Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux

Dimension: px
Commencer à balayer dès la page:

Download "Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux"

Transcription

1 LIVRE BLANC Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux La conformité aux réglementations est une initiative importante pour les entreprises, car la complexité et le poids de l environnement réglementaire ne cessent d augmenter. Avec l augmentation du nombre d attaques informatiques et de menaces internes, les entreprises recherchent désormais une approche plus efficace, plus durable et plus évolutive leur permettant d atteindre leurs objectifs de conformité tout en améliorant leur dispositif de sécurité global. Le présent livre blanc examine certains problèmes auxquels les entreprises modernes sont confrontées dans le cadre de leurs efforts de développement et d adaptation d un programme de conformité pour répondre aux besoins d aujourd hui et aux nouvelles exigences de demain.

2 LIVRE BLANC Table des matières La situation actuelle...1 Les budgets de sécurité continuent d être dictés par la conformité...1 Une pression croissante pour répondre à des réglementations toujours plus strictes...1 L évolution rapide de la nature des menaces de sécurité...1 La sécurité informatique n a pas suivi l évolution des technologies et modèles commerciaux...2 Obtenir une conformité durable...2 Alignement stratégique...2 Harmonisation des contrôles...3 Un bon niveau de sécurité est synonyme de conformité...3 Automatisation, intégration et optimisation...4 Adaptation à l évolution rapide des menaces...4 Évolution des technologies...4 Les nouveaux pirates...5 Évolution des modèles commerciaux...5 Alignement des objectifs de conformité, de sécurité et commerciaux avec les solutions NetIQ de gestion des identités et de la sécurité...6 Conclusion...7 À propos de NetIQ...8 LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux

3 La situation actuelle L actuel environnement réglementaire étant complexe, de nombreuses entreprises éprouvent des difficultés à incorporer des programmes de conformité réglementaire dans leurs opérations quotidiennes de sécurité. Cela peut donner des résultats d audit et des violations de données induisant des mesures coûteuses de réduction des risques, voire des amendes et pénalités. Selon la 2010 Annual Study: U.S. Cost of a Data Breach de Ponemon, le coût organisationnel moyen d une violation de données est d environ 7,2 millions de dollars américains, en hausse de 7 % par rapport à Les programmes de conformité imposant des exigences de plus en plus en lourdes aux ressources informatiques, les entreprises doivent urgemment trouver une approche plus efficace, plus durable et plus évolutive qui leur permettra d atteindre les objectifs de conformité fixés tout en améliorant leur dispositif sécurité global. Le présent livre blanc examine certains problèmes auxquels les entreprises modernes sont confrontées dans le cadre de leurs efforts de développement et d adaptation d un programme de conformité pour répondre aux besoins d aujourd hui et aux évolutions de demain. Les budgets de sécurité continuent d être dictés par la conformité En raison du caractère obligatoire de la conformité réglementaire, assorti de pénalités spécifiques et quantifiables en cas de manquement, une grande part des dépenses globales de sécurité a été consacrée aux initiatives de mise en conformité. Il est difficile de remettre en question cet objectif, car les dépenses de conformité visent à protéger la rentabilité des entreprises et à éviter l augmentation des coûts en cas de manquement ainsi que toute détérioration de l image de marque. Cela dit, lorsque les projets de sécurité sont uniquement axés sur le respect de critères d audit minimaux plutôt que sur la réduction des risques, ce financement perd une grande partie de ses avantages potentiels. Le défi des équipes de sécurité consiste à s assurer que les dépenses de sécurité sont consacrées à un programme complet de réduction des risques aligné sur les objectifs de tolérance au risque et les objectifs commerciaux de l entreprise. Reconnaître et oublier les priorités de sécurité revient à «bachoter». On peut réussir l examen (ou l audit), mais probablement pas retenir les bienfaits qui auraient été obtenus grâce à une étude et à une planification attentives. Réussir un audit PCI-DSS constitue, par exemple, un bon point. Cependant, même la norme PCI-DSS, considérée comme l une des plus strictes, n est qu une norme de sécurité minimale et n offre pas de protection garantie contre les violations de données. Exemple : Heartland Payment Systems et T.J. Maxx avaient tous les deux obtenu la conformité PCI ou étaient en train de l obtenir lorsque leurs systèmes ont été pris pour cibles par un réseau mondial d usurpation d identité, à l origine de deux des plus grandes violations de données de cartes de crédit de l histoire. Cherchez à établir si la conformité guide votre programme de sécurité sans systématiquement renforcer la sécurité. Une pression croissante pour répondre à des réglementations toujours plus strictes Le nombre croissant de réglementations s explique en grande partie par une conscience grandissante du public des mauvaises pratiques des entreprises et des risques de vol de données. Prenant ces craintes en compte, les organismes réglementaires et sectoriels ont réclamé la publication des violations et imposé des contrôles de plus en plus larges assortis de pénalités plus strictes en cas de non-conformité. De plus, alors que les entreprises cherchent à appliquer des normes de conformité en leur sein, elles peuvent imposer des objectifs supplémentaires ou même contradictoires aux administrateurs et responsables de la conformité impliqués dans le processus. À l heure actuelle, bon nombre d entreprises ont du mal à mettre en œuvre un programme de conformité durable capable de respecter l ensemble des réglementations et de s adapter rapidement à leur évolution ou à la création de nouvelles. Votre entreprise peut-elle s adapter rapidement à l évolution des réglementations ou aux nouvelles normes de conformité? L évolution rapide de la nature des menaces de sécurité Les menaces externes, naguère armes de pirates informatiques agissant seuls, sont désormais le fait de groupes organisés et sophistiqués motivés par des gains financiers et politiques. Ces attaques sont souvent financées par des fonds provenant d entreprises internationales, du crime organisé, voire de gouvernements. Compte tenu de ce niveau de soutien, il n est pas surprenant que les violations de sécurité soient facilitées par des technologies de plus en plus sophistiquées et souvent assistées par quelqu un de l intérieur. Les pirates internes sont soudoyés, contraints ou même spécialement recrutés pour rejoindre une entreprise et y voler des informations sensibles. Compte tenu de ces renseignements, savez-vous si votre équipe est prête à se défendre contre ces attaques sophistiquées, et à qui vous pouvez vous fier dans l entreprise? Annual Study: U.S. Cost of a Data Breach, The Ponemon Institute, mars LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 1

