X
Skip to main content
Akamai logo
+1-8774252624
Connexion
Essayez Akamai
Victime d'une attaque ?

Conformité en matière de sécurité de l'information

Akamai démontre son engagement à assurer la sécurité de ses clients et de ses utilisateurs finaux d'Internet dans le monde entier en garantissant, entre autres, son respect de divers programmes de conformité internationaux et régionaux en matière de sécurité de l'information. Un résumé de ces programmes est disponible ci-dessous, avec des liens vers d'autres ressources.

Découvrez les programmes de protection des données et de confidentialité d'Akamai.

Monde

PCI DSS

Norme de sécurité de l'industrie des cartes de paiement

En savoir plus

SOC 2

System and Organization Controls 2 (contrôles d'organisation et de sécurité), types 1 et 2

En savoir plus

ISO 27001

Organisation internationale de normalisation, contrôles de gestion de la sécurité

En savoir plus

ISO 27017

Organisation internationale de normalisation, contrôles de sécurité dans le cloud public

En savoir plus

ISO 27018

Organisation internationale de normalisation, contrôles de confidentialité dans le cloud public

En savoir plus

ISO 27701

Organisation internationale de normalisation, contrôles de gestion de la confidentialité

En savoir plus

Région

FedRAMP

Federal Risk and Authorization Management Program (programme fédéral de gestion des autorisations et des risques), autorisation de fournisseur de services cloud du gouvernement des États-Unis 

En savoir plus

HIPAA

Health Insurance Portability and Accountability Act (Loi relative à la transférabilité et la responsabilité en matière d'assurance maladie), Informations de santé protégées

En savoir plus

Cyber Essentials

Norme de cybersécurité du National Cyber Security Center du Royaume-Uni

En savoir plus

BSI

Bundesamt für Sicherheit in der Informationstechnik, fournisseur approuvé d'infrastructure stratégique, Allemagne

En savoir plus

IRAP

Infosec Registered Assessors Program (programme d'évaluateurs agréés de sécurité de l'information), normes de sécurité du gouvernement australien

En savoir plus

PSD2

Payment Services Directive 2 (Directive européenne sur les services de paiements 2), réglementations européennes sur l'Open Banking

En savoir plus

MAS

Monetary Authority of Singapore (Autorité monétaire de Singapour) 

En savoir plus

Norme PCI DSS Niveau 1

Présentation

Toute entreprise devant stocker, traiter ou transmettre des données de cartes de paiement doit respecter la norme Payment Card Industry Data Security Standard (PCI DSS). Développée par les plus grandes sociétés de cartes de crédit, la norme PCI DSS définit les mesures nécessaires pour protéger les données, ainsi que les procédés et procédures liés aux transactions financières en ligne. Comme le Conseil des normes de sécurité PCI l'a établi, la norme PCI DSS impose :

  • le développement et la tenue à jour d'une règle de sécurité englobant tous les aspects de l'entreprise ;
  • l'installation de pare-feu pour protéger les données ;
  • le chiffrement des données de titulaire de cartes transmises sur des réseaux publics ;
  • l'utilisation et la mise à jour régulière d'un logiciel antivirus ;
  • le choix de mots de passe forts et d'autres protocoles de cybersécurité ;
  • la mise en place de contrôles d'accès stricts et le suivi des accès aux données des comptes.

Pour les grands commerçants et fournisseurs de services traitant un nombre important de transactions financières en ligne, le respect de la norme PCI DSS doit être validé chaque année par un expert en sécurité qualifié (Qualified Security Assessor, QSA). 

Ressources

Sécurité PCI

Certification Akamai

L'attestation de conformité (Attestation of Compliance, AoC) d'Akamai sert à prouver à nos clients que nos services concernés sont conformes à la norme de sécurité PCI DSS v3.2.1.

Dans le cadre de la norme PCI DSS, Akamai fait effectuer par un tiers externe un test de pénétration trimestriel des systèmes inclus dans le champ d'application de notre évaluation. Les résultats de ces tests de pénétration trimestriels ainsi que la documentation de conformité et/ou de certification sont disponibles pour les clients et soumis à un accord de non-divulgation (NDA).

