Introduction
La plate-forme HP Workforce Experience Platform (WXP) est une solution d’entreprise basée sur le cloud qui aide les équipes informatiques à réduire les frictions numériques, à améliorer la sécurité et à résoudre de manière proactive les problèmes liés aux appareils. Il offre une visibilité et une gestion centralisées du parc de PC d’une organisation, tels que les ordinateurs de bureau, les ordinateurs portables et d’autres actifs connectés, via une plate-forme sécurisée et évolutive.
WXP analyse les données de télémétrie en temps quasi réel des appareils et des applications pour identifier les problèmes, surveiller l’état et recommander des mesures correctives. Les administrateurs informatiques peuvent consulter l’état des appareils, définir des politiques, générer des rapports et lancer des actions à distance pour répondre aux besoins opérationnels et de sécurité.
Ce document décrit l’architecture de sécurité et de confidentialité de WXP, en se concentrant sur les périphériques PC gérés. Il explique comment les données sont collectées, transmises, stockées et protégées, et décrit la conformité de la plateforme aux normes de protection des données. Le public visé comprend les administrateurs informatiques, les fournisseurs de services et les examinateurs de la sécurité qui évaluent les pratiques de traitement des données de la plateforme.
Architecture de l’expérience WXP
En tant que plate-forme d’analyse unique basée sur le cloud pour les appareils, les données et les utilisateurs, WXP intègre une sécurité de niveau de service éprouvée dans son architecture et ses processus de développement. Les principaux services comprennent :
Collecte et analyse de la télémétrie de l’appareil sur plusieurs systèmes d’exploitation
Permettre aux clients HP et aux fournisseurs de services gérés de générer des rapports et de gérer les incidents
Intégration de divers services tiers par le biais d’un modèle SaaS (Software-as-a-Service)
Utilisateurs et rôles
Le tableau de bord de WXP propose plusieurs types d’utilisateurs et de rôles, comme le montre le schéma suivant.
Rôles | Portée |
|---|---|
Administrateur régional | Ce compte est utilisé par un administrateur des opérations commerciales chez HP pour créer de nouveaux locataires pour les clients directs et les partenaires. Les comptes d’administrateur racine régionaux sont contrôlés et ont accès à la gestion et à la navigation des locataires clients et partenaires directs. En règle générale, il existe des comptes d’administrateur racine distincts pour chaque région. Actuellement, WXP opère dans deux centres de données régionaux AWS :
|
Partenaires | Les locataires partenaires peuvent inclure des rôles d’administrateur partenaire, de spécialiste du service et de spécialiste des ventes. Ces locataires peuvent accéder à plusieurs comptes clients et gérer les appareils, les utilisateurs et les opérations quotidiennes en leur nom. De plus,:
|
Assistance HP | Un compte d’assistance HP peut accéder simultanément à plusieurs entreprises et gérer les périphériques, les utilisateurs et les opérations quotidiennes pour le compte des clients à des fins de dépannage. Ces actions sont gérées par l’équipe des opérations commerciales de HP. Il existe deux types d’utilisateurs sous un compte d’assistance HP : les administrateurs d’assistance et les spécialistes de l’assistance. Les administrateurs du support peuvent créer des comptes supplémentaires d’administrateur ou de spécialiste du support. |
Propriétaire de l’entreprise | Lorsqu’une société est créée, un propriétaire de l’entreprise par défaut est attribué par les administrateurs racines. Par défaut, cet utilisateur dispose également du rôle d’administrateur informatique pour gérer les utilisateurs et les appareils au sein de l’entreprise. Les propriétaires d’entreprise peuvent gérer les utilisateurs, gérer les tâches liées à l’appareil et accéder aux rapports et autres fonctions administratives en fonction de leurs autorisations. Alors que les fournisseurs de services gérés (MSP) gèrent les utilisateurs de plusieurs sociétés, les propriétaires d’entreprise gèrent indépendamment les utilisateurs au sein de leur propre entreprise. |
Utilisateur de l’entreprise | Dans WXP, un utilisateur est une personne au sein d’un locataire d’entreprise qui se voit attribuer un rôle qui lui permet d’effectuer des actions. Les utilisateurs peuvent être créés de la manière suivante :
|
Administrateur informatique | Le rôle d’administrateur informatique est attribué aux utilisateurs au sein d’entreprises clientes ou autogérées. Il permet aux utilisateurs d’effectuer des tâches administratives clés telles que la gestion des utilisateurs et des appareils. Bien que la fonction soit similaire à celle des rôles disponibles pour les MSP, l’accès des administrateurs informatiques est limité à leur propre entreprise. |
Admin du rapport | Par défaut, les propriétaires d’entreprise ont accès aux rapports. Tout utilisateur de l’entreprise peut également se voir accorder l’accès aux rapports. Le rôle Administrateur de rapport est en lecture seule et permet aux utilisateurs d’afficher des informations à partir de rapports WXP. |
Connecteur Admin | Ce rôle permet une gestion sécurisée et basée sur les rôles des intégrations au sein de WXP. Ce rôle régit l’accès aux actions d’intégration sur tous les connecteurs pris en charge. Il garantit que seuls les utilisateurs autorisés peuvent configurer et gérer les widgets d’intégration et les paramètres de connexion. |
Fonctionnalités clés
Les administrateurs de connecteur peuvent effectuer les actions suivantes dans WXP :
Configurez et gérez les widgets d’intégration.
Connectez et déconnectez des intégrations tierces, notamment ServiceNow, Teams, l’API Graph, etc.
Consultez et accédez à la documentation d’intégration associée.
