Programme InfoSec d'Akamai

Le programme de sécurité des informations (InfoSec) est conçu pour fournir des politiques, des recommandations et des normes claires et concises sur la sécurité des informations. Des employés lucides, motivés et engagés sont la meilleure défense d'Akamai contre la perte d'informations confidentielles. Tous les employés sont tenus d'évaluer les risques pour Akamai, d'élaborer des stratégies de protection et de contrôler l'efficacité des mesures de protection.

Les objectifs du programme de sécurité de l'information (InfoSec) sont les suivants :

  • Optimiser l'expérience et la sécurité de nos clients
  • Faire de la sécurité un avantage concurrentiel
  • Maintenir les risques liés à la sécurité et à la protection de la vie privée à un niveau jugé approprié par l'équipe de direction d'Akamai
  • Se conformer aussi efficacement que possible à toutes les exigences de la législation et de la réglementation en vigueur
  • Dispenser aux employés des formations continues en matière de sécurité

Les principes fondamentaux du programme de sécurité d'Akamai sont les suivants : 

Privilège minimal.   Il s'agit du principe selon lequel une architecture, un produit ou un service est conçu pour que chaque entité système (un utilisateur ou une machine, par exemple) ne dispose que des autorisations et des ressources nécessaires à son exécution, et rien de plus. Ce principe est destiné à limiter les dommages susceptibles d'être occasionnés par un accident, une erreur ou un acte non autorisé.

Interdiction de tout accès non explicitement autorisé.   Tout ce qui n'est pas explicitement autorisé sera refusé. Par défaut, toutes les configurations feront l'objet d'une interdiction d'accès et de modification, sauf indication explicitement prévue dans la spécification ou le contrat. 

Séparation des tâches.   Cette pratique consiste à répartir les tâches d'une fonction système entre différents rôles, tout en allouant les responsabilités et les privilèges de manière à éviter qu'un groupe restreint de personnes ne puisse contrôler de manière inconsidérée les principaux aspects d'un processus, et ainsi risquer de provoquer une perte ou un préjudice inadmissibles. 

Défense approfondie.   Il s'agit de créer plusieurs couches de sécurité, de cloisonner le réseau, d'ajouter des points de contrôle d'accès et de les rapprocher des éléments à protéger. Ceci permet d'éviter que la sécurité globale ne repose sur un seul mécanisme de défense.

Segmentation des risques.   Cette pratique consiste à créer, de manière planifiée et délibérée, une isolation d'accès aux seules données pouvant être associées aux personnes désignées ou directement concernées. En cas de compromission d'une section, les sections ultérieures feront difficilement l'objet d'une autre intrusion. 

Dysfonctionnement sécurisé.   En cas de défaillance d'un système, qu'elle qu'en soit la raison, le système bascule automatiquement dans un état sécurisé. Ce principe s'applique également au démarrage sachant que l'état le plus sécurisé d'un système est celui de son initialisation, les fonctions étant ensuite activées en maintenant cet état sécurisé. Ce principe est également appelé « fermeture à sécurité intégrée ». 

Simplicité.   Un système simple est plus facile à sécuriser qu'un système complexe, étant donné que le risque d'erreur est moins élevé. Les composants et les fonctions inutilisés et inutiles seront supprimés afin de réduire la complexité, de faciliter les diagnostics et d'accroître la fiabilité.

Authentification universelle et autorisation.   Une identité fermement établie et une autorisation à base de rôles permettent de prendre des décisions explicites en matière de contrôle des accès. L'uniformisation des systèmes d'authentification réduit la nécessité de maintenir un grand nombre de secrets d'authentification. L'uniformisation des systèmes d'autorisation, quant à elle, réduit la probabilité de permissions non vérifiées, entraînant l'abolition du privilège minimal en cas de changement de rôle des employés.

Responsabilisation.   La capacité de déterminer qui exécute les actions et à quel moment constitue un aspect essentiel des systèmes de sécurité. Les violations ou les tentatives de violation de la sécurité informatique laissent des traces qui permettent de remonter jusqu'aux individus ou entités responsables qui auront à répondre de la conduite.