Téléchargements / Liens

Services Akamai applicables

  • Réseau de diffusion de contenu (CDN) sécurisé avec Enhanced TLS (CDN sécurisé), et les services qui sont exécutés dessus
  • Produits de diffusion en bordure de l'Internet, comme Ion, API Acceleration et Adaptive Media Delivery, lorsqu'ils sont exécutés sur le CDN sécurisé
  • EdgeWorkers, lorsqu'il est exécuté sur le CDN sécurisé
  • Services de gestion des performances digitales mPulse
  • Produits de sécurité des applications et des API, comme App & API Protector (y compris le module complémentaire Malware Protection), Account Protector, Kona Site Defender et Bot Manager (Standard et Premier), lorsqu'ils sont exécutés sur le CDN sécurisé
  • Protections intégrées au navigateur, y compris Client-side Protection & Compliance et Audience Hijacking Protector
  • Secure Internet Access Enterprise (anciennement Enterprise Threat Protector)
  • Akamai MFA
  • Solutions de Cloud Computing suivantes : processeur dédié, processeur partagé et mémoire élevée

Questions-Réponses

Akamai est-il certifié PCI DSS ?

Oui, Akamai est certifié en tant que fournisseur de services PCI DSS de niveau 1, le plus haut niveau d'évaluation disponible. L'attestation de conformité et les matrices des responsabilités PCI DSS sont accessibles au public via les liens ci-dessus.

Si mon site Web utilise Akamai, comment puis-je m'assurer qu'il est conforme à la norme PCI DSS ?

Les clients sont responsables de leur propre certification PCI DSS et doivent faire appel à un expert en sécurité qualifié (QSA) pour valider leurs contrôles et obtenir une certification. Les clients et leurs QSA peuvent compter sur l'Attestation de conformité d'Akamai pour la partie de leur environnement traitant les données des titulaires de carte, afin d'utiliser les services conformes PCI DSS d'Akamai. Les matrices des responsabilités PCI DSS d'Akamai (voir liens ci-dessus) énoncent les responsabilités d'Akamai et de ses clients en ce qui concerne chacune des exigences PCI DSS. L'équipe chargée de votre compte peut vous fournir notre Guide de configuration client PCI DSS pour plus de détails. 

Akamai est-il répertorié dans le Registre mondial des fournisseurs de services Visa et dans la Liste des fournisseurs de services conformes Mastercard ?
Oui. Akamai est répertorié dans les listes fournies par Visa et Mastercard. Cela indique qu'Akamai a satisfait à toutes les exigences de programme applicables de ces grandes sociétés de cartes de paiement.  

Puis-je consulter un résumé des analyses de vulnérabilité et des tests de pénétration externes trimestriels d'Akamai réalisés par un Prestataire d'analyse approuvé (Approved Scanning Vendor, ASV) ?
Oui. L'équipe chargée de votre compte peut vous fournir ces informations sous réserve d'un accord standard de non-divulgation.

 

Haut de page

SOC 2

Présentation

La SOC (System and Organization Controls, contrôles d'organisation et de système) est une norme de sécurité promulguée par l'American Institute of Certified Public Accountants (AICPA) qui crée des rapports sur les contrôles directement liés à la sécurité, à la disponibilité, à l'intégrité du traitement, à la confidentialité et à la protection de la vie privée au sein d'une organisation de services.

Ressources

Suite de services SOC de l'AICPA

Certification Akamai

Akamai reçoit des rapports SOC 2 Type 2 annuels démontrant que nos contrôles de sécurité sont surveillés en permanence au cours de l'année.

Services Akamai applicables

Le principal rapport SOC 2 Type 2 d'Akamai couvre les principes de sécurité et de disponibilité des services de confiance. Les services Akamai concernés par ce rapport sont les suivants :

  • Réseau de diffusion de contenu (CDN) sécurisé avec Enhanced TLS
  • Services de protection contre les attaques DDoS Prolexic
  • Portail client du centre de contrôle Akamai
  • Systèmes supplémentaires prenant en charge la gestion d'accès, la gestion des clés et d'autres systèmes d'infrastructure

