Surveillance continue chez Salesforce

Avec Salesforce Government Cloud, notre engagement à préserver la confiance est décuplé par les contrôles de conformité poussés que nous mettons en œuvre pour répondre aux exigences des marchés du secteur public. Découvrez comment Salesforce simplifie la surveillance continue, les opérations de suivi et l’établissement de rapports relatifs aux exigences FedRAMP tout en permettant d’économiser du temps et de l’argent.
Surveillance continue chez Salesforce

De nos politiques générales à nos pratiques quotidiennes, chez Salesforce, nous mettons l’accent sur la confiance dans toutes nos activités. Avec Salesforce Government Cloud, notre engagement à préserver la confiance est décuplé par les contrôles de conformité poussés que nous mettons en œuvre pour répondre aux exigences des marchés du secteur public. Grâce à des normes telles que l’High Impact Baseline du FedRAMP et l’Impact Level 4 Baseline du département de la Défense des États-Unis, nous garantissons que nos produits intègrent le niveau de sécurité nécessaire pour protéger les données gouvernementales sensibles.

Obtenir une autorisation FedRAMP pour un système informatique n’est pas chose facile. Le processus dure généralement un an, voire plus, et nécessite d’importantes ressources techniques et financières pour implémenter les contrôles de sécurité requis, faire réaliser un audit par une entité tierce d’évaluation et obtenir une autorisation d’exploitation auprès de l’autorité compétente. Comme avec tout autre système informatique, la gestion régulière de la posture de sécurité du système est un effort constant. Le FedRAMP exige que les utilisateurs assurent une maintenance régulière de leur système en ayant recours à un processus connu sous le nom de surveillance continue.

Qu’est-ce que la surveillance continue ?

La surveillance continue est le processus consistant à exercer, auprès d’un système d’information autorisé par le FedRAMP, une surveillance active en matière de risques et de posture de sécurité. Les fournisseurs de services Cloud, comme Salesforce, sont non seulement tenus de surveiller les systèmes d’information pour y rechercher la présence éventuelle de vulnérabilités nouvelles ou déjà connues, mais ils doivent également procéder au suivi de ces vulnérabilités et y remédier dans un délai précis. Par exemple, les vulnérabilités de gravité dite « élevée » doivent être corrigées dans un délai de 30 jours. En outre, nous fournissons à l’entité tierce d’évaluation des rapports où figurent des plans d’actions et des jalons (POA&M), ce qui nous permet non seulement de soigner notre réputation auprès de nos auditeurs, mais aussi d’éclairer notre stratégie de résolution et nos recommandations afin d’éviter que des problèmes similaires ne se reproduisent à l’avenir.

Louper, un service bien utile

De nombreuses caractéristiques permettent d’identifier un environnement GovCloud : l’une d’entre elles est qu’il est protégé par une barrière entourant et limitant l’accès à son contenu, appelée limite d’autorisation. Cette limite pose problème aux fournisseurs de services Cloud qui surveillent la présence de vulnérabilités au sein de ces systèmes, car les outils standard employés à cette fin (comme ceux utilisés pour les offres Customer 360 classiques) n’ont pas accès à l’environnement ou n’ont pas de visibilité sur celui-ci. S’il est relativement simple de configurer des outils d’analyse pour qu’ils opèrent à l’intérieur de la limite, il est plus difficile de suivre, de signaler et de corriger les vulnérabilités détectées lorsque celles-ci sont considérées comme confidentielles et que les informations s’y rapportant ne peuvent pas être exportées en dehors de la limite d’autorisation.

Salesforce a développé un service personnalisé appelé Louper visant à pallier les difficultés liées à l’exercice d’une surveillance à l’intérieur d’une limite d’autorisation. Louper automatise deux des principaux processus de surveillance continue afin d’améliorer la capacité à détecter les vulnérabilités et à y remédier. Tout d’abord, le service traite les résultats de l’analyse de vulnérabilité effectuée dans l’environnement. Louper inspecte les rapports ayant été produits pour identifier toutes les vulnérabilités trouvées, qui sont ensuite comparées à une base de données de vulnérabilités précédemment découvertes. Si une nouvelle vulnérabilité est détectée, Louper indique à l’équipe concernée la marche à suivre pour remédier à celle-ci.

Par ailleurs, comme il conserve un historique de toutes les vulnérabilités du système, Louper peut générer automatiquement le rapport POA&M destiné à l’entité tierce d’évaluation. Ce rapport contient une liste détaillée de toutes les vulnérabilités, que Louper peut actualiser de manière dynamique à partir des données les plus récentes. Comme un rapport POA&M peut contenir des milliers de références, le fait de le générer de manière automatisée au lieu de l’établir manuellement permet de réaliser de substantielles économies de temps et d’argent.

La confiance, notre priorité absolue

La surveillance continue n’est qu’une des façons dont nous faisons de la sécurité une partie intégrante de notre solution Cloud conforme aux principales normes. Cette application renforcée de la posture de sécurité fiable de Salesforce, qui sous-tend toutes nos activités, a pour but d’appuyer la valeur première de notre entreprise, la confiance. Avec Salesforce Government Cloud Plus, nos clients ont accès à des solutions sectorielles de pointe, notamment en matière de CRM, de services, de plates-formes, d’analyse et d’applications gouvernementales, qui aident les clients et les sous-traitants du secteur public à accomplir leur mission et à opérer une transformation numérique globale. 

Pour en savoir plus sur les offres Salesforce Government Cloud, contactez un expert en solutions dédiées au secteur public en appelant le 1-844-807-8829.



Témoignages à découvrir