Responsabilités respectives

Le service InfoSec (Information Security), dirigé par le Chief Security Officer, est chargé des fonctions de sécurité suivantes : 

  • Supervision de la sécurité sur les réseaux (de production) déployés 
  • Développement et maintenance du système de suivi des failles de sécurité 
  • Développement et maintenance du système de suivi des dispositifs d'authentification 
  • Coordination avec le service juridique chargé de l'application des lois
  • Exécution interne d'enquêtes de sécurité impliquant le non-respect ou la violation des politiques
  • Service de conseil sur les projets et produits à venir
  • Supervision des audits et des évaluations
  • Intervention en cas d'incidents de sécurité
  • Conseils et formations de sensibilisation en matière de sécurité 
  • Gestion des questions de sécurité orientées vers le client
  • Supervision du processus de gestion des incidents 
  • Supervision des projets et des processus particulièrement vulnérables 
  • Contrôle consistant, d'une part, à surveiller les menaces et à en informer le public et, d'autre part, à présenter la sécurité globale d'Akamai

Le groupe Enterprise Security est chargé de la supervision de la sécurité des réseaux et des systèmes d'entreprise. Cette supervision consiste à :

  • réaliser des évaluations de la sécurité pour les nouvelles applications, qu'il s'agisse d'applications tierces ou d'applications métier ;
  • travailler en coordination avec les équipes des services d'infrastructure d'entreprise responsables de l'environnement corporatif ;
  • gérer le système de sécurité réactive en matière d'hameçonnage, de logiciels malveillants et de mises à jour de signatures.

Tous les cadres et administrateurs sont responsables de l'intégration des processus de sécurité de l'information dans les processus opérationnels de l'entreprise. Ils doivent également s'assurer que le personnel respecte toutes les politiques de sécurité en matière d'information, ainsi que les processus, normes et directives associés. Tous les cadres doivent s'assurer que le personnel travaillant sous leur direction reçoivent les formations appropriées en matière de sécurité.

Les propriétaires des sources d'informations, des applications, des référentiels et des bases de données sont responsables de la création et de la maintenance des politiques, procédures, directives et normes visant à sécuriser de façon appropriée les données qui leur ont été confiées. Par exemple, ils peuvent documenter les rôles et responsabilités des administrateurs et utilisateurs de l'application. À des fins de conformité, ces propriétaires sont responsables de la surveillance et de l'audit de leurs contrôles.

Les employés sont tenus de prendre connaissance des politiques, procédures, directives et normes applicables à leur fonction, de les comprendre et de les respecter. Ils sont également tenus, chaque année, d'accuser bonne réception des supports de formation et des documents de la politique.

L'ARB (Architecture Review Board) se compose d'architectes dédiés à chaque service important ou en charge de l'organisation des services d'ingénierie et des opérations de la plate-forme Akamai, à l'exception des divisions Luna et Aura. L'ARB est chargé d'assurer l'intégrité du système Akamai, tant au niveau collectif qu'individuel.

Le Chief Security Architect est membre de ce groupe et est responsable de la définition et de la maintenance de l'architecture de la sécurité, de l'intégration des solutions d'architecture de sécurité dans les architectures d'infrastructure des réseaux déployés et des examens stratégiques et tactiques des systèmes de sécurité.

Le Vice President of Corporate Services signale aux cadres supérieurs en temps réel les évènements physiques et les incidents devant faire l'objet d'un examen annuel.

Le Senior Director of Systems Administration et le Vice President of Corporate Services sont tous deux responsables de l'octroi des droits d'accès aux installations de traitement des données d'entreprise.

L'Executive Vice President of Platform est responsable de l'autorisation des installations de traitement des données du réseau déployé. Les serveurs réseau déployés d'Akamai sont déployés dans des installations du monde entier. Akamai demande aux partenaires partageant le même site de limiter l'accès physique aux personnes munies d'une autorisation et d'une pièce d'identité avec photo. Akamai demande également à ses fournisseurs de renforcer la vérification des demandes de services Akamai. Les fournisseurs ne peuvent en aucun cas accéder aux systèmes Akamai sans instructions écrites d'Akamai.