Akamai Connected Cloud comprend de nombreux systèmes distribués qui ont différents objectifs et prennent en charge nos différents produits et services. Le CDN sécurisé avec Enhanced TLS et les systèmes pris en charge couverts par le rapport sont les serveurs et les systèmes distribués utilisés pour diffuser et protéger les propriétés Web qui transitent ou traitent des informations sensibles de l'utilisateur final. Les services Akamai exécutés sur le CDN sécurisé avec Enhanced TLS exploitent tous les contrôles de sécurité et de disponibilité testés dans le principal rapport SOC 2 Type 2. Les services pouvant s'exécuter sur le système CDN sécurisé avec Enhanced TLS comprennent les suivants :

  • Produits de diffusion en bordure de l'Internet, comme Ion et Dynamic Site Delivery, lorsqu'ils sont exécutés sur le CDN sécurisé avec Enhanced TLS
  • Produits de sécurité des applications et des API, comme App & API Protector, Kona Site Defender, Kona DDoS Defender, Web Application Protector et Bot Manager Standard, lorsqu'ils sont exécutés sur le CDN sécurisé avec Enhanced TLS

Le rapport SOC 2 Type 2 supplémentaire d'Akamai couvre les critères de sécurité et de disponibilité des services de confiance pour les solutions suivantes :

  • Bot Manager Premier
  • Account Protector

Le rapport SOC 2 Type 2 d'Akamai pour le service Akamai Guardicore Segmentation couvre les critères de sécurité, de disponibilité et de confidentialité des services de confiance.

Le rapport SOC 2 Type 2 d'Akamai pour le service Akamai Identity Cloud couvre les cinq critères des services de confiance.

Akamai propose aussi un rapport SOC 2 Type 1 d'Akamai qui couvre les critères de sécurité et de disponibilité des services de confiance pour les services de cloud computing suivants :

 

  • Traitement :
    • Traitement de processeur dédié
    • Traitement de processeur partagé
    • Traitement de mémoire élevée
    • Traitement de processeurs graphiques
    • Moteur Linode Kubernetes
  • Stockage :
    • Stockage en mode objet
    • Stockage en mode bloc
    • Sauvegardes
  • Mise en réseau :
    • Pare-feu cloud
    • Protection contre les attaques DDoS
    • NodeBalancers
  • Outils pour les développeurs :
    • API
  • Cloud Manager

 

Questions-Réponses

Comment obtenir une copie du rapport SOC 2 ?
L'équipe chargée de votre compte Akamai peut vous fournir une copie. 

Quelles sont les régions couvertes ?
Les rapports SOC 2 d'Akamai couvrent l'ensemble des services d'Akamai et ne se limitent pas à certaines régions.

Avez-vous une lettre de transition pour la période suivant la dernière période couverte ?
L'équipe chargée de votre compte peut vous fournir une lettre de transition couvrant la période depuis le dernier rapport émis.  

Akamai dispose-t-il d'un certificat de conformité SOC 2 ?
SOC 2 ne propose pas de certificat de conformité. Au lieu de cela, les évaluateurs tiers qualifiés produisent un rapport sur la conformité de l'organisme évalué, qui inclut une description de son système, son envergure, des descriptions des contrôles pour l'établissement de critères communs, des éléments de preuve et l'adéquation des descriptions et des éléments de preuve de l'organisme. 

Pourquoi existe-t-il plusieurs rapports SOC 2 pour Akamai ?
Akamai propose désormais des rapports SOC 2 couvrant les services Identity Cloud et Akamai Guardicore Segmentation et les services de cloud computing. Ces services résultent de récentes acquisitions effectuées par Akamai. Pour le moment, Akamai a choisi de séparer ces rapports.  

Akamai a-t-il un rapport SOC 1 ?
Akamai ne fait pas l'objet d'un audit SOC 1. L'objectif d'un rapport SOC 1 est de traiter les contrôles internes d'un fournisseur de services qui peuvent avoir une incidence sur les rapports financiers de leurs clients. Les clients d'Akamai n'externalisent pas vers Akamai les processus métier qui sont essentiels à leurs rapports financiers. Par conséquent, un audit SOC 1 n'est pas pertinent pour les services fournis par Akamai.

Haut de page

ISO/CEI 27001:2013

Présentation

La norme ISO 27001 est une norme reconnue au niveau international pour les systèmes de gestion de la sécurité de l'information (ISMS). Elle fournit aux entreprises un cadre leur permettant de gérer leurs informations et données sensibles de manière sécurisée, en les protégeant contre l'accès non autorisé, la divulgation, la destruction ou la perte. La norme est basée sur les risques et décrit un ensemble de meilleures pratiques, de contrôles et de processus pour assurer la sécurité des informations. Elle est largement adoptée par des organisations du monde entier et est souvent utilisée comme référence pour la gestion de la sécurité de l'information.

