Embed Size (px)
Citation preview
Livre blanc exécutifIBM Software Octobre 2012
Trois principes directeurs pour améliorer la sécurité et la conformité des donnéesUne approche holistique de la protection des données pour faire face à un univers de menaces complexe
2 Trois principes directeurs pour améliorer la sécurité et la conformité des données
RécapitulatifLes médias, en titrant sur la fréquence croissante des détournements d’informations et d’identités, ont focalisé l’attention du public sur les atteintes à la sécurité et à la confidentialité des données, et leurs conséquences. En réaction, de nouvelles réglementations sont entrées en vigueur partout dans le monde. Si les particularités de ces réglementations peuvent différer, l’incapacité à assurer la conformité des données peut conduire à des condamnations financières significatives, à des poursuites criminelles et à une perte de clients.
En outre, l’explosion de l’information, la prolifération des terminaux, les volumes croissants d’utilisateurs et les nouveaux modèles informatiques (Cloud, réseaux Sociaux, Big data) ont donné naissance à de nouvelles vulnérabilités. Pour protéger les données sensibles et répondre aux besoins de conformité, les organisations se doivent d’adopter une approche plus proactive et méthodique.
Les données constituent un composant critique du fonctionnement quotidien des organisations, et il est essentiel de garantir leur confidentialité et de les protéger, quelle que soit leur localisation. Selon les types d’informations, les besoins de protection seront différents ; d’où la nécessité pour les organisations d’adopter une approche holistique, c’est-à-dire globale, pour les préserver :
• Connaître la localisation des données : Tant qu’elles ne savent pas les localiser et les relier, les entreprises et les organisations ne peuvent pas protéger leurs données sensibles.
• Protéger les données sensibles, qu’elles soient structurées ou non : Les données structurées stockées dans les bases de données doivent être protégées de tout accès non autorisé. Les données non structurées (documents, formulaires, fichiers image, systèmes GPS, entre autres) nécessitent des politiques de confidentialité pour supprimer les informations sensibles, et ce, tout en permettant le partage des données métier.
• Protéger les environnements hors production : Les données utilisées dans les environnements hors production (développement, formation, assurance qualité) doivent être protégées, tout en restant exploitables pendant les processus de développement d’applications, de tests et de formations.
• Sécuriser et surveiller en permanence l’accès aux données : Les bases de données d’entreprise, les entrepôts de bases de données, les partages de fichiers et les systèmes basés sur le framework Hadoop imposent une surveillance en temps réel pour assurer la protection et l’audit de l’accès aux données. Les contrôles à base de règles, utilisant des profils d’accès, sont indispensables pour détecter rapidement des activités non autorisées ou suspectes, et alerter les personnes concernées. En outre, les référentiels de données sensibles doivent être protégés contre les menaces nouvelles ou d’autres activités malveillantes, et faire l’objet d’une surveillance permanente pour connaître leurs faiblesses.
• Démontrerlaconformitépourlaréussitedesaudits:Il ne suffit pas de développer une approche holistique de la sécurité et de la confidentialité des données ; les organisations doivent également démontrer et prouver leur conformité auprès de chargés d’audit externes.
Les solutions IBM® de sécurité et de confidentialité des données sont conçues pour mettre en œuvre cette approche holistique et intégrer l’intelligence nécessaire pour répondre de manière proactive aux menaces informatiques et aux risques auxquels l’entreprise est confrontée. IBM a développé trois principes directeurs simples (Connaître et définir, Sécuriser et protéger, Surveiller et auditer) pour contribuer, au sein des organisations, à une sécurité et à une conformité plus efficaces, et ce, sans impact sur les systèmes de production et sans contraintes supplémentaires pour des budgets déjà sous contrôle étroit.
De la rumeur à la connaissance : les raisons d’un intérêt croissant pour la protection des donnéesLa sécurité des données constitue un objectif mouvant ; plus le volume de données augmente, plus nous voyons apparaître de réglementations et des menaces sophistiquées, alors que les changements économiques rendent difficiles la sécurisation et la protection des données. Les nouveaux supports d’attaque, associés à des menaces contre la cyber-sécurité (vers informatiques, chevaux de Troie, rootkits, faux logiciels de sécurité - rogue, logiciel malveillant d’accès téléphonique - dialer, logiciels espions) et contribuant à la complexité de la sécurité avec l’évolution des architectures informatiques (virtualisation, Big Data, entreprise étendue, consumérisme, mobilité) empêchent les entreprises de se consacrer pleinement à la protection des données (voir Figure 1).
Selon l’étude « Databases are More at Risk Than Ever » publiée en octobre 2011, menée auprès de 355 professionnels de la sécurité des données, un répondant sur quatre considère qu’une atteinte aux données en 2012 était probable ou inévitable. Seules 36 pour cent des organisations ont adopté des mesures pour s’assurer que leurs applications ne seraient pas exposées à des attaques par injection SQL, et plus de 70 pour cent d’entre elles prennent plus de trois mois pour appliquer des correctifs logiciels critiques, ce qui donne aux attaquants l’opportunité qu’ils attendent. La plupart des organisations ayant participé à l’étude sont dans l’incapacité d’indiquer s’il s’est produit un accès ou des modifications non autorisés dans leurs bases de données. Dans la plupart des cas, une atteinte pourrait rester indétectée pendant plusieurs mois, voire plus, car seules 40 pour cent de ces entreprises ou organisations contrôlent leurs bases de données de manière périodique.
IBM Software 3
Dans la majorité des organisations, les stratégies de prévention sont quasiment inexistantes. Seule une sur quatre dit être capable d’empêcher, avant qu’elle ne se produise, une utilisation abusive des autorisations des utilisateurs privilégiés d’une base de données, notamment des administrateurs de base de données. Seules 30 pour cent cryptent leurs informations sensibles et personnelles dans toutes leurs bases de données, bien que la réglementation mondiale en matière de confidentialité des données impose le cryptage des données non actives. En outre, la plupart admettent disposer de données sensibles dans des environnements hors production et accessibles par les développeurs, les responsables de tests et mêmes des entités tierces.
