEC 18045, les Critères Communs ont également l'utilité suivante :

  • Les clients administratifs et militaires, entre autres, peuvent spécifier leurs exigences fonctionnelles et d'assurance en matière de sécurité à l'aide de profils de protection.
  • Les fournisseurs peuvent ensuite mettre en œuvre des attributs de sécurité de leurs produits et/ou faire des réclamations concernant ces attributs.
  • Les laboratoires d'essais peuvent évaluer les produits afin de déterminer si les réclamations sont prises en compte.

Source : Évaluation de la sécurité informatique selon les Critères communs et National Information Assurance Partnership

Reportez-vous également à la Politique américaine d'assurance en matière d'informations et aux Critères communs pour obtenir plus d'informations.

Plus de détails
Réduire

 

Federal Identity, Credential and Access Management (FICAM)

FICAM TFS est le système central de gestion de l'identité du gouvernement fédéral des États-Unis. Il sert de guide à une prestation de services en ligne sécurisée et rationalisée pour les citoyens et les entreprises, par le biais de conseils, de suggestions de processus et d'infrastructures de prise en charge.

Certification NSL IDEF obtenue. IDEF est la version 1.0 d'Identity Ecosystem Framework, une certification valide et active, applicable aux marchés commerciaux et au secteur public.

Les packages Norton Secure Login et de certification suivants s'appliquent au programme FICAM mené par la GSA (General Services Administration).  Cliquez ici pour obtenir une liste des fournisseurs d'identité approuvés.

Pour obtenir plus d'informations, veuillez contacter Adam Madlin.

Federal Information Processing Standard Publication 140-2 (FIPS 140-2)

Statut des produits en vertu de FIPS 140-2

La validation Federal Information Processing Standard 140-2 (FIPS 140-2) est des plus importantes pour toute entreprise vendant des solutions de chiffrement sur le marché américain. Si votre produit informatique utilise une technologie de chiffrement, il devra sûrement être certifié FIPS 140-2 en vertu du programme de validation de module de chiffrement (Cryptographic Module Validation Program ou CMVP) géré par le NIST (National Institute of Standards and Technology) aux États-Unis et le Centre de la sécurité des télécommunications (CST) au Canada avant de pouvoir être vendu et installé dans une agence fédérale ou un bureau du ministère de la Défense.

La norme FIPS 140-2 du gouvernement fédéral des États-Unis établit les conditions que les produits informatiques doivent respecter pour une utilisation sensible mais non classifiée (Sensitive But Unclassified ou SBU). Elle a été publiée par le NIST, adoptée par le CST et est administrée conjointement par ces deux organismes, dans le cadre du CMVP.

Elle définit les exigences en matière de sécurité auxquelles sont soumis les modules de chiffrement utilisés dans un système de sécurité protégeant les informations non classifiées des systèmes informatiques. Elle englobe quatre niveaux de sécurité : le niveau 1 étant le plus bas, et le niveau 4, le plus élevé. Ces niveaux sont destinés à couvrir la large gamme d'applications et d'environnements potentiels dans lesquels des modules de chiffrement peuvent être déployés. Ces exigences de sécurité couvrent des domaines liés à la conception sécurisée et à la mise en œuvre d'un module de chiffrement, et plus précisément, la conception et la documentation de base, les interfaces de modules, les rôles et services autorisés, la sécurité physique, la sécurité logicielle, la sécurité du système d'exploitation, la gestion des clés, les algorithmes de chiffrement, les interférences électromagnétiques et la compatibilité électromagnétique (EMI/CEM), ainsi que les autotests.  Cliquez ici pour obtenir des informations supplémentaires concernant les exigences de la FIPS 140-2, y compris les liens vers le NIST.

Liste des produits Symantec validés

Ci-dessous, vous trouverez les produits Symantec en fonction de leur statut, dont voici une liste :

  • Produits validés FIPS 140-2
    • Le produit utilise un module de chiffrement (Symantec ou tiers) et a subi le processus de validation d'un « label privé ».
  • Produits conformes
    • Le produit utilise un module tiers validé, mais n'a pas obtenu explicitement une validation privée du NIST.
  • N/A
    • Le produit ne contient pas de module de chiffrement.
  • Pas validé pour le moment
    • Le produit possède un module de chiffrement mais n'a pas reçu la validation FIPS 140-2 pour le moment.

Le tableau ci-dessous concerne une gamme de produits encore soumise à des fluctuations. Nous ne pouvons donc pas garantir son exactitude, mais nous essayons de le mettre à jour régulièrement pour qu'il présente le statut FIPS 140-2 actuel des produits. Symantec ne garantit pas que tous ses services, solutions d'appliance et produits logiciels et matériels sont conformes à la norme FIPS 140-2 ou validés FIPS 140-2.

