CrowdStrike - Conformité et Certification

NOUS VOUS AIDONS À RÉPONDRE À VOS BESOINS EN MATIÈRE DE CONFORMITÉ

CrowdStrike sait parfaitement que le respect des divers cadres de conformité et de certification est capital pour votre organisation. CrowdStrike peut vous aider à satisfaire à ces exigences, vous aidant ainsi à mener vos activités en toute sécurité et confiance, et en conformité avec les lois et les réglementations. Les processus de validation indépendante et d'accréditation sont d'une importance critique pour les organisations ; elles dépendent des capacités et des technologies de CrowdStrike pour sécuriser leurs données et maintenir leur conformité à la réglementation.

PNORME PCI DSS V3.2

Ce rapport a été préparé par Coalfire, un évaluateur de sécurité qualifié (Qualified Security Assessor) PCI. Il résume les fonctionnalités de CrowdStrike Falcon concernant la norme PCI DSS v3.2, . En bref :

  • CrowdStrike Falcon répond à tous les critères de la Condition 5 de la norme PCI DSS : "Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels antivirus ou programmes".
  • Qui plus est, CrowdStrike Falcon aide également à respecter quatre autres conditions de la norme PCI.

FEDRAMP

CrowdStrike Falcon on GovCloud est autorisé par le programme fédéral américain FedRAMP (Federal Risk and Authorization Management Program). L'autorisation ATO (Authorization to Operate) au niveau d'« impact modéré » obtenue par CrowdStrike du ministère américain du Commerce soutient les efforts du gouvernement des États-Unis en ce qui concerne la modernisation des TI et la rationalisation des opérations par l'utilisation du cloud, répondant ainsi au besoin d'une protection exhaustive des endpoints basée sur le cloud. Le rôle de CrowdStrike dans le cadre de cette autorisation FedRAMP est de faciliter ce processus aux diverses agences du gouvernement américain.

BOUCLIER DE PROTECTION DES DONNÉES UE-ÉTATS-UNIS

CrowdStrike est un participant actif dans le cadre du Bouclier de protection des données UE-États-Unis depuis la signature de l'accord et sa première certification en 2016. Cet accord-cadre dote les entreprises basées des deux côtés de l'Atlantique des moyens de se conformer aux prescriptions régissant le transfert des données entre les pays de l'Union européenne et les États-Unis. En résumé, en tant que participant certifié dans le cadre du bouclier de protection des données :

  • CrowdStrike est conforme aux exigences du RGPD de l'Union européenne en ce qui concerne le traitement des données personnelles recueillies et archivées dans la plateforme CrowdStrike Falcon.
  • L'offre de CrowdStrike aux organisations cherchant à se conformer aux exigences du RGPD comprend la sécurité au niveau de la plateforme et du cloud, des services de cyberveille, des services professionnels et plus encore.

BOUCLIER DE PROTECTION DES DONNÉES SUISSE-ÉTATS-UNIS

CrowdStrike est également un participant actif dans le cadre du Bouclier de protection des données Suisse-États-Unis depuis la signature de l'accord et sa première certification en 2017. En tant que participant certifié dans le cadre du bouclier suisse de protection des données :

  • CrowdStrike est conforme aux exigences du RGPD de l'Union européenne en ce qui concerne le traitement des données personnelles recueillies et archivées dans la plateforme CrowdStrike Falcon.

HIPAA

Ce rapport, compilé par Coalfire, l'un des principaux évaluateurs de la conformité aux lois HIPAA, décrit les modalités de l'utilisation de CrowdStrike Falcon pour assurer la conformité aux exigences de sécurité de la loi américaine connue sous le nom de HIPAA (Health Insurance Portability and Accountability Act) sur la santé et l'assurance maladie.

En résumé, ce rapport démontre ce qui suit :

  • CrowdStrike Falcon a été validé par un tiers indépendant dans son rôle d'aide aux organismes cherchant à se conformer aux exigences HIPAA.
  • CrowdStrike Falcon a considéré comme répondant à huit des principales exigences techniques HIPAA.

NIST SP 800-53 RÉV. 4

Ce rapport, compilé par Coalfire, l'un des principaux évaluateurs de la conformité, indique en quoi CrowdStrike Falcon peut assister les organisations dans leurs efforts pour atteindre la conformité aux exigences des normes du NIST (National Institute of Standards and Technology). La norme de contrôle de la sécurité NIST Special Publication 800-53 Révision 4 trace les lignes directrices de la sélection des contrôles techniques, physiques et opérationnels de sécurité s'appliquant aux composants d'un système informatique traitant, archivant ou communiquant des informations appartenant au gouvernement fédéral des États-Unis. En résumé, ce rapport démontre ce qui suit :

  • CrowdStrike Falcon constitue une solution appropriée pour la protection et la surveillance des systèmes informatiques telle qu'elles sont décrites par la norme NIST SP 800-53 Rév. 4.
  • CrowdStrike Falcon aide les organisations à se conformer à huit types de contrôles décrits par la norme NIST en assurant l'application de 23 contrôles distincts.