Changements des environnements informatiques et évolutions des affairesLes politiques de sécurité et les technologies correspondantes doivent évoluer alors que les organisations se trouvent exposées à de nouvelles initiatives opérationnelles, telles que l’externalisation, la virtualisation, le Cloud, la mobilité, les approches 2.0, le Big data et les réseaux Sociaux. Pour les organisations, cela veut dire réfléchir de manière élargie concernant la localisation des données sensibles et la manière d’y accéder. Elles doivent également considérer un ensemble étendu de données sensibles aussi bien structurées que non structurées, notamment les informations client, les secrets commerciaux, la propriété intellectuelle, les plans de développement, les différenciateurs concurrentiels, entre autres informations.
Des pirates informatiques plus sophistiqués et plus efficacesLa plupart des organisations sont aujourd’hui en difficulté pour faire face à l’écart croissant entre les capacités des pirates informatiques et la protection de leur sécurité. La nature évolutive, la complexité et l’échelle étendue des attaques venues de l’extérieur sont également des sujets de préoccupation. Dans le passé, les préoccupations les plus critiques résidaient dans le déclenchement de virus ou les attaques brusques par déni de service (DoS), entraînant une interruption momentanée des activités des entreprises. Aujourd’hui, de plus en plus avertis et interconnectés, les pirates informatiques s’appuient sur les réseaux sociaux, achètent des applications de « piratage » préassemblées, quand ils ne sont pas financés par des États. En pénétrant et en infiltrant les réseaux, les nouvelles attaques APT (menaces persistantes évoluées) exploitent les écarts de connaissances entre employés, les faiblesses des processus et les vulnérabilités technologiques, dans des combinaisons diverses, pour détourner des données de clients ou d’entreprises, notamment des secrets commerciaux, avec pour résultat éventuel des milliards de dollars de perte de chiffre d’affaires, des amendes, des procès et des dommages irréparables à la réputation.
Selon l’étude Verizon Data Breach Investigations Report 2012, la démarche la plus courante pour une atteinte consiste à exploiter des mots de passe par défaut ou faciles à deviner (pour 29 % des cas), suivi des logiciels malveillants de type backdoor (26 %), l’utilisation d’informations d’identification volées (24 %), l’exploitation de canaux dissimulés, de commandes et de contrôles (23 %), ainsi que les logiciels malveillants enregistreurs de frappe au clavier (keylogger) et les logiciels espions (18 %). Les attaques par injection SQL constituent 13 % des atteintes. En ce qui concerne les cibles des attaques, 90 % des atteintes étudiées par Verizon se sont produites sur des serveurs (points de vente, web, applications, bases de données).
Respect des obligations légales de conformitéLe nombre et la variété des obligations légales, qui concernent les entreprises et les organisations du monde entier, sont trop larges pour être mentionnés ici. Certaines de ces obligations les plus importantes incluent la réglementation SOX (Sarbanes-Oxley Act), HIPAA (Health Insurance Portability and Accountability Act), PCI-DSS (Payment Card Industry Data Security Standard) – dont l’application s’étend désormais au-delà de l’Amérique du Nord – FISMA (Federal Information Security Management Act), ainsi que la directive européenne sur la confidentialité des données. Parallèlement, se développent également des contraintes imposant de démontrer une conformité immédiate. Les entreprises doivent montrer leurs progrès immédiats en la matière, aussi bien en interne que pour leurs actionnaires, faute de quoi elles verront une détérioration de leur réputation et subiront des condamnations financières.
L’explosion de l’informationL’explosion de l’information numérique est extraordinaire. En 2009, le monde comptait 0,8 zétaoctets (Zo) de données. En 2012, elles sont estimées à 1,8 Zo. Ce nombre est étonnant, si on considère qu’un zétaoctet correspond à 1 000 milliards de gigaoctets (Go). L’explosion de l’information a fait de l’accès à des informations publiques et privées un élément de la vie quotidienne. Elle s’accompagne d’une augmentation du volume, de la variété et de la vitesse de circulation des données. Les organisations doivent prendre conscience des défis particuliers relatifs au Big data, notamment concernant les grandes infrastructures Cloud, la diversité des sources et des formats de données, la nature continue des flux d’acquisition de données et de l’agrégation des données en volume.
Les applications métier les plus critiques collectent en général ces informations à des fins justifiées ; toutefois, étant donné la nature interconnectée du réseau Internet et des systèmes d’information dont l’ERP, le CRM et les applications métier personnalisées, les données sensibles peuvent facilement subir des vols et des utilisations inappropriées.
4 Trois principes directeurs pour améliorer la sécurité et la conformité des données
Menaces internesUn pourcentage élevé des atteintes aux données résulte effectivement des faiblesses internes en matière de sécurité. Ces atteintes concernent aussi bien des employés utilisant de manière inappropriée des numéros de cartes de crédit et d’autres informations sensibles, ou d’autres stockant des données confidentielles sur leurs ordinateurs portables, lesquels peuvent être ensuite volés. En outre, les organisations ont également la responsabilité de protéger les données, quelle que soit leur localisation — qu’il s’agisse de partenaires commerciaux, de consultants, de sous-traitants, de fournisseurs ou d’autres interlocuteurs tiers.
En résumé, les organisations se focalisent de manière plus résolue sur les problématiques de sécurité et de confidentialité des données. Au-delà du développement de solutions ponctuelles, capables de résoudre des problématiques spécifiques, elles s’orientent vers l’élaboration de règles et de procédures de sécurité et de confidentialité au sein de l’entreprise. Alors que s’ouvre une nouvelle ère de l’informatique, il est particulièrement important d’intégrer la sécurité dans les règles métier et les processus informatiques.
Sécurité ou confidentialité
Si la sécurité et la confidentialité sont des notions associées, elles relèvent de concepts distincts. La sécurité est un système de protection d’infrastructure, permettant d’empêcher ou d’autoriser l’accès à certains domaines ou données en fonction d’une autorisation. En revanche, les restrictions de confidentialité permettent de maîtriser l’accès pour des utilisateurs ayant autorisation à accéder à un ensemble particulier de données. La confidentialité des données permet de s’assurer que ceux qui ont un intérêt professionnel légitime à accéder à un sous-ensemble de ces données n’utilisent pas de manière abusive les autorisations qu’ils possèdent. Cet intérêt professionnel est généralement défini par une fonction, définie à son tour par une règle de régulation ou de gestion, ou les deux.
