Sécurité
Portail de la confiance client
vue d’ensemble
Faire confiance à Rubrik
Chez Rubrik, le client est au centre de nos préoccupations.
Pour gagner votre confiance, Rubrik se doit de répondre à vos attentes chaque jour, à chaque interaction. Sécurité et transparence forment la base de la confiance. Et Rubrik l’a parfaitement compris. Nous avons créé cette page dans le but de vous informer sur les pratiques de Rubrik en matière de sécurité, de confidentialité et de conformité.
Conformité et confidentialité
Programme de conformité
Les produits et services Rubrik Multi-Cloud Data Control™ sont régulièrement vérifiés par des experts indépendants afin de s’assurer qu’ils respectent les normes de conformité, de confidentialité et de sécurité les plus strictes pour répondre aux besoins de conformité de votre organisation. Pour en savoir plus sur le programme de conformité de Rubrik, rendez-vous sur la page https://www.rubrik.com/compliance-program.
Politique de confidentialité
Pour en savoir plus sur les pratiques de confidentialité de Rubrik, cliquez ici.
Dans le cadre de son programme de protection de la vie privée, Rubrik a désigné un personnel dédié chargé de surveiller les exigences réglementaires. Pour en savoir plus sur la politique de confidentialité de Rubrik, rendez-vous sur https://www.rubrik.com/en/privacy-policy.
Rapports
Les certifications et attestations de conformité de Rubrik sont disponibles en vertu de la LDN. Pour accéder à ces rapports, veuillez contacter votre représentant Rubrik. Pour obtenir des informations supplémentaires sur les certifications et les programmes de conformité de Rubrik, envoyez un e-mail à compliance@rubrik.com.
Culture de la sécurité
Équipe en charge de la sécurité
Sous la supervision du directeur de la sécurité de l’information, Rubrik a mis en place une équipe dédiée à la sécurité, dont les membres sont répartis dans le monde entier. Cette équipe se concentre sur les capacités de sécurité des produits et des entreprises telles que le développement et les tests de produits sécurisés, la sécurité du cloud, la sécurité des nœuds finaux, des utilisateurs et des communications, la gestion des vulnérabilités, la gestion des incidents, la culture et la formation en matière de sécurité, la journalisation et la surveillance sécurisées, la gouvernance de la sécurité, la gestion des risques de sécurité, la gestion des risques liés aux fournisseurs et la gestion des identités et des accès.
Vérification des antécédents
Tous les employés Rubrik résidant aux États-Unis et dans certains autres pays (en vertu de la législation locale) sont soumis à une vérification des antécédents au moment du recrutement. Les employés Rubrik sont tenus de signer des accords de confidentialité lors de leur recrutement.
Sensibilisation à la sécurité
Politiques
Rubrik a développé un ensemble de politiques de sécurité conformes à l’ISO 27011, qui couvre un large éventail de sujets pertinents pour l’environnement d’exploitation Rubrik. En plus d’exiger de la part des utilisateurs qu’ils reconnaissent avoir compris ces politiques au moment du recrutement et par le biais d’une formation annuelle obligatoire, ces dernières sont mises à la disposition de tous les employés et sous-traitants ayant accès aux ressources d’information Rubrik sur notre intranet.
Formation
Tous les employés et sous-traitants ayant accès aux ressources d’information Rubrik sont tenus de suivre une formation de sensibilisation à la sécurité et à la confidentialité lors de leur embauche, qui sera renouvelée chaque année. Rubrik mène également des campagnes de phishing régulières dans toute l’entreprise, en proposant une formation personnalisée reposant sur des jeux de rôle ainsi qu’une nano formation instantanée aux utilisateurs concernés dans toute l’entreprise en fonction des facteurs de risque identifiés.
Tests et sécurité des produits
Développement de produits sécurisés
Le cycle de vie de développement logiciel sécurisé de Rubrik couvre quatre phases, à savoir la conception sécurisée, le codage sécurisé, le test sécurisé et la mise en production sécurisée. La politique de cycle de développement logiciel spécifie les processus de livraison, de vérification et de fusion, afin de minimiser les retours en arrière, les temps d’arrêt, les défauts de conception et les incidents de sécurité.
Les ingénieurs Rubrik mettent en application des pratiques de code sécurisées qui couvrent les 10 principaux risques selon l’OWASP, les vecteurs d’attaque communs et les contrôles de sécurité Rubrik. Rubrik s’appuie sur des frameworks open-source sécurisés avec contrôles de sécurité pour limiter son exposition aux 10 principaux risques de sécurité identifiés par l’OWASP. Ces contrôles inhérents réduisent l’exposition de Rubrik aux injections, la gestion des violations d’authentification et de session, les vulnérabilités XSS (cross-site scripting), les failles IDOR (Insecure Direct Object References), les vulnérabilités de contrôle d’accès au niveau de l’objet, les vulnérabilités CSRF (Cross-Site Request Forgery), ainsi que les redirections et transferts non validés.
