Questions fréquemment posées

Vous devez vous conformer aux cadres de sécurité et de confidentialité comme SOC 2, ISO 27001, PCI DSS, HIPAA, RGPD, et NIST CSF pour instaurer la confiance avec les clients et conclure des affaires plus rapidement. Mais vous n'avez pas des centaines d'heures à consacrer au travail manuel.

C'est là que la solution d'automatisation tout-en-un de la conformité de Secureframe intervient. Associée à notre expertise inégalée en matière de conformité interne, notre plateforme a aidé des milliers de clients à obtenir et à maintenir une conformité aux normes mondiales les plus rigoureuses avec facilité et rapidité. De cette manière, ils peuvent rester concentrés sur ce qui compte : développer leurs clients, leur entreprise et leurs revenus.

Lors de notre webinaire Secureframe Expert Insights qui s'est tenu le jeudi 12 janvier, l'expert en conformité Jonathan Leach, CISSP, CCSFP, CCSK et le responsable principal de l'ingénierie des solutions Kyle Gregoire ont montré à quel point il est facile de se conformer en quelques semaines – et non en quelques mois – avec notre plateforme d'automatisation.

Si vous l'avez manqué, regardez la rediffusion vidéo à la demande. Nous récapitulons également ci-dessous leurs idées et leurs conseils d'experts pour atteindre une sécurité et une confidentialité continues.

Qu'est-ce que Secureframe ?

Secureframe est la principale plateforme d'automatisation de la conformité tout-en-un. Nous aidons les organisations à atteindre et à maintenir une conformité continue aux normes mondiales de sécurité et de confidentialité les plus rigoureuses, y compris SOC 2, ISO 27001, HIPAA, PCI, RGPD, CCPA, NIST et d'autres.

Nous le faisons en offrant des solutions de gouvernance, de gestion des risques et de conformité de premier plan, telles que la surveillance continue, la gestion du personnel et des fournisseurs, la gestion des politiques d'entreprise, les rapports de préparation, les questionnaires de sécurité, la formation exclusive en matière de conformité, et bien plus encore.

Et nous avons plus de 30 experts à temps plein en conformité et d'anciens auditeurs dans notre équipe, qui sont là pour soutenir nos clients à chaque étape du processus de conformité, en aidant à répondre aux questions des auditeurs et en fournissant des conseils afin que les clients puissent obtenir et maintenir la conformité aux cadres qui comptent pour leur entreprise.

Pour montrer comment les organisations utilisent la plateforme Secureframe pour obtenir et maintenir la conformité, Kyle Gregoire a fourni une démonstration de la plateforme d'automatisation de la conformité tout-en-un de Secureframe, allant de l'intégration à l'automatisation des questionnaires de sécurité. Lui et Jonathan ont ensuite répondu à des questions sur la sécurité, la confidentialité et la conformité.

Vous trouverez ci-dessous une transcription légèrement éditée de cette démonstration et de cette session de questions-réponses.

Démonstration de produit Secureframe

La plateforme Secureframe peut être décomposée en trois cas d'utilisation principaux.

La première consiste à utiliser Secureframe comme un outil d'accueil. Vous pouvez utiliser Secureframe pour administrer des politiques au personnel de votre organisation, suivre qu'ils lisent et acceptent ces politiques, administrer une formation à la sensibilisation à la sécurité, lancer une vérification des antécédents, puis conserver ces preuves, le tout au sein de la plateforme. Ainsi, vous n'avez plus besoin que l'individu chargé d'un audit passe d'un système à l'autre, trie des sources de données disparates, et soumette plusieurs demandes à l'équipe RH pour regrouper ces preuves. Au lieu de cela, Secureframe automatise toutes les exigences de sécurité, de confidentialité et de conformité de l'intégration des employés.

Le prochain cas d'utilisation de la plateforme Secureframe est de l'utiliser comme un outil d'analyse des écarts, de remédiation et de surveillance continue ; des éléments communs de la Gouvernance, des Risques et de la Conformité (GRC). Avec Secureframe, vous pouvez non seulement comprendre vos lacunes et savoir comment les corriger, mais aussi maintenir une conformité continue grâce à l'automatisation et aux intégrations avec les différentes solutions technologiques, outils et applications utilisés dans votre organisation.

Le troisième cas d'utilisation consiste à permettre à votre auditeur d'accéder facilement à toutes les preuves de conformité directement au sein de Secureframe. C'est un avantage vraiment important car la méthode traditionnelle de réalisation d'un audit consiste à fournir des preuves d'audit directement à un auditeur en fonction de la liste des demandes d'informations qu'il fournit. Une fois que vous avez soumis ces preuves, ils vont passer beaucoup de temps à valider l'exhaustivité et l'exactitude des données. Ils vont aussi planifier du temps avec vous pour les examiner. Ce n'est pas le cas avec Secureframe. L'auditeur se connectera à Secureframe et recevra ces preuves directement sans avoir besoin de les demander ou de vous rencontrer.

Voyons maintenant quelques-unes des fonctionnalités qui font de Secureframe une solution tout-en-un pour l'intégration des employés, l'analyse des écarts, la préparation à l'audit et bien plus encore, pour vous aider à maintenir une posture de sécurité, de confidentialité et de conformité solide.

Intégrations

Problème résolu par cette fonctionnalité : Identifier les lacunes de conformité en matière de sécurité et de confidentialité et capturer automatiquement les preuves de conformité à partir de la technologie, des outils et des applications que vous utilisez dans votre entreprise.

En tant qu'administrateur, vous aurez la possibilité de connecter des intégrations lors du processus d'accueil. Cela débloque une énorme quantité de puissance d'automatisation.