Parmi des exemples de solutions de sécurité des données, figurent la surveillance de l’activité des bases de données et l’évaluation de leurs vulnérabilités. Des exemples de solutions de confidentialité des données, sont la suppression et le masquage des données. Dans une situation récente illustrant la distinction entre les deux notions, des médecins du centre médical de l’UCLA ont été surpris en train d’examiner les dossiers médicaux de la vedette Britney Spears. Les règles de sécurité de l’établissement hospitalier ont été respectées puisque les médecins ont obligatoirement accès aux dossiers médicaux, mais il s’est produit une atteinte à la confidentialité puisque ces médecins ont accédé au fichier pour des raisons de curiosité et non à des fins médicales justifiées.
Les enjeux sont considérables : risques associés à une sécurité et à une confidentialité insuffisantes des donnéesEn cas d’utilisation inappropriée des données, les entreprises et leurs dirigeants peuvent faire face à des amendes allant de 5 000 dollars jusqu’à 1 million de dollars par jour, assorties d’éventuelles peines de prison. Selon l’Institut Ponemon, dans l’étude « 2011: Cost of Data Breach Study » (publiée en mars 2012), le coût moyen pour l’entreprise d’une atteinte aux données en 2011 était de 5,5 millions de dollars. Les atteintes aux données ont coûté aux entreprises concernées, en 2011, une moyenne de 194 dollars par enregistrement altéré. Le nombre d’enregistrements attaqués pour chaque incident en 2011 se situait dans un intervalle compris entre 4 500 enregistrements et plus de 98 000. En 2011, le nombre moyen d’enregistrements attaqués a été de 28 349.
La résolution de l’atteinte la plus coûteuse étudiée par l’institut Ponemon (étude annuelle 2010 : U.S. Cost of a Data Breach, 2011) a coûté 35,3 millions de dollars, en hausse de 4,8 millions de dollars (+15 %) par rapport à 2009. L’atteinte aux données la moins coûteuse a représenté un montant de 780 000 dollars, en hausse de 30 000 dollars (+4 %) par rapport à 2009. Comme les années précédentes, le coût des atteintes aux données semble directement proportionnel au nombre d’enregistrements altérés.
Les lourdes peines appliquées ne sont qu’un exemple de la manière dont les organisations peuvent être touchées ; parmi les autres impacts négatifs, figurent les atteintes au cours de l’action, sources de préoccupations pour les investisseurs, et la publicité négative résultant d’une atteinte aux données. Les dommages irréparables atteignant une marque signalent une entreprise indigne de confiance.
Les cinq sources de risque les plus courantes sont les suivantes :
• Des autorisations excessives et une utilisation abusive de ces autorisations par les utilisateurs. Lorsque les utilisateurs (ou les applications) bénéficient d’autorisations d’accès à des bases de données dépassant les besoins liés à leurs fonctions, ces privilèges sont utilisables pour accéder à des informations confidentielles.
• Augmentation non autorisée des niveaux d’autorisation. Les attaquants peuvent tirer parti des vulnérabilités des logiciels de gestion de bases de données pour convertir des autorisations d’accès de bas niveau en des autorisations d’accès de plus haut niveau.
• Injection SQL. Les attaques par injection SQL s’appuient sur un utilisateur susceptible de tirer parti de vulnérabilités dans les applications web et dans les procédures stockées pour émettre des requêtes non autorisées d’interrogation des bases de données, souvent basées sur un niveau d’autorisation élevé. Avec une injection SQL, les attaquants peuvent même bénéficier d’accès sans aucune restriction à l’ensemble d’une base de données.
IBM Software 5
• DoS. Les attaques DoS (déni de service) sont déclenchées au moyen de différentes techniques. Les plus courantes concernent les dépassements de capacité des tampons, la corruption des données, la saturation des réseaux et la saturation des ressources. Cette technique de saturation des ressources est spécifique à l’environnement des bases de données et est fréquemment négligée.
• Exposition des données sauvegardées. Certaines attaques médiatisées récentes ont consisté à voler des bandes de sauvegarde de bases de données et des disques durs non cryptés.
œuvre d’autres initiatives, qui impacteraient lourdement leurs processus. Elles se doivent d’intégrer des règles de sécurité et de confidentialité dans leurs opérations courantes et de constituer les équipes nécessaires à la mise en œuvre de ces règles à l’échelle de l’organisation (notamment les équipes informatiques, responsables métier, équipes opérationnelles et départements juridiques). Alors que les besoins en matière de confidentialité sont variables et dépendent des rôles, déterminer qui a besoin d’accéder à quels données définies, n’est pas aisé. Enfin, les approches manuelles ou « maison » de protection des données entraînent une augmentation des risques et créent de l’inefficacité. Les approches manuelles ne permettent généralement pas de protéger un ensemble de données de différents types, structurées et non structurées, et ne permettent pas de suivre l‘évolution de l’organisation. Enfin, le nombre croissant d’obligations légales de conformité, assorties de délais de mise en application, contribue à des contraintes opérationnelles supplémentaires sans clarifier les priorités.
Les organisations ont besoin d’une approche nouvelle de la protection des données — une approche leur permettant d’intégrer des règles de sécurité et de confidentialité dans leurs meilleures pratiques et pouvant les aider, plutôt que les freiner, à développer leurs résultats financiers. La conjugaison de nombreux facteurs dynamiques et d’enjeux élevés place les modalités d’approche de la sécurité et de la confidentialité des données dans les priorités de premier plan.
Exploiter une approche holistique de la sécurité et de la confidentialitéLes organisations ont besoin d’une approche globale de la protection des données. Elle doit permettre la protection de différents types de données dans des environnements physiques, Cloud computing et Big Data, et intégrer une protection des données structurées et non structurées aussi bien dans les environnements de production que hors production (développement, test, formation). Cette approche contribue à recentrer des ressources limitées sans ajouter de nouveaux processus ou accroître la complexité. Une approche globale apporte également aux organisations la capacité à démontrer leur conformité sans interrompre des processus métier critiques ou leurs activités courantes.
