Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
La sécurité chez Ping Identity

La sécurité chez Ping Identity

Message de notre RSSI

Ping Identity est une entreprise spécialisée dans la sécurité. À ce titre, nous savons que les attentes sont importantes et que les enjeux sont de taille. La mission première de Ping Identity est de créer des produits et des services à la fois sûrs, souples et fiables. La deuxième est de garantir que les activités de Ping Identity sont sûres et clairement communiquées. Ceci commence par investir dans les bons collaborateurs, les bons processus et les bonnes technologies, mais cela nécessite aussi d’entretenir une culture de la sécurité qui imprègne l’entreprise toute entière. Chez Ping Identity, chaque employé connaît l’importance de notre mission et en quoi il y contribue.

 

Pour que nos clients aient confiance en notre programme, nous avons conçu notre système de management de la sécurité de l’information (SMSI) sur la base des meilleures pratiques de l’industrie et du cadre offert par des standards tels qu’ISO 27001 et NIST 800-53. Nous fournissons l’assurance de l’efficacité de nos pratiques de sécurité grâce à nos certifications ISO 27001, SOC 2 et d’autres tests indépendants en tierce partie portant à la fois sur nos produits et sur nos processus de contrôle.

 

Merci de prendre le temps d’examiner notre programme de sécurité. N’hésitez pas à nous contacter si vous avez des questions concernant la sécurité des solutions Ping Identity ou les pratiques de l’entreprise. Pour en savoir plus, consultez notre livre blanc sur nos pratiques de sécurité.

 

Robb Reck, RSSI

Divulgation responsable

Ping Identity valorise fortement la communauté des spécialistes en sécurité et apprécie ceux qui nous aident à améliorer la sécurité des systèmes, produits et services de notre entreprise. Si vous êtes un spécialiste en sécurité et que vous avez découvert une brèche de sécurité dans l’un de nos systèmes, merci de nous aider en nous en faisant part confidentiellement, ce qui nous permettra de la traiter avant de publier les détails techniques. Nous validerons ces vulnérabilités, y réagirons et y remédierons conformément à notre engagement envers la sécurité et la confidentialité.

 

À cette fin, nous avons créé plusieurs manières pour contacter Ping et signaler ces vulnérabilités. D’une part, les divulguer directement et de manière responsable à notre équipe en charge de la sécurité en complétant un dossier de soutien. D’autre part, afin que plusieurs regards se portent sur nos produits et nos services, nous avons créé un « bug bounty program » ou « chasse aux bogues » qui récompense pour les vulnérabilités concernant nos produits et nos services.

Divulguer de manière responsable directement à Ping :

Cela est possible pour n’importe quelle vulnérabilité, qu’elle concerne les produits ou services de Ping, notre site web (pingidentity.com), ou tout autre infrastructure ou système de Ping. Merci de ne pas divulguer publiquement d’informations en dehors de ce processus sans en avoir reçu explicitement l’autorisation. Afin que nous puissions trier et répondre aux rapports, nous vous prions de bien vouloir inclure les informations suivantes dans votre rapport :
 

  • Système ou nom du produit et leur version (si applicable)
  • URL vulnérable : le terminal où se produit la vulnérabilité
  • Paramètre vulnérable : le cas échéant, le paramètre où se trouve la vulnérabilité
  • Type de vulnérabilité : la nature de la vulnérabilité
  • Étapes de reproduction : instructions pas à pas permettant de reproduire le problème
  • Captures d’écran ou vidéo : démonstration de l’attaque
  • Scénario d’attaque : un exemple de scénario d’attaque peut aider à démontrer le risque et accélérer la résolution de votre problème
  • Fichiers journaux

 

Cliquer ici pour compléter une fiche d’assistance :  

 

Participer au Product Bug Bounty de Ping :


Nous sommes heureux d’annoncer Bug Bounty public de Ping, qui concerne uniquement les produits et services de Ping. Le but est ici de solliciter les capacités de toute la communauté de spécialistes et de permettre à autant de personnes compétentes que possible de chercher les problèmes. Toutes les informations sur ce programme, notamment les systèmes concernés, le nombre de bogues et les autres règles d’engagement sont disponibles sur la page d’accueil du programme de chasse aux bogues.

Cloquez ici pour accéder à notre programme bug bounty.


Notre engagement


Si vous identifiez une brèche de sécurité vérifiée conforme au présent programme de divulgation responsable, Ping Identity s’engage à :

  • Établir un calendrier de correction avec un délai fixe.
  • Divulguer la vulnérabilité sur sa page de support afin de protéger au mieux ses clients (si cela est dans leur intérêt).

Certifications et affiliations
ISO Logo

ISO/IEC 27001:2013 Certification

Le siège social de Ping à Denver et nos produits clés sont certifiés ISO/IEC 27001:2013. ISO 27001 est la norme internationale définissant les meilleures pratiques des systèmes de management de la sécurité de l’information. Le respect de ces normes atteste notre engagement envers un programme de sécurité basé sur les risques, reproductible et que nous améliorons en permanence. Le système de management a été inspecté par Coalfire ISO, Inc., un organisme de certification des systèmes de management accrédité par l’ANSI-ASQ National Accreditation Board (ANAB).

 

Établie par l’Organisation internationale de standardization (ISO), cette norme exige la certification des contrôles de management de la sécurité de l’information d’une organisation dans les domaines de la sécurité des données et de la continuité des activités. Cette certification s’étend à tous les niveaux du stock d’infrastructure informatique d’une organisation, y compris la gestion des ressources, le contrôle des accès, la sécurité des ressources humaines et la sécurité des applications.