Le service juridique établit un accord de non-divulgation (NDA). Une copie signée doit être enregistrée auprès du service juridique avant la transmission des informations aux non-employés. Les employés concernés doivent comprendre la nature des informations qu'ils diffusent et s'assurer que toutes les informations sensibles d'Akamai sont effectivement identifiées comme telles. Si un employé souhaite poser une question sur la pertinence d'une ou de plusieurs procédures, il est invité à consulter la NDA, ainsi que la Politique d'Utilisation Acceptable (PUA).

Prudence quotidienne

Plutôt que de procéder à une évaluation annuelle des risques, Akamai garantit une gestion des risques continue sur ses réseaux déployés. Les failles de sécurité sont examinées et gérées sur une base journalière. Les failles de sécurité critiques pouvant conduire à la divulgation, à l'altération ou à la destruction de données sensibles sont officiellement enregistrées comme des incidents de sécurité et gérées via le « Processus de gestion des crises et incidents techniques » d'Akamai. Les failles de sécurité et les incidents sont examinés par l'équipe des cadres supérieurs, tout au long de l'année.

Akamai a mis en œuvre un cadre d'évaluation des failles de sécurité en plusieurs étapes. Les risques liés à la sécurité sont soumis à une évaluation qualitative des risques, telle qu'énoncée dans la grille matricielle des risques, qui permet d'évaluer la sévérité potentielle d'un risque et d'identifier les cybercriminels susceptibles d'instancier un risque. Sur la base de ces deux facteurs, la faille de sécurité est affectée d'une classification représentative de la sévérité du risque. De plus, les risques présentés par les anomalies logicielles sont également évalués au moyen du système de notation des vulnérabilités CVSS (Common Vulnerability Scoring System), qui repose davantage sur les probabilités que sur les préjudices potentiels.

En fonction de la notation des risques et de la notation CVSS, des projets de correction sont hiérarchisés parmi les cadres opérationnels et/ou les propriétaires des systèmes et InfoSec. InfoSec tient une base de données de tous les risques de sécurité évalués, garantit l'évaluation des nouveaux risques identifiés et répertorie les secteurs de risque à des fins d'évaluation ultérieure.

Traitement de l'information

Akamai utilise une classification de l'information à quatre niveaux : 
  • Informations publiques d'Akamai
  • Informations confidentielles d'Akamai : NDA requis pour la diffusion 
  • Informations confidentielles d'Akamai : À usage interne
  • Informations confidentielles d'Akamai : Diffusion limitée

Les personnes traitant les documents Akamai sont tenues de les étiqueter correctement en veillant à indiquer la classification et la confidentialité des informations qu'ils renferment. L'étiquetage avertit les détenteurs d'un document de la présence d'informations exclusives et confidentielles et leur signale les éventuelles exigences spécifiquement définies en matière d'accès, de contrôle ou de protection.

La politique d'Akamai prévoit que toutes les informations, quelle qu'en soit la forme, doivent être assorties d'un calendrier de conservation et d'élimination, établi sur la base d'une justification opérationnelle tel que documentée par leur propriétaire. Le service juridique est responsable de la définition d'une politique de conservation des dossiers.

La politique prévoit également de conserver les informations concernant les litiges potentiels ou existants liés à l'entreprise. Si un utilisateur souhaite savoir si des informations font l'objet de litiges potentiels ou existants, il est invité à contacter un membre du service juridique.

Des procédures de traitement et de stockage des informations sont mises en place en prévention de tout abus ou divulgation non autorisé. Pour assurer l'exécution adéquate de ces procédures, les cadres sont chargés de veiller à ce que le personnel travaillant sous leur direction reçoive les formations appropriées en matière de sécurité.

Les responsables de tous les supports de stockage contenant des informations confidentielles d'Akamai sont tenus de les supprimer selon les règles généralement convenues avant leur mise au rebut. Si le contenu multimédia ne peut pas être supprimé, il sera physiquement détruit selon le procédé choisi par le Vice President of Corporate Services d'Akamai.

L'élimination des informations expirées ou obsolètes se présentant sous une forme non électronique, notamment sur papier, intervient selon les procédés autorisés prévus à cet effet. Le Vice President of Corporate Services d'Akamai est chargé de prévoir un service de déchiquetage de papier et de s'assurer de la disponibilité des conteneurs sur tous les sites d'Akamai.