Pour toute question concernant les statuts de la norme FIPS 140-2 et le contenu de cette page, ou pour prendre connaissance du statut FIPS actuel d'un produit, veuillez nous contacter.

Produits Symantec conformes à la norme FIPS

Nom du produit Symantec Statut Comporte un module de chiffrement Type du module de chiffrement
Data Center Security 6.6 Conforme FIPS Oui OpenSSL avec BSAFE (certificat n° 1058)
IT Management Suite 8.0 Conforme FIPS Oui  
Critical System Protection 7.x Conforme FIPS Oui  

Plus de détails
Réduire

 

Produits Symantec avec validation FIPS

Nom du produit Symantec Statut Comporte un module de chiffrement Type du module de chiffrement
Data Loss Prevention 12.5 Validation FIPS Oui Module de chiffrement Symantec Java (certificat de validation n° 2138)
Module de chiffrement Symantec DLP (certificat de validation n° 2318)
Data Loss Prevention 14.0 Validation FIPS Oui Module de chiffrement Symantec Java (certificat de validation n° 2138)
Module de chiffrement Symantec DLP (certificat de validation n° 2318)
Data Loss Prevention 15.0 Validation FIPS Oui Module de chiffrement Symantec Java (certificat de validation n° 3082)
Module de chiffrement Symantec DLP (certificat de validation n° 2318)
Encryption - Desktop Email Encryption 10.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Encryption - Drive Encryption 10.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)  
Encryption - Endpoint Encryption 11.1.1 Validation FIPS Oui PGP Cryptographic Engine 4.3
Encryption - File Share Encryption 10.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)  
Encryption - Gateway Email Encryption 3.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Encryption - Management Server 3.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Encryption - Mobile Encryption Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Encryption - PGP Command Line 10.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Encryption - PGP Key Management Client Access 10.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Encryption - PGP Key Management Server 3.3 Validation FIPS Oui Symantec PGP SDK 4.2.1 (certificat n° 1684)
Endpoint Protection 12.1 Validation FIPS Oui Module de chiffrement Symantec Java Version 1.2 (Certificat n° 2138) BSAFE
(Certificat n° 1786)
Endpoint Protection Small Business Edition 12.1 Validation FIPS Oui Module de chiffrement Java 1.3
Messaging Gateway 10.5 Validation FIPS Oui Module de chiffrement de l'analyseur Symantec ; module de chiffrement du centre de contrôle Symantec
Wrapper OpenSSL et RSA B-safe
Mobility Suite - Hébergé Validation FIPS Oui OpenSSL
Mobility Suite - Sur site Validation FIPS Oui OpenSSL
Symantec Insight for Private Clouds Validation FIPS Oui Utilise deux OpenSSL

Plus de détails
Réduire

 

Produits Symantec non FIPS

Nom du produit Symantec Statut Comporte un module de chiffrement Type du module de chiffrement
Control Compliance Suite - AM N/A Non  
Cyber Security DeepSight Intelligence DataFeeds N/A Non  
Cyber Security DeepSight Intelligence Portal N/A Non  
Endpoint Protection Small Business Edition 2013 N/A Non Open SSL 0.98
Mail Security for Domino 8.1 N/A Non  
Mail Security for MS Exchange 7.5 N/A Non  
Norton Secure Login Pas validé pour le moment Oui Chiffrement Java
Protection Engine 7.5 N/A Non  
Protection for Sharepoint Servers 6.0 N/A Non  
Symantec Embedded Security: Critical System Protection 1.0 Pas validé pour le moment Oui OpenSSL
Validation and ID Protection Service (VIP) Pas validé pour le moment Oui OpenSSL mode FIPS

Plus de détails
Réduire

Federal Risk and Authorization Management Program (FedRAMP)

Produit Symantec Statut
Symantec VIP Traitement en cours
Email Security for Government: SMG Autorisé

 

Le FedRAMP (Federal Risk and Authorization Management Program) est un programme du gouvernement des États-Unis visant à normaliser les évaluations de sécurité, l'autorisation et la surveillance continue des produits et services cloud. Cette approche se base sur l'exploitation des résultats de travaux précédents pour économiser entre 30 et 40 % de fonds gouvernementaux, en limitant le temps que le personnel en charge de ces tâches passerait autrement à réaliser des évaluations de sécurité redondantes. Le programme FedRAMP est le résultat d'une étroite collaboration entre les experts en cybersécurité et les spécialistes du cloud des organismes américains suivants : l'Administration des services généraux (General Services Administration ou GSA), le National Institute of Standards and Technology (NIST), le ministère de la Sécurité intérieure (DHS), le ministère de la Défense (DOD), l'Agence nationale de la sécurité (National Security Agency ou NSA), le Bureau de la gestion et du budget (Office of Management and Budget ou OMB), le Conseil fédéral des responsables de la sécurité des systèmes d'information (CIO) et ses groupes de travail, ainsi que le secteur privé.