Le diagramme suivant fournit une vue d’ensemble des fonctionnalités et des capacités d’Insights :
Appareils HP Workforce Experience
L’architecture WXP est conçue pour empêcher les attaquants de prendre le contrôle des appareils. En fonction du matériel et des systèmes d’exploitation, le logiciel de l’appareil doit être installé pendant le processus de provisionnement.
Pour ajouter des appareils, l’administrateur informatique de votre entreprise ou un fournisseur de services gérés (MSP) doit les inscrire en toute sécurité dans WXP à l’aide d’un code PIN d’entreprise attribué. Lors de l’inscription, un échange de clés asymétrique se produit entre le serveur et l’appareil. Chaque appareil génère une paire de clés unique lorsque les appareils sont identifiés, puis les appareils reçoivent un jeton d’accès valide pendant 24 heures. Passé ce délai, les appareils doivent envoyer des signatures au serveur prouvant leur identité pour les nouveaux jetons d’accès.
Avec le consentement de l’entreprise, les appareils inscrits téléchargent quotidiennement les données de télémétrie dans le pipeline d’analyse WXP. Tout au long de la journée, ils reçoivent également des commandes et des signaux de contrôle de WXP. Toutes les communications sont protégées par le jeton d’accès mentionné ci-dessus.
WXP pour Microsoft Windows® utilise le protocole HTTPS/TLS 1.2 sur le port 443 pour toutes les communications. Il n’installe pas de certificats et ne modifie pas le magasin de certificats du système d’exploitation Windows.
Plate-forme d’expérience du personnel HP
WXP est hébergé dans Amazon Web Services (AWS) dans deux régions différentes : les États-Unis (AWS-OR) et l’Union européenne (AWS-DE).
Selon le pays d’enregistrement, le locataire de votre entreprise est créé dans le centre de données régional correspondant. Les administrateurs informatiques accèdent à WXP via un navigateur Web, qui fournit des interfaces pour l’inscription, l’authentification et la communication des appareils.
Les sections suivantes couvrent les décisions de conception en matière de sécurité.
Gestion des identités
Actuellement, les fournisseurs d’identité (IdP) pris en charge sont HP Common Identity System (HPID) et Microsoft Entra ID. Pour l’identité gérée par HP Common Identity System, la qualité du mot de passe n’est pas configurable et la politique de mot de passe est définie par la page d’inscription à l’identifiant HP. Les mots de passe doivent contenir au moins huit caractères et inclure au moins trois des critères suivants :
Une lettre majuscule
Une lettre minuscule
Nombres
Symboles ou caractères spéciaux
L’identité gérée par Microsoft Entra ID suit les stratégies définies par l’administrateur du compte Entra ID. Cela inclut, mais sans s’y limiter : l’authentification multifacteur, la complexité des mots de passe, etc.
Gestion de session
Il n’y a pas de limite au nombre de sessions simultanées qu’un utilisateur peut avoir. Cependant, chaque session se termine automatiquement après 30 minutes d’inactivité. Pour les appareils, les sessions expirent toutes les 24 heures et se renouvellent automatiquement. L’authentification et l’autorisation sont mises en œuvre à l’aide du protocole OAuth 2.0 et gérées par des mécanismes basés sur la session. Cette fonctionnalité utilise des jetons Web JSON (JWT). Chaque microservice WXP applique la vérification JWT pour la validité de la signature et l’expiration du jeton.
Autorisation
En plus de la vérification du jeton JWT, des vérifications de location sont effectuées pour toutes les API. Cela permet de s’assurer que les données de locataire appropriées sont transmises à l’appelant. En outre, des vérifications de rôle ont lieu pour toutes les opérations critiques.
Pour plus d’informations, reportez-vous à la section Utilisateurs et rôles .
Multi-location
WXP est une solution multi-locataires basée sur le cloud. Les données du locataire sont séparées logiquement à l’aide de bases de données relationnelles et appliquées par le biais de vérifications des droits de location. Chaque locataire est associé à un identificateur unique universel (UUID), qui garantit l’isolation et la traçabilité des données.
Données au repos
Les informations de l’entreprise, telles que les appareils, les utilisateurs et les données associées, sont stockées dans une base de données MySQL AWS Relational Database Service (RDS) et un magasin de données MongoDB. La base de données MySQL AWS RDS et les magasins de données MongoDB sont chiffrés. Les champs sensibles tels que les clés et les jetons sont également chiffrés à l’aide d’AWS Key Management Service (KMS). La rotation de la clé principale est effectuée conformément aux directives de cybersécurité de HP.
Données en transit
Toutes les communications externes vers et depuis WXP utilisent le protocole HTTPS/TLS1.2. Les services au sein du cloud privé virtuel (VPC) AWS communiquent en texte brut.
Pour plus d’informations, reportez-vous à la section Sécurité Opérationnelle.
Intégration de tiers
WXP s’intègre à divers services tiers tels que ServiceNow, PowerBI, Tableau, EntraID. La communication de serveur à serveur s’effectue via HTTPS à l’aide de méthodes d’authentification fournies par les systèmes de nos partenaires.
Pour plus d’informations sur l’intégration tierce, contactez un expert du service après-vente HP.
Validation de l’interface utilisateur (UI)
La validation des champs de l’interface utilisateur protège les champs de saisie dans l’agent WXP. La validation est appliquée en fonction des types de données (par exemple, chaîne, date/heure, devise) et des règles métier (par exemple, champs obligatoires ou recommandés). Les champs peuvent également être sécurisés en fonction des rôles d’utilisateur et des opérations autorisées (lecture/écriture). Une validation supplémentaire peut être appliquée par le biais de fonctions de script.
