Sécurité
Portail de la confiance client
vue d’ensemble
Faire confiance à Rubrik
Chez Rubrik, le client est au centre de nos préoccupations.
Pour gagner votre confiance, Rubrik se doit de répondre à vos attentes chaque jour, à chaque interaction. Sécurité et transparence forment la base de la confiance. Et Rubrik l’a parfaitement compris. Nous avons créé cette page dans le but de vous informer sur les pratiques de Rubrik en matière de sécurité, de confidentialité et de conformité.
Conformité et confidentialité
Programme de conformité
SOC 2 Type II
Le rapport d’audit SOC (System and Organization Controls) 2 met en lumière la capacité de Rubrik à atteindre les contrôles et objectifs de conformité spécifiques conformément aux critères de service de confiance établis par l'American Institute of Certified Public Accountants (AICPA).
SOC 3
Le rapport d’audit SOC (System and Organization Controls) 3 met en lumière la capacité de Rubrik à atteindre les contrôles et objectifs de conformité spécifiques conformément aux critères de service de confiance établis par l'American Institute of Certified Public Accountants (AICPA). Il s’agit d’un rapport distribué en vue d’une utilisation générale pour les utilisateurs souhaitant s’assurer des contrôles et pratiques mis en œuvre par Rubrik, et ceux qui n’auraient aucune utilité d’un rapport SOC 2
ISO 27001
L’ISO 27001 est une norme publiée par l’Organisation internationale de normalisation (ISO) et reconnue au niveau international. Rubrik a obtenu la certification ISO 27001:2013.
FIPS 140-2
FIPS 140-2 est une norme gouvernementale américaine qui vise à définir les exigences de sécurité pour les modules de chiffrement. Rubrik propose à ses clients d’utiliser des lecteurs à chiffrement automatique validés selon la norme FIPS 140-2 Niveau 2.
Liste des produits approuvés par le DoDIN
La liste des produits approuvés par le DoDIN (Department of Defense Information Network) est une liste globale des produits autorisés à l’achat par le Ministère de la Défense des États-Unis. La solution Rubrik Cloud Data Management est classée comme outil de cybersécurité (CST) dans la liste des produits approuvés par le DoDIN.
Critères communs EAL2+
Les Critères communs forment un ensemble de directives mondialement reconnues qui définissent un cadre pour l’évaluation des caractéristiques et fonctionnalités de sécurité des produits informatiques. Le produit phare de Rubrik, Cloud Data Management, est certifié selon les exigences des Critères communs EAL2+.
TRUSTe® Privacy Certification Programs
Rubrik has verified that our privacy programs, policies, and practices meet the requirements of EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield with TRUSTe. To learn more about the TRUSTe verification program click on the TRUSTe verification badge.
Certification Privacy Shield pour Suisse-États-Unis
Rubrik est certifié dans le cadre des accords Privacy Shield Suisse-États-Unis, et figure parmi la liste des participants certifiés par le département du commerce américain . Pour en savoir plus sur le Privacy Shield, cliquez ici.
Politique de confidentialité
Pour en savoir plus sur les pratiques de confidentialité de Rubrik, cliquez ici.
Les certifications et attestations de conformité de Rubrik sont disponibles en vertu de la LDN. Pour toute question sur les produits et services Rubrik, y compris liée aux certifications et au programme de conformité de Rubrik, contactez-nous à l’adresse suivante : compliance@rubrik.com.
Culture de la sécurité
Équipe en charge de la sécurité
Nous disposons d’une équipe dédiée à la sécurité, dont les membres sont répartis dans le monde entier. Cette équipe se concentre sur les capacités de sécurité des produits et des entreprises telles que le développement et les tests de produits sécurisés, la sécurité du cloud, la sécurité des nœuds finaux, des utilisateurs et des communications, la gestion des vulnérabilités, la gestion des incidents, la culture et la formation en matière de sécurité, la journalisation et la surveillance sécurisées, la gouvernance de la sécurité, la gestion des risques de sécurité, la gestion des risques liés aux fournisseurs et la gestion des identités et des accès.
Sensibilisation à la sécurité
Politiques
Rubrik a développé un ensemble de politiques de sécurité qui couvre un large éventail de sujets pertinents pour l'environnement d'exploitation Rubrik. En plus d'exiger de la part des utilisateurs qu'ils reconnaissent avoir compris ces politiques par le biais d'une formation annuelle obligatoire, ces dernières sont mises à la disposition de tous les employés et sous-traitants ayant accès aux ressources d'information Rubrik sur notre intranet.