Secureframe se connecte à plus de 100 intégrations - un nombre inégalé dans l'industrie - pour les services déjà présents dans le noyau technologique de votre organisation : suites de productivité professionnelle, plateformes RH, fournisseurs de services cloud, solutions MDM, outils SSO, outils de gestion des changements, outils de développement comme Github, et plus encore.

Chacune de ces intégrations dans Secureframe est construite dans un but précis. L'une des plus puissantes est celle avec votre fournisseur de services cloud (CSP), comme AWS, Azure et Google Cloud Platform (GCP). En fonction de la nature des services fournis par une organisation, il y a une quantité énorme de contrôles et d'exigences autour des configurations de ce CSP, et notre plateforme peut tirer toutes ces données pour vous. Les tests que nous avons sont très robustes. Dans l'industrie, nous offrons les tests d'intégration les plus approfondis liés aux CSPs.

En tant que solution de sécurité des points de terminaison, nous avons un Agent Secureframe. Cela n'entraîne aucun coût pour nos clients. Si vous n'utilisez pas actuellement de solution MDM pour gérer vos appareils, vous pouvez utiliser l'Agent Secureframe. Ce n’est pas un remplacement pour une solution MDM, mais cela permet à la plateforme de questionner les appareils, de tirer les détails pertinents et de vous les afficher dans un format digeste afin que vous puissiez prendre des mesures correctives. Il tire également les preuves nécessaires pour l'auditeur.

Avec toutes ces intégrations, nous ne collectons que les preuves appropriées nécessaires pour l'audit ou le cadre qu'une organisation poursuit. Ce sont toutes des données en lecture seule que nous récupérons. C'est des métadonnées. C'est des données sur les configurations. C'est des données sur la date de début et de fin d'emploi des employés, leur adresse e-mail, leur poste. Nous n'avons pas la capacité de modifier les données. Nous ne regardons pas les PII et nous ne regardons pas les éléments qui ne sont pas nécessaires pour l'audit. Cela contribue à réduire les risques pour nos clients.

Dans le cadre de ce processus, vous pouvez personnaliser un e-mail invitant le personnel à Secureframe avec votre logo, votre signature et votre propre langue pour correspondre à votre style de communication et à vos processus internes.

Intégration des employés

Problème que cette fonctionnalité résout : Créer un flux de travail d'intégration automatisé pour les nouveaux employés afin de compléter la formation de sensibilisation à la sécurité et de passer en revue les politiques.

Lorsque le personnel non-administratif reçoit une invitation à rejoindre Secureframe, ils seront intégrés au module d'intégration des employés au sein de notre plateforme. Les administrateurs peuvent également personnaliser cette expérience d'intégration en ajoutant des politiques, y compris une vérification des antécédents, et en ajoutant une option d'installation pour l'Agent Secureframe.

Ce qui est unique avec Secureframe, c'est que nous avons développé notre propre formation propriétaire afin que vous n'ayez pas besoin de budgétiser, gérer ou maintenir une autre relation avec un fournisseur pour la formation. Les employés trouveront une série de vidéos engageantes à regarder et des questions pour tester leur rétention directement sur la plateforme Secureframe. S'ils réussissent, ils obtiennent automatiquement un certificat et la plateforme conserve cette preuve pour l'auditeur.

Ce flux d'intégration inclura également les politiques que vous avez publiées en tant qu'organisation. Votre personnel aura la possibilité de lire et d'accepter ces politiques lors de l'intégration ou à tout moment.

Certaines organisations créent et maintiennent une diapositive SharePoint, un document Google de leurs politiques ou quelque chose de similaire. Avec Secureframe, il n'est pas nécessaire de créer et de maintenir un document séparé car les individus au sein de l'organisation ont toujours la possibilité de se connecter à Secureframe et de voir les politiques qu'ils ont précédemment acceptées. Une fois qu'un individu a accepté toutes les politiques, il obtiendra une coche verte dans la colonne des Politiques acceptées de la page du Personnel, ajoutant à vos preuves de conformité et à votre posture.

Entrons maintenant dans la plateforme.

Tableau de bord de surveillance

Problème que cette fonctionnalité résout : Obtenir une visibilité complète avec des insights exploitables sur les problèmes critiques de sécurité et de conformité de la vie privée.

Le tableau de bord de surveillance est l'endroit où la majorité des clients de Secureframe passent le plus de temps. Il donne une vue d'ensemble du progrès d'une organisation en termes de préparation à l'audit pour les cadres de conformité qu'elle poursuit.

Étant donné que bon nombre de nos clients poursuivent plusieurs certifications, nous effectuons une grande partie de la cartographie croisée ou de la déduplication entre les cadres. Il y a généralement une bonne part de chevauchement entre SOC 2, ISO 27001 et HIPAA, par exemple. Ainsi, si vous remplissez un test particulier pour SOC 2, nous allons le mapper à tous les contrôles communs entre SOC 2, ISO et HIPAA. Ce tableau de bord montrera à quel point vous êtes proche de terminer chacun de ces cadres individuels, ainsi qu'un score global sur plusieurs cadres.

Toutes les informations sur le tableau de bord sont cliquables. Vous pouvez naviguer rapidement dans la plateforme pour voir votre personnel, vos actifs et vos intégrations. Vous pouvez définir des tâches supplémentaires pour vous-même et des tâches pour d'autres membres de l'organisation.

La façon dont vous utilisez ce tableau de bord dépend vraiment de votre organisation. Peut-être avez-vous une personne en charge de la préparation de l'audit en utilisant ce tableau de bord. Peut-être avez-vous plusieurs personnes dans différentes unités opérationnelles qui utilisent toutes ce tableau de bord pour atteindre la conformité. Il n'y a pas de manière spécifique dont vous devez utiliser la plateforme. Nous permettons autant de flexibilité et de personnalisation que nécessaire afin que l'outil s'adapte réellement à votre organisation.