Plate-forme d’analyse de l’expérience du personnel HP
La plateforme d’analyse WXP est hébergée sur AWS et sert d’épine dorsale de traitement des données pour WXP. La plupart des composants de la plate-forme d’analyse sont internes et ne sont pas exposés à un accès externe.
Collecte de données
La plate-forme d’analyse fournit des interfaces pour télécharger en toute sécurité des données à partir d’appareils. Il utilise une passerelle API authentifiée pour recevoir des données. Dans ce mode de transport, les connexions, les commandes et les politiques ne sont ni envoyées ni collectées à partir des appareils, ce qui garantit une communication unidirectionnelle entre l’appareil et le cloud.
Données au repos
Les données non structurées au repos sont conservées dans AWS S3 ; cependant, les données structurées sont stockées dans AWS RedShift. Les données structurées et non structurées sont chiffrées dans la plateforme d’analyse.
HP Workforce Experience Sécurité opérationnelle
Cette section décrit comment WXP applique la sécurité au niveau du service pour garantir la sécurité aux différentes couches de communications.
Centre de données
WXP est hébergé par Amazon Web Services (AWS), plus précisément par Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 fournit une capacité de calcul évolutive dans le cloud AWS. WXP exploite des centres de données dans l’Oregon, aux États-Unis (AWS-OR) et à Francfort, en Allemagne (AWS-DE). Les données des clients situés dans les pays européens peuvent être hébergées dans le centre de données allemand. Les données des clients de tous les autres pays peuvent être hébergées dans le centre de données américain.
Toutes les données d’un seul client « locataire » sont hébergées dans un seul centre de données, bien que les clients qui souhaitent avoir des locataires distincts dans différents centres de données pour héberger les données de différentes unités commerciales puissent demander cette option. En utilisant AWS, WXP s’appuie sur les plus de quinze ans d’expérience d’Amazon dans la fourniture d’une infrastructure mondiale à grande échelle, de manière fiable et sécurisée. Pour plus d’informations, consultez le portail d’informations AWS à l’adresse suivante : http://aws.amazon.com/ec2/ .
Au niveau de la couche physique, il est important d’aborder les contrôles en place pour sécuriser les installations et le réseau. Les données des clients et des appareils sont stockées dans des centres de données AWS répartis géographiquement pour assurer la redondance. AWS est un leader reconnu de l’hébergement cloud. En s’associant à AWS, WXP hérite d’une infrastructure cloud qui a été conçue pour être l’un des environnements de cloud computing les plus flexibles et les plus sécurisés disponibles aujourd’hui. Voici quelques-unes de ses principales caractéristiques de sécurité :
Conçu pour la sécurité
L’infrastructure cloud d’AWS est hébergée dans des centres de données AWS, qui sont conçus pour répondre aux exigences des clients les plus sensibles à la sécurité.
L’infrastructure AWS a été conçue pour fournir une haute disponibilité tout en mettant en place de solides mesures de protection de la vie privée des clients et de séparation des données.
Les données relatives aux appareils, aux applications et à la localisation transmises au centre de données de gestion Analytics aux États-Unis n’incluent pas les noms d’utilisateur ou les adresses e-mail. Au lieu de cela, les données sont associées à des numéros de série de l’appareil et à des identifiants générés par le système, et sont chiffrées au repos conformément aux normes de protection des données de HP.
Toutes les données structurées et non structurées de la WXP sont chiffrées au repos à l’aide de mécanismes de chiffrement natifs d’AWS tels qu’AWS KMS, conformément aux directives de cybersécurité de HP.
AWS conçoit délibérément la plupart de ses outils de sécurité pour les adapter à l’environnement unique et aux exigences d’évolutivité d’AWS.
Ces outils de sécurité sont conçus pour offrir une protection maximale des données et des applications. Cela signifie que les experts en sécurité AWS passent moins de temps sur les tâches de routine, ce qui permet de se concentrer davantage sur les mesures proactives susceptibles d’accroître la sécurité de l’environnement cloud AWS.
Hautement disponible
AWS construit ses centres de données dans plusieurs régions géographiques ainsi que dans plusieurs zones de disponibilité au sein de chaque région afin d’offrir une résilience maximale contre les pannes de système.
AWS conçoit ses centres de données avec des connexions à bande passante excédentaire importante de sorte que, en cas de perturbation majeure, il y ait une capacité suffisante pour permettre au trafic d’être équilibré en charge vers les sites restants.
Hautement accrédité
Les certifications signifient que les auditeurs ont vérifié que des contrôles de sécurité spécifiques sont en place et fonctionnent comme prévu.
Vous pouvez consulter les rapports de conformité applicables en contactant un représentant de compte AWS pour vous aider à respecter les normes et réglementations de sécurité spécifiques du gouvernement, du secteur et de l’entreprise.
AWS fournit des rapports de certification qui décrivent comment l’infrastructure cloud AWS répond aux exigences d’une longue liste de normes de sécurité mondiales, notamment : ISO 27001, SOC, la norme de sécurité des données PCI (Payment Card Industry), FedRAMP, le manuel de sécurité de l’information de l’Australian Signals Directorate (ASD) et la norme de sécurité du cloud multiniveau de Singapour (MTCS SS 584).
Pour plus d’informations sur les réglementations et les normes de sécurité auxquelles AWS se conforme, consultez la page Web sur la conformité AWS.
Pour plus d’informations sur la sécurité physique et environnementale, l’accès AWS et la sécurité du réseau, consultez la page : Bonnes pratiques AWS en matière de sécurité, d’identité et de conformité.
