Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux

Transcription

1 LIVRE BLANC Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux La conformité aux réglementations est une initiative importante pour les entreprises, car la complexité et le poids de l environnement réglementaire ne cessent d augmenter. Avec l augmentation du nombre d attaques informatiques et de menaces internes, les entreprises recherchent désormais une approche plus efficace, plus durable et plus évolutive leur permettant d atteindre leurs objectifs de conformité tout en améliorant leur dispositif de sécurité global. Le présent livre blanc examine certains problèmes auxquels les entreprises modernes sont confrontées dans le cadre de leurs efforts de développement et d adaptation d un programme de conformité pour répondre aux besoins d aujourd hui et aux nouvelles exigences de demain.

2 LIVRE BLANC Table des matières La situation actuelle...1 Les budgets de sécurité continuent d être dictés par la conformité...1 Une pression croissante pour répondre à des réglementations toujours plus strictes...1 L évolution rapide de la nature des menaces de sécurité...1 La sécurité informatique n a pas suivi l évolution des technologies et modèles commerciaux...2 Obtenir une conformité durable...2 Alignement stratégique...2 Harmonisation des contrôles...3 Un bon niveau de sécurité est synonyme de conformité...3 Automatisation, intégration et optimisation...4 Adaptation à l évolution rapide des menaces...4 Évolution des technologies...4 Les nouveaux pirates...5 Évolution des modèles commerciaux...5 Alignement des objectifs de conformité, de sécurité et commerciaux avec les solutions NetIQ de gestion des identités et de la sécurité...6 Conclusion...7 À propos de NetIQ...8 LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux

3 La situation actuelle L actuel environnement réglementaire étant complexe, de nombreuses entreprises éprouvent des difficultés à incorporer des programmes de conformité réglementaire dans leurs opérations quotidiennes de sécurité. Cela peut donner des résultats d audit et des violations de données induisant des mesures coûteuses de réduction des risques, voire des amendes et pénalités. Selon la 2010 Annual Study: U.S. Cost of a Data Breach de Ponemon, le coût organisationnel moyen d une violation de données est d environ 7,2 millions de dollars américains, en hausse de 7 % par rapport à Les programmes de conformité imposant des exigences de plus en plus en lourdes aux ressources informatiques, les entreprises doivent urgemment trouver une approche plus efficace, plus durable et plus évolutive qui leur permettra d atteindre les objectifs de conformité fixés tout en améliorant leur dispositif sécurité global. Le présent livre blanc examine certains problèmes auxquels les entreprises modernes sont confrontées dans le cadre de leurs efforts de développement et d adaptation d un programme de conformité pour répondre aux besoins d aujourd hui et aux évolutions de demain. Les budgets de sécurité continuent d être dictés par la conformité En raison du caractère obligatoire de la conformité réglementaire, assorti de pénalités spécifiques et quantifiables en cas de manquement, une grande part des dépenses globales de sécurité a été consacrée aux initiatives de mise en conformité. Il est difficile de remettre en question cet objectif, car les dépenses de conformité visent à protéger la rentabilité des entreprises et à éviter l augmentation des coûts en cas de manquement ainsi que toute détérioration de l image de marque. Cela dit, lorsque les projets de sécurité sont uniquement axés sur le respect de critères d audit minimaux plutôt que sur la réduction des risques, ce financement perd une grande partie de ses avantages potentiels. Le défi des équipes de sécurité consiste à s assurer que les dépenses de sécurité sont consacrées à un programme complet de réduction des risques aligné sur les objectifs de tolérance au risque et les objectifs commerciaux de l entreprise. Reconnaître et oublier les priorités de sécurité revient à «bachoter». On peut réussir l examen (ou l audit), mais probablement pas retenir les bienfaits qui auraient été obtenus grâce à une étude et à une planification attentives. Réussir un audit PCI-DSS constitue, par exemple, un bon point. Cependant, même la norme PCI-DSS, considérée comme l une des plus strictes, n est qu une norme de sécurité minimale et n offre pas de protection garantie contre les violations de données. Exemple : Heartland Payment Systems et T.J. Maxx avaient tous les deux obtenu la conformité PCI ou étaient en train de l obtenir lorsque leurs systèmes ont été pris pour cibles par un réseau mondial d usurpation d identité, à l origine de deux des plus grandes violations de données de cartes de crédit de l histoire. Cherchez à établir si la conformité guide votre