Rapport de préparation

Problème résolu par cette fonctionnalité : Suivi facile des progrès vers un audit tel que SOC 2 ou suivi de la conformité légale telle que GDPR.

La manière traditionnelle d'obtenir un audit consiste à recevoir une liste de demande d'informations (IRL) ou une demande d'informations (RFI) d'un auditeur. En gros, il s'agit d'une feuille de calcul contenant 150 à 200 éléments de ligne individuels qui vous dit "Voici ce que vous devez faire. Montrez-moi la preuve que vous le faites." C'est plutôt décourageant, surtout si c'est la première fois que vous passez un audit. Habituellement, la formulation est très confuse et vous avez du mal à comprendre exactement ce qu'ils recherchent, sans parler de savoir si les preuves que vous fournissez sont valides.

Une autre chose à considérer, aussi, est que les auditeurs sont tenus à leur indépendance. Les auditeurs ne peuvent pas évaluer leur propre travail, ils sont donc limités dans les questions que vous pouvez poser à votre cabinet d'audit. Si vous suivez la voie traditionnelle, cela signifie que vous devez soit essayer de comprendre ce qu'ils recherchent et déterminer quelles sont vos lacunes, soit travailler avec un consultant tiers. Cela coûte en moyenne de 200 à 300 dollars de l'heure. Dans certains cas, cela peut coûter plus cher si vous cherchez à obtenir une conformité avec le PCI ou l'un des cadres fédéraux.

Dans Secureframe, les rapports de préparation SOC 2 et autres remplacent cette liste de demande d'informations et servent d'analyse des lacunes constamment évolutive et à jour pour votre organisation.

Dans le rapport de préparation SOC 2, par exemple, différentes familles de contrôles sont identifiées sur le côté gauche. Sur le côté droit, vous verrez différents contrôles avec des tests individuels exécutés sous chaque contrôle. Ce sont toutes les choses que vous, en tant qu'organisation, devez faire et qui sont testées pour vous permettre de dire oui, nous avons tout en place pour répondre à cette exigence de contrôle particulière dans le cadre de SOC 2.

Dès que vous connectez des intégrations dans le flux d'intégration, la plateforme va commencer à développer cette analyse des lacunes. Ce qui peut vous prendre des semaines, voire des mois, par la voie traditionnelle, se produit immédiatement avec Secureframe. Dès que nous commençons à exécuter ces synchronisations, elle va reconnaître quelles configurations vous avez en place par rapport à celles que vous n'avez pas en place.

Dès le départ, si vous connectez vos intégrations et consultez ce rapport, il va reconnaître que vous n'avez publié aucune politique. Vous n'avez identifié aucun propriétaire de politique. Votre personnel n'a pas lu les politiques. À mesure que vous progressez dans ces activités sur la plateforme Secureframe, ce rapport se mettra à jour pour montrer vos progrès vers la préparation à l'audit et la conformité.

C'est sur cela que l'auditeur va principalement baser son évaluation une fois qu'il aura accès à Secureframe.

Vous pouvez également personnaliser ce rapport. Supposons qu'un contrôle particulier ne s'applique pas à vous. Peut-être que vous êtes un fournisseur de services gérés, par exemple, et que vous n'hébergez pas de données ni ne fournissez de logiciel en tant que service ou d'application. Dans ce cas, les contrôles et tests liés à la sécurité de l'information au sein d'un fournisseur de services cloud, au chiffrement des données au repos et en transit, à la journalisation, à l'alerte et à la surveillance de certains de ces différents services ne s'appliquent probablement pas à vous. Vous pouvez donc les désactiver dans la plateforme. C'est un autre excellent exemple de la personnalisation que nous apportons au processus de conformité. Cette capacité de personnalisation vous permet de rendre l'expérience Secureframe aussi sur mesure que nécessaire afin que le processus soit aussi efficace que possible.

Une autre fonctionnalité intéressante de ce rapport de préparation est que vous pouvez l'exporter. Bien que cela ne remplace pas un rapport SOC 2, cela vous permet de fournir aux clients ou à d'autres parties prenantes importantes une mise à jour sur vos progrès vers le SOC 2. Cela peut être, par exemple, dans le cadre d'une réunion du comité exécutif de supervision ou d'une réunion du comité de pilotage. Quels que soient vos besoins, vous pouvez choisir d'exporter tous les contrôles ou uniquement les contrôles que vous passez dans ce rapport.

Tests

Problème résolu par cette fonctionnalité : Automatisation de la collecte de preuves manuelles et détection continue et résolution des problèmes dans votre environnement avec des tests directement liés aux contrôles et exigences du cadre de conformité.

Vous pouvez également consulter les informations présentées dans le rapport de préparation de manière plus détaillée sur la page Tests. Considérez cela comme une bibliothèque de tests. Il existe plus de 1 000 tests que la plateforme peut effectuer en fonction de leur applicabilité à votre organisation et des filtres que vous définissez.

Mais cette page et vraiment la connexion avec votre fournisseur de services cloud est dynamique. Ce que je veux dire par là, c'est que nous avons plus de 150 tests individuels autour d'AWS. Cela ne signifie pas que 150 sont applicables à votre organisation. Par exemple, la capture d'écran ci-dessus ne montre que 32 tests individuels qui sont dans le cadre du SOC 2 où AWS est le fournisseur. La plateforme reconnaît également les services que vous utilisez au sein d'AWS, donc si vous n'utilisez pas les clusters EKS, Kubernetes, le service de conteneurs élastiques ou la fonctionnalité Lambda, les tests pour ces différents services n'apparaîtraient pas sur cette page. Ils seraient toujours disponibles, vous auriez juste besoin d'ajouter quelques filtres supplémentaires pour les faire apparaître dans cette liste.