Réseau
Des périphériques réseau, y compris un pare-feu et d’autres périphériques de frontière, sont en place pour surveiller et contrôler les communications à la limite externe du réseau et aux principales limites internes du réseau. Ces périphériques de limites utilisent des ensembles de règles, des listes de contrôle d’accès (ACL) et des configurations pour imposer le flux d’informations vers des services de système d’information spécifiques.
Des listes de contrôle d’accès, ou politiques de flux de trafic, sont établies sur chaque interface gérée, ce qui applique le flux de trafic. Les politiques ACL sont approuvées par Amazon Information Security. Ces politiques sont automatiquement poussées à l’aide de l’outil de gestion des listes de contrôle d’accès d’AWS, afin de garantir que ces interfaces gérées appliquent les listes de contrôle d’accès les plus récentes.
Points d’accès à sécurité renforcée
AWS a stratégiquement placé un nombre limité de points d’accès au cloud pour permettre une surveillance plus complète des communications entrantes et sortantes et du trafic réseau. Ces points d’accès client sont appelés points de terminaison d’API et autorisent l’accès HTTP (HTTPS), qui sécurise les sessions de communication avec des instances de stockage ou de calcul au sein d’AWS. En outre, AWS a mis en place des dispositifs réseau dédiés à la gestion des communications d’interface avec les fournisseurs d’accès à Internet (FAI). AWS utilise une connexion redondante à plus d’un service de communication à chaque périphérie Internet du réseau AWS. Toutes les connexions disposent chacune de périphériques réseau dédiés.
Sécurité de l’application, de l’hôte et de l’administrateur
Au niveau de la couche logique, divers contrôles sont utilisés pour sécuriser les systèmes hôtes, les applications qui s’exécutent sur ces systèmes et pour les administrateurs qui gèrent les systèmes hôtes et les applications associées.
L’accès des administrateurs informatiques aux données WXP et aux données des clients est limité et strictement géré. Seules les personnes essentielles à l’exécution d’une tâche sont autorisées à y accéder, à condition qu’elles satisfassent aux exigences appropriées en matière de vérification des antécédents et de gestion de compte.
Sécurité des données
Les données échangées avec WXP utilisent l’implémentation AWS de Transport Layer Security (TLS) v1.2, la dernière forme du protocole SSL (Secure Sockets Layer) standard de l’industrie. TLS permet de sécuriser les données à plusieurs niveaux, en fournissant l’authentification du serveur, le cryptage des données et l’intégrité des données. Étant donné que TLS est implémenté sous la couche applicative, il s’agit d’un mécanisme de sécurité passif qui ne repose pas sur des étapes ou des procédures supplémentaires de la part de l’utilisateur. Les applications sont mieux protégées contre les attaquants, même si les utilisateurs ont peu ou pas de connaissances en matière de communications sécurisées.
Ces fonctionnalités permettent de protéger les données contre la corruption accidentelle et les attaques malveillantes et sont destinées à éviter les menaces Web courantes. En plus du cryptage SSL pour la communication réseau entre les clients et les serveurs, HP crypte les journaux et les données au repos qui sont enregistrés dans nos bases de données de serveurs.
Les appareils WXP doivent disposer des systèmes d’exploitation et des logiciels décrits dans la configuration système requise. Bien que les experts du service HP puissent vous aider à appliquer des politiques de sécurité sur les appareils en fonction des paramètres administratifs, il n’existe aucune exigence de sécurité supplémentaire pour le déploiement du logiciel WXP sur les appareils. Les identifiants de connexion, tels que l’adresse e-mail et le mot de passe de l’employé, ne sont requis que pour accéder à WXP.
Vérification indépendante
Deux techniques différentes de modélisation de la Threat Intelligence sont réalisées sur WXP :
WXP fait l’objet d’une modélisation de renseignement sur les menaces pour toutes les nouvelles fonctionnalités publiées et périodiquement pour toutes les améliorations mineures apportées aux fonctionnalités existantes. Avant de commencer le développement logiciel de nouvelles fonctionnalités, WXP subit également un examen de l’architecture de sécurité par HP Cyber Security.
Échantillon des tests de sécurité effectués :
Sur WXP :
Script intersite
Attaques de phishing
Vol de jeton d’authentification
Fuzzing d’entrée
Usurpation d’adresse e-mail
Injection SQL
Falsification de requêtes intersites (CSRF)
Autres vulnérabilités Web courantes
Sur le service cloud WXP et l’infrastructure d’analyse (y compris les microservices) :
Test d’interface pour l’authentification et l’autorisation
Modification des ID de locataire pour s’assurer que les données appropriées ne sont transmises qu’aux utilisateurs autorisés
Injection SQL
Injection de code à distance
Attaques par DOS
Fuzzing d’entrée
Sur WXP sur tous les systèmes d’exploitation, tels que Windows, Android et MAC :
la source d’installation et l’intégrité de l’application,
Élévation des privilèges
Attaques MITM
Fuzzing d’entrée
Vérification des commandes avec contrôles de l’intégrité des données
Empoisonnement du magasin de certificats
Authentification rompue
configuration de la sécurité, etc.
L’équipe de développement WXP suit un processus de développement logiciel sécurisé. Il comprend des revues de sécurité en plus des revues régulières de l’architecture et du code qui se concentrent sur la sécurité, la modélisation et l’analyse des menaces. De plus, l’équipe WXP effectue également régulièrement l’analyse et l’atténuation de l’infrastructure à l’aide d’outils tels que l’agent Nessus. Tous ces éléments sont audités de manière indépendante par Coalfire et accordent à WXP la certification ISO 27001.
