Strategy ONE

Programme d’assurance MicroStrategy Security

Pour obtenir une version PDF de cette page uniquement, cliquez ici.

MicroStrategy dispose d'un programme de sécurité complet axé sur la protection de vos données, que notre produit soit déployé via nos offres Cloud Managed Service ou sur site. De l'ingénierie à la correction des vulnérabilités, nous nous engageons à garantir que nos produits répondent toujours à vos besoins commerciaux et de sécurité.

Certifications

  • Certifié ISO 27001 pour l'environnement Cloud MicroStrategy
  • Audit SOC2 Type II pour l'environnement Cloud MicroStrategy
  • Conforme au bouclier de protection des données
  • Plate-forme Cloud compatible PCI DSS
  • Solution Cloud MicroStrategy entièrement gérée compatible HIPAA
  • Conforme à la norme SOX du système financier de l'entreprise
  • Pays d'origine du produit : États-Unis

Sécurité personnelle

  • Vérifications en arrière-plan effectuées sur tous les employés
  • Validation des informations d'authentification éducatives
  • Vérification de l'historique financier/ des crédits
  • Vérification des antécédents judiciaires

Formation sur la sécurité et certifications des employés

  • Principes de sécurité
  • Modélisation des menaces
  • Sécurité web et tests de pénétration
  • Sécurité mobile

Processus de conception de sécurité

  • Modélisation des menaces basée sur STRIDE et d’autres modèles développés en interne
  • Application des principes de sécurité (par exemple, « Défense approfondie »)
  • Prise en compte des vulnérabilités OWASP 10
  • Vérification de la conception par une équipe d'ingénierie spécialisée dans la sécurité dédiée

Fonctions de sécurité intégrées

  • Authentification utilisateur
    • OIDC
    • SAML
    • AUTHENTIFICATION UNIQUE
    • LDAP/AD
    • Standard (Nom d'utilisateur/Mot de passe)
    • Kerberos
  • Protection HTTPS/TLS pour les données en transit
  • Chiffrement AES 256 bits pour les données au repos
  • Contrôle d’accès basé sur les rôles
  • Sécurité au niveau des lignes
  • CSRF, détournement de clic et encodage de sortie HTML (pour la prévention XSS)

Développement sécurisé

  • Normes de codage sécurisé pour tous les langages utilisés
  • Révision du code à plusieurs niveaux
  • Analyse statique du code source
  • Analyse binaire du code compilé à l’aide du scanner binaire Veracode
  • Tests de pénétration manuels

Contrôle des composants tiers

L’utilisation de composants tiers est étroitement contrôlée. Un processus officiel est appliqué pour l'introduction de nouveaux composants dans les produits. Une confirmation indépendante des composants tiers intégrés aux produits est effectuée via l'outil Synopsys Black Duck. La mise à niveau ou le remplacement des composants présentant des failles de sécurité est planifié de manière dynamique.

Tests de sécurité internes

Tout au long du cycle de développement, MicroStrategy effectue des tests de pénétration internes pour valider la sécurité des fonctionnalités nouvelles ou modifiées et valider de nouveau la sécurité de la suite de produits existante face aux nouvelles menaces. De tels tests incluent les risques identifiés dans OWASP-10 et d’autres faiblesses connues. Les modèles de menaces développés lors de la conception du produit fournissent des instructions supplémentaires pour ce test.

Tests de pénétration indépendants

Nous engageons plusieurs sociétés de sécurité pour mener des tests de pénétration annuels. Les tests ont une portée complète et utilisent des techniques de test en boîte noire, ainsi que des tests en boîte blanche qui incluent un accès complet au code source du produit. Les problèmes identifiés lors de ces tests sont immédiatement planifiés pour être résolus dans le produit sur la base d'une hiérarchisation des risques. Les nouveaux tests sont effectués par la ou les sociétés de sécurité pour vérifier que les problèmes ont été résolus.

Version sécurisée

Un référentiel de code centralisé (GitHub Enterprise) est utilisé pour le développement. Les vérifications de référentiel subissent des procédures de révision de code spécifiques de la zone. Le processus de création est contrôlé par l’équipe DevOps. Toutes les machines développant le produit utilisent un scanner antivirus de niveau entreprise mis à jour avec les signatures les plus récentes.

Correctifs de sécurité et mises à niveau

La sécurité est de la plus haute importance chez MicroStrategy. Les vulnérabilités sont traitées comme des problèmes prioritaires et sont corrigées dans la version suivante. Par conséquent, actualiser votre logiciel est l'une des précautions de sécurité les plus simples, mais les plus importantes, que vous pouvez prendre pour maintenir la sécurité de votre produit MicroStrategy. En cas de problème de sécurité critique en dehors du cycle de mise à jour normal, MicroStrategy peut émettre un correctif provisoire ou une solution de contournement. Toutefois, la mise à niveau sera toujours nécessaire pour maintenir vos déploiements aussi sûrs que possible.

Reporting d’un problème de sécurité

Les clients actuels de MicroStrategy peuvent signaler des problèmes de sécurité potentiels et envoyer des requêtes via le support technique de MicroStrategy. Les chercheurs peuvent soumettre des problèmes via notre page de reporting.

Pour plus d'informations, contactez le représentant de votre compte.