Ressources

ISO/CEI 27001:2013

Services Akamai applicables

  • Ion (lorsqu'il est configuré pour s'exécuter sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec TLS renforcé)
  • Dynamic Site Accelerator (lorsqu'il est configuré pour s'exécuter sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec TLS renforcé)
  • App & API Protector (lorsqu'il est configuré pour s'exécuter sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec TLS renforcé)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (anciennement Enterprise Threat Protector)
  • Portail du centre de contrôle Akamai
  • Guardicore Segmentation
  • Akamai Identity Cloud
  • Secure Internet Access IoT Private Access
  • Secure Internet Access Mobile Platform
  • Secure Internet Access Mobile Private Access
  • Secure Internet Access Mobile Standard
  • Traitement
    • Plans de processeur dédié
    • Plans de processeur partagé
    • Plans de mémoire élevée
    • Plans de processeur graphique
    • Moteur Linode Kubernetes (LKE)
  • Stockage
    • Stockage en mode objet
    • Stockage en mode bloc
    • Images
    • Sauvegardes
  • Mise en réseau
    • NodeBalancers
  • Services groupés de cloud computing gratuits
    • Solutions gratuites de sécurité, de mise en réseau, de maintenance et de surveillance
  • Portail Cloud Manager

Questions-Réponses

Pourquoi existe-t-il plusieurs rapports ISO 27001 pour Akamai ?
En plus de la certification ISO 27001 principale, les certifications supplémentaires d'Akamai sont le fruit des acquisitions de Janrain, Inc., Asavie, Inc. et Guardicore, Inc. par Akamai, qui gère séparément les certifications des services issus de ces acquisitions pour le moment. 

Comment obtenir une copie des certifications ISO 27001 d'Akamai ?
L'équipe chargée de votre compte peut vous fournir ces certifications.

Haut de page

ISO/CEI 27017:2015

Présentation

La norme ISO/IEC 27017:2015 fournit des directives pour les contrôles de sécurité de l'information applicables à la prestation et à l'utilisation de services cloud ainsi que des directives et des contrôles de mise en œuvre supplémentaires qui complètent ceux de la norme ISO 27001 et sont spécifiquement adaptés aux fournisseurs et aux clients de services cloud.

Ressources

ISO/CEI 27017:2015

Services Akamai applicables

  • Traitement
    • Plans de processeur dédié
    • Plans de processeur partagé
    • Plans de mémoire élevée
    • Plans de processeur graphique
    • Moteur Linode Kubernetes (LKE)
  • Stockage
    • Stockage en mode objet
    • Stockage en mode bloc
    • Images
    • Sauvegardes
  • Mise en réseau
    • NodeBalancers
  • Services groupés de cloud computing gratuits 
    • Solutions gratuites de sécurité, de mise en réseau, de maintenance et de surveillance
  • Portail Cloud Manager

Comment obtenir une copie de la certification ISO 27017 d'Akamai ?

L'équipe chargée de votre compte peut vous fournir ces certifications.

Haut de page

ISO/CEI 27018:2019

Présentation

Cette norme fournit des directives visant à garantir que les fournisseurs de services cloud offrent des contrôles de sécurité de l'information adaptés à la protection de la confidentialité des clients de leurs propres clients, en sécurisant les informations à caractère personnel qui leur sont confiées.

La norme sert de référence pour la sélection des contrôles de protection des informations à caractère personnel lors de la mise en œuvre d'un système de cloud computing pour la gestion de la sécurité de l'information basé sur la norme ISO/CEI 27018. Elle fournit également des conseils sur la mise en œuvre de contrôles de protection des informations à caractère personnel.

Ressources

ISO/CEI 27018

Services Akamai applicables

 

  • Akamai Identity Cloud
  • Traitement 
    • Plans de processeur dédié
    • Plans de processeur partagé
    • Plans de mémoire élevée
    • Plans de processeur graphique
    • Moteur Linode Kubernetes (LKE)
  • Stockage
    • Stockage en mode objet
    • Stockage en mode bloc
    • Images
    • Sauvegardes
  • Mise en réseau
    • NodeBalancers
  • Services groupés de cloud computing gratuits 
    • Solutions gratuites de sécurité, de mise en réseau, de maintenance et de surveillance
  • Portail Cloud Manager

 

Questions-Réponses

Comment obtenir une copie de la certification ISO 27018 d'Akamai ?

