Secteur public

La publication 1075 de l’Internal Revenue Service (« IRS 1075 ») définit des normes de sécurité de l’information, des directives et des accords pour la protection des agences gouvernementales américaines et de leurs agents qui accèdent aux informations fiscales fédérales (FTI). Bien que l’IRS ne publie pas de recommandation ou de certification officielle pour la conformité à la Pub 1075, Zscaler aide les entreprises à protéger les FTI gérées sur sa plateforme en alignant ses mises en œuvre des contrôles de sécurité NIST 800-53 et FedRAMP sur les exigences de sécurité respectives de la Pub 1075 de l’IRS. Zscaler a travaillé en étroite collaboration avec l’IRS pour s’assurer que ses GovClouds (US) répondent aux exigences Pub 1075 pour le stockage et le traitement des FTI.

Zscaler Internet Access (ZIA) et Zscaler Private Access (ZPA) disposent tous deux l’autorisation JAB de haut niveau. Qui plus est, ZIA est actuellement la seule solution Secure Access Service Edge (SASE) de Trusted Internet Connections (TIC) 3.0 qui a obtenu la plus haute autorisation de FedRAMP.

Les agences gouvernementales telles que le Département de la Défense peuvent s’appuyer sur nos plateformes Zero Trust leaders du marché pour relever les défis en termes d’expérience utilisateur et de coûts que représente la sécurisation de l’accès aux applications basées sur le cloud pour les utilisateurs distants et hybrides.

Zscaler Internet Access (ZIA) et Zscaler Private Access (ZPA) ont conservé l’autorisation de niveau modéré FedRAMP depuis 2018, ce qui permet aux agences fédérales, aux commandements du DoD et aux entrepreneurs fédéraux de tirer pleinement parti de Zscaler Zero Trust Exchange.

Avec ZIA et ZPA à disposition, les agences peuvent profiter des avantages de la sécurité Zero Trust pour réduire leurs frais généraux, rationaliser leurs opérations et diminuer leurs coûts.

Zscaler est conforme à la norme Federal Information Processing Standard (FIPS 140-2), répondant aux exigences du NIST pour les modules cryptographiques. Voir les certificats n° 3154 pour Zscaler Mobile Cryptographic Module, n° 3159 pour Zscaler Crypto Module, et n° 3188 pour Zscaler Java Crypto.

Zscaler Private Access (ZPA) a obtenu une autorisation provisoire d’exploitation (P-ATO) au niveau d’impact 5 (IL5), comme publié dans le guide des exigences de sécurité du cloud computing du ministère de la Défense (DoD CC SRG — Department of Defense Cloud Computing Security Requirements Guide). Cela permet aux agences gouvernementales et à leurs sous-traitants d’accéder à la plateforme Zero Trust Exchange de Zscaler pour les systèmes qui gèrent leurs informations non classifiées contrôlées (CUI) les plus sensibles, ainsi que les systèmes de sécurité nationale (NSS) non classifiés. Zscaler Internet Access (ZIA) a obtenu l’autorisation d’opérer (ATO) au niveau d’impact 2 (IL2). La Defense Innovation Unit (DIU) du DoD a sélectionné Zscaler pour réaliser le prototype de ZPA et ZIA en tant que technologies d’accès sécurisé.

Zscaler garantit le respect des exigences du Criminal Justice Information Services (CJIS) et assure la protection des informations conformément à leur politique de sécurité.

Afin de reconnaître et de soutenir les « normes d’accessibilité à l’information et à l’électronique » définies par la section 508 du Rehabilitation Act, nous publions des auto-évaluations de l’accessibilité des produits Zscaler à l’aide de modèles d’accessibilité volontaire des produits (Voluntary Product Accessibility Template - VPAT). La section 508 a été promulguée afin d’éliminer les obstacles dans le domaine des technologies de l’information, d’offrir de nouvelles opportunités aux personnes souffrant de handicap et d’encourager le développement de technologies permettant de réaliser ces objectifs.

Zscaler a réalisé avec succès l’examen Trusted Internet Connection (TIC) 3.0 Overlay avec le Département de la sécurité intérieure (Department of Homeland Security - DHS) et la Cybersecurity and Infrastructure Security Agency (CISA). Le TIC est une initiative fédérale de cybersécurité visant à renforcer la sécurité du réseau et du périmètre au sein du gouvernement fédéral. L’objectif de TIC 3.0 est de sécuriser les données, les réseaux et les frontières fédérales tout en offrant une visibilité sur le trafic de l’agence, y compris les communications cloud.

La publication spéciale 800-63C du National Institute of Standards and Technology (NIST) énonce des obligations aux fournisseurs d’identité (IdP) et aux parties de confiance (RP - relying parties) des systèmes d’identité fédérés. La fédération permet à un IdP donné de fournir des attributs d’authentification et (éventuellement) des attributs d’abonné à un certain nombre de RP administrés séparément par le biais d’assertions. De même, les RP peuvent utiliser plus d’un IdP.

Le National Institute of Standards and Technology (NIST) 800-53 crée des normes et des directives relatives à la sécurité des informations, qui sont généralement applicables aux systèmes d’information fédéraux américains. Zscaler adhère au Nist 800-53 en assurant une protection suffisante de la confidentialité, de l’intégrité et de la disponibilité des informations et des systèmes d’information.

Le programme de gestion des risques et des autorisations du Texas (TX-RAMP — Texas Risk and Authorization Management Program) fournit une approche normalisée pour l’évaluation de la sécurité, la surveillance continue et l’autorisation des fournisseurs tiers qui traitent les données d’une agence d’État ou d’un établissement public d’enseignement supérieur de l’État du Texas (agences). Zscaler a obtenu l’autorisation TX-RAMP de niveau 2 qui lui permet de traiter des données confidentielles/réglementées dans des systèmes à impact modéré ou élevé.

StateRAMP est un programme de cybersécurité qui répond aux besoins des responsables de l’approvisionnement et de la sécurité des gouvernements des États et des collectivités locales (SLG) aux États-Unis. Zscaler Internet Access (ZIA) Moderate Cloud a obtenu le statut StateRAMP AUTHORIZED, qui témoigne de l’engagement de Zscaler à sécuriser les employés et les données des administrations étatiques et locales.

Le rapport SOC 2, Type II valide de manière indépendante la conformité de nos contrôles de sécurité aux standards « Trust Services Principles and Criteria » de l’association American Institute of Certified Public Accountants. Lire le rapport complet.

Zscaler a obtenu la certification ISO 27001, conformément aux bonnes pratiques de la norme ISO/IEC 27002: 2013, attestant que nos services reposent sur les bonnes pratiques reconnues à l’échelle internationale en matière de gestion de la sécurité de l’information et de contrôles de sécurité complets. Lire le rapport complet.

ISO/IEC 27018:2014 est un code de pratique centré sur la protection des données personnelles dans le cloud. Basé sur le standard de sécurité de l’information ISO/IEC 27002, il fournit des conseils de mise en place de contrôles ISO/IEC 27002 applicables aux données personnelles identifiables (PII) dans le cloud public. Lire le rapport complet.