La sécurité fait partie intégrante de nos produits, de notre équipe, de notre infrastructure et de nos processus, afin que vous ayez l’assurance que vos données sont protégées.
[email protected] | Politique de confidentialité | CLUF | DPA
Nous appliquons des politiques internes claires pour garantir l’utilisation éthique et responsable de l’IA au sein de notre entreprise :
Pour garantir que notre utilisation de la technologie de l’IA répond à des exigences de sécurité strictes, nous avons mis en place un processus formel :
Nous utilisons l’IA et l’apprentissage automatique (machine learning) pour améliorer considérablement la vitesse et la précision de la gestion des actifs logiciels. Ces technologies sont appliquées principalement pour :
Ces capacités basées sur l’IA/ML sont actuellement en cours de déploiement et sont disponibles à différents stades, certaines fonctionnalités étant présentes actuellement dans la version 10 .
L’engagement de NinjaOne à fournir à des données logicelles précises et fiables est primordial. Nous utilisons l’intelligence artificielle (IA) et l’apprentissage automatique (Machine Learning) spécifiquement pour améliorer la qualité fondamentale des données que nous traitons, bien que l’IA ne soit pas une fonctionnalité de base pour nos utilisateurs finaux.
Le produit de sécurité des terminaux de NinjaOne dispose d’un modèle de permissions robuste, permettant aux administrateurs d’accorder et d’attribuer l’accès approprié selon les besoins en utilisant les permissions des utilisateurs et le système basé sur les rôles de NinjaOne. Pour plus de détails, consultez notre produit de sécurité des terminaux .
NinjaOne exige une authentification unique (SSO) avec 2FA/MFA en interne pour tous les services et ressources techniques, de développement et de sécurité via des fournisseurs tiers tels que OKTA, Azure AD.
L’authentification forte (MFA) est requise pour le réseau d’entreprise de NinjaOne et les environnements client. NinjaOne utilise Okta.
Pour plus d’informations, consultez la page 13 de notre SOC 2.
Le système RMM (Remote Monitoring and Management) de NinjaOne conserve les journaux et les clients ont la possibilité d’exporter l’activité du compte du portail pour divers services, dont :
NinjaOne dispose d’une politique de classification des données formellement documentée qui identifie les informations nécessaires au fonctionnement des contrôles internes, à la réalisation des objectifs, ainsi que les exigences associées en matière de protection, de droits d’accès et de conservation.
Pour plus d’informations, consultez la page 21 de notre SOC 2.
Les données sont stockées sur AWS dans la région de votre choix. NinjaOne traite les données du client pour le compte du client et a le statut de sous-traitant, tandis que le client a le statut de responsable du traitement.
Consultez notre DPA pour plus d’informations ou la page 10 de notre SOC 2.
Un inventaire des systèmes est tenu à jour et comprend les appareils et systèmes physiques, les appareils virtuels et les logiciels.
Pour plus d’informations, consultez la page 19 de notre SOC 2.
Chaque client dispose d’une clé de chiffrement unique créée et stockée par la plateforme NinjaOne via Amazon KMS. Tous les contrôles de ces clés sont documentés dans notre SOC 2 et attestés chaque année par notre auditeur tiers.
Pour plus d’informations, consultez la page 10 de notre SOC 2.
Les systèmes de NinjaOne sont sauvegardés régulièrement selon des calendriers et des fréquences établis. Les sauvegardes sont surveillées et des alertes sont générées en cas d’exception. Les défaillances sont documentées, triées et résolues en conséquence. Toutes les sauvegardes sont chiffrées.
Fréquence de sauvegarde : Type de sauvegarde de nuit : Complet
Pour plus d’informations, consultez la page 14 de notre SOC 2.
L’accès aux systèmes de Ninjaone est rigoureusement contrôlé et les autorisations pour les systèmes et applications internes sont revues et approuvées périodiquement afin de garantir le maintien du principe du moindre privilège.
NinjaOne a mis en place des politiques et des procédures d’accès qui sont revues et approuvées chaque année.
Pour plus d’informations, consultez la page 13 de notre SOC 2.
NinjaOne utilise la protection par mot de passe, le chiffrement et d’autres mesures de sécurité pour empêcher l’accès non autorisé aux données confidentielles. Les mots de passe sont conformes aux exigences NIST.