L'équipe chargée de votre compte peut vous fournir ces certifications.

Haut de page

ISO 27701:2019

Présentation

La norme ISO/IEC 27701:2019 est une norme de sécurité de l'information publiée par l'Organisation internationale de normalisation (ISO) et par la Commission électrotechnique internationale (CEI) pour étendre le système de gestion de la sécurité de l'information (ISMS) de la norme ISO/IEC 27001 afin de mieux traiter la protection de la vie privée dans le contexte du traitement des informations personnelles identifiables (PII) par le biais d'un système de gestion des informations de la vie privée (PIMS). Une organisation se conformant aux exigences de la norme ISO/IEC 27701 doit produire des preuves documentées de la façon dont elle gère le traitement des informations personnelles identifiables en tant que processeur et/ou contrôleur.

Ressources

Services Akamai applicables

  • Ion (lorsqu'il est configuré pour s'exécuter sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec TLS renforcé)
  • Dynamic Site Accelerator (lorsqu'il est configuré pour s'exécuter sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec TLS renforcé)
  • App & API Protector (lorsqu'il est configuré pour s'exécuter sur le réseau de diffusion de contenu (CDN) sécurisé d'Akamai avec TLS renforcé)
  • Global Traffic Management 
  • Edge DNS
  • Secure Internet Access Enterprise (anciennement Enterprise Threat Protector)
  • Traitement 
    • Plans de processeur dédié
    • Plans de processeur partagé
    • Plans de mémoire élevée
    • Plans de processeur graphique
    • Moteur Linode Kubernetes (LKE)
  • Stockage
    • Stockage en mode objet
    • Stockage en mode bloc
    • Images
    • Sauvegardes
  • Mise en réseau
    • NodeBalancers
  • Services groupés de cloud computing gratuits 
    • Solutions gratuites de sécurité, de mise en réseau, de maintenance et de surveillance
  • Portail Cloud Manager

Auditeur

A-LIGN Assurance fournit la certification ISO 27701 d'Akamai.

Questions-Réponses

Puis-je obtenir une copie du certificat ?

L'équipe en charge de votre compte peut vous fournir notre certificat ISO 27701.

Haut de page

FedRAMP

Présentation

Le programme fédéral FedRAMP de gestion des autorisations et des risques est un programme de conformité du gouvernement des États-Unis, qui fournit une approche standardisée de l'évaluation, de l'autorisation et de la surveillance continue de la sécurité des produits et services cloud.

FedRAMP a créé et gère un ensemble de processus essentiels pour garantir une sécurité dans le cloud efficace et reproductible pour le gouvernement américain. Le programme a établi un Marketplace mature pour accroître l'utilisation et la connaissance des services cloud.

Ressources

FedRAMP

Certification Akamai

Depuis 2013, Akamai dispose d'une autorisation opérationnelle provisoire (ATO) décernée par le Joint Authorization Board (JAB) dans le cadre du programme FedRAMP, pour une base de référence modérée, en tant que fournisseur d'infrastructure en tant que service (IaaS).

Téléchargements / Liens

Page FedRAMP Marketplace d'Akamai

Services Akamai applicables

  • Réseau de diffusion de contenu d'Akamai pour la diffusion HTTP et HTTPS (ou réseaux ESSL et FreeFlow) et les services qui s'exécutent sur ces réseaux
  • Protection de la bordure de l'Internet pour les applications Web, comme App & API Protector et Kona Site Defender
  • Edge DNS (avec DNSSEC)
  • NetStorage
  • Services de streaming multimédia
  • Akamai Control Center
  • Global Traffic Management

Questions-Réponses

Comment accéder à la documentation FedRAMP d'Akamai ?

Les clients peuvent obtenir le « Formulaire de demande d'accès au package » sur le site Web du Marketplace FedRAMP

Quel est le niveau d'impact d'Akamai selon FedRAMP ? 