4 La sécurité informatique n a pas suivi l évolution des technologies et modèles commerciaux Le personnel représente l un des postes les plus importants des budgets informatiques. Il affiche également l une des hausse les plus rapides. En vue de ralentir cette progression et de contrôler les coûts, des pressions constantes ont été exercées pour externaliser autant que possible, notamment lorsque des compétences spécialisées sont requises. En réalité, cela ne fait que quelques années que l entreprise moyenne dispose exclusivement de ses propres employés. En conséquence, la plupart des entreprises ont mis en place des stratégies et des contrôles pour prendre en charge le personnel temporaire, les partenaires sur site et même les visiteurs. Dans leur volonté de contrôler les coûts, nombreuses sont celles qui ont oublié de tenir compte du fait que l externalisation ne les dégage pas de leurs responsabilités. Si le sous-traitant ne respecte pas les objectifs de contrôle, la responsabilité incombe toujours à l entreprise. Externaliser signifie déléguer, pas renoncer. Comme beaucoup d entreprises ont mis du temps s en rendre compte, leurs stratégies et contrôles n ont pas suivi l externalisation, qu elle soit assurée par un prestataire de services ou un fournisseur d informatique en nuage (cloud computing). Savez-vous qui dans votre entreprise est responsable de garantir que les prestataires de services et fournisseurs d informatique en nuage respectent vos objectifs de contrôle? Prenez-vous les mesures nécessaires pour protéger les informations sensibles? Obtenir une conformité durable La fondation d un programme durable de sécurité et conformité est un cadre commun en phase avec les objectifs de l entreprise, qui répond à l ensemble des directives sectorielles et réglementaires tout en allégeant les risques de sécurité sous-jacents. Si cela est plus facile à dire qu à faire, la solution alternative consiste en un programme coûteux et parfois inefficace qui n améliore en rien la sécurité globale de l entreprise. L alignement avec les objectifs de l entreprise est essentiel pour garantir que les dépenses de sécurité sont consacrées au risque concerné, en fonction de la nature et de la tolérance au risque de l entreprise. À défaut d alignement, il est difficile de prouver l efficacité des dépenses en cours ou de justifier des investissements supplémentaires. Il est impératif de disposer d un cadre commun et harmonisé d objectifs de contrôle pour réduire les coûts et la complexité liés au respect de diverses réglementations. L harmonisation autour d un ensemble commun d objectifs de contrôle n est cependant pas suffisante en soi. Un programme vraiment durable exige d automatiser pour réduire les coûts de main-d œuvre associés à la surveillance suivi, à l application et à la preuve de l efficacité de ces objectifs de contrôle. Alignement stratégique La plus grande reconnaissance de l importance de la sécurité informatique et de la conformité et les coûts élevés connexes ont commencé à influer sur le rôle de directeur de la sécurité. Les responsables de la sécurité informatique (CISO) sont en effet de plus en plus rattachés au PDG ou au responsable financier (CFO) au lieu d occuper une fonction au sein du pôle informatique. Comme l indique un récent rapport Forrester 2, dans 54 % des entreprises, le responsable de la sécurité informatique est directement rattaché à un responsable de niveau C, tandis que dans 42 % des autres, le CISO est rattaché à quelqu un d extérieur au service informatique. Si le rôle des CISO continuera d évoluer au fil du temps, le fait qu ils soient rattachés à des personnes extérieures au service informatique, avec un accès et une participation aux prises de décisions, marque une étape et cette tendance doit se poursuivre. Dans un récent article de CSO Online 3, Eric Cowperthwaite, CSO de Providence Health & Services, Seattle, a également reconnu cette tendance, en déclarant : «[Le] CSO/CISO est devenu un élément permanent de l équipe prenant les décisions relatives à la conduite des affaires de l entreprise. Le CSO dirige les opérations de sécurité dans l entreprise, fonction désormais jugée nécessaire au sein de celle-ci, au lieu de faire l objet de longs discours tout en restant ignorée. Cela constitue selon moi un changement marquant et significatif.» Un alignement stratégique plus étroit permet d intégrer la sécurité plus tôt aux nouvelles initiatives. Les équipes de sécurité peuvent ainsi incorporer la réduction des risques dans la phase de planification au lieu d avoir à déployer de coûteuses solutions de sécurité après coup, qui ralentissent ou bloquent les nouvelles initiatives de l entreprise. 2 «Forrsights: The Evolution Of IT Security,» 2010 à Bill Brenner, Senior Editor, The New CISO: How the role has changed in 5 years, CSO Online, 2 novembre 2010, (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 2