Formation
Tous les employés et sous-traitants (ayant accès aux ressources d'information Rubrik) sont tenus de suivre une formation de sensibilisation à la sécurité lors de leur embauche, qui sera renouvelée chaque année. Notre équipe dédiée à la sécurité des produits organise des séminaires bimensuels pour former les ingénieurs aux mises à jour des produits et aux thèmes associés à la sécurité. Nous menons également des campagnes de phishing régulières dans toute l'entreprise, nous proposons une formation personnalisée reposant sur des jeux de rôle ainsi qu’une formation nano instantanée aux utilisateurs concernés dans toute l'entreprise en fonction des facteurs de risque identifiés. Enfin, nous menons une campagne de sécurité parrainée par la direction, nommée #notonmywatch, qui vise à améliorer activement la culture de la sécurité et à inculquer des comportements de sécurité positifs au sein de Rubrik.
Employee Vetting
Background Checks
Rubrik performs background checks on all new employees in accordance with local laws. Rubrik’s vendors are required to perform background checks on all their employees. The background check includes criminal, education and employment verification.
Confidentiality Agreements
All new hires are required to sign Non-Disclosure and Confidentiality agreements.
Tests et sécurité des produits
Développement de produits sécurisés
Les ingénieurs Rubrik mettent en application des pratiques de code sécurisées qui couvrent les 10 principaux risques selon l’OWASP, les vecteurs d’attaque communs et les contrôles de sécurité Rubrik. Rubrik s’appuie sur des frameworks open-source sécurisés avec contrôles de sécurité pour limiter son exposition aux 10 principaux risques de sécurité identifiés par l’OWASP. Ces contrôles inhérents réduisent notre exposition aux injections SQL (SQLi), aux scripts intersites (XSS) et à la contrefaçon des demandes intersites (CSRF), entre autres risques.
Assurance qualité
Nous disposons d’une équipe responsable de l’assurance qualité (QA) et de la maintenance des systèmes réquisitionnés pour les tests. Nous comptons également dans nos rangs des ingénieurs en sécurité des applications chargés d’identifier, de tester et de catégoriser les vulnérabilités de sécurité dans le code.
Les environnements de test et de pré-production sont logiquement séparés de l’environnement de production. Les données client ne sont pas utilisées dans nos environnements de développement ou de test ; elles sont stockées dans des datacenters on-premise chez le client ou virtuels (par exemple, des déploiements cloud).
Gestion des vulnérabilités
Nous utilisons des outils de sécurité pour analyser de manière continue et dynamique nos produits et l'infrastructure associée contre les vulnérabilités de sécurité courantes. Nous disposons d’une équipe interne dédiée à la sécurité des produits pour tester régulièrement et résoudre tout problème identifié sur la base d'accords de niveau de service (SLA) définis en interne. Les référentiels de code source de notre plateforme sont également analysés pour détecter les problèmes de sécurité.
Tests indépendants de sécurité/pénétration
Outre notre programme interne de gestion des vulnérabilités et de tests de sécurité, Rubrik fait appel à des experts en sécurité tiers indépendants pour effectuer des tests de pénétration avant la disponibilité générale (GA) des principales versions de produits.
Chiffrement
Chiffrement en transit
Toutes les communications avec l'interface utilisateur et les API de Rubrik sont chiffrées via la norme industrielle HTTPS/TLS (TLS 1.2+) sur les réseaux publics. Cela garantit un trafic entièrement sécurisé entre les environnements des clients et Rubrik pendant le transit.
Chiffrement au repos
Nos offres de produits prennent en charge le chiffrement de clés AES-256.
Sécurité des opérations
Sécurité du datacenter
Rubrik héberge des serveurs internes d'ingénierie et de développement produits chez un fournisseur de services de colocation appliquant des mesures de sécurité physique de pointe. Ce fournisseur de colocation applique des SLA élevés en termes de disponibilité, de redondance et de reprise après sinistre afin de prendre en charge nos plans de continuité des activités.