L'autorisation FedRAMP d'Akamai présente un niveau d'impact modéré. Selon FedRAMP, un système à impact modéré comprend « près de 80 % des applications de fournisseurs de services de communication (CSP) recevant l'autorisation FedRAMP et est le plus approprié pour les responsables de la sécurité (CSO) là où la perte de confidentialité, d'intégrité et de disponibilité entraînerait des effets néfastes graves sur les opérations, les actifs ou les individus d'une agence. Les effets néfastes graves peuvent inclure des dommages opérationnels importants aux actifs de l'agence, des pertes financières ou des dommages individuels qui ne sont pas un décès ou une atteinte physique. »

À l'heure actuelle, Akamai n'a pas demandé d'autorisation FedRAMP pour le Niveau d'impact élevé.

Haut de page

HIPAA/HITECH

Présentation

La loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996 définit les exigences relatives au traitement des informations de santé identifiables individuellement par les prestataires de soins de santé et les compagnies d'assurance. 

La loi HITECH (Health Information Technology for Economic and Clinical Health Act) de 2009 définit les droits d'accès aux données de santé personnelles et les mécanismes dont les patients disposent pour garder le contrôle de leurs données. Elle élargit la loi HIPAA pour couvrir l'échange d'informations de santé électroniques protégées (ePHI) ainsi que le champ d'application des mesures de protection de la confidentialité et de la sécurité de la loi HIPAA. 

Ressources

Conformité Akamai

Lorsqu'Akamai est engagé par ses clients du secteur de la santé pour traiter les données de santé, il peut être considéré comme un partenaire commercial, auquel cas un Accord de partenariat commercial (Business Associate Agreement) peut être requis entre Akamai et le client du secteur de la santé. Une copie de l'Accord de partenariat commercial standard d'Akamai est disponible sur demande.

Akamai fait régulièrement l'objet d'évaluations par des tiers, conformément au règlement de sécurité HIPAA qui exige que les collaborateurs « effectuent une évaluation précise et approfondie des risques et vulnérabilités potentiels relatifs à la confidentialité, à l'intégrité et à la disponibilité » des informations de santé électroniques protégées détenues par l'associé. Le résumé de notre évaluation la plus récente et/ou de la lettre associée par les évaluateurs sont disponibles pour les clients et partenaires d'Akamai soumis à un accord de confidentialité (NDA). 

Téléchargements/Liens

Déclaration de conformité HIPAA et HITECH ACT d'Akamai

Services Akamai applicables

  • Réseau de diffusion de contenu (CDN) sécurisé avec Enhanced TLS (CDN sécurisé), et les services qui sont exécutés dessus
  • Produits de diffusion en bordure de l'Internet, comme Ion, API Acceleration et Adaptive Media Delivery, lorsqu'ils sont exécutés sur le CDN sécurisé
  • Produits de sécurité des applications et des API, comme App & API Protector, Account Protector, Kona Site Defender et Bot Manager (Standard et Premier), lorsqu'ils sont exécutés sur le CDN sécurisé
  • Enterprise Application Access
  • Akamai Identity Cloud
  • Akamai Control Center
  • Traitement 
    • Plans de processeur dédié
    • Plans de processeur partagé
    • Plans de mémoire élevée
    • Plans de processeur graphique
    • Moteur Linode Kubernetes (LKE)
  • Stockage
    • Stockage en mode objet
    • Stockage en mode bloc
    • Images
    • Sauvegardes
  • Mise en réseau
    • NodeBalancers
  • Services groupés de cloud computing gratuits 
    • Solutions gratuites de sécurité, de mise en réseau, de maintenance et de surveillance
  • Portail Cloud Manager

Revenir en haut de la page

Cyber Essentials

Présentation

Cyber Essentials est un programme de certification complet et fiable, approuvé par le gouvernement britannique, conçu pour protéger les entreprises de toutes tailles contre un certain nombre de cyberattaques courantes. La norme s'articule autour des meilleures pratiques que les entreprises peuvent mettre en œuvre pour renforcer leurs défenses de cybersécurité.

Grâce à Cyber Essentials, les entreprises peuvent prendre des mesures proactives pour se protéger contre ces types d'attaques. En suivant ces directives, les entreprises ont moins de chance d'être victimes de cybercriminalité. Cela inclut l'adoption de mesures telles que la mise en place de pare-feu, la protection contre les programmes malveillants et une configuration réseau sécurisée, entre autres.