Pour initier la démarche, les organisations doivent prendre en compte six questions essentielles. Ces questions sont destinées à mieux centrer la réflexion sur les vulnérabilités les plus critiques en matière de données :
1. Où sont localisées les données sensibles ? 2. Comment protéger, surveiller et auditer les bases de données
de votre entreprise ?
Figure 1 : Analyse des attaques malveillantes ou criminelles selon l’étude 2011 Cost of Data Breach Study, menée par le Ponemon Institute (publiée en mars 2012)
Les freins à la mise en œuvre : les défis relatifs à la protection des donnéesAlors que le marché a placé la sécurité comme une priorité de premier plan et que les risques sont clairement définis, pour quelle raison les organisations n’ont-elles pas adopté une approche holistique, donc globale, de la protection des données ? Et pour quelle raison sont-elles submergées par les nouvelles menaces ?
La réalité que les défis et la complexité sont considérables. D’abord, de nombreuses solutions ne couvrent qu’un aspect ou qu’une seule approche de la protection des données. Peu d’entre elles couvrent l’ensemble des menaces, des sources et des types de données pour proposer une stratégie globale apportant la flexibilité nécessaire face aux nouvelles menaces et à l’adoption de nouveaux modèles informatiques. De plus, peu d’organisations disposent des ressources financières et humaines pour mettre en
Virus, logiciels malveillants, vers informatiques, chevaux de Troie
Activités criminelles de collaborateurs internes
Vol d’équipements contenant des données
Injection SQL
Phishing
Attaques par le web
Manipulation d’utilisateurs
Autres
6 Trois principes directeurs pour améliorer la sécurité et la conformité des données
3. Comment protéger vos données vis-à-vis des accès autorisés et non autorisés ?
4. Est-il possible de protéger les données confidentielles contenues dans des documents tout en permettant le partage des données métier, lorsque c’est nécessaire ?
5. Est-il possible de protéger des environnements hors production, tout en permettant leur utilisation à des fins de formation, de développement d’applications et de test ?
6. Quels sont les processus de cryptage de données les plus adaptés ?
Les réponses à ces questions constituent la fondation d’une approche globale de la protection des données, capable d’évoluer à mesure de l’engagement de l’organisation dans une nouvelle ère informatique. Les réponses à ces questions permettent également de mettre l’accent sur les domaines essentiels que les organisations pourraient négliger avec les approches actuelles.
1. Il est impossible pour une organisation de protéger ses données si elle ne sait pas qu’elles existent. Les données sensibles sont stockées dans des formats structurés et non structurés dans des environnements de production, ou dans d’autres contextes. Les organisations doivent décrire et définir l’ensemble des actifs de données et leurs relations, quelle que soit la source. Il est essentiel de classifier les données, de comprendre les relations entre les données et de définir des niveaux de service. Le processus de découverte des données permet d’analyser les valeurs et les profils de données pour identifier les relations liant des éléments de données disparates sous forme d’unités logiques d’information, ou « objets métier » (notamment des données client, relatives aux patients ou à la facturation).
2. La surveillance des activités permet de contrôler les accès des utilisateurs (autorisés ou non) et des applications, indépendamment des fonctions natives de journalisation et d’audit des bases de données. Cette fonction permet une compensation maîtrisée des problématiques de répartition des tâches (SoD - separation-of-duties) pour les utilisateurs autorisés grâce à la surveillance de l’ensemble des activités des administrateurs. La surveillance des activités permet également une sécurité accrue en détectant les activités inhabituelles d’accès et de mise à jour de la couche d’application à une base de données, un entrepôt de données, un processus de partage des fichiers ou un système Hadoop. L’agrégation, la corrélation et la génération de rapports d’événements procure des capacités d’audit sans avoir à mettre en œuvre les fonctions d’audit natives. Les solutions de surveillance de l’activité doivent être capables de détecter des activités malveillantes ou des accès non approuvés ou inappropriés par des utilisateurs dûment autorisés.
3. Les données doivent être protégées au travers de différentes techniques de transformation, notamment le cryptage, le masquage et la suppression. C’est la définition de l’utilisation métier des données qui permettra de définir les règles de transformation des données. À titre d’exemple, il est possible
d’établir une règle permettant de masquer des données à l’écran ou à la volée, pour éviter que les agents des centres d’appels ne visualisent le numéro de sécurité sociale de leur interlocuteur. Autre exemple, il est possible de masquer les montants de chiffre d’affaires dans des rapports partagés avec des partenaires commerciaux et des fournisseurs.
4. La suppression des données permet d’éliminer des données sensibles dans des formulaires et des documents, en fonction des rôles des utilisateurs ou des objectifs métier. À titre d’exemple, les médecins doivent avoir accès à des informations sensibles, notamment celles relatives aux symptômes et aux pronostics, alors qu’un employé chargé de la facturation aura besoin du numéro de sécurité sociale et de l’adresse de facturation du patient. La difficulté consiste à assurer la protection appropriée, et ce, tout en répondant aux besoins métier en gérant les données en fonction de critères de « nécessité ». Les solutions de suppression de données ont pour objectif de protéger les informations sensibles dans des documents, des formulaires et des graphiques non structurés.
5. Le masquage (ou désidentification) des données dans des environnements hors production consiste simplement à supprimer, masquer ou transformer de manière systématique des éléments de données pouvant être utilisés pour identifier une personne. Le masquage des données permet aux développeurs, aux responsables de tests et aux formateurs d’utiliser des données réelles et de produire des résultats valides, et ce, tout en respectant la conformité aux règles de protection de la vie privée. Les données ainsi gommées ou nettoyées sont généralement considérées comme utilisables dans des environnements hors production, en s’assurant que même si les données sont volées, exposées ou perdues, elles ne pourront être utilisées par personne.