programme de sécurité sans systématiquement renforcer la sécurité. Une pression croissante pour répondre à des réglementations toujours plus strictes Le nombre croissant de réglementations s explique en grande partie par une conscience grandissante du public des mauvaises pratiques des entreprises et des risques de vol de données. Prenant ces craintes en compte, les organismes réglementaires et sectoriels ont réclamé la publication des violations et imposé des contrôles de plus en plus larges assortis de pénalités plus strictes en cas de non-conformité. De plus, alors que les entreprises cherchent à appliquer des normes de conformité en leur sein, elles peuvent imposer des objectifs supplémentaires ou même contradictoires aux administrateurs et responsables de la conformité impliqués dans le processus. À l heure actuelle, bon nombre d entreprises ont du mal à mettre en œuvre un programme de conformité durable capable de respecter l ensemble des réglementations et de s adapter rapidement à leur évolution ou à la création de nouvelles. Votre entreprise peut-elle s adapter rapidement à l évolution des réglementations ou aux nouvelles normes de conformité? L évolution rapide de la nature des menaces de sécurité Les menaces externes, naguère armes de pirates informatiques agissant seuls, sont désormais le fait de groupes organisés et sophistiqués motivés par des gains financiers et politiques. Ces attaques sont souvent financées par des fonds provenant d entreprises internationales, du crime organisé, voire de gouvernements. Compte tenu de ce niveau de soutien, il n est pas surprenant que les violations de sécurité soient facilitées par des technologies de plus en plus sophistiquées et souvent assistées par quelqu un de l intérieur. Les pirates internes sont soudoyés, contraints ou même spécialement recrutés pour rejoindre une entreprise et y voler des informations sensibles. Compte tenu de ces renseignements, savez-vous si votre équipe est prête à se défendre contre ces attaques sophistiquées, et à qui vous pouvez vous fier dans l entreprise? Annual Study: U.S. Cost of a Data Breach, The Ponemon Institute, mars LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 1

4 La sécurité informatique n a pas suivi l évolution des technologies et modèles commerciaux Le personnel représente l un des postes les plus importants des budgets informatiques. Il affiche également l une des hausse les plus rapides. En vue de ralentir cette progression et de contrôler les coûts, des pressions constantes ont été exercées pour externaliser autant que possible, notamment lorsque des compétences spécialisées sont requises. En réalité, cela ne fait que quelques années que l entreprise moyenne dispose exclusivement de ses propres employés. En conséquence, la plupart des entreprises ont mis en place des stratégies et des contrôles pour prendre en charge le personnel temporaire, les partenaires sur site et même les visiteurs. Dans leur volonté de contrôler les coûts, nombreuses sont celles qui ont oublié de tenir compte du fait que l externalisation ne les dégage pas de leurs responsabilités. Si le sous-traitant ne respecte pas les objectifs de contrôle, la responsabilité incombe toujours à l entreprise. Externaliser signifie déléguer, pas renoncer. Comme beaucoup d entreprises ont mis du temps s en rendre compte, leurs stratégies et contrôles n ont pas suivi l externalisation, qu elle soit assurée par un prestataire de services ou un fournisseur d informatique en nuage (cloud computing). Savez-vous qui dans votre entreprise est responsable de garantir que les prestataires de services et fournisseurs d informatique en nuage respectent vos objectifs de contrôle? Prenez-vous les mesures nécessaires pour protéger les informations sensibles? Obtenir une conformité durable La fondation d un programme durable de sécurité et conformité est un cadre commun en phase avec les objectifs de l entreprise, qui répond à l ensemble des directives sectorielles et réglementaires tout en allégeant les risques de sécurité sous-jacents. Si cela est plus facile à dire qu à faire, la solution alternative consiste en un programme coûteux et parfois inefficace qui n améliore en rien la sécurité globale de l entreprise. L alignement avec les objectifs de l entreprise est essentiel pour garantir que les dépenses de sécurité sont consacrées au risque concerné, en fonction de la nature et de la tolérance au risque de l entreprise. À défaut d alignement, il est difficile de prouver l efficacité des dépenses en cours ou de justifier des investissements supplémentaires. Il est impératif de disposer d un cadre commun et harmonisé d objectifs de contrôle pour réduire les coûts et la complexité liés au respect de diverses réglementations. L harmonisation autour d un ensemble commun d objectifs de contrôle n est cependant pas suffisante