Cadres de conformité et de sécurité HP
WXP démontre l’engagement de HP envers ses clients en mettant en œuvre un programme de sécurité de l’information et de gestion des risques robuste et accrédité. Au cœur de tous les cadres de conformité en matière de sécurité se trouve la protection des données des clients, que les clients confient à HP. Dans le cadre de son orientation stratégique, WXP veille à la mise en place de procédures et d’outils de sécurité appropriés pour protéger ces données.
Grâce à des accréditations industrielles mondialement reconnues, toutes les données des clients, y compris les informations exclusives, opérationnelles, générales et personnelles, sont rigoureusement examinées pour confirmer que les contrôles de sécurité de WXP s’alignent sur les cadres de conformité établis.
ISO 27001:2022 Certification
La sécurité des systèmes d’information et des informations critiques nécessite une mesure et une gestion constantes. La certification ISO 27001:2022, délivrée par l’auditeur indépendant Coalfire, est une preuve de l’engagement de HP à assurer la continuité opérationnelle et la protection des données.
L’Organisation internationale de normalisation (ISO) est responsable de l’élaboration de plusieurs normes internationalement reconnues pour les produits, les services et les systèmes. La certification ISO 27001:2022 est attribuée à l’issue d’un audit externe par un organisme de certification accrédité et repose sur les actifs (informations, processus, personnes et technologie). HP a obtenu la certification ISO dans l’ensemble de l’environnement des services de surveillance et de gestion à distance, tant pour les services d’impression gérée que pour les services de systèmes personnels.
L’ISO 27001 spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la maintenance et à l’amélioration continue d’un système de management de la sécurité de l’information (SMSI) dans le contexte d’une organisation. Un SMSI est une approche systématique de la gestion des informations sensibles de l’entreprise afin que les informations restent sécurisées conformément aux principes de confidentialité, d’intégrité et de disponibilité. L’approche englobe les personnes, les processus et les systèmes informatiques, et se compose de plusieurs documents de soutien et de lignes directrices définissant le parcours de mise en œuvre et de certification.
La certification ISO 27001:2022 couvre les domaines suivants :
Politiques de sécurité de l’information
Sécurité des opérations
Organisation de la sécurité de l’information
Sécurité des communications
Sécurité des ressources humaines
Acquisition, développement et maintenance du système
Gestion d’actifs
Relations avec les fournisseurs
Contrôle d’accès
Gestion des incidents de sécurité de l’information
Cryptographie
Aspects de la sécurité de l’information de la gestion de la continuité des activités
Sécurité physique et environnementale
Conformité
HP a étendu la certification ISO pour inclure :
ISO 27701:2019 (Systèmes de gestion de l’information sur la protection de la vie privée PIMS)
ISO 27017:2015 (Contrôles de la sécurité de l’information des services cloud)
ISO 27701:2019 Certification
Les clients et les partenaires qui utilisent WXP pour la surveillance continue cherchent à s’assurer que leurs données sont protégées lorsqu’ils font appel à un fournisseur de services cloud. ISO 27017:2015 définit des normes reconnues par l’industrie pour les contrôles de sécurité de l’information, en particulier pour les clients et les fournisseurs de services cloud.
SOC 2 Type 2
Une attestation SOC2 offre aux clients l’assurance de savoir que WXP respecte des normes mondialement reconnues en matière de sécurité, de confidentialité, de confidentialité et de disponibilité. SOC 2 fournit aux clients et aux partenaires une vérification de la façon dont HP gère, stocke et traite les données privées du client dans le cadre d’un effort reproductible et continu. Les clients exigent des cadres supplémentaires pour soutenir leur tolérance au risque. HP a commencé à obtenir l’attestation SOC 2 annuelle afin de continuer à s’améliorer pour l’avenir et de répondre à la demande des clients.
Cycle de vie du développement logiciel sécurisé HP (SSDL)
Les approches sectorielles en matière de sécurité des applications ont généralement été réactives, et les approches sectorielles n’ont pas réussi à appliquer les leçons tirées du domaine de la qualité. Les deux approches les plus courantes sont les suivantes :
Faire l’autruche : il se caractérise par des correctifs de sécurité réactifs. Cette approche s’appuie sur des vulnérabilités et expositions courantes (CVE) avec peu de travail pour éviter ou minimiser l’introduction de vulnérabilités. C’est le cas le plus souvent dans les segments de l’industrie où la charge réglementaire en matière de sécurité est minimale.
Tester la sécurité dans : cela se remarque par le manque de résilience conçu dans les applications. Au lieu de cela, des efforts sont déployés pour trouver et corriger les vulnérabilités pendant les tests, en combinaison avec des correctifs de sécurité. Cette approche apparaît plus souvent dans le secteur public, les industries réglementées par la sécurité et les soins de santé. Ces segments doivent démontrer leur conformité aux réglementations, notamment la Federal Information Security Management Act (FISMA) des États-Unis, la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS), la loi HIPAA (Health Information Portability and Accountability Act) et la HITECH (Health Information Technology for Economic and Clinical Health). Cependant, la sécurité en tant qu’attribut de qualité doit être appliquée à chaque étape du cycle de vie, de la même manière que le domaine de la qualité l’a appris il y a un demi-siècle.
Les principaux locataires sont les suivants :
La qualité ne peut pas être testée ; Il doit être conçu et intégré, puis testé.
Les défauts de sécurité et les vulnérabilités doivent être détectés le plus tôt possible dans le cycle de vie dans l’intérêt des coûts.