Les mots de passe sont chiffrés à l’aide d’algorithmes cryptographiques et de longueurs de clé conformes aux normes du secteur. Toutes les données sont stockées sur des serveurs et des supports sécurisés et non accessibles au public.
Pour plus d’informations, consultez la page 41 de notre SOC 2.
NinjaOne chiffre les données sensibles en transit avec TLS 1.2 ou TLS 1.3.
NinjaOne utilise plusieurs technologies pour s’assurer que les données stockées sont chiffrées au repos à l’aide d’un chiffrement AES-256.
Vous pouvez contacter le délégué à la protection des données de NinjaOne en envoyant un e-mail à l’équipe de protection des données.
NinjaOne Remote est doté d’un ensemble de fonctions de sécurité différent de celui de nos autres produits NinjaOne.
Le backend Ninja Remote, qui utilise des points de rendez-vous, facilite la communication réseau entre le Streamer et le lecteur. Toutes les interactions entre le Streamer et le lecteur sont chiffrées en peer-to-peer, ce qui garantit que le backend NinjaOne est isolé du contenu de la session, y compris la vidéo, l’audio, les frappes et les transferts de fichiers.
L’environnement de production de NinjaOne est hébergé par AWS. AWS est responsable de la restriction de l’accès physique aux centres de données, aux supports de sauvegarde et aux autres composants du système, y compris les pare-feu, les routeurs et les serveurs.
Consultez notre SOC 2 page 10 pour plus d’informations.
NinjaOne maintient un processus de gestion du changement dans son cadre de cybersécurité, évaluant et contrôlant systématiquement les modifications apportées à son environnement informatique pour s’assurer que les mises à jour, les configurations et les modifications sont mises en œuvre de manière sécurisée, minimisant ainsi les risques potentiels et maintenant une posture de sécurité solide.
Pour plus d’informations, consultez la page 13 de notre SOC 2.
Un inventaire des systèmes est tenu à jour et comprend les appareils et systèmes physiques, les appareils virtuels et les logiciels.
Pour plus d’informations, consultez la page 19 de notre SOC 2.
NinjaOne a mis en place des outils pour fournir une visibilité sur les actifs clés de notre infrastructure.
Pour plus d’informations, consultez la page 92 de notre SOC 2.
NinjaOne a mis en place de nouvelles procédures de sélection et d’embauche des employés afin de s’assurer qu’elles guident efficacement le processus d’embauche, en confirmant que les candidats possèdent les qualifications nécessaires décrites dans la description du poste.
Pour plus d’informations, consultez la page 91 de notre SOC 2.
NinjaOne exige que tous les employés suivent une formation de sensibilisation à la sécurité durant le processus d’accueil des nouveaux employés, et annuellement pour tous les employés. La formation comprend des questionnaires qui doivent être réussis pour s’assurer de la compréhension de l’employé.
Pour plus d’informations., consultez la page 18 de notre SOC 2.
Les employés de NinjaOne aux États-Unis doivent faire l’objet d’une vérification de leurs antécédents avant de recevoir une offre d’emploi officielle. Lors de l’embauche, tous les employés doivent lire et accepter la politique de NinjaOne :
Consultez notre SOC 2 page 17 pour plus d’informations.
NinjaOne a établi un accord de traitement des données (DPA) qui décrit les termes et conditions régissant le traitement des données personnelles. ninjaone.com/data-processing-agreement
NinjaOne respecte les lois applicables en matière de notification des fuites de données.
NinjaOne dispose d’un plan formel de réponse aux incidents (PRI) qui décrit les procédures de réponse aux événements de sécurité. Ce plan inclut les leçons tirées pour évaluer l’efficacité des procédures.
Pour plus d’informations, consultez la page 14 de notre SOC 2.
Aux pages 14 et 56 de notre documentation SOC 2, nous fournissons des détails sur notre plan de continuité des activités (PCA) et notre plan de reprise d’activité après sinistre (PRA).
RTO = 6 heures pour les interruptions, 12 heures pour les services de base en cas de perte totale du centre de données principal, et 3 jours ouvrables supplémentaires pour le rétablissement de l’ensemble des services.
RPO = Dernière sauvegarde disponible – Quotidiennement
NinjaOne dispose d’un plan de continuité des activités et d’un plan de reprise d’activité après sinistre documentés, contrôlés et appliqués par une équipe dédiée. Ils sont testés chaque année.