en soi. Un programme vraiment durable exige d automatiser pour réduire les coûts de main-d œuvre associés à la surveillance suivi, à l application et à la preuve de l efficacité de ces objectifs de contrôle. Alignement stratégique La plus grande reconnaissance de l importance de la sécurité informatique et de la conformité et les coûts élevés connexes ont commencé à influer sur le rôle de directeur de la sécurité. Les responsables de la sécurité informatique (CISO) sont en effet de plus en plus rattachés au PDG ou au responsable financier (CFO) au lieu d occuper une fonction au sein du pôle informatique. Comme l indique un récent rapport Forrester 2, dans 54 % des entreprises, le responsable de la sécurité informatique est directement rattaché à un responsable de niveau C, tandis que dans 42 % des autres, le CISO est rattaché à quelqu un d extérieur au service informatique. Si le rôle des CISO continuera d évoluer au fil du temps, le fait qu ils soient rattachés à des personnes extérieures au service informatique, avec un accès et une participation aux prises de décisions, marque une étape et cette tendance doit se poursuivre. Dans un récent article de CSO Online 3, Eric Cowperthwaite, CSO de Providence Health & Services, Seattle, a également reconnu cette tendance, en déclarant : «[Le] CSO/CISO est devenu un élément permanent de l équipe prenant les décisions relatives à la conduite des affaires de l entreprise. Le CSO dirige les opérations de sécurité dans l entreprise, fonction désormais jugée nécessaire au sein de celle-ci, au lieu de faire l objet de longs discours tout en restant ignorée. Cela constitue selon moi un changement marquant et significatif.» Un alignement stratégique plus étroit permet d intégrer la sécurité plus tôt aux nouvelles initiatives. Les équipes de sécurité peuvent ainsi incorporer la réduction des risques dans la phase de planification au lieu d avoir à déployer de coûteuses solutions de sécurité après coup, qui ralentissent ou bloquent les nouvelles initiatives de l entreprise. 2 «Forrsights: The Evolution Of IT Security,» 2010 à Bill Brenner, Senior Editor, The New CISO: How the role has changed in 5 years, CSO Online, 2 novembre 2010, (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 2

5 Un récent exemple de dispositif de sécurité faisant obstacle aux objectifs des entreprises a été donné par une grande société américaine dont les multiples unités commerciales avaient indépendamment adopté des solutions SaaS (Software-as-a- Service). Lors d une opération de routine portant sur les contrôles du provisioning, l équipe d audit a consulté la documentation sur les contrôles et commencé à examiner les preuves montrant que le processus était suivi. L examen s est bien déroulé jusqu à ce que quelqu un demande comment les utilisateurs accédaient aux applications SaaS. Après beaucoup d efforts, l équipe d audit a finalement réussi à recueillir la documentation applicable à chaque processus et aux propriétaires associés. Il y avait assez de documents pour recouvrir entièrement la grande table de la salle de réunion. Après les avoir analysé attentivement, l équipe a détecté de nombreuses incohérences dans les processus et identifié les propriétaires qui avaient changé de poste, ainsi que les cas où les processus n obéissaient pas aux contrôles existants. Ces résultats de l audit interne ont amené l équipe de sécurité à décider qu aucune application SaaS ne pourrait être adoptée jusqu à nouvel ordre. Les situations de ce type peuvent être évitées si l équipe de sécurité est étroitement alignée avec l entreprise et impliquée de manière précoce dans ses initiatives. De plus, cette implication précoce peut permettre de réduire assez les risques pour inclure de nouvelles initiatives dans le coût des efforts de conformité, au lieu d alourdir encore un budget de sécurité déjà largement grevé. Harmonisation des contrôles Un programme de conformité durable doit efficacement répondre aux diverses directives sectorielles et réglementaires auxquelles l entreprise est soumise, et être suffisamment souple pour s adapter à leurs évolutions. Il doit aussi éliminer le sentiment de panique qui saisit l entreprise à l approche des audits annuels ou trimestriels. Les programmes de conformité précoces et inefficaces, ainsi que de nombreux programmes d aujourd hui, ne répondent pas à ces critères. Les programmes sont réactifs et incluent des projets différents pour chaque réglementation ou directive. La plupart des entreprises ont modifié leur approche et disposent désormais d une équipe centrale pour coordonner les contrôles de sécurité et de conformité. La prochaine étape sur la voie menant à un programme durable repose sur un ensemble harmonisé de contrôles informatiques. Cet ensemble est créé sur la base d un cadre de best practices, et des objectifs de contrôle sont