6. Le cryptage de données ne constitue pas une technologie nouvelle, et il en existe de nombreuses approches. Le cryptage est explicitement exigé par de nombreuses réglementations, notamment PCI-DSS, associé à la mise en œuvre d’une sphère de sécurité dans le cadre de différentes obligations légales. Ce qui veut dire que les organisations n’ont pas à divulguer les atteintes aux données dont elles font l’objet si les données sont cryptées. Du fait des offres prolifiques de différents fournisseurs, il est difficile pour une organisation d’identifier l’approche de cryptage la plus performante. Concernant le cryptage de données structurées, il est possible d’envisager une approche de traitement au niveau des fichiers. Elle permettra de protéger à la fois les données structurées contenues dans le système de gestion de base de données (SGBD) et également les fichiers non structurés, notamment le journal du SGBD ou les fichiers de configuration, tout en restant transparente pour le réseau, les supports de stockage et les applications. Il est préférable de privilégier les offres de cryptage apportant une répartition des tâches robuste, des règles unifiées et un système d’administration des clés permettant de centraliser et de simplifier la gestion de la sécurité des données.
IBM Software 7
Apporter une réponse aux défis en matière de sécurité et de conformité des données En quoi l’approche d’IBM en matière de protection des données est-elle inégalée ? L’expertise. C’est la conjugaison d’une approche englobant les personnes, les processus, la technologie et l’information qui distingue les solutions IBM de sécurité et de confidentialité des données de celles de la concurrence. La finalité de la gamme proposée par IBM est d’aider les organisations à respecter leurs obligations légales, réglementaires et métier, et ce, sans ajouter de charge supplémentaire. Ce qui permet aux organisations de mettre en œuvre leurs initiatives de conformité, de réduire leurs coûts, de minimiser les risques et de soutenir le développement de l’organisation. En outre, IBM intègre les fonctions de sécurité des données dans un framework de sécurité plus large. L’IBM Security Framework (voir Figure 2), conjugué aux meilleures pratiques, apporte l’expertise, l’analyse des données et les modèles de maturité nécessaires pour offrir à nos clients la capacité à s’engager dans l’innovation, en toute confiance.
Pour répondre aux problématiques de sécurité et de conformité des données, IBM a défini trois principes directeurs pour mettre en œuvre une approche globale de la sécurité des données : Connaître et définir, sécuriser et protéger, surveiller et auditer. En adoptant ces trois principes, une organisation peut améliorer sa posture globale de sécurité et respecter en toute confiance ses obligations légales de conformité.
Connaître et définirUne organisation se doit d’identifier les données sensibles, de les localiser, de les classifier, de définir des types de données et de déterminer des indicateurs et des règles permettant d’assurer une protection durable. Les données sont souvent réparties sur différentes applications, bases de données et plateformes, le tout sans être véritablement décrites. Pour les décrire, la plupart des organisations s’appuient de manière excessive sur des experts des systèmes et des applications. Parfois, ces descriptions sont intégrées dans la logique de l’application, et il peut exister des relations masquées en arrière-plan des interfaces concernées.
Identifier les données sensibles et découvrir les relations entre les données nécessite une analyse soigneuse. Les sources de données et les relations entre elles doivent être clairement identifiées et documentées afin de ne laisser aucune donnée sensible exposée à des vulnérabilités. C’est seulement après avoir identifié l’ensemble du contexte qu’une organisation peut définir des règles appropriées de sécurité et de confidentialité pour ses données.
La solution IBM InfoSphere Discovery est conçue pour identifier et décrire les données dont vous disposez, leur localisation et leurs liens entre les différents systèmes, en identifiant de manière intelligente les relations et en déterminant les transformations et les règles métier appliquées. Elle permet d’automatiser l’identification et la définition des relations entre données dans des environnements complexes et hétérogènes.
En l’absence de processus automatisés pour identifier les relations entre données et définir les objets métier, une organisation peut consacrer des mois à une analyse manuelle — et ce, sans aucune assurance d’une démarche complète ou exacte. Avec IBM InfoSphere Discovery, par contre, il est possible d’identifier de manière automatique et exacte des relations entre données et de définir des objets métier en une fraction du temps qui serait nécessaire avec une approche manuelle ou de profilage. La solution s’adapte à un large éventail de sources de données, notamment les bases de données relationnelles, les bases de données hiérarchiques et d’autres sources de données structurées, stockées sous forme de fichiers texte.
Figure 2 : IBM est le seul fournisseur proposant un framework de sécurité sophistiqué intégrant des fonctionnalités de sécurité intelligente englobant les personnes, les données, les applications et l’infrastructure.
8 Trois principes directeurs pour améliorer la sécurité et la conformité des données
Pour résumer, la solution IBM InfoSphere Discovery apporte aux organisations les capacités suivantes :
• Localiser et inventorier les sources de données à l’échelle de l’organisation ;
• Identifier et classifier les données sensibles ; • Connaître les relations entre les données ; • Définir et décrire les règles de confidentialité ; • Décrire et gérer les exigences et les menaces de
manière continue.
Sécuriser et protégerLes solutions de sécurité et de confidentialité des données s’appliquent à l’ensemble des éléments hétérogènes de l’entreprise, en contribuant à protéger les données structurées comme non structurées, présentes dans les environnements de production et hors production (voir Figure 3). Les solutions IBM InfoSphere aident à protéger les données sensibles des applications ERP/CRM, des bases de données, des entrepôts de données, des outils de partage de fichiers et des systèmes utilisant le framework Hadoop, mais aussi pour gérer des formats non structurés, tels que des formulaires et des documents. Les technologies essentielles incluent la surveillance des activités, le masquage des données, la suppression des données et le cryptage des données. La solution InfoSphere Guardium apporte les contrôles et les capacités nécessaires à l’échelle de l’entreprise en englobant différentes plateformes et sources de données, permettant ainsi d’enrichir les investissements déjà effectués dans des plateformes telles que
RACF sur System z, qui apporte des modèles de sécurité intégrée capables d’exploiter des sources de données telles que DB2 for z/OS, IMS et VSAM. Une approche globale de la protection des données permet d’assurer une protection à 360 degrés de l’ensemble des données organisationnelles.
