Revenir au contenu principal

Sécurité & Trust Center

La sécurité de vos données est notre priorité.

 

 

Confiance

Notre plateforme de confiance repose sur l'intégration de la sécurité à toutes les étapes du développement et de la livraison des solutions. Nous adoptons des pratiques rigoureuses en matière de sécurité opérationnelle : tests d'intrusion, évaluations de vulnérabilités et contrôles d'accès internes renforcés. Nous pensons que la confiance se gagne par la transparence. Ainsi nous communiquons publiquement sur notre mode opératoire et travaillons en étroite collaboration avec nos clients et partenaires pour répondre à leurs besoins en matière de sécurité. Nous proposons des offres conformes aux standards PCI-DSS, HIPAA et FedRAMP. Nous sommes nous-mêmes conformes aux normes ISO 27001, ISO 27017, ISO 27018 et à SOC 2 Type II.

Engagement contractuel

En plus de la documentation et de bonnes pratiques que vous trouverez sur notre Centre de sécurité et de confiance, nous remettons également à tous nos clients un engagement contractuel de sécurité présenté en termes simples. Cet engagement est consigné dans l'Addendum de sécurité de notre contrat. Il décrit les mesures et les pratiques de sécurité que nous appliquons pour protéger vos données.

Gestion des vulnérabilités

Détecter et corriger rapidement les logiciels vulnérables dont vous avez besoin au quotidien est l'une des missions les plus importantes d'un fournisseur de solutions ou de services. Nous prenons cette responsabilité très au sérieux et nous communiquons nos engagements de délai de correction dans notre Addendum de sécurité.

En interne, nous avons automatisé la gestion des vulnérabilités pour suivre, hiérarchiser et coordonner la correction des vulnérabilités dans notre environnement avec efficacité. Nous procédons quotidiennement à des scans de vulnérabilité authentifiés sur les packages Databricks ainsi que sur les packages tiers et open source que nous utilisons. Nous réalisons également des analyses de code statique et dynamique (SAST et DAST) à l'aide d'outils d'inspection de la sécurité réputés, avant tout passage en production de nouveau code ou de nouvelle image. Databricks fait également appel à des experts indépendants qui analysent nos sites publics et signalent les risques potentiels.

Databricks a fondé le Programme de réponse aux vulnérabilités pour surveiller l'émergence des vulnérabilités avant qu'elles ne soient signalées par nos prestataires d'inspection. Nous nous appuyons pour cela sur des outils internes, les réseaux sociaux, des listes de diffusion et des sources de renseignement sur les menaces (US-CERT et autres flux étatiques, industriels et open source). Databricks surveille les plateformes de vulnérabilités ouvertes comme CVE Trends et Open CVDB. Nous avons établi un processus de réponse qui nous permet d'identifier rapidement l'impact des risques sur notre entreprise, nos produits et nos clients. Dans le cadre de ce programme, nous reproduisons rapidement les vulnérabilités signalées et corrigeons celles en zero-day.

Notre Programme de gestion des vulnérabilités s'engage à traiter dans la plus grande urgence les vulnérabilités de sévérité 0, notamment celles de type zero-day. Leur correction est prioritaire sur tous les autres déploiements.

Tests d'intrusion et bug bounty

Nous effectuons des tests d'intrusion grâce à une équipe de sécurité offensive en interne, des testeurs d'intrusion tiers qualifiés et un programme annuel de bug bounty public. Nous combinons le fuzzing, la revue de code sécurisé et les tests d'applications dynamiques pour évaluer l'intégrité de notre plateforme et la sécurité de notre application. Nous réalisons des tests de pénétration sur nos versions majeures, nos nouveaux services et nos fonctionnalités sensibles sur le plan de la sécurité. L'équipe de sécurité offensive travaille avec notre équipe de réponse aux incidents et nos ambassadeurs de la sécurité au sein de l'ingénierie. Leur objectif commun est de résoudre les problèmes découverts et de partager les enseignements au sein de l'entreprise.

Nous réalisons typiquement 8 à 10 tests de pénétration tiers externes et 15 à 20 tests interne par an. Toutes les découvertes substantielles doivent être traitées avant qu'un test ne puisse être considéré comme réussi. Dans le cadre de notre engagement de transparence, nous partageons publiquement les rapports de tests tiers portant sur notre plateforme au sein de notre liasse de diligence raisonnable (due diligence).

Enquêtes de sécurité et réponse aux incidents

Nous utilisons Databricks comme SIEM et plateforme XDR pour traiter plus de 9 téraoctets de données par jour à des fins de détection et d'enquête de sécurité. Nous importons et traitons les logs et les signaux de sécurité de l'infrastructure cloud, des appareils, des systèmes de gestion des identités et des applications SaaS. Nous utilisons des pipelines de streaming structuré et des Delta Live Tables pour identifier les événements de sécurité prioritaires à l'aide d'une approche data-driven et de modèles de ML statistiques. Cela nous permet de produire de nouvelles alertes, mais aussi de corréler, dédupliquer et hiérarchiser les alertes produites par les produits de sécurité connus. Nous modélisons nos runbooks sur les tactiques, techniques et procédures (TTP) adverses, que nous suivons à l'aide du framework MITRE ATT&CK. Notre équipe d'enquête de sécurité utilise des notebooks Databricks collaboratifs pour créer des processus d'investigation reproductibles, améliorer continuellement les playbooks d'enquête et rechercher activement les menaces sur plus de 2 pétaoctets de logs d'événements, en effectuant des recherches complexes sur des données structurées et semi-structurées.

Notre équipe de réponse aux incidents se tient à jour et appuie Databricks dans sa préparation aux scénarios d'incidents de plusieurs façons :

  • Elle participe à des formations réputées fournies par des prestataires tels que SANS, et assiste à des conférences de sécurité comme fwd:cloudsec, Black Hat, BSides et RSA
  • Elle effectue régulièrement des exercices théoriques avec les équipes de direction et les équipes internes pour s'entraîner à la gestion des scénarios de réponse qui touchent les produits Databricks et l'infrastructure de l'entreprise
  • Elle collabore avec les équipes d'ingénierie pour faire de l'observabilité de la plateforme une priorité et améliorer les capacités de détection et de réponse de sécurité
  • Elle met régulièrement à jour les stratégies de recrutement et de formation sur la base d'une matrice évolutive de compétences et d'aptitudes en réponse aux incidents

Accès interne

Nous appliquons des politiques et des contrôles stricts concernant l'accès des salariés internes à nos systèmes de production et à nos environnements et données clients.

Cycle de vie sécurisé du développement d'une solution

Le cycle de vie du développement logiciel (SDLC) de Databricks intègre la sécurité à toutes les étapes de conception, de développement et de production, depuis les demandes de fonctionnalités jusqu'au monitoring. Il s'appuie sur des outils conçus pour suivre les fonctionnalités tout au long de leur cycle de vie. Des scans de sécurité et des recherches de vulnérabilités sont automatiquement effectués sur nos systèmes, nos bibliothèques et notre code.

Informations sur la politique et la communication de sécurité

Databricks respecte les normes RFC 9116, ISO/IEC 30111:2019(E) et ISO/IEC 29147:2018(E) concernant la gestion et la communication des vulnérabilités de sécurité. Pour plus d'informations sur nos communications sécurisées et notre signature PGP, consultez le fichier security.txt.