définis pour répondre collectivement à toutes les directives réglementaires, sectorielles et internes à l entreprise. Cette approche permet aux équipes de sécurité et de conformité de se concentrer sur un seul ensemble de contrôles, évitant les confusions, conflits de contrôles et dépenses inutiles. Exploiter un ensemble commun de contrôles simplifie les audits et offre un cadre pour les rapports d audit basé sur le niveau de correspondance des contrôles avec une directive donnée. Au fur et à mesure que l environnement réglementaire évolue, des contrôles peuvent être ajoutés à cet ensemble, permettant à l entreprise de rapidement adapter son programme de conformité. Un bon niveau de sécurité est synonyme de conformité Il n est pas simple de rationaliser les activités de conformité au sein d un cadre commun. Les équipes de sécurité et de conformité peuvent impliquer plusieurs groupes de l entreprise, transcendant les frontières organisationnelles et géographiques. Aborder la sécurité et la conformité avec un ensemble de contrôles harmonisés n est efficace que si les contrôles sélectionnés sont en adéquation avec les risques de sécurité de l entreprise. Il importe de se rappeler que les directives réglementaires et sectorielles sont des recommandations minimales et ne garantissent pas la réponse aux problèmes de sécurité de l entreprise. La violation survenue chez Heartland Payment Systems, Inc. en janvier 2009 constitue un bon exemple : Heartland venait de réussir un audit PCI-DSS lorsqu une violation s est produite. Une approche plus efficace consiste à identifier comment traiter les risques de sécurité de l entreprise et en tirer la conformité désirée. Il est clair que Heartland comprend désormais bien cette approche. Kris Herrin, son directeur technique (CTO), a en effet récemment déclaré : «L une des choses les plus importantes pour nous est de veiller à ce que nos contrôles de sécurité soient durables et appliqués en conséquence [ ] Nous ne pouvons pas décider quelque chose en un quart d heure simplement parce que l idée semble bonne, et réaliser un an plus tard que cette solution ne réduit pas le risque qu elle était censée atténuer.» 4 Afin d améliorer leur sécurité à court et long termes, les entreprises doivent veiller à ce que des contrôles et outils appropriés pour gérer le risque de sécurité soient définis et adaptés à un programme complet de réduction des risques prévoyant la planification du déploiement, du personnel et des processus de sécurité, en phase avec la tolérance au risque et les objectifs stratégiques de l entreprise. Par exemple, un taux incroyable de 86 % de 4 Beth Schultz, What s Next for SIEM? SIEM platforms can deliver, if implemented correctly, SC Magazine ebook (2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 3

6 victimes de violations de données disposaient de preuves dans leurs fichiers journaux avant la violation, selon le 2010 Data Breach Investigations Report. En n examinant pas les journaux, ces entreprises ont laissé la porte ouverte à une violation. Ce comportement montre le danger d une approche «pilote automatique» en matière de conformité. Les entreprises recherchant la conformité pour simplement l obtenir sont comme des personnes qui suivent un régime express. Elles peuvent avoir l air de bien se porter pendant un moment, mais n auront probablement pas amélioré leur santé ou véritablement décidé d adopter une meilleure hygiène de vie. La perte de poids ne sera sans doute pas durable. De même, la conformité durable s obtient le mieux en se concentrant sur la sécurité globale de l entreprise. Automatisation, intégration et optimisation L automatisation de tâches routinières nécessitant un personnel nombreux est essentielle pour réduire les coûts de conformité et éviter le sentiment de panique qui saisit l entreprise à l approche des audits annuels ou trimestriels. L automatisation permet d assurer un processus fiable et reproductible ainsi qu un strict respect des directives. Parmi les exemples de tâches convenant à l automatisation figurent la collecte de données, l évaluation, la surveillance et la mise en œuvre de contrôles techniques et manuels. L automatisation peut aussi être exploitée dans le cadre de la capture et de l utilisation de connaissances intégrées sur l entreprise et les best practices, libérant du personnel qualifié pour des tâches plus importantes. En soulageant des ressources surchargées, l automatisation peut contribuer à réduire le nombre d erreurs humaines et les coûts de formation des nouveaux employés. Ce type d automatisation destiné à assurer sécurité et conformité est ce que les solutions de gouvernance des identités et des accès, de gestion de la sécurité, des informations et des événements (Security, Information and Event Management - SIEM), d évaluation de sécurité et autres packages pour entreprises