HP prend la sécurité logicielle très au sérieux, et HP a adopté un cycle de vie sécurisé du développement de logiciels (SSDL). Plusieurs objectifs sont liés au processus SSDL, notamment les suivants :
Réduire la surface de cyberattaque grâce à une architecture logicielle sécurisée
Minimisez les vulnérabilités induites par le code
Protégez la confidentialité et la sécurité des données et des identités des clients
HP inclut des procédures spécifiques liées à la sécurité dans ses processus SSDL, effectue des examens d’étape pour s’assurer que les processus de sécurité sont menés à bien et dispense une formation continue à la sécurité à ses architectes logiciels, développeurs, ingénieurs de test, gestionnaires de programme et à leurs équipes de direction.
Les sept étapes du processus SSDL sont définies ci-dessous :
Formation (étape 1) – Cours formels couvrant le processus SSDL, la conception améliorée de la sécurité, la modélisation des menaces et le codage sécurisé.
Exigences (étape 2) – Planification de la sécurité dès le tout début des projets logiciels, y compris l’évaluation des risques de sécurité fonctionnalité par fonctionnalité.
Conception (étape 3) – Définition et documentation de l’architecture de sécurité ; Identifier les composants de sécurité critiques.
Mise en œuvre (étape 4) – Exécution du plan de protection conçu et de l’approche d’atténuation, ainsi que des examens et des validations du code par les pairs.
Vérification (étape 5) – Effectuer une analyse dynamique du code, des tests de fuzz (fuzzing) et des examens de la surface d’attaque.
Publication (étape 6) – Vérification que les exigences SSDL ont été respectées et qu’il n’existe aucune vulnérabilité connue.
Réponse (étape 7) – Exécution des tâches de réponse décrites lors de l’étape de publication.
Collecte de données
Les types de données collectées par WXP sont soit fournis directement par les clients, soit collectés automatiquement à partir de WXP basé sur le cloud. Les données des appareils sont collectées à l’aide de l’agent WXP installé sur les appareils. WXP collecte les données suivantes pour exécuter les services contractuels :
Finalité de la collecte des données | Données collectées | Description des données collectées |
Gestion de compte | Données de compte | Les informations relatives aux achats des clients ou à l’inscription aux services WXP, l’historique du support concernant les incidents générés par WXP et tout autre élément relatif au compte WXP pour effectuer des services de transaction tels que la gestion de compte. |
S’assurer que WXP et les services fonctionnent correctement | Données d’application | Inclut le numéro de version, l’état de l’installation et l’historique des mises à jour de l’agent WXP sur chaque périphérique géré. |
Configuration du compte, gestion des identités et Validation de l’habilitation | Données de contact | Les coordonnées personnelles et/ou professionnelles, y compris le prénom, le nom, l’adresse postale, le numéro de téléphone, le numéro de fax, l’adresse e-mail et d’autres coordonnées similaires utilisées pour la configuration et la validation du compte client WXP, l’admissibilité au service et les notifications par e-mail relatives aux incidents et aux services. |
Fournir une maintenance et une gestion proactives des services informatiques, ainsi que des rapports/tableaux de bord centrés sur le client | Données de l’appareil | Informations de base sur l’appareil, telles que le nom de l’appareil, le système d’exploitation, la quantité de mémoire, le type d’appareil, la taille du disque, le réglage de la région, le paramètre de langue, le réglage du fuseau horaire, le numéro de modèle, la date de début initiale, l’âge de l’appareil, la date de fabrication de l’appareil, la version du navigateur, le fabricant de l’appareil, l’état de la garantie, les identifiants uniques de l’appareil et des informations techniques supplémentaires qui varient selon le modèle. Informations matérielles, telles que le BIOS, l’affichage, le GPU, le stockage, les emplacements système, la mémoire, l’horloge en temps réel, les données d’utilisation du matériel du système (CPU, GPU, mémoire et E/S de disque), les pilotes, les périphériques thermiques, les ventilateurs, les périphériques PnP, les périphériques RPOS, les paramètres HP Sure Recover, le test de diagnostic HP, la station d’accueil (HP uniquement), le périphérique connecté à la station d’accueil, l’état de la batterie, la configuration et l’état de l’alimentation, les diagnostics de veille du système, attribution du disque principal/externe, utilisation du disque, enregistrement de service de la plate-forme Intel (nécessite Intel vPro), consommation électrique du système, consommation électrique du système par PCM (nécessite un PC professionnel HP G11 ou ultérieur), marge SoC Intel sur la mémoire (uniquement PC professionnel HP G12 ou ultérieur) et état du clavier de l’ordinateur portable (uniquement PC professionnel HP G12 ou ultérieur) Les applications logicielles installées sur l’appareil, telles que la liste des applications installées, le temps d’exécution des applications, les erreurs d’application, les données d’utilisation du matériel par application (CPU et mémoire).
Applications Web sur les navigateurs, telles que le nombre de pages visitées, le temps de chargement des pages et l’erreur de chargement des pages uniquement des URL préconfigurées sur la page Paramètres de WXP. Par défaut, la collecte de données pour les applications Web est désactivée, mais elle peut être activée sur la page WXP > Paramètres . WXP n’analyse ni ne collecte de contenu à partir d’applications Web sur les navigateurs. Les informations générées par le système d’exploitation pour l’appareil, telles que les événements du système d’exploitation, les mises à jour Windows manquantes, la surveillance des processus et des services, le temps de démarrage/veille/mise en veille prolongée/d’arrêt, le temps d’utilisation de l’appareil, l’heure de connexion de l’appareil, le démarrage complet et l’heure de démarrage rapide, la date de dernier redémarrage et le plantage du système - plantage de l’écran bleu sur le système d’exploitation Windows. Remarque : Par défaut, la collecte du vidage sur incident pour les plantages du système est désactivée, mais il peut être activé sur la page des paramètres WXP. Informations réseau telles que l’interface réseau, l’adresse MAC, l’adresse IP, le SSID, l’intensité du signal, la vitesse de connexion, les paramètres d’authentification réseau, les erreurs réseau, la consommation réseau, l’utilisation du réseau, la perte de paquets, la gigue et la latence par processus, ainsi que les connexions et déconnexions réseau.
