Depuis ses débuts, Cloudflare s'attache à la sécurisation de ses clients à travers le monde. Nos services protègent leur trafic et leurs données, au même titre que les nôtres. En outre, nous améliorons et développons constamment ces derniers afin de répondre aux évolutions du paysage des menaces circulant sur Internet. Afin de démontrer que l'engagement constitue une initiative à plusieurs facettes, notre équipe de sécurité se concentre sur le personnel, la validation et la transparence dans le but de s'assurer que chaque point de contact avec nos produits et notre entreprise dégage une impression de fiabilité.
Personnel
Notre équipe de sécurité doit disposer de vastes connaissances, à la fine pointe de la technologie. Le fait de travailler au sein d'une telle équipe (elle-même officiant au sein d'une entreprise de sécurité) implique de faire preuve d'une diversité de talents hautement techniques, en plus d'une volonté de tester l'ensemble de nos produits sur notre écosystème. Elle doit également partager nos connaissances avec nos communautés locales et mondiales au sein de divers groupes du secteur et présenter nos solutions lors de divers événements à travers le monde. Les moments de communication avec nos clients et nos pairs, dans le cadre de rencontres et de conférences, nous permettent de partager les problèmes, de nous informer sur les tendances à venir dans le secteur et de partager des commentaires sur la marche à suivre pour améliorer l'expérience client. En plus de diriger un programme de sécurité basé sur les risques et documenté de manière formelle, les membres de l'équipe stimulent les efforts d'amélioration continue de nos équipes Produits et Infrastructure en analysant les changements et en conseillant les équipes sur ces derniers, en identifiant et en traitant les vulnérabilités, en contrôlant les autorisations et les accès aux systèmes et aux données, en chiffrant les données en transit et au repos, ainsi qu'en détectant les menaces et les incidents, avant d'intervenir sur ces derniers.
Validation
Les affirmations en matière de sécurité sont bien belles, mais comment un client peut-il s'assurer que nous mettons effectivement en œuvre ces dernières ? Nous les y aidons en nous soumettant à plusieurs audits par an, afin de prouver que nos pratiques de sécurité répondent aux normes du secteur. À ce jour, Cloudflare a régulièrement évalué et maintenu sa conformité avec les normes PCI DSS (en tant que commerçant et que fournisseur de services), SOC 2 Type II, ISO 27001 et ISO 27701. Peu importe l'endroit où nos clients se situent dans le monde, ils auront probablement besoin de se fier à au moins une de ces normes pour protéger les informations de leurs clients. Nous reconnaissons la responsabilité liée au fait d'être l'épine dorsale de cette confiance.
Suite à l'extension de la clientèle de Cloudflare dans de nouveaux secteurs réglementés, assortis de conditions complexes et rigoureuses, nous avons décidé d'évaluer notre réseau mondial à l'aune de trois normes supplémentaires cette année :
- le programme fédéral de gestion des risques et des autorisations FedRAMP (Federal Risk and Authorization Management Program) américain, qui évalue nos systèmes et nos pratiques par rapport à la norme de protection des données des agences américaines au sein des environnements cloud. Cloudflare figure sur les listes du FedRAMP Marketplace à la rubrique « In Process » (En cours de traitement) concernant une autorisation de l'agence pour un niveau d'impact Modéré (Moderate). Nous sommes sur le point de conclure notre rapport concernant l'évaluation de sécurité réalisée par nos auditeurs et en bonne voie de recevoir une autorisation d'exercer en 2022 ;
- la norme ISO 27018, qui examine nos pratiques de protection des données à caractère personnel (Personally Identifiable Information, PII) en tant que fournisseur de cloud. Cette extension de la norme ISO 27001 garantit que notre système de gestion de la sécurité de l'information (Information Security Management System, ISMS) gère les risques associés au traitement des données à caractère personnel. L'évaluation réalisée par un tiers est désormais terminée et nous attendons notre certification au cours du mois suivant ;
- la norme C5 (pour Cloud Computing Compliance Criteria Catalog, le Catalogue des Critères de Conformité du Cloud Computing), lancée par l'Office fédéral de la sécurité des technologies de l'information (le BSI) allemand. Cette norme consiste en une validation par rapport à un niveau de sécurité défini comme basique pour l'informatique cloud. Des entreprises d'audit tierces procèdent actuellement à l'évaluation de Cloudflare à l'égard de ce catalogue. Vous trouverez plus d'informations sur notre parcours ici.