Rubrik utilise également des services SaaS tiers et des fournisseurs de services de données de colocalisation pour gérer ses opérations informatiques. Nos systèmes RH, nos e-mails et calendriers, nos communications internes, nos systèmes de gestion des exigences et des tickets reposent sur des services SaaS haut de gamme. Ces derniers garantissent des niveaux supérieurs aux SLA requis en termes de disponibilité, de fiabilité et de sécurité.
Sécurité sur site
La sécurité sur site de nos principaux sites de travail (y compris le siège) repose sur diverses fonctionnalités telles que des agents de sécurité, des badges, des caméras, des clôtures, des flux de sécurité, une technologie de détection d'intrusion et bien d'autres mesures de sécurité.
Data Hosting Location
Rubrik does not host customer data. Customer data resides in customer owned on-premise or virtual data centers (e.g., cloud deployments). In addition, our SaaS product Polaris is designed to only operate on customer metadata such as cluster capacity, number of nodes, object IP address, object capacity, etc.
Sécurité du réseau
Protection
Notre réseau est protégé grâce à l'utilisation de pare-feux de nouvelle génération et d'une protection avancée contre les logiciels malveillants. De plus, nous utilisons des outils de pointe pour la prévention des logiciels malveillants basés sur SaaS et les nœuds finaux.
Détection et prévention contre les intrusions
Notre outil de détection d'intrusion fournit une protection contre les vulnérabilités, un réseau anti-malware et anti-spyware qui analyse l’ensemble du trafic pour identifier les menaces potentielles. Le service de prévention des menaces recherche les menaces à tous les stades du cycle de vie des cyberattaques, et non uniquement lorsqu'elles pénètrent pour la première fois dans le réseau, offrant ainsi un modèle de défense en couches zero-trust avec une prévention à tous les points.
Surveillance et alerte de sécurité
Rubrik a mis en place des capacités de sécurité pour détecter l'exfiltration de données via les ordinateurs portables, les postes de travail et les environnements cloud fournis par Rubrik. Nous surveillons également notre environnement sur site et multi-cloud 24h/24 et 7j/7 afin de détecter les menaces de sécurité, d’investiguer et de répondre aux événements et incidents liés à la sécurité. En plus des fonctionnalités telles que le stockage de journaux, la recherche et l'indexation, notre solution SIEM prend en charge la détection, la surveillance et la réponse aux menaces, la chasse aux menaces, l'apprentissage automatique et l'investigation numérique.
Accès logique
L'accès à l'environnement de production de Rubrik est limité aux cas de nécessité absolue selon le principe du « moindre privilège » et est fréquemment audité et surveillé. Les employés qui souhaitent accéder au réseau de production Rubrik sont tenus d'utiliser l'authentification à facteurs multiples.
Réponse aux incidents de sécurité
En cas d'alerte système, les événements sont transmis à nos équipes qui assurent 24h/24 et 7j/7 les opérations, l'ingénierie réseau et la couverture de sécurité. Nos employés sont formés sur les processus de signalement et de réponse aux incidents de sécurité, y compris les canaux de communication et les recours hiérarchiques. Les clients doivent signaler tout incident de sécurité lié à Rubrik à l’adresse security@rubrik.com.
Disponibilité et continuité
Disponibilité
Rubrik travaille actuellement à la mise en service d’une page web d’état système accessible au public, qui indiquera les détails de disponibilité, la maintenance planifiée, l’historique des incidents de service et d’autres événements pertinents liés à la sécurité.
Continuité opérationnelle et reprise après sinistre
Le programme Rubrik de continuité opérationnelle et de reprise après sinistre est conçu pour protéger votre entreprise contre les risques lorsque les services Rubrik sont indisponibles. Les plans de continuité opérationnelle et de reprise après sinistre sont mis à jour chaque année et régulièrement testés via des essais de simulation, des essais fonctionnels ou des incidents réels. Rubrik s’appuie également sur des fournisseurs leaders du marché qui garantissent haute disponibilité et redondance des systèmes et services.
Ressources
Fiche technique Cloud Data Management (CDM)
Obtenez un rapide aperçu des fonctionnalités de sécurité de la solution CDM, ainsi que des différentes mesures de sécurité que nous mettons en œuvre pour sécuriser votre infrastructure sous-jacente.
Fiche technique Polaris
Obtenez un rapide aperçu des fonctionnalités de sécurité de la solution SaaS Polaris, ainsi que des différentes mesures de sécurité que nous mettons en œuvre pour sécuriser votre infrastructure sous-jacente.
En savoir plus