 

Les produits concernés par la certification ISO incluent PingOne, PingID, PingFederate, PingDirectory, PingAccess, PingDataSync et PingDataGovernance.

 
Service Organizations Logo

Service Organization Controls (SOC)

Les Rapports SOC aident les clients à avoir confiance et à être fidèles aux procédures de contrôle de Ping Identity grâce aux vérifications et validations strictes des activités et procédures de contrôle de Ping réalisées par un expert public certifié et indépendant. L’AICPA (« American Institute of Certified Public Accountants ») a créé la structure de Rapports du Service Organization Control ayant remplacé SAS 70 avec SSAE 16.

 

Le SOC 2 Report concerne les contrôles, dits Trust Services Principles, liés à la sécurité, à la disponibilité, à la confidentialité, à l’intégrité et la confidentialité du traitement, permettant par exemple de valider le fait que le système est protégé contre un accès physique et logique non autorisé. Concernant les rapports SAS 70, une organisation peut recevoir soit un rapport de Type I, soit un rapport de Type II. Le rapport de Type I examine l’adéquation des contrôles, tandis que le Type II teste l’efficacité des contrôles. Notre rapport SOC 2 se concentre sur les grands principes de sécurité et de disponibilité. Ce rapport SOC 2 est disponible pour les clients et les prospects sur demande et signature d’un accord de non divulgation (NDA). Merci de contacter le responsable de votre compte si vous souhaitez obtenir un exemplaire du rapport.
ISSA Denver, Colorado Logo

Information Systems Security Association, Chapitre de Denver

L’ISSA (Information Systems Security Association) est une organisation internationale à but non lucratif réunissant des professionnels et spécialistes de la sécurité de l’information. Elle propose des forums éducatifs, des publications ainsi que des opportunités d’interagir entre gens du métier dans le but d’améliorer les connaissances et les compétences de ses membres et de favoriser leur développement professionnel.

 

L’ISSA est une communauté de référence pour les professionnels de la cybersécurité à l’international, dédiée à favoriser la croissance personnelle, à gérer le risque technologique et à protéger les informations et infrastructures vitales. Le chapitre de Denver a été reconnu comme le plus grand du monde, avec plus de 500 membres à ce jour.  Son président n’est autre que Robb Reck, le responsable de la sécurité des systèmes d’information de Ping Identity. De nombreux employés de Ping en sont également des membres actifs. Pour en savoir plus, rendez-vous sur www.denver.issa.org.
CSA STAR Logo

Cloud Security Alliance STAR Registry

Le CSA Security, Trust and Assurance Registry (STAR) est un registre gratuit, librement accessible, qui documente les contrôles de sécurité offerts par différents fournisseurs de cloud computing, afin d’aider les utilisateurs à évaluer la sécurité des fournisseurs de services Cloud avec lesquels ils sont sous contrat ou envisagent de l’être.

 

Le CSA STAR est ouvert à tous les fournisseurs de services Cloud et leur permet de soumettre des rapports d’auto-évaluation prouvant la conformité aux meilleures pratiques publiées par la CSA. Ce registre consultable doit permettre aux clients potentiels de services Cloud d’examiner les pratiques de sécurité de fournisseurs, accélérant ainsi leur vérification au préalable et débouchant sur des contrats de meilleure qualité. La CSA STAR représente une avancée majeure en matière de transparence dans le secteur, qui encourage les fournisseurs à se démarquer grâce aux fonctionnalités de sécurité.

 

Sur le site de membre Ping Identity, vous trouverez notre questionnaire CAI.
FBI InfraGard Logo

FBI InfraGard

Les membres d’InfraGard ont accès à un réseau de communication sécurisé du FBI proposant un site Internet chiffré, une messagerie web, des serveurs de listes de diffusion et des forums de discussion. Le site Internet participe aux efforts entrepris par le FBI pour partager l’information afin de diffuser les alertes et avertissements relatifs à des menaces, et d’envoyer des produits de renseignement depuis son bureau et d’autres agences.

 

Il existe 85 chapitres InfraGard, soit au total plus de 35 000 membres qui collaborent avec le FBI via des bureaux sur le terrain, pour prévenir les attaques contre des infrastructures vitales, qui peuvent survenir sous forme d’intrusions sur des ordinateurs, de brèches de sécurité physiques, ou autres. Ces membres représentent l’application de la loi au niveau de l’État, local ou tribal, l’université, d’autres agences gouvernementales, des communautés et des entreprises privées. Des employés de Ping Identity adhèrent à l’IDMA (InfraGard Denver Members Alliance).
OWASP Logo

Membre OWASP

L’Open Web Application Security Project (OWASP) est une organisation à but non lucratif dédiée à l’amélioration de la sécurité logicielle. Sa mission consiste à rendre la sécurité logicielle visible, de manière à ce que les individus et les organisations de par le monde puissent prendre des décisions avisées concernant les véritables risques quant à la sécurité des logiciels.

 

OWASP est une communauté ouverte destinée à permettre aux organisations de concevoir, développer, acquérir, exploiter et entretenir des applications fiables. Tous les outils, documents, forums et chapitres OWASP sont gratuits et ouverts à toute personne désireuse d’améliorer la sécurité d’applications. Elle préconise d’aborder la sécurité des applications comme un problème de technologie, de processus et de personnes, sachant que les approches les plus efficaces en la matière impliquent des améliorations dans tous ces domaines. Rendez-vous sur www.owasp.org pour en savoir plus.

Lancez-vous dès Aujourd'hui

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.

Démonstration Gratuite