Objectifs

  • Accélération de l'adoption de solutions cloud sécurisées grâce à la réutilisation des évaluations et des autorisations
  • Gain de confiance dans les solutions cloud pour obtenir des autorisations de sécurité cohérentes au moyen d'un ensemble convenu de normes de référence à utiliser pour l'approbation des produits cloud dans le cadre du programme FedRAMP, ou indépendamment de celui-ci
  • Application cohérente des pratiques de sécurité en place, renforcement de la confiance inspirée par les évaluations de sécurité
  • Développement de l'automatisation et du volume de données en temps quasi-réel pour une surveillance continue

Avantages

  • Réutilisation accrue des évaluations de sécurité entre les agences
  • Économie de coûts, de temps et de ressources considérables, grâce à l'exploitation des travaux précédents
  • Amélioration de la visibilité sur la sécurité en temps réel
  • Adoption d'une approche uniforme de la gestion en fonction des risques
  • Amélioration de la transparence entre le gouvernement et les fournisseurs de services cloud (CSP)
  • Confiance, fiabilité, cohérence et qualité accrues du processus fédéral d'autorisation de sécurité

Acteurs principaux

Le processus FedRAMP implique trois acteurs principaux : les agences, les CSP et les organisations d'évaluation indépendantes. Les agences doivent sélectionner un service cloud, passer par le processus FedRAMP et veiller à ce que les CSP répondent aux exigences du programme FedRAMP. Les CSP mettent le service cloud à disposition d'une agence et doivent satisfaire à toutes les exigences du programme FedRAMP avant d'exécuter leurs services. Les organisations d'évaluation indépendantes effectuent une évaluation initiale puis des évaluations régulières des systèmes des CSP, conformément aux exigences du programme FedRAMP. Elles fournissent des preuves de conformité et jouent un rôle continu dans le respect des exigences par les CSP.  Les autorisations provisoires (P-ATO) du programme FedRAMP doivent inclure une évaluation par une organisation d'évaluation indépendante accréditée afin de veiller à ce que le processus d'évaluation soit cohérent.

Processus clés

Le processus en trois étapes d'autorisation des systèmes cloud dans le cadre du programme FedRAMP est le suivant :

  1. Évaluation de la sécurité : ce processus est basé sur un ensemble standard de conditions spécifiées dans la loi FISMA, qui exploitent les contrôles NIST 800-53 pour accorder des autorisations de sécurité.
  2. Exploitation des résultats et autorisation : les agences fédérales consultent les packages d'autorisation de sécurité dans le référentiel du FedRAMP et les utilisent pour accorder une autorisation de sécurité à leur propre agence.
  3. Évaluation continue et autorisation : une fois une autorisation accordée, des activités d'évaluation et d'autorisation continues sont nécessaires pour conserver l'autorisation de sécurité.

Gouvernance

Le programme FedRAMP est un programme gouvernemental auquel participent de nombreux ministères, organismes et groupes gouvernementaux. L'organe de décision principal du programme est le Conseil d'autorisation commun (Joint Authorization Board ou JAB), composé des responsables des technologies de l'information du ministère de la Défense (DOD), du ministère de la Sécurité intérieure (DHS) et de l'Administration des services généraux (GSA).  En plus du JAB, le Bureau de la gestion et du budget, le Conseil fédéral des responsables de la sécurité des systèmes d'information, le NIST, le ministère de la Sécurité intérieure et le Bureau de gestion du programme FedRAMP (FedRAMP Program Management Office ou PMO) jouent un rôle de premier plan dans la gestion du FedRAMP.

 

Modèles VPAT (Voluntary Product Accessibility Templates)

Symantec s'engage à développer des solutions technologiques accessibles aux personnes de tous niveaux d'expertise. À cette fin, nous utilisons le modèle VPAT™ (Voluntary Product Accessibility Template), mis au point par le Conseil de l'industrie des technologies de l'information (Information Technology Industry Council), pour aider les responsables des achats de l'administration publique et d'autres acheteurs à évaluer l'accessibilité de nos produits et services.

La délivrance d'un modèle VPAT ne constitue toutefois pas une attestation de Symantec prouvant que l'acquisition de technologies électroniques et de technologies de l'information serait conforme aux exigences de l'article 508 du Rehabilitation Act de 1973 (29 U.S.C. § 794 (d)).

Pour plus d'informations concernant le programme VPAT de Symantec, veuillez nous contacter.