Assurance qualité
Rubrik dispose d’une équipe responsable de l’assurance qualité (QA) et de la maintenance des systèmes réquisitionnés pour les tests. Nous comptons également dans nos rangs des ingénieurs en sécurité des applications chargés d’identifier, de tester et de catégoriser les vulnérabilités de sécurité dans le code. Les environnements de test et de pré-production sont logiquement séparés de l’environnement de production. Les données clients ne sont pas utilisées dans les environnements de développement ou de test Rubrik (déploiements cloud, par exemple).
Gestion des vulnérabilités
Rubrik utilise des outils de sécurité pour analyser de manière continue et dynamique ses produits et l’infrastructure associée contre les vulnérabilités de sécurité courantes. Rubrik dispose d’une équipe interne dédiée à la sécurité des produits pour tester régulièrement et résoudre tout problème identifié sur la base d’accords de niveau de service (SLA) définis en interne. Les référentiels de code source des plateformes Rubrik sont également analysés pour détecter les problèmes de sécurité.
Signalement des vulnérabilités
Rubrik recommande aux chercheurs spécialistes de la sécurité d’utiliser le formulaire Web ci-dessous pour communiquer toute information sur la présence suspectée de vulnérabilités parmi les ressources détenues, contrôlées ou exploitées par Rubrik, Inc. (ou qui affecteraient vraisemblablement la sécurité de Rubrik, Inc. et de ses utilisateurs). L’équipe de sécurité Rubrik, Inc. accusera réception de chaque vulnérabilité signalée, mènera une enquête approfondie, puis prendra les mesures appropriées pour résoudre le problème. La politique de divulgation des vulnérabilités de Rubrik est consultable ici : https://www.rubrik.com/contact-us/responsible-disclosure-policy
Tests indépendants de sécurité/pénétration
Au-delà du programme de gestion des vulnérabilités et de test de sécurité en interne, des experts indépendants interviennent pour soumettre les applications à des tests de pénétration avant la disponibilité générale des principales versions de produits. Ces tests couvrent notamment les 10 principales vulnérabilités identifiées par l’OWASP et la modélisation des menaces associées aux nouvelles fonctionnalités de produits.
Chiffrement
Chiffrement en transit
Toutes les communications avec l'interface utilisateur et les API de Rubrik sont chiffrées via la norme industrielle HTTPS/TLS (TLS 1.2+) sur les réseaux publics. Cela garantit un trafic entièrement sécurisé entre les environnements des clients et Rubrik pendant le transit.
Chiffrement au repos
Les offres de produits Rubrik prennent en charge le chiffrement de clés AES-256.
Sécurité des opérations
Sécurité du datacenter
Rubrik héberge des serveurs internes d'ingénierie et de développement produits chez un fournisseur de services de colocation appliquant des mesures de sécurité physique de pointe. Ce fournisseur de colocation applique des SLA élevés en termes de disponibilité, de redondance et de reprise après sinistre afin de prendre en charge les plans de continuité d’activité de Rubrik. Rubrik s’appuie sur des fournisseurs tiers, notamment Microsoft Azure et Google Cloud Platform, pour assurer la sécurité physique et la gestion des installations utilisées dans le cadre de sa prestation de services. Pour plus d’informations sur les mesures de sécurité physique mises en place par la plateforme de fournisseurs cloud de Rubrik, consultez les pages suivantes :
Rubrik utilise également des services SaaS tiers et des fournisseurs de services de données de colocalisation pour gérer ses opérations IT. Les systèmes RH, les e-mails et calendriers, les communications internes et les systèmes de gestion des exigences et des tickets de Rubrik reposent sur des services SaaS haut de gamme. Ces derniers garantissent des niveaux supérieurs aux SLA requis en termes de disponibilité, de fiabilité et de sécurité.
Sécurité sur site
La sécurité sur site des principaux sites de travail de Rubrik (y compris le siège) repose sur diverses fonctionnalités telles que des agents de sécurité, des badges, des caméras, des clôtures, des flux de sécurité, une technologie de détection d'intrusion et bien d'autres mesures de sécurité.
Sécurité des fournisseurs
Rubrik évalue ses fournisseurs et sous-traitants dans le cadre d’un robuste programme de gestion des risques liés à la sécurité des fournisseurs. Les fournisseurs sont soumis au processus d’achat et de sécurité de Rubrik, qui évalue les prestataires en fonction du degré de criticité des services qu’ils fournissent. Rubrik évalue ses fournisseurs chaque année, en s’assurant qu’ils respectent les normes en vigueur et les conditions contractuelles, et peut éventuellement leur demander de signer des avenants à l’accord sur le traitement des données.