5 Un récent exemple de dispositif de sécurité faisant obstacle aux objectifs des entreprises a été donné par une grande société américaine dont les multiples unités commerciales avaient indépendamment adopté des solutions SaaS (Software-as-a- Service). Lors d une opération de routine portant sur les contrôles du provisioning, l équipe d audit a consulté la documentation sur les contrôles et commencé à examiner les preuves montrant que le processus était suivi. L examen s est bien déroulé jusqu à ce que quelqu un demande comment les utilisateurs accédaient aux applications SaaS. Après beaucoup d efforts, l équipe d audit a finalement réussi à recueillir la documentation applicable à chaque processus et aux propriétaires associés. Il y avait assez de documents pour recouvrir entièrement la grande table de la salle de réunion. Après les avoir analysé attentivement, l équipe a détecté de nombreuses incohérences dans les processus et identifié les propriétaires qui avaient changé de poste, ainsi que les cas où les processus n obéissaient pas aux contrôles existants. Ces résultats de l audit interne ont amené l équipe de sécurité à décider qu aucune application SaaS ne pourrait être adoptée jusqu à nouvel ordre. Les situations de ce type peuvent être évitées si l équipe de sécurité est étroitement alignée avec l entreprise et impliquée de manière précoce dans ses initiatives. De plus, cette implication précoce peut permettre de réduire assez les risques pour inclure de nouvelles initiatives dans le coût des efforts de conformité, au lieu d alourdir encore un budget de sécurité déjà largement grevé. Harmonisation des contrôles Un programme de conformité durable doit efficacement répondre aux diverses directives sectorielles et réglementaires auxquelles l entreprise est soumise, et être suffisamment souple pour s adapter à leurs évolutions. Il doit aussi éliminer le sentiment de panique qui saisit l entreprise à l approche des audits annuels ou trimestriels. Les programmes de conformité précoces et inefficaces, ainsi que de nombreux programmes d aujourd hui, ne répondent pas à ces critères. Les programmes sont réactifs et incluent des projets différents pour chaque réglementation ou directive. La plupart des entreprises ont modifié leur approche et disposent désormais d une équipe centrale pour coordonner les contrôles de sécurité et de conformité. La prochaine étape sur la voie menant à un programme durable repose sur un ensemble harmonisé de contrôles informatiques. Cet ensemble est créé sur la base d un cadre de best practices, et des objectifs de contrôle sont définis pour répondre collectivement à toutes les directives réglementaires, sectorielles et internes à l entreprise. Cette approche permet aux équipes de sécurité et de conformité de se concentrer sur un seul ensemble de contrôles, évitant les confusions, conflits de contrôles et dépenses inutiles. Exploiter un ensemble commun de contrôles simplifie les audits et offre un cadre pour les rapports d audit basé sur le niveau de correspondance des contrôles avec une directive donnée. Au fur et à mesure que l environnement réglementaire évolue, des contrôles peuvent être ajoutés à cet ensemble, permettant à l entreprise de rapidement adapter son programme de conformité. Un bon niveau de sécurité est synonyme de conformité Il n est pas simple de rationaliser les activités de conformité au sein d un cadre commun. Les équipes de sécurité et de conformité peuvent impliquer plusieurs groupes de l entreprise, transcendant les frontières organisationnelles et géographiques. Aborder la sécurité et la conformité avec un ensemble de contrôles harmonisés n est efficace que si les contrôles sélectionnés sont en adéquation avec les risques de sécurité de l entreprise. Il importe de se rappeler que les directives réglementaires et sectorielles sont des recommandations minimales et ne garantissent pas la réponse aux problèmes de sécurité de l entreprise. La violation survenue chez Heartland Payment Systems, Inc. en janvier 2009 constitue un bon exemple : Heartland venait de réussir un audit PCI-DSS lorsqu une violation s est produite. Une approche plus efficace consiste à identifier comment traiter les risques de sécurité de l entreprise et en tirer la conformité désirée. Il est clair que Heartland comprend désormais bien cette approche. Kris Herrin, son directeur technique (CTO), a en effet récemment déclaré : «L une des choses les plus importantes pour nous est de veiller à ce que nos contrôles de sécurité soient durables et appliqués en conséquence [ ] Nous ne pouvons pas décider quelque chose en un quart d heure simplement parce que l idée semble bonne, et réaliser un an plus tard que cette solution ne réduit pas le risque qu elle était censée atténuer.» 4 Afin d améliorer leur sécurité à court et long termes, les entreprises doivent veiller à ce que des contrôles et outils appropriés pour gérer le risque de sécurité soient définis et adaptés à un programme complet de réduction des risques prévoyant la planification du déploiement, du personnel et des processus de sécurité, en phase avec la tolérance au risque et les objectifs stratégiques de l entreprise. Par exemple, un taux incroyable de 86 % de 4 Beth Schultz, What s Next for SIEM? SIEM platforms can deliver, if implemented correctly, SC Magazine ebook (2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 3

6 victimes de violations de données disposaient de preuves dans leurs fichiers journaux avant la violation, selon le 2010 Data Breach Investigations Report. En n examinant pas les journaux, ces entreprises ont laissé la porte ouverte à une violation. Ce comportement montre le danger d une approche «pilote automatique» en matière de conformité. Les entreprises recherchant la conformité pour simplement l obtenir sont comme des personnes qui suivent un régime express. Elles peuvent avoir l air de bien se porter pendant un moment, mais n auront probablement pas amélioré leur santé ou véritablement décidé d adopter une meilleure hygiène de vie. La perte de poids ne sera sans doute pas durable. De même, la conformité durable s obtient le mieux en se concentrant sur la sécurité globale de l entreprise. Automatisation, intégration et optimisation L automatisation de tâches routinières nécessitant un personnel nombreux est essentielle pour réduire les coûts de conformité et éviter le sentiment de panique qui saisit l entreprise à l approche des audits annuels ou trimestriels. L automatisation permet d assurer un processus fiable et reproductible ainsi qu un strict respect des directives. Parmi les exemples de tâches convenant à l automatisation figurent la collecte de données, l évaluation, la surveillance et la mise en œuvre de contrôles techniques et manuels. L automatisation peut aussi être exploitée dans le cadre de la capture et de l utilisation de connaissances intégrées sur l entreprise et les best practices, libérant du personnel qualifié pour des tâches plus importantes. En soulageant des ressources surchargées, l automatisation peut contribuer à réduire le nombre d erreurs humaines et les coûts de formation des nouveaux employés. Ce type d automatisation destiné à assurer sécurité et conformité est ce que les solutions de gouvernance des identités et des accès, de gestion de la sécurité, des informations et des événements (Security, Information and Event Management - SIEM), d évaluation de sécurité et autres packages pour entreprises visent à procurer. Veillez à ce que les outils que vous choisissez offrent le niveau d automatisation dont votre entreprise a besoin. Adaptation à l évolution rapide des menaces Un programme de sécurité et de conformité durable doit être structuré pour s adapter à l évolution des directives de conformité et des menaces, notamment aux changements dans la nature et les motivations des attaques et aux nouveaux risques associés à l évolution des technologies et modèles commerciaux. Évolution des technologies La nature des attaques n a pas cessé d évoluer dans le cadre de la «course à l armement» qui oppose les spécialistes de la sécurité et les pirates. Quoi qu il en soit, cette tendance s accélère alors que les principales motivations des attaques sont désormais financières et politiques. La bonne nouvelle est que les spécialistes de la sécurité ont obtenu le droit d être appelés «professionnels de la sécurité». Certains des membres du personnel informatique les plus talentueux appartiennent à des groupes de sécurité, et les programmes de sécurité mûrissent. La mauvaise nouvelle est que les pirates sont également devenus plus professionnels et organisés. Ils recrutent des talents, investissent dans la recherche et le développement et produisent de nouveaux outils plus avancés. Le ver «Stuxnet» est un exemple notable de ce que ces groupes bien financés peuvent produire. Selon le rapport 2010 Data Breach Investigations Report de Verizon Business RISK Team, 32 % des attaques provenaient de groupes organisés, dont 24 % de groupes issus du crime organisé. 5 En termes de dossiers compromis, le rapport a conclu que 85 % des cas étaient attribuables à des organisations criminelles disposant d un solide soutien financier, notamment du crime organisé et des gouvernements. L une des raisons pour lesquelles la plupart des professionnels de l informatique entrent dans ce domaine est l envie de travailler avec les dernières technologies. L industrie, qui ne les a pas déçus, se caractérise par des vagues constantes de nouvelles technologies, chacune apportant son lot de risques de sécurité et parfois de nouveaux modèles commerciaux. La dernière arrivée est la virtualisation, avec l utilisation de périphériques grand public, de services au sein de l entreprise, d infrastructures en nuage et de services logiciels. Les économies opérationnelles associées à la virtualisation et aux services basés sur l informatique en nuage sont telles que dans certaines entreprises, leur adoption a dépassé la compréhension des risques associés, et les équipes de sécurité sont en train de rattraper leur retard en la matière. Veillez à ce que votre entreprise examine continuellement ces tendances et obtienne l aide de tiers si nécessaire. La plupart des attaques, même les plus sophistiquées, peuvent toujours être ralenties ou stoppées par des contrôles relativement simples, sous réserve d être constamment appliqués. 5 Verizon Business RISK Team en collaboration avec United States Secret Service, «2010 Data Breach Investigations Report», Verizon Business, juillet 2010, (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 4