Les filtres sont empilables, vous pouvez donc ajouter autant de filtres que vous le souhaitez et sauvegarder ces vues afin de ne pas avoir à revenir et à ajouter continuellement ces filtres pour voir les mêmes informations.

Vous pouvez également attribuer la propriété en masse. Peut-être que votre équipe de développeurs ou votre équipe d'ingénieurs est responsable de s'assurer que l'environnement AWS est correctement configuré et conforme. Vous pourriez attribuer en masse des tests à cette équipe ou à une personne pour qu'elle soit responsable de s'assurer que ces tests sont complétés et maintenus.

Cette page de tests est constamment mise à jour. Donc, si un test est réussi aujourd'hui mais que vous lancez ensuite une nouvelle ressource sans avoir mis en place les configurations appropriées, alors le test passera à l'état d'échec et le propriétaire du test recevra une notification. C'est donc la composante de surveillance continue.

Nous n'adoptons pas une mentalité de « une fois pour toutes » avec les audits et la conformité. C'est quelque chose qui se fait perpétuellement et une solution comme Secureframe permet à une organisation d'avoir une visibilité énorme sur sa posture de sécurité et de confidentialité à travers toute sa pile technologique via une interface unique pour s'assurer qu'elle peut obtenir et rester conforme plus efficacement.

Jetons un coup d'œil à un test spécifique pour voir quel type de données la plateforme fournit.

Prenons le test pour le chiffrement du Simple Queue Service (SQS). Si ce test est réussi, il sera indiqué par une coche verte. S'il échoue, il serait indiqué par une croix rouge. La plateforme fournit également des conseils de remédiation intégrés à l'application.

Dans l'onglet suivant intitulé « preuves », vous verriez un tableau de toutes les différentes ressources ou actifs impliqués par ce test. S'il échouait, peut-être que ce serait parce que vous avez une ressource ou un actif particulier qui n'a pas la configuration appropriée en place. Dans ce cas, la plateforme spécifierait cette ressource.

Pensez à l'efficacité de cette page. Elle vous dit quel est le test et quel est son statut. Elle vous dit aussi que la raison pour laquelle il échoue est due à une ressource spécifique dans votre environnement AWS. Elle vous dirait également comment le réparer. Vous auriez des instructions étape par étape avec des captures d'écran directement dans la plateforme pour savoir comment remédier à cela depuis votre console AWS. Vous trouveriez aussi un lien vers la source de vérité. Dans ce cas, c'est la documentation qu'AWS a publiée.

Donc, cela signifie que vous ou le propriétaire du test savez exactement ce que vous devez faire pour remédier à ce test. Ce qui aurait pu vous prendre deux jours et d'innombrables heures d'enquête vous prend maintenant cinq minutes pour comprendre, et peut-être 15-20 minutes pour remédier. Nous réduisons donc ce qui prendrait des heures à quelques minutes.

De plus, dans la capture d'écran ci-dessus, vous avez peut-être remarqué que ce test s'applique à PCI, ISO 27001, HIPAA, et SOC 2. Donc, si vous poursuiviez plusieurs cadres et que vous remédiiez avec succès à ce test, cela serait appliqué à chaque cadre applicable pour votre organisation.

Vous pouvez également laisser des commentaires internes sur la page de test. Supposons qu'un développeur travaille dessus et veuille laisser quelques notes à un autre développeur et lui demander s'il peut y jeter un coup d'œil. Ils peuvent écrire cela comme un commentaire et leur envoyer un lien vers ce test sur Slack ou par email. Ce sera un lien direct pour que le développeur n'ait pas à se connecter à Secureframe, cliquer sur Tests, exécuter ces filtres, puis trouver ce test. Ils n'ont qu'à ouvrir le lien.

Personnel

Problème que cette fonctionnalité résout : S'assurer que tout le personnel reste conforme aux contrôles d'accès appropriés, aux formations et aux révisions des politiques.

Que ce soit votre première fois avec une SOC 2 ou la dixième fois, il est important de comprendre que la conformité ne concerne pas uniquement les configurations des systèmes ou services techniques. Il y a une quantité énorme d'exigences opérationnelles, comme comment intégrez-vous votre personnel ? Votre personnel lit-il et accepte-t-il les politiques ? Complètent-ils une formation de sensibilisation à la sécurité ? Ont-ils passé une vérification des antécédents ? Avez-vous mis en place un processus d'évaluation du personnel pour vous assurer qu'ils remplissent les obligations définies dans leur description de poste ?

Secureframe peut également vous aider à répondre à ces exigences. Dans l'onglet Personnel, vous pouvez voir une liste de tout le personnel et s'ils ont accepté les politiques, complété la formation de sensibilisation à la sécurité et appartiennent à des groupes. Vous pouvez également voir quels services remplissent leur dossier. Par exemple, un employé peut être renseigné à partir de Github AWS, Google Cloud, Azure, Google Workspace, Gusto et Office 365. C'est vraiment puissant. Supposons que dans 6 mois, cet individu ne soit plus avec l'organisation mais qu'il soit toujours sur cette page. Ensuite, vous pouvez passer la souris sur la colonne des services connectés et voir clairement qu'ils ont encore un accès provisionné sur certains de ces services.

Vous pouvez également cliquer sur une personne pour voir des informations spécifiques liées à leur accès à Secureframe, aux exigences et politiques d'intégration, et aux groupes auxquels elles appartiennent. Vous pouvez également voir quels sont leurs rôles pour chaque service et s'ils ont un accès privilégié. Vous pouvez voir quels appareils ils utilisent, et plus encore.