visent à procurer. Veillez à ce que les outils que vous choisissez offrent le niveau d automatisation dont votre entreprise a besoin. Adaptation à l évolution rapide des menaces Un programme de sécurité et de conformité durable doit être structuré pour s adapter à l évolution des directives de conformité et des menaces, notamment aux changements dans la nature et les motivations des attaques et aux nouveaux risques associés à l évolution des technologies et modèles commerciaux. Évolution des technologies La nature des attaques n a pas cessé d évoluer dans le cadre de la «course à l armement» qui oppose les spécialistes de la sécurité et les pirates. Quoi qu il en soit, cette tendance s accélère alors que les principales motivations des attaques sont désormais financières et politiques. La bonne nouvelle est que les spécialistes de la sécurité ont obtenu le droit d être appelés «professionnels de la sécurité». Certains des membres du personnel informatique les plus talentueux appartiennent à des groupes de sécurité, et les programmes de sécurité mûrissent. La mauvaise nouvelle est que les pirates sont également devenus plus professionnels et organisés. Ils recrutent des talents, investissent dans la recherche et le développement et produisent de nouveaux outils plus avancés. Le ver «Stuxnet» est un exemple notable de ce que ces groupes bien financés peuvent produire. Selon le rapport 2010 Data Breach Investigations Report de Verizon Business RISK Team, 32 % des attaques provenaient de groupes organisés, dont 24 % de groupes issus du crime organisé. 5 En termes de dossiers compromis, le rapport a conclu que 85 % des cas étaient attribuables à des organisations criminelles disposant d un solide soutien financier, notamment du crime organisé et des gouvernements. L une des raisons pour lesquelles la plupart des professionnels de l informatique entrent dans ce domaine est l envie de travailler avec les dernières technologies. L industrie, qui ne les a pas déçus, se caractérise par des vagues constantes de nouvelles technologies, chacune apportant son lot de risques de sécurité et parfois de nouveaux modèles commerciaux. La dernière arrivée est la virtualisation, avec l utilisation de périphériques grand public, de services au sein de l entreprise, d infrastructures en nuage et de services logiciels. Les économies opérationnelles associées à la virtualisation et aux services basés sur l informatique en nuage sont telles que dans certaines entreprises, leur adoption a dépassé la compréhension des risques associés, et les équipes de sécurité sont en train de rattraper leur retard en la matière. Veillez à ce que votre entreprise examine continuellement ces tendances et obtienne l aide de tiers si nécessaire. La plupart des attaques, même les plus sophistiquées, peuvent toujours être ralenties ou stoppées par des contrôles relativement simples, sous réserve d être constamment appliqués. 5 Verizon Business RISK Team en collaboration avec United States Secret Service, «2010 Data Breach Investigations Report», Verizon Business, juillet 2010, (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 4

7 Les nouveaux pirates Aujourd hui, de nombreuses violations de données sont commises non pas par des pirates externes mais par des pirates internes motivés par des raisons financières et/ou politiques. Selon le 2010 Data Breach Investigations Report, 27 % des violations de données ont été exclusivement commises par des agents internes, 1 % par des agents partenaires et 27 % par plusieurs agents. 6 Compte tenu de ce pourcentage élevé de violations attribuées à des pirates internes, la question est de savoir de qui il s agit exactement. Les entreprises d aujourd hui disposent d un personnel varié et dynamique dont les membres sont de plus en plus nombreux à avoir accès, directement ou indirectement, à des informations et systèmes sensibles. Dans cet environnement dynamique, le risque que l activité des utilisateurs contribue à une violation de données est croissant. Le même rapport de Verizon indique que 90 % des activités internes liées à une violation se sont avérées résulter d actions délibérées, 6 % d activités indésirables et 4 % d activités involontaires. 