Transparence
Notre engagement envers la sécurité de nos clients et de notre entreprise implique que nous devons faire preuve d'une transparence extrême. Lorsqu'un incident de sécurité est en cours d'endiguement, notre plan d'intervention précise que nous devons non seulement faire appel à nos équipes chargées de l'aspect juridique, de la conformité et de la communication, mais que nous devons également commencer à définir une vue d'ensemble détaillée de notre procédure d'intervention, même si nous en sommes encore au stade du déploiement de mesures correctives.
Nous savons d'expérience à quel point le silence des fournisseurs peut s'avérer frustrant pendant un incident de sécurité, notamment lorsque leur unique communication sur le sujet consiste en une réponse lapidaire émise afin de respecter leurs obligations juridiques, mais qui ne révèle en rien à quel point ils ont été affectés par la vulnérabilité ou l'incident de sécurité. Chez Cloudflare, la transparence fait partie de notre ADN. Vous pouvez le constater dans les articles de blog (incident Verkada, Log4j) que nous rédigeons, de même que par la rapidité avec laquelle nous exposons à nos clients de quelle manière nous avons réagi, ainsi que les mesures que nous avons prises pour corriger le problème.
L'une des questions les plus fréquentes que nous entendons de la part de nos clients consiste à savoir ce qui se passerait si nos tiers étaient touchés en cas d'incident. Les vulnérabilités de la chaîne d'approvisionnement (supply chain), telles que Solarwinds et Log4j, par exemple, nous ont poussés à mettre en place des mesures permettant de créer des gains d'efficacité (comme l'interrogation automatique) chez tous nos fournisseurs stratégiques à la fois. Pendant la phase d'endiguement de notre processus de réponse à un incident de sécurité, notre équipe chargée des risques chez les tiers peut rapidement identifier les fournisseurs touchés, avant d'accorder la priorité à nos fournisseurs de sécurité et de production. Nos outils nous permettent d'interroger immédiatement les tiers et notre équipe est intégrée au processus de réponse aux incidents afin d'assurer une communication efficace. Nous partageons toutes les informations que nous recevons de la part de nos fournisseurs sur nos forums de conformité aux normes de sécurité afin de nous assurer que les autres entreprises qui souhaitent également interroger leurs fournisseurs n'aient pas à effectuer deux fois le travail.
Valeur
Ces procédures d'audit et d'évaluation récurrentes ne sont pas de simples badges à afficher sur le site web. Notre équipe de sécurité produit également des preuves à d'autres fins que celles de passer ses audits avec succès. Notre processus comprend l'identification des risques, la mise en place de mesures de contrôle et de procédures pour répondre à ces risques, l'application de ces procédures en continu, l'évaluation de l'efficacité de ces procédures (sous forme d'audits et de tests internes comme externes) et l'amélioration de l'ISMS en fonction de ces évaluations. Certains éléments de notre procédure nous distinguent de la concurrence, notamment les suivants :
- De nombreuses entreprises ne contactent pas leurs fournisseurs ou n'ont pas intégré ce processus à leurs procédures de réponse aux incidents. Pour la vulnérabilité Log4j, notre équipe de sécurité fournisseurs était en contact avec l'équipe d'intervention et a commencé à lui communiquer des mises à jour régulières sur les réponses des fournisseurs dès l'identification de l'incident.
- De nombreuses entreprises ne communiquent pas de manière proactive avec leurs clients, comme nous le faisons. En outre, nous communiquons avec eux même lorsque nous n'y sommes pas contraints par la loi, car il s'agit pour nous de la bonne conduite à adopter, indépendamment des obligations juridiques.
- Les outils disponibles dans cet espace ne sont généralement pas suffisamment flexibles pour envoyer rapidement des questionnaires personnalisés aux fournisseurs. Nous avons mis en place des mesures automatiques permettant d'envoyer immédiatement ce type de questionnaire, en masse, tout en assurant la personnalisation des questions par rapport aux vulnérabilités concernées.
L'étape finale repose sur la communication à nos clients de notre niveau de sécurité après intervention. Nos clients peuvent ainsi télécharger les résultats de nos évaluations et de nos certifications de sécurité depuis leur tableau de bord Cloudflare ou en obtenir une copie sur simple demande auprès de l'équipe responsable de leur compte. Pour consulter les dernières informations concernant nos certifications et nos rapports, rendez-vous dans notre centre consacré à la confiance.