7 Les nouveaux pirates Aujourd hui, de nombreuses violations de données sont commises non pas par des pirates externes mais par des pirates internes motivés par des raisons financières et/ou politiques. Selon le 2010 Data Breach Investigations Report, 27 % des violations de données ont été exclusivement commises par des agents internes, 1 % par des agents partenaires et 27 % par plusieurs agents. 6 Compte tenu de ce pourcentage élevé de violations attribuées à des pirates internes, la question est de savoir de qui il s agit exactement. Les entreprises d aujourd hui disposent d un personnel varié et dynamique dont les membres sont de plus en plus nombreux à avoir accès, directement ou indirectement, à des informations et systèmes sensibles. Dans cet environnement dynamique, le risque que l activité des utilisateurs contribue à une violation de données est croissant. Le même rapport de Verizon indique que 90 % des activités internes liées à une violation se sont avérées résulter d actions délibérées, 6 % d activités indésirables et 4 % d activités involontaires. 7 Bien souvent, les erreurs commises par inadvertance peuvent aussi entraîner des arrêts de service, un manque à gagner et des échecs aux audits. Par exemple, un grand détaillant américain a récemment été confronté à une panne lorsqu un nouvel administrateur a modifié les stratégies de groupe Active Directory sans suivre le processus de contrôle des changements. L administrateur a ensuite essayé de masquer ses activités lorsqu il a compris qu il était à l origine de la panne. Ses actions ont directement interrompu les livraisons de produits pendant plusieurs jours tandis que les équipes s efforçaient de restaurer les opérations. Si ses actes n étaient pas malveillants, ils n en étaient pas moins indésirables et se sont avérés extrêmement nuisibles. Or, des contrôles relativement simples peuvent considérablement réduire les risques associés à des activités délibérées, indésirables ou involontaires, que ce soit de la part d un utilisateur final classique, d un responsable ou d un administrateur bénéficiant d un accès privilégié. On peut par exemple appliquer une stratégie visant à garantir la désactivation rapide de comptes d employés lorsqu ils quittent l entreprise, éviter le partage de comptes administrateur, et surveiller l activité des utilisateurs bénéficiant d un accès privilégié (administrateurs ou utilisateurs finaux). La fuite de documents de l U.S. State Department via Wikileaks est un exemple d activité non autorisée mené par un utilisateur autorisé. La violation, qui aurait été commise par le militaire américain Bradley Manning, illustre le conflit entre l accès libre aux informations pour améliorer la communication et l accès très restreint à des fins de sécurité. Même si de nombreux signaux auraient prétendument indiqué qu il ne fallait pas se fier à Bradley Manning en matière d informations sensibles, on a pourtant continué à lui octroyer des accès. Par exemple, alors qu il était posté à Fort Huachuca, dans l Arizona, Bradley Manning a été réprimandé pour avoir partagé avec des amis de banales vidéos sur YouTube dévoilant négligemment des informations sensibles. Peu après, il a pourtant obtenu un diplôme d analyste du renseignement ainsi qu une habilitation de sécurité. 8 La première étape consiste à offrir l accès minimal requis. La seconde étape, critique, consiste à surveiller l utilisation des accès privilégiés. Évolution des modèles commerciaux Outre l évolution de la nature des attaques, les entreprises de sécurité sont également confrontées aux problèmes liés à un périmètre de plus en plus dynamique et sommairement défini. Ceux qui sont considérés comme des pirates internes dans la plupart des entreprises d aujourd hui ne sont pas seulement de simples employés et sous-traitants : il peut s agir de membres du personnel de partenaires et de fournisseurs de services gérés, de services hébergement et d informatique en nuage. Toute personne gérant directement ou indirectement des informations sensibles, ou des systèmes et applications en hébergeant, peut être un pirate interne. Beaucoup n ont que très récemment prêté attention à ce fait. Les entreprises sont en train d apprendre qu en externalisant, elles ont délégué des tâches mais pas leurs responsabilités. En conséquence, l accent est de plus en plus mis sur la négociation de contrôles spécifiques et l exigence d audits de sécurité indépendants. La certification SAS 70 ne suffit tout simplement pas. Les prestataires de services, qui ne considéraient auparavant pas que la sécurité était de leur ressort, ont été contraints d introduire des processus de sécurité élémentaires et des audits de routine dans leurs offres de services de base pour rester compétitifs. Dans cet environnement centré sur les données avec des menaces en évolution et des périmètres sommairement définis, on voit se multiplier les discussions et les initiatives visant à passer à ce que Forrester appelle «The Zero Trust Network Architecture». 9 6 Verizon Business RISK Team en collaboration avec le United States Secret Service, «2010 Data Breach Investigations Report». 7 Verizon Business RISK Team en collaboration avec le United States Secret Service, «2010 Data Breach Investigations Report». 8 Denver Nicks, Private Manning and the Making of Wikileaks, This Land, 23 septembre 2010, (consulté le 15 mars 2010). 9 John Kindervag avec Stephanie Balaouras et Lindsey Coit, «Build Security Into Your Network s DNA: The Zero Trust Network Architecture,», Forrester Research, Inc., 5 novembre 2010, LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 5