Rubrik collabore avec différents fournisseurs tiers pour fournir des services de support et des services SaaS. Pour plus d’informations sur nos sous-traitants, consultez la page https://www.rubrik.com/en/legal/rubrik-subprocessors.
Sécurité du réseau
Protection
L’architecture de Rubrik se compose de plusieurs couches de sécurité des données, notamment une DMZ, des hôtes bastion et des IPtables. Le réseau est protégé grâce à l’utilisation de pare-feux et d’une protection avancée contre les logiciels malveillants. Rubrik utilise également des outils de sécurité pour la prévention des logiciels malveillants sur les applications SaaS et les points de terminaison. Les équipes sur site de Rubrik affectées à la fiabilité, au support et à l’ingénierie sont réparties dans le monde entier afin de garantir une couverture 24 h/24, 7 j/7, 365 j/an.
Détection et prévention contre les intrusions
L’outil de détection d’intrusion de Rubrik fournit une protection contre les vulnérabilités, un réseau anti-malware et anti-spyware qui analyse le trafic réseau pour identifier les menaces potentielles. Le service de prévention des menaces recherche les menaces à tous les stades du cycle de vie des cyberattaques, et non uniquement lorsqu'elles pénètrent pour la première fois dans le réseau, offrant ainsi un modèle de défense en couches zero trust avec une prévention à tous les points.
Surveillance et alerte de sécurité
Rubrik a mis en place des capacités de sécurité pour détecter l'exfiltration de données via les ordinateurs portables, les postes de travail et les environnements cloud fournis par Rubrik. Rubrik surveille également son environnement sur site et multi-cloud 24h/24 et 7j/7 afin de détecter les menaces de sécurité, d’enquêter et de répondre aux événements et incidents liés à la sécurité. En plus des fonctionnalités telles que le stockage de journaux, la recherche et l’indexation, la solution SIEM de Rubrik prend en charge la détection, la surveillance et la réponse aux menaces, la chasse aux menaces, l’apprentissage automatique et l’investigation numérique.
Accès logique
L’accès à l’environnement de production de Rubrik est limité aux cas de nécessité absolue selon le principe du « moindre privilège » et est consigné et surveillé. Les employés qui souhaitent accéder au réseau de production Rubrik sont tenus d’utiliser l’authentification multifacteur. Tous les accès aux applications critiques se font via une SSO avec authentification multifacteur.
Réponse aux incidents de sécurité
L’équipe SIRT (Security Incident Response Team) de Rubrik a la responsabilité de répondre aux incidents de sécurité. L’équipe SIRT gère la réception, l’investigation et la communication au public d’informations sur les failles et problèmes de sécurité qui concernent nos produits et nos réseaux.
En cas d’alerte système, les événements sont transmis aux équipes Rubrik qui assurent 24h/24 et 7j/7 les opérations, l’ingénierie réseau et la couverture de sécurité. Nos employés sont formés sur les processus de signalement et de réponse aux incidents de sécurité, y compris les canaux de communication et les recours hiérarchiques. Les clients doivent signaler tout incident de sécurité lié à Rubrik à l’adresse security@rubrik.com.
Disponibilité et continuité
Disponibilité/état du système
Rubrik reconnaît l’importance du niveau de visibilité attendu par ses clients, notamment en termes de disponibilité des systèmes, de maintenance planifiée et de fiabilité globale des produits SaaS Rubrik. Accédez à la page status.rubrik.com pour obtenir une vue d’ensemble de l’état actuel de votre système, ainsi que pour accéder à l’historique de disponibilité du système de production SaaS Rubrik.
Continuité opérationnelle et reprise après sinistre
Le programme Rubrik de continuité opérationnelle et de reprise après sinistre est conçu pour protéger votre entreprise contre les risques lorsque les services Rubrik sont indisponibles. Les plans de continuité opérationnelle et de reprise après sinistre sont mis à jour chaque année et régulièrement testés via des essais de simulation, des essais fonctionnels ou des incidents réels. Rubrik s’appuie également sur des fournisseurs leaders du marché qui garantissent haute disponibilité et redondance des systèmes et services.
Pour les produits Rubrik qui sont hébergés et gérés par les clients, Rubrik ne gère ni ne contrôle l’utilisation des produits, et ne fournit donc ni RPO ni RTO pour ses services. En ce qui concerne les produits et services Rubrik qui sont entièrement hébergés et gérés par Rubrik, Rubrik ne fournit aucun RTO ou RPO spécifique, mais s’engage sur des niveaux de service.
Ressources
Livre blanc M365
Découvrez dans les grandes lignes l’offre de gestion de données Microsoft 365 de Rubrik dans cette publication qui contient des informations sur la protection de l’environnement Microsoft 365 et de ses fonctionnalités.
Livre blanc RSC
Lisez cette présentation générale de l’architecture Rubrik Security Cloud et de l’implémentation de sécurité de l’offre SaaS.
En savoir plus