Présentation
Akamai soutient et protège la vie en ligne. Chaque jour, des milliards de personnes se connectent à leurs marques préférées pour faire des achats en ligne, jouer à des jeux, partager des idées, gérer leur argent et bien plus encore. Elles ne le savent peut-être pas, mais Akamai est là pour leur offrir une expérience rapide, fiable et sécurisée.
Akamai a compris que la sécurité est fondamentale dans le monde connecté d'aujourd'hui, et nous nous engageons à protéger les données de nos clients qui sont utilisées à travers nos services ainsi que dans notre infrastructure d'entreprise. À cette fin, nous avons mis en œuvre un programme complet de sécurité de l'information, basé sur des technologies de sécurité avancées, incluant notamment les produits et services de sécurité d'Akamai, afin de fournir une protection intégrale contre les menaces actuelles et futures.
Modèle de responsabilité partagée
Les clients contrôlent de nombreux aspects des solutions Akamai et, par conséquent, leurs décisions ont un impact sur la sécurité. C'est pourquoi Akamai adopte un modèle de responsabilité partagée qui définit les rôles et responsabilités des différentes parties impliquées dans la fourniture et la consommation de nos produits et services.
Dans ce modèle, les clients doivent tirer parti des services Akamai pour les adapter à la sensibilité de leurs données et les configurer correctement pour gérer les risques associés à leurs applications. Par exemple, lorsqu'ils utilisent des solutions de diffusion de contenu, les clients doivent sélectionner des paramètres TLS et des stratégies de mise en cache adaptés à leurs scénarios d'utilisation. Lorsqu'ils utilisent des solutions de Cloud Computing, les clients doivent prendre des mesures pour sécuriser les charges de travail qu'ils exécutent sur Akamai, ce qui inclut une gestion sécurisée du système d'exploitation sous-jacent et de la pile logicielle. De même, il incombe aux clients de sécuriser leur propre infrastructure qu'ils intègrent aux services Akamai.
Akamai est quant à lui responsable du développement et de l'exploitation sécurisés de la plateforme Akamai Connected Cloud qui alimente tous nos produits, en veillant à ce que les services Akamai ne violent pas les propriétés de sécurité et de confidentialité dictées par la configuration du client.
Vous trouverez de plus amples informations sur le modèle de responsabilité partagée, par exemple, dans les matrices de responsabilité pour la conformité PCI DSS, disponibles sur le site d'Akamai, rubrique suivante : Conformité en matière de sécurité de l'information . Ci-dessous, nous présentons le programme Akamai de sécurité de l'information et décrivons comment Akamai s'acquitte de sa part de responsabilités en matière de sécurité.
Gouvernance de la sécurité de l'information
Akamai dispose d'une organisation dédiée à la sécurité de l'information, InfoSec, dirigée par le responsable de la sécurité (CSO). Cette équipe d'experts en sécurité est chargée de maintenir le programme Akamai de sécurité de l'information et de superviser tous les aspects de la sécurité chez Akamai.
Bien qu'InfoSec soit une organisation indépendante, elle agit en coordination étroite avec le reste de l'entreprise chaque jour, y compris les services techniques, commerciaux, juridiques et les ressources humaines, afin de gérer le profil global des risques de sécurité de l'entreprise.
Akamai dispose d'une structure de gouvernance bien établie qui soutient la capacité d'InfoSec à identifier, évaluer et atténuer les risques de sécurité. Le comité de sécurité de l'information (ISC) d'Akamai est un organe clé de la gouvernance de la sécurité. Il est présidé par le CSO et composé des diverses parties prenantes au niveau exécutif de l'entreprise. Le CSI échange régulièrement des informations liées aux risques avec la haute direction pour leur faire part des décisions critiques. En outre, les membres du conseil d'administration d'Akamai reçoivent régulièrement des mises à jour de sécurité de la part du CSO.
Capacités
Le programme de sécurité de l'information d'Akamai est conçu pour protéger la solution Akamai Connected Cloud. Par conséquent, il couvre aussi bien les données que nous traitons pour le compte des clients que nos propres systèmes internes, nos données d'entreprise et le personnel d'Akamai.
Voici quelques-unes des principales fonctionnalités de sécurité utilisées par Akamai.
Gestion des risques. L'équipe Risk Management d'InfoSec surveille en permanence l'exposition aux risques de sécurité d'Akamai, en identifiant, en évaluant et en suivant les risques émergents et connus via notre processus complet de gestion des risques. Les risques sont suivis dans un registre central des risques, l'état des risques dépassant le seuil de tolérance de l'entreprise est communiqué périodiquement aux organes de gouvernance de la sécurité décrits précédemment, et les efforts de résolution sont coordonnés avec les propriétaires de risques respectifs.