Pour chaque type de données (structurées, non structurées, offline et online), nous recommandons différentes technologies de protection. Il est nécessaire de garder à l’esprit que différents types de données existent dans les environnements de production comme hors production.
Données structurées : Ces données sont fondées sur un modèle et disponibles sous des formats structurés (base de données, XML).
Données non structurées : Ces données apparaissent dans des formulaires ou des documents pouvant être manuscrits, dactylographiés ou disponibles dans des référentiels de fichiers, tels que les documents de traitement de texte, les messages de courrier électronique, les images, les fichiers sonores numériques, les fichiers vidéo, les données de GPS, entre autres.
Données connectées : Ces données sont utilisées de manière courante pour le fonctionnement de l’organisation, et incluent les métadonnées, les données de configuration ou les fichiers journaux.
Données non connectées : Il s’agit de données contenues dans des bandes de sauvegarde ou sur des équipements de stockage.
Figure 3 : Lors du développement d’une stratégie de sécurité et de confidentialité des données, il est essentiel de prendre en compte tous les types de données présents dans les environnements de production et hors production.
Données contenues dans des bases de données hétérogènes(Oracle, DB2, Netezza, Informix, Sybase, Sun MySQL, Teradata)
• Surveillance d’activité• Évaluation des vulnérabilités• Masquage des données• Cryptage des données
Données hors des bases de données(Hadoop, partages de fichiers, ex : SharePoint,
TIF, .PDF, .doc, documents numérisés)
• Suppression des données• Surveillance d’activité
• Masquage des données
Donnéesstructurées
Données nonstructurées
Donnéesconnectées
Données nonconnectées
Données utilisées dansles activités courantes
• Surveillance d’activité• Évaluation des vulnérabilités
• Masquage des données• Cryptage des données
Données extraites des bases de données
• Cryptage des données
Syst
èmes
de
production et hors production
IBM Software 9
A noter que ces quatre types de données élémentaires se caractérisent par une explosion en termes de volume, de variété et de vitesse. La plupart des organisations cherchent à intégrer ces types de données dans des systèmes Big data, tels que Netezza ou Hadoop, pour les analyser de manière plus détaillée.
L’offre IBM InfoSphere Guardium Activity Monitor and Vulnerability Assessment apporte une solution de sécurité permettant de prendre en compte l’ensemble du cycle de vie de la sécurité et de la conformité d’une base de données, avec une console web unifiée, un magasin de données « back end » et un système d’automatisation du workflow. La solution vous apporte la capacité à :
• Évaluer les vulnérabilités et les failles de configuration des bases de données et des référentiels de données ;
• Vérifier que les configurations sont protégées après mise en œuvre des changements recommandés ;
• Assurer la visibilité et la granularité totales de toutes les transactions menées sur les sources de données — quels que soient les plateformes et les protocoles — au moyen d’un processus d’audit sécurisé et infalsifiable intégrant la répartition des tâches ;
• Surveiller et appliquer des règles pour l’accès aux données sensibles, les actions des utilisateurs dûment autorisés, le contrôle des changements, l’activité des utilisateurs des applications et les exceptions de sécurité, notamment les échecs de connexion ;
• Automatiser l’ensemble du processus d’audit de conformité — y compris la diffusion des rapports aux équipes de supervision, aux agents chargés des abonnements et aux niveaux hiérarchiques d’escalade — en utilisant des rapports préconfigurés compatibles avec les réglementations SOX, PCI-DSS et de protection de la confidentialité des données ;
• Créer un référentiel d’audit unique et centralisé pour le reporting de conformité à l’échelle de l’entreprise, l’optimisation des performances, les investigations et les recherches de preuves ;
• Étendre facilement les opérations depuis la protection d’une simple base de données jusqu’à celle de milliers de bases de données, d’entrepôts de données, de solutions de partage de fichiers ou de systèmes utilisant le framework Hadoop, pour des centres de données disséminés dans le monde entier.
Traditionnellement, la protection des informations non structurées contenues dans les formulaires, les documents et les graphiques est effectuée manuellement en supprimant le contenu électronique et en utilisant un stylo noir sur du papier pour supprimer ou masquer des informations sensibles. Cependant, ce processus manuel peut provoquer des erreurs, conduire à des omissions involontaires et laisser des informations masquées dans des fichiers, d’où un risque d’exposition de données sensibles. Les volumes immenses de formulaires et de documents électroniques produits aujourd’hui font de ce processus manuel une activité fastidieuse sur le plan pratique, et contribuent aux risques auxquels une organisation peut s’exposer.
IBM InfoSphere Guardium Data Redaction permet de protéger de toute divulgation inopinée les informations sensibles contenues dans des documents non structurés et des formulaires. La solution automatisée apporte de l’efficacité au processus de suppression en détectant les informations sensibles et en les éliminant automatiquement de la version des documents mise à la disposition de lecteurs ne disposant pas d’autorisation particulière. Basée sur des techniques de suppression de données par logiciel parmi les plus performantes de l’industrie, la solution InfoSphere Guardium Data Redaction apporte également la flexibilité nécessaire pour l’analyse et la surveillance humaines, le cas échéant.
IBM InfoSphere Optim Data Masking Solution propose un ensemble complet de techniques de masquage de données répondant à la demande à vos besoins de conformité en matière de confidentialité des données, incluant les capacités suivantes :
• Fonctionnalités de masquage en fonction des applications, pour s’assurer que les données masquées, par exemple, les noms et les adresses, sont présentées sous un aspect identique aux informations originales (voir Figure 4).
• Sous-programmes de masquage de données pré-conditionnées et contextualisées, pour désidentifier des données (par exemple, numéros de carte de crédit, numéros de Sécurité sociale, adresses géographiques, adresses de courrier électronique).
• Fonctionnalités de masquage permanent, qui permettent de propager des valeurs de remplacement masquées de manière cohérente dans les applications, les bases de données, les systèmes d’exploitation et les plateformes matérielles.
• Fonctionnalités de masquage de données statiques ou dynamiques, compatibles à la fois avec les environnements de production et hors production.