7 Bien souvent, les erreurs commises par inadvertance peuvent aussi entraîner des arrêts de service, un manque à gagner et des échecs aux audits. Par exemple, un grand détaillant américain a récemment été confronté à une panne lorsqu un nouvel administrateur a modifié les stratégies de groupe Active Directory sans suivre le processus de contrôle des changements. L administrateur a ensuite essayé de masquer ses activités lorsqu il a compris qu il était à l origine de la panne. Ses actions ont directement interrompu les livraisons de produits pendant plusieurs jours tandis que les équipes s efforçaient de restaurer les opérations. Si ses actes n étaient pas malveillants, ils n en étaient pas moins indésirables et se sont avérés extrêmement nuisibles. Or, des contrôles relativement simples peuvent considérablement réduire les risques associés à des activités délibérées, indésirables ou involontaires, que ce soit de la part d un utilisateur final classique, d un responsable ou d un administrateur bénéficiant d un accès privilégié. On peut par exemple appliquer une stratégie visant à garantir la désactivation rapide de comptes d employés lorsqu ils quittent l entreprise, éviter le partage de comptes administrateur, et surveiller l activité des utilisateurs bénéficiant d un accès privilégié (administrateurs ou utilisateurs finaux). La fuite de documents de l U.S. State Department via Wikileaks est un exemple d activité non autorisée mené par un utilisateur autorisé. La violation, qui aurait été commise par le militaire américain Bradley Manning, illustre le conflit entre l accès libre aux informations pour améliorer la communication et l accès très restreint à des fins de sécurité. Même si de nombreux signaux auraient prétendument indiqué qu il ne fallait pas se fier à Bradley Manning en matière d informations sensibles, on a pourtant continué à lui octroyer des accès. Par exemple, alors qu il était posté à Fort Huachuca, dans l Arizona, Bradley Manning a été réprimandé pour avoir partagé avec des amis de banales vidéos sur YouTube dévoilant négligemment des informations sensibles. Peu après, il a pourtant obtenu un diplôme d analyste du renseignement ainsi qu une habilitation de sécurité. 8 La première étape consiste à offrir l accès minimal requis. La seconde étape, critique, consiste à surveiller l utilisation des accès privilégiés. Évolution des modèles commerciaux Outre l évolution de la nature des attaques, les entreprises de sécurité sont également confrontées aux problèmes liés à un périmètre de plus en plus dynamique et sommairement défini. Ceux qui sont considérés comme des pirates internes dans la plupart des entreprises d aujourd hui ne sont pas seulement de simples employés et sous-traitants : il peut s agir de membres du personnel de partenaires et de fournisseurs de services gérés, de services hébergement et d informatique en nuage. Toute personne gérant directement ou indirectement des informations sensibles, ou des systèmes et applications en hébergeant, peut être un pirate interne. Beaucoup n ont que très récemment prêté attention à ce fait. Les entreprises sont en train d apprendre qu en externalisant, elles ont délégué des tâches mais pas leurs responsabilités. En conséquence, l accent est de plus en plus mis sur la négociation de contrôles spécifiques et l exigence d audits de sécurité indépendants. La certification SAS 70 ne suffit tout simplement pas. Les prestataires de services, qui ne considéraient auparavant pas que la sécurité était de leur ressort, ont été contraints d introduire des processus de sécurité élémentaires et des audits de routine dans leurs offres de services de base pour rester compétitifs. Dans cet environnement centré sur les données avec des menaces en évolution et des périmètres sommairement définis, on voit se multiplier les discussions et les initiatives visant à passer à ce que Forrester appelle «The Zero Trust Network Architecture». 9 6 Verizon Business RISK Team en collaboration avec le United States Secret Service, «2010 Data Breach Investigations Report». 7 Verizon Business RISK Team en collaboration avec le United States Secret Service, «2010 Data Breach Investigations Report». 8 Denver Nicks, Private Manning and the Making of Wikileaks, This Land, 23 septembre 2010, (consulté le 15 mars 2010). 9 John Kindervag avec Stephanie Balaouras et Lindsey Coit, «Build Security Into Your Network s DNA: The Zero Trust Network Architecture,», Forrester Research, Inc., 5 novembre 2010, LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 5

8 Avec la virtualisation et la bande passante facilement disponible, l externalisation prend une plus grande envergure tandis que l informatique en nuage permet aux petites comme aux grandes entreprises de réduire les coûts et d augmenter la flexibilité au sein de leur service informatique. Comme pour l externalisation, ces évolutions technologiques ne sont pas toujours déployées en gardant la sécurité à l esprit. Devenant de plus en plus conscientes des risques associés à la consolidation des datacenters et à l informatique en nuage, les entreprises et agences ayant une faible tolérance au risque se montrent de plus en plus réticentes à exploiter ces technologies. Heureusement, des experts de l industrie se sont réunis au sein de groupes comme la Cloud Security Alliance (CSA) pour se pencher sur ce problème. Dans la publication «Security Guidance for Critical Areas of Focus in Cloud Computing», la CSA préconise que les entreprises