Pensez à passer un audit traditionnel qui touche plusieurs unités commerciales au sein d'une organisation. Maintenant, pour une petite organisation, cela ne semble pas problématique car vous n'avez peut-être pas plusieurs unités commerciales. Peut-être avez-vous une équipe de cinq personnes composée d'un fondateur, d'un co-fondateur, d'un ingénieur principal, de quelqu'un dans le succès client, et de quelqu'un dans les ventes. Dans ce cas, tout le monde peut être agile et avoir beaucoup de visibilité sur ce que font les autres membres de l'équipe.

Mais à mesure que votre organisation grandit, les choses deviennent cloisonnées. Par exemple, dans une organisation plus grande, vous ne savez peut-être pas ce que fait le service des ressources humaines ou comment il administre les politiques. Si vous êtes la personne en charge de votre projet SOC 2, alors vous devez vous fier aux ressources humaines pour valider que tout le monde lit les politiques et pour vous fournir ces preuves. Cela pourrait représenter beaucoup de messages aller-retour dans Slack. La personne des ressources humaines peut ne pas répondre à vos messages car elle a d'autres priorités que la collecte de preuves.

Secureframe, à travers ces intégrations, permet aux individus d'avoir une visibilité à travers l'organisation. Donc, si vous êtes en charge du projet SOC 2, vous pouvez clairement voir sur cette page personnel qui a lu et accepté ses politiques. Ainsi, au lieu de demander cette information aux ressources humaines, vous pouvez leur demander quelque chose de plus spécifique. Par exemple, "Hey, Kyle n'a pas lu et accepté toutes ses politiques. Nous devons le faire ou nous allons avoir des défis avec notre SOC 2. Pouvez-vous, s'il vous plaît, travailler avec Kyle pour que ce soit fait d'ici la fin du mois ?"

Inventaire des actifs

Problème que cette fonctionnalité résout : S'assurer que les dispositifs de votre personnel, les actifs cloud de votre entreprise et les dépôts de contrôle de version sont tous en conformité.

Secureframe crée automatiquement un inventaire de tous vos actifs en fonction des intégrations que vous avez connectées à la plateforme. La vue par défaut est celle des appareils. Ce sont vos points de terminaison, vos ordinateurs portables, vos ordinateurs de bureau. Je peux trier. Je peux filtrer. Je peux exporter ces données. Je peux également cliquer sur l'onglet suivant pour les ressources cloud.

Les ressources cloud ne sont généralement pas incluses, à moins qu'elles ne contiennent des données clients ou des données sensibles. Vous pouvez donc les marquer hors du périmètre tant que vous fournissez une raison. Cela empêche la plateforme Secureframe de les analyser. Ainsi, si vous avez marqué une ressource comme hors périmètre – disons un bucket S3 qui est positionné publiquement ou que nous ne voulons pas chiffrer pour une raison quelconque – cette ressource particulière ne sera pas étiquetée comme échouée lors d'un test recherchant le chiffrement de bucket S3.

Il en va de même pour les vulnérabilités. Si vous avez marqué une ressource hors périmètre ici et qu'il y a une vulnérabilité associée détectée par quelque chose comme AWS Inspector, alors la plateforme ne la montrera pas comme une vulnérabilité en périmètre.

Il y a aussi un onglet de contrôle de version dans votre inventaire d'actifs.

Le contrôle de version est vraiment puissant dans Secureframe car nous donnons à nos clients la possibilité de configurer cette intégration, ce qui peut vous aider à répondre à certaines exigences en termes de gestion des modifications.

Prenons les demandes de tirage comme exemple. Chaque modification doit avoir une approbation indépendante avant d'être fusionnée dans la production. De cette façon, la personne qui développe le code ne peut pas être la même que celle qui le pousse en production. Secureframe propose plusieurs types de vérifications de tests, y compris la numérisation des dépendances, l'analyse de code statique et les tests d'intégration. Si vous remplissez cette section avec des informations spécifiques à votre organisation, nous pouvons alors marquer les demandes de tirage qui ont été fusionnées dans votre branche de production et qui n'ont pas satisfait à ces critères particuliers. Peut-être qu'elles n'avaient pas d'étiquette d'urgence par exemple.

C'est un autre exemple de la façon dont la plateforme offre une vue d'ensemble si exceptionnelle pour que vous puissiez prendre les mesures correctives appropriées avec rapidité et efficacité.

Le contrôle de version peut également être trouvé dans l'onglet Politiques de la plateforme Secureframe.

Politiques

Problème résolu par cette fonctionnalité : Mettre en place, gérer et distribuer des politiques rapidement et facilement pour que vous ne soyez jamais en dehors des normes de conformité.

Comme vous le savez, une partie de l'intégration du personnel consiste à s'assurer qu'ils lisent et acceptent nos politiques. Secureframe vous fournira un modèle pour chaque politique nécessaire au cadre de conformité que vous poursuivez. Celles-ci incluent votre politique d'utilisation acceptable, votre politique de gestion des changements, votre politique de développement de code sécurisé et votre code de conduite.

Cela signifie que vous n'avez pas besoin d'acheter de modèles de politique, mais vous avez la possibilité de les intégrer à la plateforme si vous le souhaitez. Vous pouvez voir le bouton Créer une politique dans le coin supérieur droit. Cela vous permet essentiellement d'utiliser une politique existante.

Si vous n'avez pas de politiques existantes, vous pouvez utiliser nos modèles. Si vous cliquez sur le modèle de politique de gestion de la configuration et des actifs comme exemple, vous verrez qu'il contient tout le langage nécessaire mais nous encourageons toujours nos clients à lire et à mettre à jour ces politiques selon les besoins. Vous pouvez faire quelque chose d'un peu différent et nous voulons le documenter ici. Nous voulons nous assurer que ce que vous dites dans votre politique est ce que vous faites réellement.