Pour plus d’informations, consultez la page 14 de notre SOC 2.
NinjaOne dispose d’un plan de continuité des activités et d’un plan de reprise d’activité après sinistre documentés, contrôlés et appliqués par une équipe dédiée. Ils sont testés chaque année.
Pour plus d’informations, consultez la page 14 de notre SOC 2.
NinjaOne a mis en place un programme complet de protection contre les virus et les malwares, aussi bien pour les postes de travail des employés que pour les serveurs. NinjaOne utilise des solutions réputées de protection des terminaux dans le cadre d’une stratégie de défense en profondeur, en veillant à ce que les systèmes soient régulièrement mis à jour pour se défendre contre les menaces les plus récentes.
NinjaOne a mis en place un processus complet de gestion des risques, qui permet d’identifier, d’analyser et d’atténuer systématiquement les risques potentiels en matière de cybersécurité afin de garantir la confidentialité, l’intégrité et la disponibilité de ses systèmes d’information et de ses actifs.
Une évaluation annuelle des risques est réalisée afin d’évaluer systématiquement les risques potentiels de cybersécurité, en veillant à ce que les systèmes d’information et les actifs de NinjaOne fassent l’objet d’une analyse complète des vulnérabilités et à ce que des stratégies d’atténuation appropriées soient implémentées.
Pour plus d’informations., consultez la page 18 de notre SOC 2.
NinjaOne fait l’objet d’une analyse des vulnérabilités et d’un test d’intrusion (pentest) annuels menés par un fournisseur tiers. La lettre d’attestation du test d’intrusion de NinjaOne est disponible pour ses clients existants, nouveaux et potentiels une fois qu’un accord de confidentialité bilatéral est signé.
Pour plus d’informations, consultez la page 14 de notre SOC 2.
Si vous êtes un client ou un client potentiel de NinjaOne et que vous pensez avoir trouvé une faille de sécurité concernant NinjaOne, veuillez contacter [email protected] ou soumettre votre faille de sécurité ici.
NinjaOne dispose d’un solide système de gestion des vulnérabilités qui lui permet d’identifier, d’évaluer et d’atténuer systématiquement les vulnérabilités potentielles de sécurité au sein de son infrastructure informatique, afin de garantir un environnement opérationnel résistant et sécurisé. NinjaOne fait l’objet d’une analyse des vulnérabilités et d’un test d’intrusion annuels menés par un fournisseur tiers.
Pour plus d’informations, consultez la page 14 de notre SOC 2.
NinjaOne utilise l’infrastructure AWS Cloud Platform qui fournit les outils, l’évolutivité, la sécurité, la fiabilité et la flexibilité, permettant à nos clients de bénéficier de cette infrastructure fiable et sécurisée.
L’infrastructure de la plateforme AWS Cloud est divisée en plusieurs régions géographiques avec des centres de données conçus pour une sécurité et une disponibilité maximales.
Pour plus d’informations, consultez la page 10 de notre SOC 2.
SOC3 est un rapport public sur les contrôles internes d’AWS pour la plateforme AWS Cloud en matière de sécurité, de disponibilité, de confidentialité et de respect de la vie privée.
Un accord de confidentialité bilatéral (MNDA) est nécessaire pour cette ressource.
La plateforme AWS Cloud est évaluée chaque année selon les critères SOC2 de type 2 en matière de sécurité, de disponibilité, de confidentialité et de protection de la vie privée.
Un accord de confidentialité bilatéral (MNDA) est nécessaire pour cette ressource.
NinjaOne a mis en place un cadre rigoureux de gestion des risques liés aux tiers (TPRM) afin d’identifier, d’évaluer et d’atténuer systématiquement les risques potentiels associés à ses partenariats externes, garantissant ainsi la sécurité et l’intégrité de ses opérations.
Pour plus d’informations, consultez la page 14 de notre SOC 2.
NinjaOne peut engager et utiliser (i) certains processeurs de données tiers et/ou (ii) l’un des affiliés de NinjaOne (collectivement, « Sous-traitants ») pour fournir des services à nos clients. Ces sous-traitants peuvent accéder aux données personnelles fournies directement par notre client afin de fournir les services et l’assistance prévus par le contrat.
Consultez notre page des sous-traitants pour plus d’informations