Adobe CCF (Common Controls Framework)
Nous avons la conviction qu’une bonne stratégie de conformité et de gestion des risques est tout aussi importante que la stratégie produit pour la réussite d’une entreprise. Adobe démontre son engagement envers la sécurité et la confidentialité des données en adoptant des normes essentielles et en respectant les règlementations en la matière. À mesure que de nouvelles normes et directives entrent en vigueur, nous les analysons et retenons les plus pertinentes pour notre clientèle.
Pour soutenir nos efforts, nous avons mis en place le CCF (Common Controls Framework), un framework de processus et de contrôles open source visant à protéger l’infrastructure, les applications et les services d’Adobe, tout en assurant notre conformité aux bonnes pratiques, normes, règlementations et certifications en vigueur. Ce framework repose sur les critères des principales certifications de sécurité pour le cloud et définit des contrôles pour plus de 4 300 exigences réparties sur 21 normes.
Ce diagramme en entonnoir illustre la manière dont Adobe harmonise diverses normes et exigences de sécurité pour établir un ensemble de contrôles cohérent couvrant plusieurs domaines de conformité.
La partie gauche du diagramme, intitulée « Plus de 20 normes et environ 4 300 exigences de contrôle », présente une liste de normes, chacune accompagnée du nombre d’exigences correspondant :
• AICPA Trust Service Principles Service Organization Controls (SOC) – 40
• Cloud Computing Compliance Criteria Catalogue (BSI C5) – 120
• Cyber Essentials, Royaume-Uni – 24
• Critical Security Controls (CIS V8) – 150
• FedRAMP Tailored & Moderate – 320
• Financial Security Institute CSP Evaluation, Corée du Sud – 56
• Health Insurance Portability and Accountability Act (HIPAA) – 70
• InfoSec Registered Assessors Program (IRAP), Australie – 880
• Information System Security Management and Assessment Program (ISMAP), Japon – 1 160
• ISO 27001:2022 et 27002:2022 – 110
• ISO 27017:2015 – 7
• ISO 27018:2019 – 26
• ISO 22301:2019 – 200
• Monetary Authority of Singapore (MAS) – 230
• Multi-Layer Protection Scheme (MLPS), Chine – 300
• NIST Cybersecurity – 100
• Payment Card Industry Data Security Standard (PCI DSS v4) – 290
• Esquema Nacional de Seguridad (ENS), Espagne – 100
• TXRAMP L1 – 120
Au centre du diagramme, un entonnoir intitulé « Rationalisation CCF » illustre le processus de simplification. Les normes et les exigences de la partie gauche y sont représentées par des points jaunes entrant dans l’entonnoir. À droite, des points verts en sortent, symbolisant les contrôles communs résultant de ce processus.
La partie droite du diagramme, intitulée « Environ 315 contrôles communs répartis sur 25 domaines », présente la liste des domaines de contrôle, chacun accompagné du nombre de contrôles correspondant :
• Gestion des ressources – 11 contrôles
• Gestion des sauvegardes – 5 contrôles
• Continuité d’activité – 6 contrôles
• Gestion du changement – 4 contrôles
• Gestion des configurations – 15 contrôles
• Cryptographie – 15 contrôles
• Sécurité gérée par la clientèle – 4 contrôles
• Gestion des données – 21 contrôles
• Gestion des entités – 11 contrôles
• Gestion des identités et des accès – 39 contrôles
• Résolution des incidents – 8 contrôles
• Gestion des appareils mobiles – 4 contrôles
• Opérations réseau – 18 contrôles
• Ressources humaines – 10 contrôles
• Confidentialité – 10 contrôles
• Sécurité proactive – 4 contrôles
• Gestion des risques – 8 contrôles
• Gouvernance de la sécurité – 17 contrôles
• Cycle de vie des services – 7 contrôles
• Opérations sur site – 16 contrôles
• Documentation de conception système – 2 contrôles
• Surveillance des systèmes – 32 contrôles
• Gestion des tiers – 13 contrôles
• Formation et sensibilisation – 9 contrôles
• Gestion des vulnérabilités – 23 contrôles
Des efforts permanents
La conformité est un processus continu qui repose sur des audits internes réguliers, des évaluations externes et une surveillance constante des contrôles. Adobe fait régulièrement l’objet d’audits indépendants et d’examens périodiques qui garantissent le respect de ses engagements. Nous avons également investi dans le développement d’une plateforme d’automatisation GRC (gouvernance, gestion des risques et conformité) à l’échelle de l’entreprise afin de maintenir un modèle de gouvernance efficace pour notre programme de conformité.
Un framework open source et prêt à l’emploi
Le Common Controls Framework (CCF), désormais disponible en open source (version 5.0), a été conçu pour aider la communauté en charge de la sécurité et de la gestion des risques à atteindre ses objectifs de conformité. Nous le mettons régulièrement à jour pour refléter l’évolution des règlementations et l’intégration de nouvelles normes sectorielles à notre programme. Nous vous encourageons à l’utiliser pour accélérer et harmoniser vos efforts en la matière. Téléchargez le CCF et n’hésitez pas à nous faire part de vos commentaires pour contribuer à son amélioration.