Vous pouvez voir le contrôle de version directement ici dans la plateforme. Nous pouvons revenir en arrière et voir les versions précédentes. Nous pouvons prendre une politique et tout effacer pour revenir à la version originale, si nous le souhaitons.

Support

Problème résolu par cette fonctionnalité : Obtenez rapidement des réponses précises aux questions de sécurité, de confidentialité et de conformité concernant votre environnement unique.

Avec notre plateforme, vous bénéficiez également d'une équipe de support composée d'experts en conformité et d'anciens auditeurs. Vous êtes assigné à un responsable du succès client ainsi qu'à un responsable de la conformité. Nos responsables de la conformité sont d'anciens auditeurs qui ont une immense expérience dans l'accompagnement des clients lors d'un audit. Ce duo CSM et responsable de la conformité est là pour vous soutenir tout au long de votre engagement.

Nous vous avons montré que la plateforme effectue une grande partie du travail pour obtenir et maintenir la conformité en termes d'automatisation des preuves, d'examen des tests, de fourniture de conseils de remédiation dans l'application et d'autres flux de travail dont nous avons parlé. Mais la conformité est toujours nuancée. Chaque organisation peut faire quelque chose d'un peu différent, et nous avons besoin de l'élément humain pour nous assurer que nous fournissons un second regard et des réponses à vos questions.

Prenons les politiques par exemple. Secureframe propose des modèles de politiques que vous pouvez personnaliser. Les clients peuvent s'appuyer sur les membres de leur équipe de succès client et de conformité pour poser des questions et prendre des décisions plus éclairées sur ce qu'ils peuvent supprimer ou ajouter, ce qui se traduit par un processus de préparation encore plus efficace. Parce que maintenant vous ne vous demandez plus si vous pouvez retirer ce texte et ajouter ceci ? Vous n'avez pas besoin de faire des recherches pour trouver des réponses à ces questions. Vous pouvez simplement contacter ou planifier des appels avec l'équipe pour obtenir les réponses les plus précises de la manière la plus efficace.

Fournisseurs

Problème résolu par cette fonctionnalité : Gérer le cycle de vie de votre relation avec les fournisseurs pour atténuer les risques et maintenir une posture de conformité en matière de sécurité et de confidentialité.

Pour se conformer à la norme SOC 2 et à d'autres cadres, vous devez maintenir des processus de gestion des fournisseurs, ce qui inclut de faire preuve de diligence raisonnable en évaluant les risques que les fournisseurs apportent à la relation. Vous pouvez le faire directement dans Secureframe.

Disons que vous utilisez 1Password. Dans l'onglet Fournisseurs de Secureframe, vous avez la possibilité de remplir des informations d'audit en fonction de votre utilisation de 1Password. C'est le type de données ou de fonctionnalité que ce fournisseur possède. Au fur et à mesure que vous faites ces sélections, la plateforme Secureframe fournira une recommandation sur leur niveau de risque, avec laquelle vous êtes libre de ne pas être d'accord.

Supposons que 1Password soit considéré comme à haut risque en fonction de vos sélections dans les sections type d'environnement et gestion des données. Il y a maintenant des tests associés à cela. Vous avez alors la possibilité de télécharger des documents, tels qu'un rapport SOC 2 Type II, un questionnaire de sécurité ou un accord de non-divulgation, et de les conserver directement dans la plateforme pour servir de solution de gestion des fournisseurs.

Accès aux Fournisseurs

Problème résolu par cette fonctionnalité : Surveiller en continu l'accès des employés et des utilisateurs aux fournisseurs intégrés pour répondre aux exigences de conformité.

Vous pouvez également examiner l'accès aux fournisseurs dans toute l'organisation. La capture d'écran ci-dessus examine l'accès aux fournisseurs par personnel individuel. Avec cette vue, vous pouvez rapidement faire défiler et voir qui a un accès privilégié et qui ne l'a pas, et prendre toutes les mesures correctives nécessaires.

Vous pouvez également taper un mot-clé comme AWS pour voir tous les utilisateurs être populés dans Secureframe où AWS est la source de vérité. Dans cette vue, vous pouvez remarquer que Brandi a un accès privilégié et ne devrait pas. Dans ce cas, vous pouvez retourner dans AWS et révoquer ce privilège.

Questionnaires Secureframe

Problème résolu par cette fonctionnalité : Automatiser et rationaliser le processus manuel de réponse aux questionnaires de sécurité et aux RFP pour conclure plus rapidement des accords.

Les Questionnaires Secureframe est un outil de réponse automatisée aux questionnaires que nous avons développé en interne. Nous n'avons pas cherché à acquérir un outil déjà existant, et nous ne marquons pas un autre service comme étant le nôtre.

Nous avons développé cela en interne parce que nous reconnaissons que même si nos clients ont un rapport SOC ou un certificat ISO, certains de leurs clients peuvent encore leur demander de remplir un questionnaire de sécurité.

Nous avons énormément de données à notre disposition grâce aux politiques publiées par nos clients via des intégrations. Ainsi, ce que nous avons fait, c'est de développer cet outil de réponse automatisée qui examine les données des politiques et des intégrations, ainsi que les questionnaires précédemment répondus, pour fournir automatiquement des réponses aux questions.

Voici un exemple d'un questionnaire très basique dans une feuille de calcul. Il comporte une question, une colonne de réponse Oui/Non, et une section de commentaire qui est très similaire à un questionnaire standard de l'industrie.

Vous pouvez télécharger ce questionnaire en le faisant glisser de votre bureau et en le déposant dans la plateforme Secureframe. Vous pouvez le nommer et assigner un propriétaire et une date d'échéance. Une fois téléchargé dans la plateforme, il sera automatiquement converti dans un format plus lisible dans l'interface utilisateur.