Informations de sécurité, telles que le module TPM (Trusted Platform Module), l’état de l’antivirus, l’état du pare-feu, l’état du chiffrement BitLocker et l’état du démarrage sécurisé. Les informations utilisateur des utilisateurs du client qui inscrivent leurs appareils dans WXP, telles que les informations sur le dernier utilisateur connecté et les informations sur l’utilisateur rejoint Active Directory.
Informations de localisation de l’appareil, telles que la géolocalisation en direct de l’appareil et l’emplacement des ressources (définies par les utilisateurs pour indiquer l’emplacement de l’appareil). Remarque : Par défaut, la collecte de données pour la localisation de l’appareil est désactivée, mais elle peut être activée sur la page des paramètres WXP. |
Authentification et autorisation de l’accès des utilisateurs aux comptes et services qui utilisent HP | Références de sécurité | Mots de passe utilisateur, indices de mot de passe et informations de sécurité similaires requis pour l’authentification afin d’autoriser les utilisateurs à accéder aux comptes et services de portail WXP basés sur le cloud. (uniquement si vous utilisez l’identifiant HP) |
Regroupements de données
Les données de l’appareil collectées par WXP 1 peuvent inclure les regroupements suivants :
Groupe de données | Description |
Matériel | Y compris la batterie, le BIOS, le disque, l’affichage/moniteur, les graphiques, l’inventaire, la mémoire, l’interface réseau, le Plug-and-Play (PnP), le processeur, l’horloge système, les emplacements système, les données thermiques et les performances du système. |
Applications logicielles | Y compris les données de conformité, d’erreurs, d’inventaire, de performances, d’utilisation et d’utilisation des applications Web. |
Sécurité | Y compris les appareils qui ne signalent pas, la découverte/gestion des correctifs du système d’exploitation, l’emplacement de l’appareil, l’alarme, le verrouillage et l’effacement de l’appareil, la définition de la politique de sécurité, l’application de la politique de sécurité, les menaces de sécurité, le chiffrement du stockage, les paramètres de sécurité de l’utilisateur, le provisionnement Wi-Fi et les données sur les violations de la protection des informations Windows |
Journaux d’événements Windows | Les journaux d’événements Windows fournissent un enregistrement détaillé des notifications système, de sécurité et d’application stockées par le système d’exploitation Windows qui est utilisé par les administrateurs pour diagnostiquer les problèmes système et prévoir les problèmes futurs. |
Packs de garantie et d’entretien HP | Les HP Care Packs sont des extensions de garantie pour votre ordinateur ou imprimante HP qui couvrent les produits après l’expiration de la garantie standard. |
Les données utilisateur collectées par WXP comprennent :
Adresse e-mail de l’utilisateur
Dernière connexion au compte utilisateur
WXP ne collecte pas les types de données suivants :
Informations démographiques (à l’exception des préférences de pays ou de langue)
Informations sur les comptes financiers, numéros de carte de crédit ou de débit, dossiers de crédit ou données de paiement
Médias sociaux
Identificateur émis par le gouvernement, comme la sécurité sociale, le numéro d’assurance sociale ou la pièce d’identité gouvernementale
Informations sur la santé
Données sensibles telles que l’origine ethnique, les convictions politiques, l’appartenance syndicale, les données de santé, l’orientation sexuelle et les données génétiques
Confidentialité des données
HP est depuis longtemps le leader de l’industrie en matière de confidentialité et de protection des données. Ensemble, grâce à notre solide portefeuille de produits et de services, nous soutenons les efforts de nos clients et partenaires en matière de protection des données personnelles. En ce qui concerne l’analyse WXP, HP agit en tant que sous-traitant des données. Reportez-vous à la section Traitement des données de HP Privacy Central. En tant qu’entreprise mondiale, il est possible que les informations que vous fournissez soient transférées ou consultées par des entités HP dans le monde entier, conformément à la Déclaration de confidentialité de HP et sur la base des programmes internationaux de confidentialité répertoriés dans la section Transferts internationaux de données.
La confidentialité des données est régie par la politique de confidentialité de HP pour les pays du monde entier. Cette politique est mise à jour périodiquement et couvre les sujets suivants :
Nos principes de confidentialité
Transferts internationaux de données (y compris les informations sur le bouclier de protection des données UE-États-Unis)
Comment nous utilisons les données
Quelles données nous collectons
Vie privée des enfants
Comment nous conservons et assurons la sécurité de vos données
Comment nous partageons les données
HP Communications
Exercice de vos droits et prise de contact
Modifications de notre déclaration de confidentialité
Conservation des données
La conservation des données est un élément important de tout programme de conformité et nécessaire à la bonne gestion des données. La politique de conservation des données de HP intègre les meilleures pratiques de conservation des données suivantes :
La conservation des données pendant des périodes plus courtes que nécessaire peut enfreindre les exigences contractuelles ou légales ou affecter la sécurité.
La conservation des données pendant des périodes plus longues que nécessaire peut enfreindre les réglementations en matière de confidentialité et constitue l’une des principales préoccupations des clients et des demandes de vente.
Une fois les données supprimées, il n’y a aucune obligation de les fournir au client ou aux forces de l’ordre.