Avec l’offre InfoSphere Optim, les organisations disposent des moyens de désidentifier des données d’une manière pertinente pour les utiliser dans les environnements de développement, de test ou de formation, et ce, tout en protégeant la confidentialité des informations.
Figure 4 : Les informations permettant d’identifier des personnes sont masquées en utilisant un masque réaliste, mais contenant des données fictives.
Masque
10 Trois principes directeurs pour améliorer la sécurité et la conformité des données
IBM InfoSphere Guardium Data Encryption constitue une solution unifiée, facile à administrer et évolutive pour crypter les données sans sacrifier les performances des applications ou apporter de la complexité à la gestion de clés. InfoSphere Guardium Data Encryption permet de résoudre les défis des approches invasives et ponctuelles au travers d’une démarche transparente et cohérente permettant le cryptage et la gestion de la sécurité des données d’une organisation. Contrairement aux approches invasives telles que le cryptage de bases de données par colonnes, le cryptage de fichiers par le procédé PKI ou le cryptage ponctuel natif, IBM InfoSphere Guardium Data Encryption constitue une solution unifiée et transparente facile à administrer. L’approche unifiée du cryptage permet de bénéficier des fonctionnalités les plus performantes des deux domaines : la capacité à répondre parfaitement aux besoins de gestion de l’information, conjuguée à une robuste sécurité des données, basée sur des règles. Des agents jouent le rôle de bouclier transparent, dont le rôle est d’évaluer toutes les demandes d’information au regard de règles facilement personnalisables. Ces agents assurent des contrôles intelligents basés sur le décryptage pour les opérations de lecture, d’écriture et d’accès à des contenus cryptés. Cette solution haute performance est idéale pour les environnements distribués, et les agents assurent une sécurité cohérente, contrôlable et non invasive, centrée sur les données, quasiment pour tous les fichiers, bases de données ou applications, et ce, quelle que soit leur localisation.
En résumé, la solution InfoSphere Guardium Data Encryption apporte les avantages suivants :
• Un procédé de cryptage unifié, cohérent et transparent adapté aux entreprises les plus complexes ;
• Une approche basée sur des règles, vérifiable et exploitable à l’échelle de l’entreprise ;
• Des processus de mise en œuvre parmi les plus rapides possible, ne nécessitant aucune modification des applications, des bases de données ou des systèmes ;
• Une gestion de clés simplifiée, sécurisée et centralisée pour l’ensemble des environnements distribués ;
• Des règles de sécurité des données intelligentes et facilement personnalisables pour une sécurité des données robuste et permanente ;
• Une séparation des tâches forte ;• Des performances exceptionnelles avec une capacité éprouvée
à répondre aux contrats de niveau de services (SLA) pour les systèmes critiques d’entreprise.
IBM Tivoli Key Lifecycle Manager apporte aux départements informatiques les moyens de gérer plus facilement le cycle de vie des clés de cryptage en leur permettant de centraliser et de renforcer leurs processus de gestion de clés. La solution permet de gérer les clés de cryptage pour des dispositifs IBM de
stockage à cryptage intégré, mais aussi pour les solutions autres qu’IBM utilisant le protocole KMIP (Key Management Interoperability Protocol). IBM Tivoli Key Lifecycle Manager apporte les avantages suivants en matière de sécurité des données :
• Centralise et automatise le processus de gestion des clés de cryptage ;
• Améliore la sécurité des données, tout en réduisant considérablement le nombre de clés de cryptage à gérer ;
• Simplifie la gestion des clés de cryptage grâce à une interface utilisateur intuitive utilisée pour la configuration et l’administration ;
• Minimise le risque de perte ou d’atteinte à des informations sensibles ;
• Facilite l’administration de la conformité à des normes réglementaires, telles que SOX et HIPAA ;
• Étend les capacités d’administration de clés à la fois aux produits IBM et non-IBM ;
• S’appuie sur des standards ouverts pour améliorer la flexibilité et faciliter l’interopérabilité entre fournisseurs.
Surveiller et auditerAu-delà de la localisation et de la protection des données, l’entreprise se doit de démontrer sa conformité, de se préparer à réagir à de nouveaux risques, externes ou internes, et de surveiller en permanence ses systèmes. La surveillance des activités des utilisateurs, de la création d’objets, de la configuration des référentiels de données et de la définition des droits permet aux professionnels informatiques et aux chargés d’audit d’assurer le suivi des utilisateurs des applications et des bases de données. Ces spécialistes peuvent créer des règles précises définissant des comportements appropriés et bénéficier d’alertes si ces règles sont violées. Une organisation doit être en mesure de démontrer rapidement sa conformité et confère aux chargés d’audit la responsabilité de vérifier la situation en la matière. Le reporting d’audit et les processus de désinscription facilitent les processus de conformité en contrôlant les coûts et en minimisant les perturbations techniques et métier. En résumé, une entreprise doit créer des processus d’audit continus et détaillés de toutes les activités de bases de données, y compris la description de chaque transaction (qui, quoi, quand, où et comment).
La solution IBM InfoSphere Guardium Activity Monitor permet des audits détaillés et indépendants des systèmes de gestion de bases de données, avec un impact minimal sur les performances. InfoSphere Guardium est également conçu pour réduire les coûts d’exploitation grâce à l’automatisation et à des règles et des référentiels d’audit centralisés pour différents systèmes de gestion de bases de données, auxquels s’ajoutent des fonctionnalités de filtrage et de compression.
IBM Software 11
Conclusion : une sécurité et une conformité des données plus performantesLa protection de la sécurité et de la confidentialité des données constitue une responsabilité rigoureuse et permanente qui doit être intégrée aux meilleures pratiques. IBM propose une approche intégrée de la sécurité et de la confidentialité des données, mise en œuvre au travers de trois principes directeurs :
1. Connaître et définir.2. Sécuriser et protéger.3. Surveiller et auditer.
La protection des données impose une approche holistique, c’est-à-dire à 360 degrés. Au travers de son expertise détaillée et approfondie dans le domaine de la sécurité et de la confidentialité, IBM peut aider votre entreprise à définir et mettre en œuvre une approche de ce type.