prennent davantage de mesures clés pour protéger les ressources déployées dans le cloud. Dans ce modèle, l accent est mis sur les données de l intérieur et privilégie le renforcement de la sécurité directement au sein du réseau et des systèmes, plutôt que la réaction après coup. Pour améliorer la sécurité, le périmètre finit par s articuler autour des données. Si faire évoluer nos environnements d entreprise vers un tel modèle prendra du temps, son concept fondamental peut être appliqué dès à présent en passant d une vision centrée sur la localisation des systèmes et informations critiques, à la reconnaissance que les pirates internes disposant d accès ne sont probablement pas tous des employés et que toutes les activités doivent être surveillées. Ne vous fiez à personne. 10 Premièrement, les entreprises envisageant d adopter l informatique en nuage doivent identifier les ressources les plus appropriées pour ce type de déploiement et identifier leur tolérance au risque avant de décider si les économies réalisées compenseraient les risques. S il est décidé d utiliser le cloud, l entreprise doit investir une part des économies associées à l informatique en nuage pour financer le développement, la mise en œuvre et la surveillance des contrôles de sécurité spécifiques aux ressources en nuage. Peut-être plus important encore, avant de signer tout accord contractuel avec un fournisseur d informatique en nuage, il est essentiel de convenir des accords de niveau de service, des contrôles requis et des droits d audit, et d intégrer l accord au contrat final. Alignement des objectifs de conformité, de sécurité et commerciaux avec les solutions NetIQ de gestion des identités et de la sécurité NetIQ offre plusieurs gammes de produits dans son portefeuille de solutions de gestion des identités et de la sécurité pour répondre aux besoins des entreprises cherchant à atteindre leurs objectifs de conformité tout en maintenant un environnement sécurisé et en s alignant avec les objectifs stratégiques énoncés : NetIQ Directory and Resource Administrator gère l accès à Microsoft Active Directory, en limitant les actions de l utilisateur à des affichages spécifiques du répertoire global. Dans le cadre de son offre de gouvernance des identités et des accès, NetIQ prend en charge le provisioning des utilisateurs ainsi que d autres tâches et processus automatisés. Il facilite aussi les efforts de consolidation de répertoires et permet la mise en œuvre des stratégies de sécurité et de séparation des tâches (SoD, Separation of Duties). Les produits NetIQ Change Guardian permettent de surveiller et signaler en temps réel les changements intervenant dans votre environnement distribué, avec un affichage détaillé des fichiers, répertoires, partages de fichiers, clés de registre (sous Windows), processus système, etc. Ils offrent aussi de meilleures informations d audit pour optimiser la fidélité et la clarté des informations que les journaux d événements natifs peuvent fournir, et enregistrer des informations antérieures et postérieures aux changements pour améliorer l analyse des incidents. Outil SIEM complet, NetIQ Sentinel simplifie le déploiement, la gestion et l utilisation quotidienne de la technologie SIEM et s adapte rapidement aux environnements d entreprise dynamiques. De plus, il fournit aux professionnels de la sécurité les renseignements vraiment exploitables dont ils ont besoin pour évaluer rapidement leur dispositif de protection contre les menaces et hiérarchiser les actions à entreprendre. NetIQ Secure Configuration Manager permet l évaluation des changements de configuration du système et la création de rapports périodiques connexes, et fait correspondre cette configuration aux exigences réglementaires et best practices pour assurer la conformité avec les lois et normes SOX, PCI-DSS, HIPAA/HITECH, FISMA, NERC CIP, et bien d autres. Par ailleurs, les rapports sur les droits des utilisateurs de NetIQ Secure Configuration Manager évaluent les permissions d accès des utilisateurs aux informations critiques, en montrant à l entreprise qui dispose de quel accès et quel est le niveau d accès aux informations critiques, contribuant à réduire le nombre de menaces internes. NetIQ offre d autres produits pour répondre aux besoins de protection des données et de conformité réglementaire. Pour en savoir plus, visitez le site 10 Cloud Security Alliance, «Security Guidance for Critical Areas of Focus in Cloud Computing», (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 6