Vous devez maintenant dire à la plateforme ce qui est une question et ce qui est une réponse en sélectionnant une étiquette dans le menu déroulant. Une fois que vous avez étiqueté cette première ligne, vous allez auto-étiqueter le reste du document afin de ne pas avoir à étiqueter les lignes une par une. Ce serait très fastidieux.

La plateforme va maintenant prendre ces étiquettes, aller dans la base de connaissances, et intégrer les réponses qu'elle juge les plus appropriées pour chaque question. C'est notre IA en action.

Disons que la question est : "Existe-t-il un programme d'évaluation des risques approuvé par la direction, communiqué aux constituants, et ayant un propriétaire pour maintenir et réviser le programme ?" La réponse Oui/Non suggérée est "Oui". Et la réponse libre qu'elle a générée avec une haute confiance est "Oui, notre politique de gestion des risques est examinée par la direction, communiquée et maintenue par notre équipe de sécurité." Vous pouvez cliquer ici et écraser cela ou ajouter du texte supplémentaire. Vous pouvez également sélectionner dans le menu déroulant de suggestions, qui sont étiquetées avec des niveaux de confiance élevés, moyens ou faibles.

Si vous aimez cette réponse, vous pouvez la finaliser, la réduire, et passer à la suivante. Si vous deviez compléter ce document, il prendrait ces réponses finalisées qu'il a prédites, les appliquerait à cette feuille de calcul, et générerait une feuille de calcul complète dans votre barre de téléchargements de votre navigateur, ainsi qu'ici dans ce tableau.

Base de connaissances

Problème résolu par cette fonctionnalité : Maintenir à jour les réponses aux RFP et aux questions de sécurité et faciliter leur recherche pour toute l'organisation.

La base de connaissances est la base de données derrière les réponses générées pour ces questionnaires. Considérez cela comme un outil que toute unité commerciale au sein de l'organisation peut utiliser.

Les ventes en sont un excellent exemple. L'équipe de vente reçoit beaucoup de questions sur les politiques, les fonctionnalités et l'emplacement des données au sein d'une organisation. Habituellement, les ventes doivent consulter l'ingénierie des solutions, la conformité ou les développeurs pour obtenir leurs réponses. Avec la base de connaissances Secureframe, ces réponses ont été pré-approuvées. Les ventes peuvent l'utiliser pour rechercher des réponses avec les mots-clés « surveillance » et « monitoring », par exemple, et les résultats incluront toutes les questions ou réponses. Les ventes peuvent rapidement copier cette réponse et l'envoyer aux clients.

Vous pouvez ajouter des tags dans la base de connaissances pour la rendre plus facilement recherchable. Si une question est liée à l'intrusion, la prévention et la détection, par exemple, vous pouvez la taguer comme IPS et filtrer tous les résultats par IPS.

Extension Chrome Base de Connaissances

Problème résolu par cette fonctionnalité : Accéder facilement aux réponses aux questions de sécurité depuis votre navigateur.

Nous proposons également une extension chrome qui facilite la recherche dans la base de connaissances Secureframe et vous permet de répondre à tout type de questionnaire.

Nous reconnaissons que tous les questionnaires ne se présentent pas sous la forme d'un document intégrable. Vous pouvez être amené à vous connecter à un portail quelconque, ou un client peut envoyer un formulaire Google avec une multitude de questions auxquelles vous devez répondre. Ou les ventes peuvent recevoir trois ou quatre questions par e-mail. Pour des situations comme celles-ci, nous voulions quand même permettre aux clients d'utiliser la puissance de la base de connaissances Secureframe pour prédire ces réponses.

Ci-dessus se trouve un questionnaire de sécurité des fournisseurs simulé dans un formulaire Google. Il demande des informations que vous êtes censé saisir directement dans ce document. Vous ne pouvez pas télécharger cela dans les questionnaires Secureframe, mais ce que vous pouvez faire, c'est ouvrir l'extension Chrome.

Si vous recherchez AWS, toutes les questions et réponses taguées avec AWS vous seront retournées. Vous pouvez copier n'importe quelle réponse et la coller dans le formulaire Google.

Ce qui est vraiment puissant ici, si vous mettez en surbrillance une question dans le formulaire Google comme « Où seront hébergées nos données ? Listez les noms et les emplacements des fournisseurs d'infrastructure cloud. » L'extension chrome interrogera automatiquement votre base de connaissances Secureframe et fournira une réponse libre. Vous pouvez soit double-cliquer dessus, soit appuyer sur le bouton de copie, puis le coller dans le formulaire.

Puisque les questionnaires Secureframe, la base de connaissances Secureframe et l'extension Chrome sont basés non seulement sur une recherche par mots-clés, mais aussi sur une recherche intelligente. Il reconnaîtra si une autre question comme « Quel pays et quel fournisseur cloud hébergeront nos données ? » est similaire et fournit la même réponse.

Maintenant que vous avez vu comment la plateforme Secureframe peut simplifier et rationaliser le processus de conformité, et offrir des avantages supplémentaires comme rendre la réponse aux questionnaires rapide et facile avec l'IA, passons aux questions que vous avez.

Questions fréquemment posées

1. Aidez-vous les organisations à se conformer au RGPD, y compris l'exigence de cartographie des données ?

Jonathan : Nous proposons également la conformité au RGPD et moi-même ou un autre expert en conformité de Secureframe pouvons vous aider à compléter une cartographie des données ou un diagramme de flux de données en profondeur. Il s'agirait essentiellement d'une superposition de toute architecture ou diagramme réseau que vous avez qui cartographie une journée dans la vie des données telles qu'elles sont créées, où elles circulent une fois ingérées, quels services effectuent quels processus sur les données — c.-à-d. comment elles sont utilisées, massées, manipulées — puis où elles sont stockées.