Le champ d'application de la certification Cyber Essentials d'Akamai est le suivant :

  1. Sites Akamai sur le territoire du Royaume-Uni
  2. Employés et terminaux d'Akamai sur le territoire du Royaume-Uni
  3. Services aux entreprises que ces employés utilisent pour fournir des services au Royaume-Uni
  4. Terminaux et postes de travail sur le territoire du Royaume-Uni applicables aux services d'Akamai fournis au Royaume-Uni

Ressources

Conformité Akamai

Certificat Cyber Essentials d'Akamai

Revenir en haut de la page

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Fournisseur approuvé d'infrastructure stratégique, Allemagne

Présentation

Depuis juin 2017, Akamai répond aux exigences des fournisseurs de services d'infrastructure critique pour ses services de réseau de diffusion de contenu en Allemagne, mis en œuvre par le BSI allemand (Bureau fédéral pour la sécurité de l'information). Conformément à la législation sous-jacente, la Loi BSI, Akamai réalise un audit tiers tous les deux ans afin de prouver que ses mesures techniques et organisationnelles protègent correctement son système et garantissent la disponibilité, l'intégrité, l'authenticité et la confidentialité de ses services.

Dans le cadre de l'audit, Akamai Allemagne fournit au BSI des preuves de sa sécurité de pointe garantissant la disponibilité, l'intégrité, l'authenticité et la confidentialité de ses systèmes critiques. Ces audits se fondent sur le rapport SOC 2 Type 2 d'Akamai, l'évaluation de la certification ISO 27001 et plusieurs audits sur site réalisés par l'auditeur dans des centres de données en Allemagne.

Outre la classification d'Akamai en tant que fournisseur de services critiques pour ses services de diffusion en bordure de l'Internet, le BSI recommande également plusieurs services de sécurité d'applications et d'infrastructure d'Akamai à d'autres fournisseurs de services critiques.

Ressources

Services Akamai applicables

Le réseau de diffusion de contenu d'Akamai, qui inclut tous les services de diffusion en bordure de l'Internet d'Akamai, tels que Ion et Dynamic Site Accelerator.

Revenir en haut de la page

IRAP (Australie)

Présentation

Le programme australien d'évaluateurs agréés de sécurité de l'information (Infosec Registered Assessors Program ou IRAP) confirme aux clients du gouvernement australien que des contrôles de sécurité appropriés ont été mis en place conformément au Guide de sécurité de l'information (Information Security Manual ou ISM) du gouvernement australien. L'objectif de l'ISM est de décrire une structure de cybersécurité que les entreprises peuvent mettre en place afin de protéger leurs informations et leurs systèmes contre les menaces en ligne.

L'ISM est constitué de plus de 700 contrôles de sécurité permettant de définir des exigences de sécurité dans plus de 80 domaines, tels que les suivants :

  • Les incidents liés à la cybersécurité
  • Les durcissements de systèmes
  • La gestion des failles de sécurité
  • L'application de correctifs
  • Le chiffrement
  • La conception de réseaux
  • Le développement d'applications

Ressources

Conformité Akamai

Tous les deux ans, Akamai se soumet à une évaluation de conformité aux contrôles de sécurité IRAP définis dans l'ISM par un auditeur indépendant. L'évaluation couvre à la fois les environnements de production et les environnements de réseau d'entreprise d'Akamai. Une lettre certifiant l'achèvement de l'évaluation de l'évaluateur IRAP officiel est disponible sous réserve d'un accord de non-divulgation (NDA).

Pour en savoir plus, veuillez contacter l'équipe chargée de votre compte Akamai.

Services Akamai applicables

  • CDN sécurisé avec Enhanced TLS et les services qui s'y exécutent
  • Produits de diffusion en bordure de l'Internet, comme Ion, lorsqu'ils sont exécutés sur le CDN sécurisé avec Enhanced TLS
  • Bot Manager Standard et Premier
  • Produits de sécurité des applications et des API, comme App & API Protector, Kona Site Defender, Web Application Protector et Bot Manager, lorsqu'ils sont exécutés sur le CDN sécurisé avec Enhanced TLS.
  • Edge DNS

Revenir en haut de la page

Directive sur les services de paiement (« DSP2 »)

Présentation

La directive révisée sur les services de paiement (DSP2) de l'UE et l'Open Banking, ainsi que la mise en œuvre de la DSP2 au Royaume-Uni, exigent des institutions financières qu'elles ouvrent leur infrastructure de paiement et accordent aux prestataires tiers un accès aux données de compte bancaire de leurs clients. Les organismes de réglementation ont mis en place cette initiative afin de faciliter l'innovation, la concurrence et l'efficacité des services financiers en permettant à des prestataires tiers de fournir aux utilisateurs des services de paiement et des informations sur leurs comptes.