9 Conclusion Le défi consistant à élaborer un programme de conformité efficace qui vous permette d atteindre simultanément vos objectifs de conformité, de sécurité et stratégiques est plus complexe que jamais. Respecter des directives réglementaires et sectorielles qui se recoupent, avec souvent le même ensemble de ressources informatiques, prend beaucoup de temps et s avère compliqué. Trop souvent, les équipes de sécurité débordées se contentent simplement de reconnaître puis d oublier les priorités, se laissant guider par un ensemble réduit de critères d audit, au lieu de se consacrer à gérer le risque en cohérence avec la tolérance au risque et les objectifs stratégiques de l entreprise. Outre les pressions liées à la nécessité d obéir à plusieurs exigences et d assurer l utilisation efficace du budget de sécurité, les entreprises sont aujourd hui confrontées à une évolution rapide des menaces. Comme les nouveaux modèles stratégiques tels que l externalisation et l informatique en nuage redessinent le périmètre du réseau et que les attaques motivées par des raisons financières ou politiques sont commises par des groupes organisés sophistiqués ou des pirates internes malveillants, les entreprises doivent rapidement élaborer un programme de sécurité pour éviter les violations. Les entreprises d aujourd hui doivent pouvoir efficacement développer, mettre en œuvre et surveiller des contrôles de sécurité adaptés à leurs informations et infrastructures critiques, quelle que soit leur emplacement. Elles doivent reconnaître que les pirates internes disposant d un accès aux informations critiques ne sont peut-être pas ce qu ils paraissent ; c est pourquoi toutes les activités doivent être surveillées et qu on ne peut vraiment se fier à personne. Dans cet environnement complexe et éprouvant, la meilleure façon de parvenir à la conformité est de bien définir les bases de la sécurité. Appliquez et gérez tout d abord un ensemble harmonisé de contrôles respectant les directives réglementaires et d entreprise auxquelles vous êtes soumis. En mettant en œuvre ces contrôles de sécurité, veillez à ce que les solutions que vous choisissez procurent le niveau d automatisation requis par votre entreprise. L automatisation de tâches routinières nécessitant un personnel nombreux est essentielle pour réduire les coûts de mise en conformité et éviter le sentiment de panique qui saisit l entreprise à l approche des audits car elle assure un processus reproductible et un strict respect des stratégies. Seule une approche intégrée et automatisée de la conformité ancrée dans de solides principes de sécurité se révèle efficace, durable et évolutive, vous permettant d atteindre vos objectifs de conformité et de renforcer le dispositif de sécurité global de votre entreprise. LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 7

10 À propos de NetIQ NetIQ est un fournisseur international de logiciels informatiques d entreprise dont les efforts sont constamment axés sur la réussite de ses clients. NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de protection des informations. De plus, notre société gère les aspects complexes des environnements d applications dynamiques hautement distribués. Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans la gestion des identités, de la sécurité et de la gouvernance, ainsi que des opérations informatiques. Les entreprises sont ainsi en mesure de fournir, mesurer et gérer en toute sécurité des services informatiques à l échelle de leurs environnements physiques, virtuels et en nuage (cloud computing). Associées à notre approche pratique et orientée client de la résolution des problèmes informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la complexité et les risques. Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels de l industrie, visitez le site Ce document est susceptible d inclure des inexactitudes techniques et des erreurs typographiques. Ces informations subissent périodiquement des modifications. De telles modifications peuvent être intégrées aux nouvelles versions de ce document. NetIQ Corporation est susceptible de modifier ou d améliorer à tout moment les logiciels décrits dans ce document. Copyright 2012 NetIQ Corporation et ses affiliés. Tous droits réservés. 562-FR DS 07/12 ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, le logo en forme de cube, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, le logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt et Vivinet sont des marques commerciales ou des marques déposées de NetIQ Corporation ou de ses filiales aux États-Unis. Tous les autres noms de produits et d entreprises mentionnés sont utilisés à des fins d identification uniquement et sont susceptibles d être des marques commerciales ou des marques déposées de leur société respective. France Tour Franklin 100/101, Quartier Boieldieu Paris la Défense Cedex France Tel: Fax: contact-fr@netiq.com info@netiq.com Pour obtenir la liste complète de nos bureaux d Amérique du Nord, d Europe, du Moyen-Orient, d Afrique, d Asie-Pacifique et d Amérique latine, visitez la page : contacts. Suivez-nous : LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 8