Certains types d'information nécessitent un traitement spécifique : 

Informations financières et renseignements sur les employés : cette catégorie englobe toutes les informations financières non publiques d'Akamai, ainsi que les informations confidentielles concernant les employés d'Akamai. Les employés traitant ces informations reçoivent la consigne de mentionner clairement la liste des personnes habilitées à y accéder. Par exemple, les informations d'historique personnel d'un employé doivent porter la mention « Informations confidentielles d'Akamai : Diffusion limitée ». 

Messagerie électronique : tous les employés sont tenus de suivre la « Politique d'utilisation des communications électroniques ». Compte tenu du manque de sécurisation des communications électroniques, la prudence est de mise avant l'envoi électronique d'informations sensibles. Tous les systèmes de courrier électronique doivent utiliser les dispositifs de protection adéquats en vue de protéger le courrier électronique en cours de transmission et entreposé. Des moyens cryptographiques peuvent être utilisés pour protéger les informations sensibles transmises par messagerie électronique. 

Téléphones et informations sensibles : Akamai dispose de ressources qui permettent aux employés de traiter les tentatives d'ingénierie sociale, les dysfonctionnements de téléphonie mobile et les logiciels malveillants.

Communication Internet : le service juridique a défini la politique d'entreprise applicable en matière de forums, d'espaces de discussion et de divulgation publique. Les informations confidentielles d'Akamai ne doivent être ni divulguées ni exposées sur les sites Web personnels ou sur les blogs (revues électroniques). Les représentants des médias, les analystes sectoriels et d'autres utilisateurs visitent régulièrement les blogs pour recueillir des informations sensibles ou privilégiées. Les comptes de réseaux sociaux utilisant le nom, le logo ou autres informations d'Akamai impliquant le compte représentant la société sont strictement réservés au personnel autorisé. Les informations confidentielles d'Akamai ne peuvent pas être publiées sur les sites de réseautage social.

Travail avec des services externes

Le programme de sécurité de l'information (InfoSec) s'applique également à nos relations avec des services externes tels que les services chargés des illustrations et des textes publicitaires, de l'assistance en matière de relations publiques et de planification de réunions ou de l'impression et de la reproduction de données sensibles de l'entreprise qui seront utilisées dans le cadre de présentations aux clients, de conférences ou de productions de documents officiels ou encore dans le cadre d'autres services fournis à Akamai. Cela implique le personnel des établissements, les agents des sociétés de sécurité, le personnel chargé de la maintenance, de l'entretien et de la décoration. 

La transmission est le moment où nos données sont le plus vulnérables. Des mesures raisonnables, établies en fonction de la valeur des informations, doivent être prises pour éviter l'interception malveillante ou la corruption des données en circulation. Les services courrier d'Akamai assurent le transport physique des données entre les sites. Akamai utilise également des normes de sécurité des données visant à protéger les données entreposées ou au repos.

Il est demandé au personnel des entreprises externes chargées du traitement des données pour le compte d'Akamai de travailler avec le même sérieux que les employés d'Akamai. 

La politique prévoit le chiffrement systématique des mots de passe Akamai circulant sur le réseau. Lorsque vous saisissez un mot de passe dans un navigateur Web, vérifiez la présence de l'icône de sécurisation SSL en forme de verrou. Dans le cas où un mot de passe est transmis par inadvertance de façon non sécurisée, le service InfoSec doit en être informé, ainsi que le propriétaire du système, afin de modifier le mot de passe. 

Les personnes voyageant avec des informations sensibles sont tenues de prendre des précautions particulières. Le volume des données sensibles transportées doit être réduit au strict minimum. Les informations sensibles, telles que celles d'un ordinateur portable, doivent rester en permanence sous le contrôle d'un employé. Elles ne doivent jamais être entreposées dans des bagages enregistrés ni échapper au contrôle d'un employé d'Akamai. Les informations sensibles ne doivent pas faire l'objet de discussions dans des endroits confinés à bord des transports en commun, ni dans des lieux publics. 