FFIEC

Ce rapport, compilé par Coalfire, l'un des principaux évaluateurs de la conformité, indique en quoi CrowdStrike Falcon peut assister les organisations dans leurs efforts pour atteindre la conformité aux exigences des prescriptions du FFIEC (Federal Financial Institutions Examination Council), un organe interinstitutionnel officiel des États-Unis composé de cinq organismes de réglementation bancaire. Ce cadre définit la mise en œuvre de contrôles techniques, physiques et opérationnels de sécurité nécessaires à la protection des informations financières des clients. La plateforme CrowdStrike Falcon a été évaluée en regard de la version 2016 du livret FFIEC Information Technology Examination Handbook, un document donnant aux examinateurs des orientations d'audit des établissements financiers afin de déterminer le niveau des risques pour la sécurité encourus par les systèmes informatiques d'un tel établissement. En résumé, ce rapport démontre ce qui suit :

  • Les capacités de détection et d'intervention en cas de cyberattaque de CrowdStrike Falcon, ainsi que son enregistrement des activités sur les endpoints, en font une solution appropriée pour la protection et la surveillance requises exigées par le FFIEC.
  • CrowdStrike Falcon apporte le soutien nécessaire pour atteindre cinq des objectifs définis par le FFIEC, traitant 17 des contrôles requis par ces objectifs.

NSA-CIRA

La CIRA (Cyber Incident Response Assistance) est une accréditation accordée par la NSA (National Security Agency) aux États-Unis. Elle atteste que CrowdStrike a été évalué et a reçu la certification de l'agence dans des domaines clés découlant des bonnes pratiques en vigueur au sein du secteur public et du secteur informatique aux États-Unis pour la conduite des enquêtes de cybersécurité.

  • CrowdStrike est l'une des 12 organisations à avoir reçu cette accréditation de la NSA dans le cadre du programme NSCAP (National Security Cyber Assistance Program).

SERVICE ORGANIZATION CONTROL 2 (SOC 2®)

Cette attestation de l'association américaine des comptables (American Institute of Certified Public Accountants, AICPA) fait foi de la qualité des contrôles mise en place par une organisation en matière de sécurité, d'intégrité du traitement des données, de confidentialité ou de respect de la vie privée.

  • CrowdStrike est conforme aux normes Service Organization Control 2 et remet à ses clients un rapport SOC 2®.
  • Le rapport de type 2 a trait à l'adéquation de la conception et à l'efficacité des contrôles.

TESTS INDÉPENDANTS D'AV-COMPARATIVES

AV-Comparatives est un laboratoire indépendant proposant une batterie de tests systématiques pour vérifier la conformité des logiciels de sécurité à leurs promesses et affirmations. AV-Comparatives a demandé à CrowdStrike de participer à leur premier rapport public de tests comparatifs portant sur les produits de sécurité de nouvelle génération. En résumé, ce rapport de tests démontre ce qui suit :

  • CrowdStrike Falcon a reçu la toute première récompense « Approved NextGen Security », l'approbation pour les solutions de sécurité de nouvelle génération.
  • CrowdStrike Falcon a été la seule solution de protection des endpoints à obtenir le score de 100 % de détection sur tous les exploits utilisés au cours de l'essai.
  • CrowdStrike Falcon a obtenu des scores d'efficacité de la détection dans une plage comprise entre 98 et 99,2 %, avec zéro faux positif au cours de trois tests antimalware distincts réalisés par AV-Comparatives.

ATTESTATION CSA STAR (CLOUD SECURITY ALLIANCE - SECURITY, TRUST AND ASSURANCE REGISTRY)

L'attestation CSA STAR de la Cloud Security Alliance constitue le niveau 2 de l'Open Certification Framework. Elle implique l'évaluation par un tiers indépendant du niveau de sécurité conféré par un fournisseur de services cloud en utilisant une combinaison du cadre SOC 2 et d'autres critères spécifiques au fournisseur de services cloud.

  • Les contrôles CrowdStrike relatifs aux données utilisateur et aux contrôles internes ont été vérifiés par un tiers indépendant et CrowdStrike a reçu une attestation STAR. Cette attestation est réévaluée chaque année.
  • L'attestation CSA en cours fait partie d'une combinaison du rapport SOC 2 et du rapport CSA STAR, qui étudie l'adéquation de la conception et l'efficacité des contrôles de sécurité appropriés de CrowdStrike.

ANTI-MALWARE TESTING STANDARDS ORGANIZATION (AMTSO)

CCrowdStrike est un membre-fournisseur de l'Anti-Malware Testing Standards Organization (AMTSO). La mission de l'AMTSO est de perfectionner les conditions métier du développement, de l'utilisation, des tests et de l'évaluation des produits et solutions antimalware.

  • En tant que membre-fournisseur, CrowdStrike contribue à la définition de normes permettant de tester les produits antimalware.
  • CrowdStrike participe à des tests qui sont conformes aux normes antimalware créées par l'AMTSO. Le moteur d'apprentissage automatique de CrowdStrike, par exemple, a reçu la certification des laboratoires SE Labs de l'AMTSO.

VPAT

CrowdStrike s'engage à se conformer aux normes réglementaires et contrôles de conformité pertinents. Cet engagement se reflète dans l'importance que nous accordons à la compréhension, à la mise en œuvre et au respect continu de ces normes par TOUTES les personnes qui ont accès à nos services et les utilisent.

  • CrowdStrike a créé un modèle VPAT (Voluntary Product Accessibility Template) conformément à la section 508 du Rehabilitation Act de 1973.
  • Le modèle VPAT (Voluntary Product Accessibility Template) relatif à la plateforme Falcon est disponible sur demande pour les clients et les clients potentiels.