Ouvertes et modulaires, les solutions IBM prennent en compte tous les aspects de la sécurité et de la confidentialité des données, en englobant les données structurées, semi-structurées et non structurées, quelle que soit leur localisation. Les solutions IBM sont compatibles avec la plupart des systèmes d’exploitation et bases de données les plus performants, notamment IBM DB2, Oracle, Teradata, Netezza, Sybase, Microsoft® SQL Server, IBM Informix, IBM IMS, IBM DB2 for z/OS, IBM VSAM, Microsoft Windows®, UNIX®, Linux® et IBM z/OS. InfoSphere est également compatible avec des applications ERP et CRM majeures — Oracle E-Business Suite, PeopleSoft Enterprise, JD Edwards EnterpriseOne, Siebel et Amdocs CRM — ainsi que la plupart des progiciels et applications spécifiques. IBM propose des solutions de surveillance des accès pour les logiciels de partage de fichiers tels que Microsoft SharePoint et IBM FileNet. IBM intègre également les systèmes basés sur le framework Hadoop, tels que Cloudera et InfoSphere BigInsights.
À propos des solutions IBM InfoSphereLe logiciel IBM InfoSphere constitue une plateforme intégrée permettant de définir, d’intégrer, de protéger et de gérer des informations fiabilisées et dignes de confiance pour l’ensemble de vos systèmes. Cette plateforme apporte les briques de construction fondamentales pour générer des informations dignes de confiance, au travers de l’intégration des données, des entrepôts de données, de la gestion des données de référence et de la gouvernance de l’information, l’ensemble de ces fonctions sont intégrées autour d’un cœur de métadonnées et de modèles partagés. La gamme de solutions est modulaire, ce qui vous permet de lancer la démarche à partir de l’un ou l’autre des thèmes et de conjuguer les briques de construction du logiciel IBM InfoSphere avec des composants proposés par d’autres fournisseurs, ou de déployer plutôt une combinaison de ces
briques pour accélérer la démarche et créer de la valeur. La plateforme IBM InfoSphere constitue une fondation à l’échelle de l’entreprise pour les projets utilisant intensivement de l’information, en apportant les performances, l’évolutivité, la fiabilité, les capacités d’accélération nécessaires pour simplifier les défis les plus difficiles et produire plus rapidement des informations dignes de confiance pour votre organisation.
À propos des solutions IBM SecurityLa gamme de solutions de sécurité d’IBM apporte l’intelligence nécessaire en matière de sécurité pour protéger de manière globale les collaborateurs, les infrastructures, les données et les applications d’une entreprise. IBM propose des solutions de gestion des identités et des accès, de sécurité des bases de données, de développement d’applications, de gestion des risques, de gestion de terminaux et de sécurité des réseaux, entre autres. IBM dispose de l’une des structures de recherche, de développement et prestation de services en matière de sécurité parmi les plus importantes. Cette structure s’appuie sur neuf centres opérationnels de sécurité (SOC), neuf centres de recherche IBM, onze laboratoires de développement en matière de sécurité des logiciels, ainsi que l’Institute for Advanced Security, avec une implantation aux États-Unis, en Europe et dans la zone Asie-Pacifique. IBM assure la surveillance de 13 milliards d’événements de sécurité par jour, dans plus de 130 pays, et détient plus de 3 000 brevets dans le domaine de la sécurité.
Pour plus d’informationsPour en savoir plus sur les solutions IBM Security, visitez le site : ibm.com/security/fr
Pour en savoir plus sur les solutions IBM InfoSphere destinées à protéger la sécurité et la confidentialité des données, n’hésitez pas à contacter votre interlocuteur commercial IBM ou à visiter le site : ibm.com/guardium.
Pour en savoir plus sur les nouvelles fonctionnalités de sécurité du logiciel IBM DB2 for z/OS, téléchargez le Redbook à l’adresse : www.redbooks.ibm.com/Redbooks.nsf/RedbookAbstracts/sg247959.html
Par ailleurs, les solutions de financement proposées par IBM Global Financing contribuent à une gestion efficace de votre trésorerie, protègent vos investissements IT vis-à-vis de l’obsolescence et vous permettent d’obtenir des gains de coût total de possession (TCO) et de retour sur investissement (ROI). De plus, IBM propose son offre GARS (Global Asset Recovery Services), destinée à répondre aux enjeux environnementaux grâce à des solutions nouvelles et plus économes en énergie. Pour en savoir plus sur IGF, visitez le site : ibm.com/financing/fr.
Veuillez recycler
IBM France 17 Avenue de l’Europe 92275 Bois Colombes Cedex
IBM, le logo IBM, ibm.com, BigInsights, DB2, FileNet, Guardium, IMS, Informix, InfoSphere, Optim, RACF, System z, Tivoli, et z/OS sont des marques d’International Business Machines Corp., déposées dans de nombreux pays du monde. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. Une liste actualisée des marques déposées IBM est accessible sur le web sous la mention « Copyright and trademark information » à l’adresse ibm.com/legal/copytrade.shtml.
Linux est une marque déposée de Linus Torvalds aux États-Unis et/ou dans d’autres pays.
Microsoft et Windows sont des marques de Microsoft Corporation aux États-Unis et/ou dans d’autres pays.
Netezza est une marque ou une marque déposée de Netezza Corporation, une entreprise IBM.
UNIX est une marque déposée de The Open Group aux États-Unis et dans d’autres pays.
Le présent document est proposé dans sa version actuelle à sa date initiale de publication et peut être modifié à tout moment par IBM. Toutes les offres ne sont pas disponibles dans tous les pays dans lesquels IBM opère.
LES INFORMATIONS CONTENUES DANS CE DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPRESSE OU TACITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE OU D’ADAPTATION À UN EMPLOI SPÉCIFIQUE, ET SANS AUCUNE GARANTIE OU CONDITION DE NON INFRACTION VIS-À-VIS DES LOIS. Les produits IBM bénéficient d’une garantie conforme aux conditions générales des contrats dans le cadre desquels ils sont mis à la disposition des clients.
IMW14568-FRFR-05