La politique stipule que toute discussion impliquant des informations sensibles de l'entreprise doit être évitée, à moins qu'elle ne soit prévue dans l'accord de non-divulgation et à condition que la discussion puisse se dérouler en privé. 

Les employés présentant des exposés publics ou participant à des discussions de groupe lors de réunions organisées au sein de l'entreprise sont invités à s'assurer que la discussion ou l'exposé est pertinent et approuvé par leur superviseur. À l'occasion des foires commerciales, les employés d'Akamai se retiendront de partager toute information concernant les prévisions ou les réalisations d'Akamai, à l'exception des données dont la diffusion publique a été préalablement approuvée. 

Les documents et les données sensibles n'ont pas leur place dans les salons professionnels. Les employés sont chargés de veiller à protéger les documents sensibles lors de l'expédition, avant, pendant et après les réunions et les salons commerciaux. 

Par l'action de l'équipe Information Security, Akamai coopère pleinement avec tous les organismes d'application des lois. Les employés sont tenus de noter le nom des personnes, l'organisation à laquelle ils appartiennent ainsi que leurs coordonnées puis de transmettre immédiatement la demande au service juridique. Il leur est également demandé de ne pas fournir d'informations sur Akamai sans l'autorisation de l'équipe Information Security.

Relations publiques 

Les bulletins d'information et les communiqués de presse concernant les événements, programmes et services Akamai ne peuvent être diffusés que par le personnel autorisé. Les demandes de commentaires émanant de la presse ou des organes d'information sont acheminées par le Corporate Communications Department.

Le Senior Director of Corporate Communications est chargé de l'élaboration et de la mise en œuvre d'une stratégie et d'une politique de communication prévoyant des directives propres à l'entreprise quant aux relations à entretenir avec les médias. 

En ce qui concerne les demandes des clients relatives aux services disponibles dans votre service ou votre groupe, les employés sont invités à relever le nom et le numéro de téléphone des clients et de les transmettre à un représentant autorisé de leur groupe. Il leur est demandé de ne pas transmettre de copies ni d'extraits des listes d'employés ou des répertoires téléphoniques d'Akamai aux fournisseurs, agences de placement ou autres personnes demandant ces informations.

Toutes les demandes de renseignements émanant des analystes sectoriels doivent être adressées à l'Analyst Relations Department. Pour plus de détails, adressez-vous au Corporate Communications Department.

Sécurité physique 

En matière de sécurité physique, les responsabilités d'Akamai sont réparties entre les équipes Corporate Services, Network Infrastructure Engineering (Deployment) et Platform Operations. Chaque employé est responsable de la sécurité de son lieu de travail et des équipements qui lui sont confiés.

Le Vice President of Corporate Services est responsable de la sécurité physique de tous les bureaux d'Akamai. 

Il est obligatoire d'appliquer les mesures de contrôle d'accès appropriées à chaque bureau et à chaque centre de données Akamai. Les personnes extérieures doivent signer le registre des entrées et des sorties et doivent être accompagnées en permanence d'un membre du personnel. Les employés doivent pouvoir se déplacer facilement dans les environnements de travail, ce qui ne doit pas être possible pour les personnes extérieures. 

Les employés d'Akamai ont généralement accès à tous les lieux de travail communs tels que les bureaux, ouverts ou cloisonnés, et les salles de conférence. L'accès aux zones critiques, telles que les centres de données internes, et les zones peu fréquentées, telles que les réserves, est limité aux seules personnes en justifiant le besoin. Le responsable de l'organisation de ces zones est chargé d'examiner, au moins une fois par an, la liste du personnel autorisé. 

Le Vice President of Corporate Services est chargé de la mise en place des avertisseurs de contrainte appropriés. 

Le Vice President of Corporate Services est responsable du processus de signalisation des incidents liés à la sécurité physique.

NOCC (Network Operation Command Center)

Le plus grand centre de commande des opérations réseau (NOCC) d'Akamai est situé à Cambridge, dans l'état du Massachusetts. Les autres NOCC sont répartis dans plusieurs pays. L'accès physique y est limité au personnel autorisé et est contrôlé par une carte-clé. Le personnel du service Platform Operations assure le fonctionnement du NOCC 7 j/7, 24 h/24. 