8 Avec la virtualisation et la bande passante facilement disponible, l externalisation prend une plus grande envergure tandis que l informatique en nuage permet aux petites comme aux grandes entreprises de réduire les coûts et d augmenter la flexibilité au sein de leur service informatique. Comme pour l externalisation, ces évolutions technologiques ne sont pas toujours déployées en gardant la sécurité à l esprit. Devenant de plus en plus conscientes des risques associés à la consolidation des datacenters et à l informatique en nuage, les entreprises et agences ayant une faible tolérance au risque se montrent de plus en plus réticentes à exploiter ces technologies. Heureusement, des experts de l industrie se sont réunis au sein de groupes comme la Cloud Security Alliance (CSA) pour se pencher sur ce problème. Dans la publication «Security Guidance for Critical Areas of Focus in Cloud Computing», la CSA préconise que les entreprises prennent davantage de mesures clés pour protéger les ressources déployées dans le cloud. Dans ce modèle, l accent est mis sur les données de l intérieur et privilégie le renforcement de la sécurité directement au sein du réseau et des systèmes, plutôt que la réaction après coup. Pour améliorer la sécurité, le périmètre finit par s articuler autour des données. Si faire évoluer nos environnements d entreprise vers un tel modèle prendra du temps, son concept fondamental peut être appliqué dès à présent en passant d une vision centrée sur la localisation des systèmes et informations critiques, à la reconnaissance que les pirates internes disposant d accès ne sont probablement pas tous des employés et que toutes les activités doivent être surveillées. Ne vous fiez à personne. 10 Premièrement, les entreprises envisageant d adopter l informatique en nuage doivent identifier les ressources les plus appropriées pour ce type de déploiement et identifier leur tolérance au risque avant de décider si les économies réalisées compenseraient les risques. S il est décidé d utiliser le cloud, l entreprise doit investir une part des économies associées à l informatique en nuage pour financer le développement, la mise en œuvre et la surveillance des contrôles de sécurité spécifiques aux ressources en nuage. Peut-être plus important encore, avant de signer tout accord contractuel avec un fournisseur d informatique en nuage, il est essentiel de convenir des accords de niveau de service, des contrôles requis et des droits d audit, et d intégrer l accord au contrat final. Alignement des objectifs de conformité, de sécurité et commerciaux avec les solutions NetIQ de gestion des identités et de la sécurité NetIQ offre plusieurs gammes de produits dans son portefeuille de solutions de gestion des identités et de la sécurité pour répondre aux besoins des entreprises cherchant à atteindre leurs objectifs de conformité tout en maintenant un environnement sécurisé et en s alignant avec les objectifs stratégiques énoncés : NetIQ Directory and Resource Administrator gère l accès à Microsoft Active Directory, en limitant les actions de l utilisateur à des affichages spécifiques du répertoire global. Dans le cadre de son offre de gouvernance des identités et des accès, NetIQ prend en charge le provisioning des utilisateurs ainsi que d autres tâches et processus automatisés. Il facilite aussi les efforts de consolidation de répertoires et permet la mise en œuvre des stratégies de sécurité et de séparation des tâches (SoD, Separation of Duties). Les produits NetIQ Change Guardian permettent de surveiller et signaler en temps réel les changements intervenant dans votre environnement distribué, avec un affichage détaillé des fichiers, répertoires, partages de fichiers, clés de registre (sous Windows), processus système, etc. Ils offrent aussi de meilleures informations d audit pour optimiser la fidélité et la clarté des informations que les journaux d événements natifs peuvent fournir, et enregistrer des informations antérieures et postérieures aux changements pour améliorer l analyse des incidents. Outil SIEM complet, NetIQ Sentinel simplifie le déploiement, la gestion et l utilisation quotidienne de la technologie SIEM et s adapte rapidement aux environnements d entreprise dynamiques. De plus, il fournit aux professionnels de la sécurité les renseignements vraiment exploitables dont ils ont besoin pour évaluer rapidement leur dispositif de protection contre les menaces et hiérarchiser les actions à entreprendre. NetIQ Secure Configuration Manager permet l évaluation des changements de configuration du système et la création de rapports périodiques connexes, et fait correspondre cette configuration aux exigences réglementaires et best practices pour assurer la conformité avec les lois et normes SOX, PCI-DSS, HIPAA/HITECH, FISMA, NERC CIP, et bien d autres. Par ailleurs, les rapports sur les droits des utilisateurs de NetIQ Secure Configuration Manager évaluent les permissions d accès des utilisateurs aux informations critiques, en montrant à l entreprise qui dispose de quel accès et quel est le niveau d accès aux informations critiques, contribuant à réduire le nombre de menaces internes. NetIQ offre d autres produits pour répondre aux besoins de protection des données et de conformité réglementaire. Pour en savoir plus, visitez le site 10 Cloud Security Alliance, «Security Guidance for Critical Areas of Focus in Cloud Computing», (consulté le 15 mars 2011). LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 6

