Certifications et conformité

Le respect des obligations réglementaires et des certifications technologiques est essentiel au maintien d'une sécurité robuste et solide. C'est pourquoi FireEye s'engage à veiller à ce que ses produits et technologies de sécurité respectent, voire surpassent les conditions de certification et exigences de conformité sectorielles.

Certifications

Certifié FedRAMP

FedRAMP

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme du gouvernement fédéral américain visant à standardiser l'autorisation, l'évaluation de la sécurité et la surveillance continue des produits et services cloud utilisés par ses administrations. La FedRAMP permet ainsi aux différentes agences fédérales de passer rapidement de leurs anciennes infrastructures IT peu sûres à des environnements cloud bien plus sécurisés, économiques et adaptés à leurs missions. Cette certification couvre le périmètre élargi de FireEye Email Security (ETP-GOV), lequel comprend le module AVAS propriétaire de l'entreprise (protection antivirus/antispam et détection des tentatives d'usurpation d'identité).

Certifié ISO 27001

ISO 27001

Cette certification est sans doute l'une des plus reconnues mondialement en matière de sécurité de l’information. Elle a pour vocation de couvrir la sécurité sous tous ses aspects : humain, processus et systèmes. Le champ d'application de la norme ISO/IEC 27001:2013 se limite au système de gestion de la sécurité de l'information (ISMS) de FireEye Email Security Cloud Edition, conformément à la déclaration d'applicabilité du 11 juin 2018. L'infrastructure certifiée est hébergée dans des data centers situés dans les régions EMEA (Europe) et Amérique du Nord. En ce sens, les services de colocation et d'hébergement n'entrent pas dans le champ d'application de l'ISMS.

Certifié SAFETY Act

SAFETY Act

Le SAFETY Act a pour objectif de stimuler le développement et le déploiement de technologies de lutte contre le terrorisme en créant un système de "gestion des risques" et de "gestion des sanctions". Cette légalisation a pour objectif de faire en sorte que la menace de sanctions ne dissuade pas les éventuels fabricants ou revendeurs de technologies anti-terroristes de mettre au point et de commercialiser des inventions susceptibles de sauver des vies. FireEye propose son moteur Multi-Vector Virtual Execution (MVX) et ses services cloud sous la forme d'une plateforme de sécurité qui protège les clients contre les malwares. En exécutant les contenus suspects dans un environnement de machines virtuelles isolées, la technologie FireEye MVX peut analyser les logiciels à la recherche de code ou de comportements malveillants. Les mises à jour du logiciel sont proposées aux clients via le service cloud de FireEye.

Certifié SOC 2

SOC 2 – Service Organization and Controls

Chaque année, FireEye fait l'objet d'un audit SSAE18 mené par un tiers indépendant. Cet audit reprend les critères énoncés dans le Guide de reporting de l'American Institute of Certified Public Accountants (AICPA) en ce qui concerne les Contrôles d'une entreprise de services relatifs à la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la protection des données (SOC 2®), ainsi que les critères d'adéquation du design et de l'efficacité opérationnelle aux principes de sécurité, de disponibilité et de confidentialité énoncés dans le Trust Services Principles, TSP section 100A. FireEye peut ainsi, à la demande de ses clients, émettre un rapport de conformité (SOC 2 Type II) pour les solutions énumérées ci-dessous. Ce rapport comprend une description de l'environnement de contrôles de FireEye, les résultats de l'audit externe et l'avis émis sur les contrôles FireEye conformes aux principes et critères de sécurité, disponibilité et confidentialité des Trust Services de l'AICPA.

  • FireEye Dynamic Threat Intelligence Cloud
  • FireEye Email Security Cloud Edition
  • FireEye Managed Defense 
  • Moteur Multi-Vector Virtual Execution (MVX) FireEye Cloud
  • FireEye Endpoint Security Cloud

Conformité

PCI DSS V3.2 – Norme de sécurité de l'industrie des cartes de paiement

La norme PCI DSS est une norme de sécurité de l’information élaborée par le Conseil des normes de sécurité PCI. Sa mission est de renforcer la sécurité des données de carte de paiement et de promouvoir l'adoption de mesures de sécurité homogènes pour les composantes techniques et opérationnelles liées aux données des titulaires de carte.

Chaque année, FireEye fait appel aux services d'un Auditeur de sécurité qualifié (QSA) pour effectuer un audit sur la base de critères éligibles repris dans le questionnaire d'auto-évaluation PCI destiné aux prestataires de services (SAQ-D). C'est ainsi que l'entreprise a reçu une Attestation de conformité pour ses services Managed Defense.

Boucliers de protection des données (Privacy Shield) UE-États-Unis et Suisse-États-Unis

FireEye respecte les exigences des boucliers de protection des données (Privacy Shield) UE-États-Unis et Suisse-États-Unis, telles qu’énoncées par le département du Commerce américain en ce qui concerne la collecte, l’utilisation et la conservation de données personnelles provenant des États membres de l’Union européenne et de la Suisse. FireEye se soumet aux principes du bouclier en matière de notification, de choix, de transfert ultérieur, de sécurité, d’intégrité et de limitation des finalités d’utilisation des données, d’accès et de recours, d’exécution et de responsabilité, vis-à-vis de toutes les données personnelles transférées de l’UE ou de la Suisse vers les États-Unis, dans les limites de sa certification Privacy Shield.

NIST 800-171

La publication spéciale 800-171 du National Institute of Standards and Technology date de juin 2015. Elle vise principalement à protéger la confidentialité des Controlled Unclassified Information (informations non classifiées contrôlées) dans les systèmes d'information et les organismes non fédéraux en définissant des exigences de sécurité. Suite à une auto-évaluation, FireEye a été certifié conforme aux contrôles NIST 800-171. Depuis, l'entreprise évalue régulièrement l'état de sa conformité à NIST 800-171.