Toutes les données des centres de données régionaux aux États-Unis et en Allemagne sont supprimées définitivement dans les trente jours suivant la désactivation du client de WXP.
Les données du centre de données U.S. Analytics sont supprimées définitivement au bout de deux ans à compter de la date de création des données ou dans les trente jours suivant la désactivation du client de WXP pour le stockage structuré et non structuré. Étant donné que le package d’analyse de l’application WXP est un package unique et partagé entre de nombreuses applications HP, les données du centre de données Analytics américain ne sont pas supprimées définitivement si le client est désactivé de WXP, car le même client peut être inscrit dans d’autres applications HP ; et seulement supprimé après trois ans des données de création de données.
Remarque : Les données de télémétrie transmises au centre de données U.S. Analytics sont liées aux numéros de série des appareils et aux ID générés par le système. Ces données sont cryptées au repos et traitées conformément aux normes de protection des données et de sécurité de HP. .
Stockage des données
Le stockage des données pour WXP est limité aux informations sur l’utilisateur et l’appareil des abonnés payants.
Toutes les bases de données des centres de données régionaux des États-Unis et de l’Allemagne qui stockent des données personnelles sont chiffrées.
Toutes les bases de données des centres de données de gestion des identités aux États-Unis qui stockent des données personnelles sont chiffrées.
Toutes les bases de données et le stockage non structuré du centre de données Analytics aux États-Unis sont chiffrés.
Les types de données suivants sont transmis et stockés dans les différents centres de données :
Catégorie de données | Régional des États-Unis Centre de données1 | Régional allemand Centre de données2 | Analytique aux États-Unis Centre de données3 | Données de gestion de l’identité aux États-Unis Centre3 |
Données de compte | Oui | Oui | Non | Non |
Données d’application | Oui | Oui | Oui | Non |
Données de contact | Oui | Oui | Non | Oui (si vous utilisez l’identifiant HP) |
Données de l’appareil | Oui | Oui | Oui | Non |
Données de localisation | Oui | Oui | Oui | Non |
Données d’identification de sécurité | Non | Non | Non | Oui (si vous utilisez l’identifiant HP) |
Pour les clients non basés en Europe
Pour les clients basés en Europe
Pour tous les clients
Surveillance et rapports de service
WXP fournit régulièrement des mises à jour de service pour fournir les dernières fonctionnalités et mises à jour aux clients. WXP informe également les clients par diverses méthodes de mises à jour et de modifications programmées ou non programmées du service. Pour les événements d’interruption de service planifiés tels que la maintenance de service, les clients sont informés huit heures à l’avance.
Pour fournir un service optimal, HP effectue une surveillance et des rapports de service continus.
Surveillance des services
La fiabilité et les performances de WXP et de l’agent sont surveillées 24 h/24, 7 j/7 et 365 j/an. De plus, la surveillance des performances et de la disponibilité du réseau se fait en continu. Tous les outils de surveillance acheminent les problèmes, les avertissements et les problèmes directement aux ingénieurs de service. Les exceptions sont automatiquement signalées à un système de billetterie interne en tant qu’éléments de travail hautement prioritaires nécessitant un accusé de réception.
En cas de dépassement d’un seuil, le processus d’escalade automatique suivant se produit :
Une alerte par e-mail est envoyée à l’ingénieur d’assistance correspondant
Une notification push est envoyée sur l’appareil mobile de l’ingénieur d’astreinte
Un e-mail est envoyé à la liste de distribution de l’équipe d’opération
WXP utilise différents outils de surveillance, notamment :
New Relic : Surveille divers composants du système et, plus important encore, aide à identifier et à déboguer les goulots d’étranglement lorsqu’ils apparaissent. La plupart des applications/services ont été instrumentés pour Splunk, fournissant ainsi une collecte de données continue et des mesures de performance en temps quasi réel.
Amazon CloudWatch : surveille les événements liés à la mise en service, aux défaillances de service et à l’atteinte du seuil (comme la consommation de mémoire). Les incidents sont examinés et catégorisés afin d’identifier les problèmes les plus importants. En fonction de la priorité, les mesures sont prises immédiatement ou prévues pour être mises en œuvre ultérieurement. Une réunion post-mortem sur la qualité de service (QoS) est organisée pour examiner les résultats, identifier les causes profondes et mettre en œuvre des changements pour l’améliorer.
Conclusion
HP est conscient que le paysage des menaces évolue rapidement. L’évolution des cyberattaques a commencé avec la suppression de fichiers et la défiguration de sites Web à la fin des années 1990, puis est passée à l’étape de la monétisation avec des informations d’identification volées et des ransomwares. Plus récemment, des attaques ont été menées par des États-nations extrêmement bien financés et déterminés à faire tomber les réseaux électriques et à rendre des dizaines de milliers d’ordinateurs et d’appareils mobiles inutilisables.
Faire face à ces risques est une mission dans laquelle HP s’est lancé il y a plus de quarante ans. L’héritage d’innovation de HP en matière de détection et de protection des menaces de sécurité, ainsi que les investissements continus axés sur la sécurité, influencent la conception d’applications telles que WXP. Le résultat est une solution de gestion informatique sécurisée, basée sur le cloud, basée sur une plate-forme de sécurité intégrée qui couvre l’application, le centre de données physique et l’accès de l’utilisateur final.
Avec des fonctionnalités de sécurité intégrées, WXP, disponible via HP Proactive Insights, HP Active Care et d’autres services optimisés par WXP, offre aux entreprises un outil fiable pour simplifier la gestion quotidienne des appareils, des données et des utilisateurs grâce à plusieurs couches de sécurité robustes.