9 Conclusion Le défi consistant à élaborer un programme de conformité efficace qui vous permette d atteindre simultanément vos objectifs de conformité, de sécurité et stratégiques est plus complexe que jamais. Respecter des directives réglementaires et sectorielles qui se recoupent, avec souvent le même ensemble de ressources informatiques, prend beaucoup de temps et s avère compliqué. Trop souvent, les équipes de sécurité débordées se contentent simplement de reconnaître puis d oublier les priorités, se laissant guider par un ensemble réduit de critères d audit, au lieu de se consacrer à gérer le risque en cohérence avec la tolérance au risque et les objectifs stratégiques de l entreprise. Outre les pressions liées à la nécessité d obéir à plusieurs exigences et d assurer l utilisation efficace du budget de sécurité, les entreprises sont aujourd hui confrontées à une évolution rapide des menaces. Comme les nouveaux modèles stratégiques tels que l externalisation et l informatique en nuage redessinent le périmètre du réseau et que les attaques motivées par des raisons financières ou politiques sont commises par des groupes organisés sophistiqués ou des pirates internes malveillants, les entreprises doivent rapidement élaborer un programme de sécurité pour éviter les violations. Les entreprises d aujourd hui doivent pouvoir efficacement développer, mettre en œuvre et surveiller des contrôles de sécurité adaptés à leurs informations et infrastructures critiques, quelle que soit leur emplacement. Elles doivent reconnaître que les pirates internes disposant d un accès aux informations critiques ne sont peut-être pas ce qu ils paraissent ; c est pourquoi toutes les activités doivent être surveillées et qu on ne peut vraiment se fier à personne. Dans cet environnement complexe et éprouvant, la meilleure façon de parvenir à la conformité est de bien définir les bases de la sécurité. Appliquez et gérez tout d abord un ensemble harmonisé de contrôles respectant les directives réglementaires et d entreprise auxquelles vous êtes soumis. En mettant en œuvre ces contrôles de sécurité, veillez à ce que les solutions que vous choisissez procurent le niveau d automatisation requis par votre entreprise. L automatisation de tâches routinières nécessitant un personnel nombreux est essentielle pour réduire les coûts de mise en conformité et éviter le sentiment de panique qui saisit l entreprise à l approche des audits car elle assure un processus reproductible et un strict respect des stratégies. Seule une approche intégrée et automatisée de la conformité ancrée dans de solides principes de sécurité se révèle efficace, durable et évolutive, vous permettant d atteindre vos objectifs de conformité et de renforcer le dispositif de sécurité global de votre entreprise. LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 7

10 À propos de NetIQ NetIQ est un fournisseur international de logiciels informatiques d entreprise dont les efforts sont constamment axés sur la réussite de ses clients. NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de protection des informations. De plus, notre société gère les aspects complexes des environnements d applications dynamiques hautement distribués. Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans la gestion des identités, de la sécurité et de la gouvernance, ainsi que des opérations informatiques. Les entreprises sont ainsi en mesure de fournir, mesurer et gérer en toute sécurité des services informatiques à l échelle de leurs environnements physiques, virtuels et en nuage (cloud computing). Associées à notre approche pratique et orientée client de la résolution des problèmes informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la complexité et les risques. Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels de l industrie, visitez le site Ce document est susceptible d inclure des inexactitudes techniques et des erreurs typographiques. Ces informations subissent périodiquement des modifications. De telles modifications peuvent être intégrées aux nouvelles versions de ce document. NetIQ Corporation est susceptible de modifier ou d améliorer à tout moment les logiciels décrits dans ce document. Copyright 2012 NetIQ Corporation et ses affiliés. Tous droits réservés. 562-FR DS 07/12 ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, le logo en forme de cube, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, le logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt et Vivinet sont des marques commerciales ou des marques déposées de NetIQ Corporation ou de ses filiales aux États-Unis. Tous les autres noms de produits et d entreprises mentionnés sont utilisés à des fins d identification uniquement et sont susceptibles d être des marques commerciales ou des marques déposées de leur société respective. France Tour Franklin 100/101, Quartier Boieldieu Paris la Défense Cedex France Tel: Fax: Pour obtenir la liste complète de nos bureaux d Amérique du Nord, d Europe, du Moyen-Orient, d Afrique, d Asie-Pacifique et d Amérique latine, visitez la page : contacts. Suivez-nous : LIVRE BLANC : Conformité durable : comment aligner les objectifs de conformité, de sécurité et commerciaux 8

LIVRE BLANC. Introduction... 1

LIVRE BLANC. Introduction... 1 LIVRE BLANC Limitez les risques de violation grâce à la surveillance de l intégrité des fichiers, afin d assurer la sécurité des données et la conformité à la norme PCI DSS La fonctionnalité la plus importante

Plus en détail

Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès

Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès LIVRE BLANC Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès Rien n est permanent, sauf le changement. Cette ancienne maxime est encore plus vraie de nos jours.

Plus en détail

Gouvernance des identités et des accès quand l informatique s aligne sur les besoins des entreprises

Gouvernance des identités et des accès quand l informatique s aligne sur les besoins des entreprises LIVRE BLANC Gouvernance des identités et des accès quand l informatique s aligne sur les besoins des entreprises Sous le joug des menaces informatiques et des réglementations rigoureuses qui lui sont imposées,

Plus en détail

LIVRE BLANC. Table des matières

LIVRE BLANC. Table des matières LIVRE BLANC Limitez les risques de violation grâce à la surveillance de l'intégrité des fichiers, afin d'assurer la sécurité des données et la conformité à la norme PCI DSS La fonctionnalité la plus importante

Plus en détail

Atteindre la flexibilité métier grâce au data center agile

Atteindre la flexibilité métier grâce au data center agile Atteindre la flexibilité métier grâce au data center agile Aperçu : Permettre l agilité du data-center La flexibilité métier est votre objectif primordial Dans le monde d aujourd hui, les clients attendent

Plus en détail

Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE.

Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE. Guide pratique à l intention des décideurs avisés MIGRATION VERS WINDOWS 7 : UN RETOUR SUR INVESTISSEMENT RAPIDE ET TANGIBLE. Windows 7 : mal nécessaire ou réel avantage? Au cours des 24 prochains mois,

Plus en détail

MISE EN OEUVRE D UNE ARCHITECTURE D ANALYSE PRÉDICTIVE DE LA SÉCURITÉ

MISE EN OEUVRE D UNE ARCHITECTURE D ANALYSE PRÉDICTIVE DE LA SÉCURITÉ MISE EN OEUVRE D UNE ARCHITECTURE D ANALYSE PRÉDICTIVE DE LA SÉCURITÉ Présentation de solution RÉSUMÉ Les nouvelles menaces de sécurité nécessitent une nouvelle approche de la gestion de la sécurité. Les

Plus en détail

10 raisons expliquant pourquoi les mises à niveau vers Windows Server 2012 R2 sont essentielles et pourquoi le choix du serveur est crucial

10 raisons expliquant pourquoi les mises à niveau vers Windows Server 2012 R2 sont essentielles et pourquoi le choix du serveur est crucial Liste de vérification pour l ENTREPRISE 10 raisons expliquant pourquoi les mises à niveau vers Windows Server 2012 R2 sont essentielles et pourquoi le choix du serveur est crucial Comment tirer parti aujourd