Surveillance continue. L'équipe GSO (Global Security Operations) d'InfoSec surveille en permanence les systèmes d'Akamai, en captant et en corrélant les signaux de sécurité provenant de plusieurs sources de données via une équipe dédiée soutenue par l'automatisation et l'orchestration. Le NOCC (Network Operations Command Center) complète les capacités de GSO en surveillant en permanence les performances, la capacité et les indications de problèmes techniques des systèmes Akamai. Les deux équipes sont réparties sur plusieurs continents avec des capacités de basculement.
Gestion des failles de sécurité. L'équipe Threat and Vulnerability Management d'InfoSec supervise le processus complet de gestion des failles de sécurité d'Akamai, en établissant des règles et des mesures globales, en évaluant la gravité et l'impact des failles de sécurité, et en fournissant des conseils aux propriétaires de systèmes pour un mappage précis des failles de sécurité de leurs ressources et une résolution rapide des problèmes.
Gestion des incidents. Akamai dispose d'un solide processus de gestion des incidents conçu pour s'assurer que le personnel approprié sera disponible pour traiter les incidents techniques et de sécurité. Le processus en trois phases comprend le confinement de la menace immédiate et l'évaluation des circonstances afin de mettre en place un groupe de travail composé d'experts pour le problème rencontré, une réparation complète et vérifiée selon les critères de résolution de l'équipe, et enfin, des examens post-incident et des améliorations à long terme des règles, des processus et des contrôles en fonction des leçons apprises.
Informations sur les menaces et recherches en matière de sécurité. Les experts en sécurité d'Akamai surveillent, analysent et remédient aux menaces émergentes. Ils ont l'avantage d'exploiter la visibilité unique d'Akamai sur le trafic et l'environnement Internet fournie par la plateforme cloud la plus vaste et la plus distribuée au monde. Akamai collabore avec des partenaires de l'industrie, des organismes chargés de l'application de la loi, des groupes d'intérêts spéciaux, des organisations professionnelles, des organismes de normalisation, des établissements universitaires et des communautés open source pour améliorer ses capacités de renseignement sur les menaces. Akamai contribue également à la documentation sur la sécurité grâce à ses propres capacités de recherche internes et partage des idées novatrices avec la communauté.
Développement sécurisé. Le développement sécurisé est une responsabilité partagée par tous les propriétaires de systèmes et les unités d'ingénierie d'Akamai. Au cours du processus, l'équipe Product Security d'InfoSec fournit aux concepteurs et développeurs de systèmes une expertise spécialisée en matière de sécurité. En plus de superviser les exigences de conception sécurisée, de codage sécurisé et de test de sécurité généralement applicables dans l'ensemble de l'entreprise, et de répondre aux demandes ponctuelles de conseils pratiques, l'équipe Product Security accompagne également les équipes de développement avec des architectes de sécurité qui travaillent en direct avec elles, réalisant la modélisation des menaces dès les premières étapes de conception, puis guidant les développeurs à travers les procédures formelles d'examen de la sécurité dans le processus de développement de système standard d'Akamai. L'équipe interne d'Akamai chargée des tests de pénétration complète ces fonctionnalités par des exercices de tests contradictoires spécifiques au système.
Conformité aux normes de sécurité. Akamai subit des audits récurrents pour garantir sa conformité aux normes ISO 27001, ISO 27017, ISO 27018, ISO 27701, PCI DSS, SOC 2 type 2, FedRAMP et de nombreuses autres normes répertoriées sur Akamai Conformité en matière de sécurité de l'information . Akamai subit également régulièrement des analyses de failles et des tests de pénétration effectués par des fournisseurs tiers qualifiés, suivant les exigences de ces normes de sécurité.
Confiance des clients. L'équipe Customer Trust d'InfoSec est une équipe spécialisée composée d'experts en sécurité qui interagissent avec les clients d'Akamai, et veillant à répondre à toutes leurs questions en matière de sécurité. Le service Customer Trust est disponible pour discuter de tous les aspects du programme de sécurité de l'information d'Akamai, de son architecture, de l'utilisation de la cryptographie et d'autres détails techniques de bas niveau, ainsi que de leurs implications en matière de sécurité. Customer Trust coordonne également les audits sur site avec les clients qui souhaitent examiner de plus près les opérations d'Akamai.
Conclusion
Akamai est fier d'être un partenaire de confiance pour des milliers de clients dans divers secteurs et régions, fournissant des services cloud sécurisés et fiables qui améliorent leur présence en ligne, leur sécurité et leurs performances. Akamai investit constamment dans ses capacités et innovations en matière de sécurité afin de garder une longueur d'avance sur l'évolution de l'écosystème des menaces et de protéger ses plateformes, ses clients et ses utilisateurs finaux contre les cyberattaques.