Le Senior Director of Global Network Operations est chargé de la sécurité du NOCC. 

Le Director of Infrastructure Engineering est chargé de la sécurité physique des réseaux déployés d'Akamai. Ses responsabilités englobent l'identification des risques présentés par les installations et prestataires externes utilisés par le réseau déployé et la mise en place des contrôles d'atténuation pertinents et des garanties de protection satisfaisantes. 

Il incombe au Director of Network Infrastructure de veiller à ce que les procédures d'intervention après incident, les plans de reprise sur sinistre et les accords de niveau de service des installations externes fassent l'objet d'un examen approfondi avant le déploiement d'un système Akamai sur l'installation.

Le réseau de diffusion sécurisée de contenus (ESSL) d'Akamai nécessite des contrôles spécialisés. Par exemple, les serveurs ESSL doivent être déployés uniquement dans des armoires verrouillées équipées de caméras de détection de mouvement. Lors de la sélection des partenaires réseau et des fournisseurs, le groupe Network Infrastructure Engineering (Deployment) doit tenir compte des exigences de sécurité. 

Bien que la plupart des visiteurs accueillis par Akamai aient des raisons légitimes de nous rendre visite, nos politiques concernant les visiteurs sont adaptées à certaines installations et à certaines zones. La politique prévoit les dispositions suivantes : 

  • Les visiteurs de tous les sites d'Akamai doivent porter en toutes circonstances des badges visibles. Les employés sont tenus de demander à voir ces badges et à faire appel au service Corporate Security si nécessaire. 
  • Les visiteurs de courte durée doivent être escortés par un employé tout au long de leur visite dans les locaux d'Akamai.
  • Les employés doivent faire respecter les distances de sécurité. Alors qu'il est parfaitement raisonnable de tenir une porte pour un collègue, il est tout aussi acceptable de vérifier la visibilité d'un badge. 
  • Lorsque des visiteurs sont attendus dans un espace de travail, les informations confidentielles doivent être rangées ou masquées. 
  • L'adhésion explicite au principe d'accès sélectif et l'existence d'un accord de non-divulgation doivent être confirmés avant de partager des informations exclusives ou d'octroyer l'accès à certaines zones où les visiteurs pourraient prendre connaissance d'informations sensibles, de procédés exclusifs ou de données affichées sur les écrans d'ordinateur. 
  • L'infrastructure fondamentale de l'entreprise doit être située dans des zones sécurisées. Les systèmes redondants d'alimentation électrique et de refroidissement, ainsi que les systèmes de détection d'incendie et de protection contre l'incendie relèvent des mesures de protection élémentaires. Pour atténuer les autres menaces environnementales imprévues, les systèmes nécessitant une haute disponibilité disposent de systèmes redondants situés dans d'autres centres de données. Le câblage secteur et le câblage de transmission de données sont limités aux zones sécurisées. Le câblage entre plusieurs zones sécurisées est acheminé dans un conduit.

Gestion des incidents

La politique stipule que tous les incidents de sécurité, ainsi que les défaillances et les dysfonctionnements, doivent être signalés aussi rapidement que possible.

Le centre Platform Operations, disposant d'un personnel formé pour gérer les incidents de sécurité touchant le réseau distribué, est chargé de la gestion des incidents de sécurité et des interventions. Le NOCC nomme un gestionnaire de l'incident pour résoudre le problème et désigne, le cas échéant, d'autres employés ou d'autres services, selon la procédure de résolution des incidents techniques. 

S'il est suspecté ou confirmé qu'il s'agit effectivement d'un événement de sécurité de l'information, le problème est transmis à un expert en matière de sécurité. De nombreux experts en matière de sécurité ont également reçu la formation de Technical Incident Managers (TIM).

Des réunions hebdomadaires sont organisées pour examiner les rapports d'incidents, qu'ils s'agisse d'incidents critiques ou d'autres événements liés à la sécurité.