Plus en détail

TOP 3. des raisons de donner une identité unifiée aux initiés

TOP 3. des raisons de donner une identité unifiée aux initiés TOP 3 des raisons de donner une identité unifiée aux initiés Même si le battage médiatique autour de la sécurité informatique concerne, pour la plupart, les pirates et autres attaques externes, les menaces

Plus en détail

Le talent redéfini en fonction de l économie mondiale. Points de vue sur la situation des talents en finances au Canada. kpmg.ca/lafonctionfinances

Le talent redéfini en fonction de l économie mondiale. Points de vue sur la situation des talents en finances au Canada. kpmg.ca/lafonctionfinances Le talent redéfini en fonction de l économie mondiale Points de vue sur la situation des talents en finances au Canada kpmg.ca/lafonctionfinances Le talent redéfini en fonction de l économie mondiale

Plus en détail

Extension du contrôle d'accès au cloud

Extension du contrôle d'accès au cloud Extension du contrôle d'accès au cloud Les entreprises sont de plus en plus nombreuses à utiliser des applications SaaS (Software-as-a-Service). Même si elles présentent des avantages considérables, ces

Plus en détail

INFORMATION CONNECTED

INFORMATION CONNECTED INFORMATION CONNECTED Solutions Métiers Primavera pour l Industrie des Services Publics Gestion de Portefeuilles de Projets Garantir l Excellence Opérationnelle grâce à la Fiabilité des Solutions de Gestion

Plus en détail

IBM Tivoli Compliance Insight Manager

IBM Tivoli Compliance Insight Manager Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts

Plus en détail

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Stratégies gagnantes pour la fabrication industrielle : Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Stratégies gagnantes pour l industrie : Synthèse Jusqu ici, les

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Instant evolution à l ère du numérique. Faites de la technologie votre atout compétitivité

Instant evolution à l ère du numérique. Faites de la technologie votre atout compétitivité Instant evolution à l ère du numérique Faites de la technologie votre atout compétitivité On sous-estime facilement la distance parcourue en aussi peu de temps, de même que l ampleur des changements qu

Plus en détail

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service Solutions de gestion des actifs et services Au service de vos objectifs d entreprise Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Plus en détail

Faire le grand saut de la virtualisation

Faire le grand saut de la virtualisation LIVRE BLANC : FAIRE LE GRAND SAUT DE LA VIRTUALISATION........................................ Faire le grand saut de la virtualisation Public cible : Directeurs, responsables et administrateurs informatiques

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

IBM Tivoli Identity Manager

IBM Tivoli Identity Manager Automatise la gestion du cycle de vie des identités IBM Tivoli Identity Manager Points forts Gérer l accès aux systèmes hérités et e-business Un moteur de dimensionnement intégré pour automatiser la Permet

Plus en détail

Découverte et investigation des menaces avancées PRÉSENTATION

Découverte et investigation des menaces avancées PRÉSENTATION Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur

Plus en détail

Solution de gestion des journaux pour le Big Data

Solution de gestion des journaux pour le Big Data Solution de gestion des journaux pour le Big Data PLATE-FORME ÉVOLUTIVE D INFORMATIONS SUR LES JOURNAUX POUR LA SÉCURITÉ, LA CONFORMITÉ ET LES OPÉRATIONS INFORMATIQUES Plus de 1 300 entreprises de secteurs

Plus en détail

Impartition réussie du soutien d entrepôts de données

Impartition réussie du soutien d entrepôts de données La force de l engagement MD POINT DE VUE Impartition réussie du soutien d entrepôts de données Adopter une approche globale pour la gestion des TI, accroître la valeur commerciale et réduire le coût des

Plus en détail

CA Server Automation. Vue d ensemble. Avantages. agility made possible

CA Server Automation. Vue d ensemble. Avantages. agility made possible FICHE PRODUIT : CA Server Automation CA Server Automation agility made possible La solution intégrée CA Server Automation permet d automatiser le provisioning, la correction et la configuration des composants

Plus en détail

Société ontarienne d assurance-dépôts

Société ontarienne d assurance-dépôts Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER,

Plus en détail

IBM Global Technology Services Service Management

IBM Global Technology Services Service Management IBM Global Technology Services La voie vers la transformation de l informatique L INFORMATIQUE, UN SOUTIEN AUX MÉTIERS DE L ENTREPRISE Les dirigeants considèrent aujourd hui l informatique comme un levier

Plus en détail

HR. Payroll. Benefits.

HR. Payroll. Benefits. Les ressources humaines peuvent-elles introduire plus de flexibilité, d efficacité et de fiabilité dans la croissance des entreprises? HR. Payroll. Benefits. RESSOURCES HUMAINES : SIMPLIFIER LA GESTION

Plus en détail

SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL

SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL Un livre blanc d IBM SÉCURITÉ DES APPLICATIONS WEB LE GUIDE ESSENTIEL Danny Allan, analyste spécialisé en recherche stratégique TABLE DES MATIÈRES Introduction... 1 Méthodologie d évaluation... 1 Normes

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION CA IT Asset Manager Comment gérer le cycle de vie de mes actifs et disposer d un aperçu complet de ces derniers tout en optimisant la valeur de mes investissements IT? agility made possible

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

Avantage d'une migration vers une solution EDI externalisée

Avantage d'une migration vers une solution EDI externalisée Avantage d'une migration vers une solution EDI externalisée Description Problématique Infrastructure Ressources Logiciel Maintenance Conclusion Avantages d une migration vers une solution EDI externalisée

Plus en détail

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE RÉSUMÉ Depuis des années, les responsables de la sécurité de l information et les responsables opérationnels

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Utilitaire ConfigXpress dans CA IdentityMinder Ma solution de gestion des identités peut-elle rapidement s adapter à l évolution des besoins et des processus métier? agility made possible

Plus en détail

Brochure Datacenter. www.novell.com. Novell Cloud Manager. Création et gestion d un cloud privé. (Faire du cloud une réalité)

Brochure Datacenter. www.novell.com. Novell Cloud Manager. Création et gestion d un cloud privé. (Faire du cloud une réalité) Brochure Datacenter Novell Cloud Manager Création et gestion d un cloud privé (Faire du cloud une réalité) Novell Cloud Manager : le moyen le plus simple de créer et gérer votre cloud WorkloadIQ est notre

Plus en détail

Tufin Orchestration Suite

Tufin Orchestration Suite Tufin Orchestration Suite L orchestration des stratégies de sécurité sur l ensemble des environnements de réseaux physiques et Cloud hybrides Le défi de la sécurité réseau Dans le monde actuel, les entreprises