2. Secureframe ajoutera-t-il HITRUST à sa suite de services ?

Jonathan : Il y a de plus en plus d'intérêt pour HITRUST ces derniers temps et nous l'avons bien sur la feuille de route. Moi-même et d'autres experts en conformité allons également compléter leur formation d'auditeur pour HITRUST dans les prochains mois.

3. Mon entreprise n'a jamais fait effectuer d'audit. Recommanderiez-vous de trouver d'abord un fournisseur d'audit avant de s'intégrer à Secureframe ? Si non, avez-vous des partenaires d'audit préférés que vous pourriez référer à un nouveau client ?

Kyle : Je vous encouragerais à vous intégrer d'abord à Secureframe car nous avons des dizaines de partenaires d'audit de confiance avec lesquels nous travaillons aujourd'hui et ce nombre continue de croître.

L'avantage d'utiliser l'un des partenaires d'audit au sein de notre réseau est l'alignement. Ce qu'ils ont fait, c'est qu'ils ont aligné leurs processus et leurs matrices de test sur ce que Secureframe recherche afin qu'il y ait une corrélation directe un-à-un. Il n'y a rien que nous ne testons pas qu'ils vous demanderaient.

Et puis l'autre avantage est sur le plan commercial. Nous avons négocié des tarifs avec ces cabinets d'audit donc en utilisant Secureframe, vous allez obtenir une réduction significative en raison de l'efficacité que notre plateforme leur a introduite. Ils peuvent effectuer 2 à 3 fois plus d'audits dans le même laps de temps qu'ils le feraient normalement sans notre plateforme.

4. Avez-vous de l'expérience dans le travail avec le développement de logiciels, principalement des entreprises web et internet qui n'offrent pas de SaaS ou d'hébergement pour les clients, et ne stockent pas de données sensibles ?

Jonathan : Absolument. Nous avons travaillé avec des entreprises de tous les secteurs, offrant toutes sortes de services et de produits, et avec des portées très uniques. Dans le passé, nous avons sorti les ciseaux et fait quelques ajustements intéressants sur la façon dont nous allons délimiter ce produit ou ce service par opposition à toute l'organisation.

Bien que je recommande toujours de délimiter à l'échelle de l'organisation si nous le pouvons, je sais que ce n'est pas toujours possible donc dans ce cas, nous serons heureux de travailler avec vous pour nous assurer que les bons tests sont activés et applicables en fonction non seulement des services et des intégrations que vous avez actifs et que la plateforme détecte, mais aussi de tout ce à quoi vous avez des questions. Peut-être que quelque chose est désactivé ou activé, et vous n'êtes pas sûr si vous avez vraiment besoin de l'avoir activé parce que vous faites quelque chose différemment de ce que le test recherche, nous serons ravis d'avoir ces discussions et de nous assurer que vous êtes complètement prêt pour réussir cet audit.

5. Travaillez-vous avec des organisations de toutes tailles ?

Jonathan : Oui, nous avons travaillé avec des entreprises grandes et petites. Je pense que techniquement la plus petite entreprise que nous ayons jamais certifiée, et c'était pour SOC, comptait une personne.

Comme Kyle l'a mentionné plus tôt, chaque situation est différente avec les entreprises, qu'elles soient grandes ou petites. Vous pourriez avoir une grande entreprise avec une seule personne en charge de la préparation et du processus d'audit. Pour faire court, nous pouvons travailler avec des entreprises grandes ou petites, avec une personne, 100 personnes ou 1 000 personnes.

Nous aimons dire que nous rencontrons nos clients là où ils en sont en matière de sécurité. Nous avons une solution de sécurité clé en main qui, une fois que vous avez mis en place les politiques et procédures, vous serez prêt. C'est pourquoi nous disons que nous pouvons vous aider à être prêt en semaines, pas en mois. Si vous avez les ressources, la bande passante et la disponibilité pour avancer rapidement, vous pouvez vraiment être prêt en quelques semaines. Nous vous permettons de faire cela avec toutes les politiques et procédures que nous fournissons, les tests automatisés, ce plateau d'argent de preuves fourni aux auditeurs une fois que nous sommes prêts à leur donner cet accès limité au système.

Le bénéfice de ces cadres que vous pouvez obtenir et avec lesquels vous pouvez atteindre la certification et la conformité est qu'ils permettent vraiment à nos clients de se surpasser et d'éliminer les obstacles à la montée en gamme. Vous pouvez démontrer à vos prospects et clients à quel point vous allez sécuriser leurs données sensibles, quelle que soit la taille de votre entreprise.

Nous avons même eu plusieurs organisations qui ont obtenu la conformité et atteint SOC ou ISO 27001 avant d'avoir des clients. Et je pense que c'est juste l'histoire de client la plus cool qu'une entreprise puisse raconter à ses prospects : « Avant même d'avoir un octet de données client, nous savions exactement comment nous allions les gérer, comment elles allaient être sécurisées et avoir la capacité de montrer le système en place prêt à ingérer ces données client. » En réalité, vous ne pouvez pas être plus proactif que cela.

Parlons davantage de vos difficultés en matière de conformité à la sécurité et à la confidentialité.

Si vous êtes prêt à automatiser et à simplifier votre sécurité, confidentialité et conformité, inscrivez-vous pour une démonstration personnalisée de Secureframe pour voir comment nous pouvons répondre précisément à vos besoins.

Ou rejoignez notre prochain webinaire Secureframe. Nous organisons régulièrement des webinaires au cours des prochains mois pour aborder les plus grandes difficultés en matière de sécurité et de conformité à la confidentialité que nous entendons et les questions que nous recevons de la part des prospects, des clients et des professionnels de la sécurité. Vous pouvez consulter les prochains webinaires et les enregistrements des événements passés si vous les avez manqués dans notre bibliothèque de ressources de conformité.