Les preuves matérielles sont collectées par un membre d'InfoSec et sont conservées en tant qu'indices positifs jusqu'à leur transmission à un membre des services de police ou aux tribunaux. Les preuves de taille adéquate sont déposées dans des pochettes de scellé judiciaire, le cas échéant. Toute preuve qui ne peut être remise aux services chargés de l'application de la loi est entreposée dans un bureau verrouillé ou à l'intérieur d'un coffre-fort dont l'accès est réservé à l'équipe Information Security. 

Toute preuve numérique doit être collectée par un membre d'InfoSec, avec l'aide éventuelle de membres d'autres équipes. Toutes les preuves doivent comporter une signature cryptographique, être enregistrées sur un support multimédia amovible et, dans la mesure du possible, stockées au sein de l'Information Security Department.

Gestion réseau 

Ce processus Akamai comprend des commandes réseau destinées à atténuer les risques encourus par Akamai en cas de transfert de données sur le réseau.

Les installations dotées d'ordinateurs utilisateur (les bureaux d'une entreprise, par exemple) ou les ordinateurs dorsaux non destinés à une utilisation globale (les serveurs de bases de données, par exemple) sont conçus pour être protégés par des dispositifs de pare-feu physiquement séparés. Network Engineering est responsable de l'installation et de la configuration des pare-feu.

Pour les services qui doivent traverser le pare-feu, une réimplémentation plus sécurisée est envisagée, comme l'encapsulation de niveau applicatif ou une connexion VPN site à site. L'équipe Information Security peut fournir une assistance à la conception.

Le groupe Enterprise Infrastructure Services est chargé de fournir une suite de logiciels VPN (réseau privé virtuel), et d'en assurer la prise en charge, permettant aux ordinateurs des différents postes de travail d'Akamai de se connecter au réseau d'entreprise en dehors des limites de sécurité du pare-feu. Il est fortement recommandé de n'utiliser ce logiciel que sur des machines conformes à la politique et aux normes de sécurité d'Akamai. 

L'accès de niveau applicatif au réseau d'entreprise est assuré par le biais du protocole SSH. 

L'accès au réseau d'entreprise est limité aux logiciels approuvés. Les employés ne peuvent pas construire leur propre accès de couche réseau sur le réseau d'entreprise. 

Le réseau ESSL (déploiement sécurisé) doit satisfaire à certaines autres normes industrielles telles que PCI-DSS.

Traitement des supports  informatiques 

Les supports informatiques doivent faire l'objet d'une attention adaptée aux données stockées sur les différents dispositifs. Dans la plupart des cas, ils portent la mention « Informations confidentielles d'Akamai : À usage interne ». Les supports sur lesquels sont stockées des informations relatives aux ressources humaines ou aux clients, ou des données financières, juridiques ou commerciales, doivent être traités à bon escient. Akamai utilise également un processus de destruction des données sensibles et de mise au rebut des équipements. 

Certains supports, et plus particulièrement les CD d'installation et de sauvegarde, sont distribués sous accord de non-divulgation dans une telle mesure qu'ils sont généralement considérés comme publics. Les employés chargés de la compilation de ces CD doivent être conscients de ce niveau de distribution et veiller à ne pas inclure d'informations confidentielles superflues.

En ce qui concerne la distribution au sein de l'entreprise, il convient généralement d'éviter l'utilisation de supports amovibles. Dans certains cas de distribution hors de l'entreprise ou à des fins de sauvegarde hors ligne de données critiques, il est conseillé d'utiliser des CD-R, des DVD ou des dispositifs de stockage. Ces dispositifs doivent porter clairement la mention« Traitement de l'information », conformément à l'article 8. Ces supports doivent être traités avec le même soin que s'il s'agissait d'un ordinateur contenant les données. En outre, ils doivent être épurés de leurs données ou mis au rebut lorsqu'ils ne sont plus utiles. Les données confidentielles d'Akamai stockées sur des dispositifs de mémoire dynamique amovibles, tels que les périphériques de stockage USB et les cartes mémoire pour PDA, les téléphones portables, les appareils photo, etc., doivent être supprimées sans risque lorsqu'elles ne sont plus utiles. 

Les données confidentielles d'Akamai ne doivent pas être stockées sur des supports amovibles ni être transportées hors des bureaux de l'entreprise.