Chez Cloudflare, nous accordons la priorité aux initiatives qui améliorent la sécurité et la confidentialité de nos produits et services. L'organisation de sécurité estime que la confiance et la transparence constituent des principes fondamentaux, fermement ancrés au sein de notre manière de développer des produits, de définir des politiques et de protéger les données. Bon nombre de nos entreprises clientes doivent composer avec des obligations réglementaires strictes en matière de conformité et exigent de leurs fournisseurs de services cloud (comme nous-mêmes) qu'ils garantissent le respect des normes de sécurité en vigueur dans le secteur, voire aillent au-delà si possible. Au cours des dernières années, nous avons décidé d'investir dans des moyens de faciliter l'évaluation de notre niveau de sécurité. Nous y sommes parvenus non seulement par l'obtention de certifications et de rapports de sécurité reconnus dans les meilleurs délais, mais également par la création d'une équipe qui s'associe à nos clients afin d'insuffler une véritable transparence à nos pratiques en matière de sécurité et de confidentialité.
Certifications et rapports de sécurité
Nous comprenons l'importance liée au fait d'améliorer la transparence de nos procédures et de nos mesures de contrôle en matière de sécurité, ainsi que de la manière dont nos clients peuvent continuellement compter sur ces dernières pour fonctionner efficacement. Cloudflare respecte et prend en charge les normes suivantes :
SOC-2 Type II/SOC 3 (Service Organization Controls) : Cloudflare maintient des rapports SOC intégrant les principes de sécurité, de confidentialité et de confiance en matière de disponibilité. Le rapport SOC-2 garantit la sécurité et la haute disponibilité de nos produits et de l'infrastructure sous-jacente, tout en protégeant la confidentialité des données de nos clients. Nous nous entretenons chaque année avec nos auditeurs tiers. Le rapport communiqué à nos clients couvre ainsi une période d'une année complète.
ISO 27001:2013 (International Organization for Standardization ou Organisation internationale de normalisation) : la certification ISO de Cloudflare englobe l'intégralité de notre plate-forme, y compris notre réseau périphérique et nos datacenters centralisés. Les clients peuvent ainsi s'assurer que Cloudflare dispose d'un programme formel de gestion de la sécurité de l'information répondant à une norme mondialement reconnue.
Norme de sécurité des données PCI (DSS) : Cloudflare s'entretient chaque année avec un auditeur de sécurité qualifié (QSA, Qualified Security Assessor) qui nous évalue en tant que Marchand de niveau 1 et Fournisseur de services. Nous pouvons ainsi garantir à nos clients que nous remplissons les conditions requises pour transmettre leurs données de paiement en toute sécurité. En tant que fournisseur de services, nos clients peuvent faire confiance aux produits Cloudflare pour répondre aux exigences de la norme DSS et transmettre les données des titulaires de cartes en toute sécurité par le biais de nos services.
Loi HIPAA/HITECH (Health Insurance Portability and Accountability Act/Health Information Technology for Economic and Clinical Health) : les organismes de soins de santé concernés qui utilisent la version Entreprise de nos produits d'amélioration de la sécurité pour protéger leur couche Application peuvent être assurés que Cloudflare est capable de signer des accords d'association commerciale (BAA, Business Associates Agreements).
Examen de la confidentialité du résolveur DNS public 1.1.1.1 : Cloudflare a demandé à un cabinet comptable de premier plan de procéder à un examen de la confidentialité du résolveur 1.1.1.1 (le premier examen de ce genre) afin de déterminer si ce dernier était effectivement configuré pour répondre aux engagements de Cloudflare en matière de protection de la vie privée. Vous trouverez un résumé public de cette évaluation ici.
Équipe chargée de l'engagement en matière de sécurité
Nous avions bien compris que le fait de disposer de certifications et de rapports relatifs à la conformité aux normes de sécurité permettrait à nos clients d'avoir l'esprit tranquille lors de l'utilisation de nos produits, mais nous savions également que ces certificats pourraient ne pas suffire pour ceux qui transmettent leurs informations les plus sensibles par l'intermédiaire de nos services. Nous avons décidé qu'il était primordial de mettre en place une équipe chargée de l'engagement en matière de sécurité au sein de notre organisation. Notre équipe peut ainsi collaborer avec les fonctions de sécurité et de conformité de nos clients afin de déterminer le paysage réglementaire de ces derniers. Elle existe pour comprendre les scénarios d'utilisation de nos clients, répondre à leurs préoccupations et communiquer leurs demandes à nos équipes de validation, de gestion des risques et d'ingénierie de la sécurité afin de nous permettre de connaître les aspirations de nos clients.
Nous nous efforçons de placer la confiance au premier plan. Les certifications et les rapports que nous obtenons, les fonctionnalités de sécurité que nous développons, les livres blancs, les FAQ et les documents que nous rédigeons : toutes ces ressources sont créées en fonction des besoins de nos clients. À l'avenir, nous continuerons à écouter attentivement nos clients, dans le but d'améliorer continuellement la sécurité et la confidentialité de nos produits et services.
Pour plus d'informations sur nos certifications et rapports, veuillez consulter notre page consacrée à la conformité : www.cloudflare.com/fr-fr/compliance/. Vous pouvez également nous contacter à l'adresse [email protected] si vous avez des questions.