Ressources

DIRECTIVE (UE) 2015/2366

Conformité Akamai

Les solutions Akamai aident les institutions financières à se conformer à la DSP2 en améliorant l'expérience client, la stabilité des applications et les contrôles de sécurité. Le réseau de diffusion de contenu d'Akamai sert d'intermédiaire pour la communication entre les prestataires tiers et l'institution financière. Les services de sécurité d'Akamai protègent les API de l'institution de tout accès non autorisé et garantissent que seules les demandes d'accès authentifiées sont traitées. Akamai contribue à la conformité DSP2 en :

  • Améliorant l'expérience client
  • Fournissant un service de contrôle d'accès et de gouvernance des API
  • Protégeant les API contre les attaques
  • Fournissant une communication commune et sécurisée (certificats SSL/TLS)
  • Empêchant la capture de données d'écran (« screen scraping »)
Comparaison graphique avant et après la DSP2 Les API internes et les applications propriétaires sont remplacées par des API publiques et des applications tierces lorsque des prestataires tiers servent d'intermédiaires entre une banque et ses clients.

Téléchargements/Liens

Services Akamai applicables

Identity Cloud, diffusion de contenu sécurité, App & API Protector, Kona Site Defender, Web Application Protector, Ion, DSA et API Gateway.

Questions-Réponses

L'Open Banking est-il la même chose que la DSP2 ?

L'Open Banking est la mise en œuvre de la DSP2 au Royaume-Uni. Elle est fondée sur une décision, rendue en août 2016 par l'Autorité britannique de la concurrence et des marchés (CMA), stipulant que les neuf plus grandes banques britanniques doivent autoriser aux startup sous licence un accès direct à leurs données jusqu'au niveau des transactions de compte.

Pourquoi la mise en œuvre de la DSP2 est-elle toujours une solution personnalisée ?

La mise en œuvre de la DSP2 sera toujours personnalisée en raison des besoins uniques de chaque fournisseur de confiance délivrant les certifications, de la législation spécifique des pays de l'UE et des exigences de conformité internes relatives aux politiques de chaque entreprise.

Revenir en haut de la page

MAS (Singapour)

Présentation

L'Autorité monétaire de Singapour (MAS) réglemente les institutions financières des secteurs bancaire, des marchés de capitaux, de l'assurance et des paiements constituées à Singapour. La MAS inclut des Lignes directrices sur l'externalisation publiées à destination des institutions financières locales et portant sur la gestion des risques des accords d'externalisation, qui incluent :

  • Engagement auprès de la MAS en matière d'externalisation
  • Pratiques saines en matière de gestion des risques des accords d'externalisation
  • Cloud computing

Ressources

Lignes directrices sur l'externalisation MAS

Modifications

Conformité Akamai

Les services Akamai utilisés par les fournisseurs de services financiers constitués à Singapour sont considérés comme des activités externalisées dans le cadre de ces lignes directrices. Les services Akamai étant conformes aux lignes directrices, les clients de services financiers constitués à Singapour peuvent non seulement continuer à utiliser les services Akamai, mais également les déployer comme des parts essentielles de leur stratégie de conformité en matière d'externalisation.

Services Akamai applicables

  • Réseau de diffusion de contenu (CDN) sécurisé avec Enhanced TLS et services associés
  • Produits de diffusion en bordure de l'Internet, comme Ion, lorsqu'ils sont exécutés sur le CDN sécurisé avec Enhanced TLS
  • Produits de sécurité des applications et des API, comme App & API Protector, Kona Site Defender, Web Application Protector et Bot Manager, lorsqu'ils sont exécutés sur le CDN sécurisé avec Enhanced TLS.
  • Services de protection contre les attaques DDoS Prolexic
  • Akamai Identity Cloud

Revenir en haut de la page