Gestion des communications et des opérations
Utilisation acceptable par les collaborateurs d'Oracle
Oracle a des exigences formelles pour l'utilisation du réseau d'entreprise Oracle, des systèmes informatiques, des systèmes téléphoniques, des technologies de messagerie, des accès à Internet, des données d'entreprise, des données client et d'autres ressources d'entreprise disponibles pour les salariés d'Oracle, les co-contractants prestataires de services et les visiteurs.
Principes généraux de sécurité pour les communications
Les communications à destination et en provenance du réseau d'entreprise Oracle doivent passer par des dispositifs de sécurité réseau à la limite du réseau. L'accès à un réseau d'entreprise Oracle par des tiers est soumis à approbation préalable. Les connexions distantes au réseau d'entreprise Oracle doivent utiliser exclusivement des solutions de réseau privé virtuel (VPN) approuvées. Pour en savoir plus sur les pratiques de gestion réseau d'Oracle, reportez-vous à la section Sécurité des communications réseau.
Contrôles d’accès
Les opérations sont organisées en groupes fonctionnels, où chaque fonction est exécutée par des groupes distincts des collaborateurs. Les développeurs, les administrateurs de base de données, les administrateurs système et les ingénieurs réseau sont des exemples de groupes fonctionnels. En savoir plus sur Oracle Access Controls.
Gestion des vulnérabilités
Oracle a des exigences formelles conçues pour identifier, analyser et corriger les failles de sécurité techniques qui peuvent affecter nos systèmes d'entreprise et votre environnement de Services Oracle Cloud.
Les équipes informatiques, de sécurité et de développement d'Oracle sont tenues de surveiller les bulletins pertinents des fournisseurs et du secteur, y compris les propres conseils de sécurité d'Oracle, afin d'identifier et d'évaluer les correctifs de sécurité pertinents. En outre, Oracle exige que l'analyse des vulnérabilités à l'aide de systèmes d'analyse automatisés soit effectuée régulièrement par rapport aux systèmes internes et externes qu'il gère. Les environnements de service cloud sont soumis à des tests d'intrusion en fonction du niveau de risque du système.
La priorité stratégique d'Oracle pour le traitement des vulnérabilités découvertes dans Oracle Cloud est de résoudre ces problèmes selon leur gravité et leur impact potentiel sur les Services Oracle Cloud. Le Common Vulnerability Scoring System (CVSS) Base Score est l'un des critères utilisés pour évaluer la gravité relative des vulnérabilités. Oracle exige que les vulnérabilités de sécurité identifiées soient identifiées et suivies dans un système de suivi des défauts.
Oracle vise à mener à bien les activités de correction des services cloud, y compris les tests, l'implémentation et le redémarrage/le provisionnement (le cas échéant) dans les fenêtres de maintenance planifiées. Cependant, une maintenance de sécurité supplémentaire en dehors des fenêtres de maintenance programmées peut être effectuée, comme décrit dans les Politiques de livraison et d'hébergement d'Oracle Cloud et, le cas échéant, dans la documentation du pilier associé.
Oracle Software Security Assurance est une méthodologie d'Oracle pour la sécurité dans la conception, la création, les tests et la maintenance de ses produits, qu'ils soient utilisés on-premises par des clients ou fournis via Oracle Cloud.
Les clients et les chercheurs en sécurité peuvent signaler des failles de sécurité suspectes à Oracle : Comment signaler des failles de sécurité à Oracle ou en soumettant une demande de service dans leur système de support désigné.
La Politique de test de sécurité client d'Oracle décrit les activités de test de sécurité (par exemple, test d'intrusion, analyse des vulnérabilités) qui peuvent être effectuées par les clients d'Oracle par rapport à leurs produits Oracle on-premises et à leurs services Oracle Cloud.
Surveillance et protection des informations du journal d'audit
Oracle exige que les propriétaires de systèmes capturent et conservent les journaux pour certaines activités liées à la sécurité sur les systèmes d'exploitation, les applications, les bases de données et les périphériques réseau. Les systèmes sont tenus de consigner l'accès aux systèmes et applications Oracle, ainsi que d'enregistrer les alertes du système, les messages de la console et les erreurs système. Oracle met en œuvre des contrôles conçus pour vous protéger contre les problèmes opérationnels, notamment l'épuisement du support de fichier journal, l'échec de l'enregistrement des événements et/ou l'écrasement des journaux.
Les politiques d'Oracle exigent que les différentes branches d'activité surveillent les journaux afin d'enquêter sur les événements de sécurité et à des fins légales. Les activités anormales identifiées doivent alimenter les processus de gestion des événements de sécurité pour la branche d'activité propriétaire de ce système. L'accès aux journaux de sécurité est fourni sur la base du besoin de savoir et du moindre privilège. Lorsque cela est possible, les fichiers journaux sont protégés par une cryptographie forte en plus d'autres contrôles de sécurité, et l'accès est surveillé. Les journaux générés par les systèmes accessibles à Internet doivent être déplacés vers des systèmes qui ne sont pas accessibles à Internet.
Gestion des actifs
La politique d'inventaire des actifs des systèmes d'information d'Oracle exige un inventaire précis de tous les systèmes d'information et appareils contenant des actifs d'information tout au long de leur cycle de vie par le biais d'un système d'inventaire approuvé par l'entreprise. Cette stratégie définit les attributs d'identification requis à enregistrer pour le matériel du serveur, les logiciels, les données détenues sur les systèmes d'information et les informations nécessaires à la reprise après sinistre et à la continuité des activités.
Technologie de communication
Le service informatique Oracle gère les solutions d'entreprise pour la collaboration et la communication au sein d'Oracle et avec des parties externes. Les politiques d'Oracle exigent que les collaborateurs utilisent ces outils d'entreprise approuvés lors de la gestion d'informations confidentielles. Chacune de ces solutions exploite des contrôles de sécurité préventifs et détectifs tels que les technologies anti-malware et anti-virus.
Oracle a défini des directives pour l'échange sécurisé d'informations avec les fournisseurs et d'autres tiers.
Acquisitions
Les entreprises acquises par Oracle doivent s'aligner sur ces pratiques de sécurité dans le cadre du processus d'intégration. La durée et le résultat de chaque aspect du processus d'intégration dépendent de la taille, de la complexité, des engagements contractuels antérieurs et des exigences réglementaires applicables aux produits, services, personnel et opérations de l'entreprise acquise.