Plus en détail

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients DOSSIER SOLUTION CA Service Assurance Mai 2010 assurez la qualité et la disponibilité des services fournis à vos clients est un portefeuille de solutions de gestion matures et intégrées, qui contribue

Plus en détail

Stella-Jones pilier du secteur grâce à IBM Business Analytics

Stella-Jones pilier du secteur grâce à IBM Business Analytics Stella-Jones pilier du secteur grâce à IBM Accélération et précision des rapports, budgets et prévisions au service d une entreprise en plein essor En bref Les besoins À la suite de plusieurs acquisitions

Plus en détail

Gérez vos coûts de projet intelligemment

Gérez vos coûts de projet intelligemment Gérez vos coûts de projet intelligemment À propos de De nos jours, les projets en immobilisation sont de plus en plus gros, de plus en plus complexes. Sans une analyse exhaustive de la valeur acquise,

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives Comment assurer une expérience utilisateur exceptionnelle pour les applications métier

Plus en détail

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS?

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS? CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS? Les offres de Cloud public se sont multipliées et le Cloud privé se généralise. Désormais, toute la question est de savoir

Plus en détail

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Cisco Unified Computing Migration and Transition Service (Migration et transition) Cisco Unified Computing Migration and Transition Service (Migration et transition) Le service Cisco Unified Computing Migration and Transition Service (Migration et transition) vous aide à migrer vos applications

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

Service de migration du centre de données Cisco

Service de migration du centre de données Cisco Service de migration du centre de données Cisco Le service Cisco Data Center Migration Service (service de migration du centre de données Cisco) permet aux entreprises et aux prestataires de services d

Plus en détail

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Préparé par : Zeus Kerravala Les cinq raisons majeures pour déployer SDN et NFV NetworkWorld,

Plus en détail

L évolution vers la virtualisation

L évolution vers la virtualisation L évolution vers la virtualisation Dépassez vos attentes en matière de solutions TI. L évolution vers la virtualisation En 2009, la majorité des entreprises québécoises ne s interrogent plus sur la pertinence

Plus en détail

Les enjeux de la Communication Unifiée

Les enjeux de la Communication Unifiée Un profil du choix de technologie personnalisée commandé par Cisco Systems Comment les technologies informatiques répondent à la demande croissante en matière de collaboration mobile et visuelle Juillet

Plus en détail

Comité du programme et budget

Comité du programme et budget F WO/PBC/18/12 ORIGINAL : ANGLAIS DATE : 12 JUILLET 2011 Comité du programme et budget Dix-huitième session Genève, 12 16 septembre 2011 RAPPORT SUR L ÉTAT D AVANCEMENT DE LA MISE EN ŒUVRE D UN SYSTÈME

Plus en détail

Flex Multipath Routing

Flex Multipath Routing Flex Multipath Routing Regroupement des liens privés et publics pour les réseaux étendus (WAN) d entreprise Flex Multipath Routing (FMR) Regroupement des liens privés et publics pour les réseaux étendus

Plus en détail

Gestion des comptes à privilèges (PIM: Privileged Identity Management)

Gestion des comptes à privilèges (PIM: Privileged Identity Management) Gestion des comptes à privilèges (PIM: Privileged Identity Management) 2013 by Lieberman Software Corporation Comptes à privilèges A tous les niveaux de l'entreprise et du Cloud Système d exploitation

Plus en détail

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines? DOSSIER SOLUTION Package CA Clarity PPM On Demand Essentials for 50 Users Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines? agility made possible CA Technologies

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

La Gestion de Portefeuilles de Projets d Entreprise : quatre moyens d accroître le retour sur investissement dans les industries gérant de multiples

La Gestion de Portefeuilles de Projets d Entreprise : quatre moyens d accroître le retour sur investissement dans les industries gérant de multiples La Gestion de Portefeuilles de Projets d Entreprise : quatre moyens d accroître le retour sur investissement dans les industries gérant de multiples actifs Livre Blanc Oracle Octobre 2009 Livre Blanc Oracle

Plus en détail

La simplification de l IT pour répondre aux objectifs de l entreprise

La simplification de l IT pour répondre aux objectifs de l entreprise IBM Janvier 2007 La simplification de l IT pour répondre aux objectifs de l entreprise Une étude de la série «Les implications pour le DSI» d après l enquête Dirigeants d entreprise 2006 Page 2 Sommaire

Plus en détail

RSA AUTHENTICATION MANAGER EXPRESS

RSA AUTHENTICATION MANAGER EXPRESS RSA AUTHENTICATION MANAGER EXPRESS Présentation de solution Les risques liés à l authentification par simple mot de passe sont parfaitement connus. Pourtant, 44 % des entreprises restent aujourd hui fidèles

Plus en détail

maximo IT service management Visibilité et valorisation de vos actifs informatiques

maximo IT service management Visibilité et valorisation de vos actifs informatiques maximo IT service management Visibilité et valorisation de vos actifs informatiques maximo IT service management Accroître vos actifs sans augmenter vos besoins en gestion Vous utilisez des PC, des serveurs,

Plus en détail

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc CONNECTIVITÉ Microsoft Dynamics AX Options de connectivité de Microsoft Dynamics AX Livre blanc Ce document décrit les possibilités offertes par Microsoft Dynamics AX en terme de connectivité et de montée

Plus en détail

Le DSI du futur Rapport d'étude

Le DSI du futur Rapport d'étude Le DSI du futur Rapport d'étude Devenir un catalyseur du changement Partagez ce rapport d'étude Le DSI du futur : Devenir un catalyseur du changement Tandis que la plupart des DSI s accordent à dire que

Plus en détail

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie Découvrir les stratégies ayant fait leurs preuves et les meilleures pratiques Points clés : Planifier

Plus en détail

PRODUCT DEVELOPMENT SYSTEM. Tirer un maximum de plus-value. de la gestion du cycle de vie des produits

PRODUCT DEVELOPMENT SYSTEM. Tirer un maximum de plus-value. de la gestion du cycle de vie des produits SERVICES ET SUPPORT PROCESSUS ET INITIATIVES PRODUCT DEVELOPMENT SYSTEM PRODUITS LOGICIELS SOLUTIONS MÉTIER Tirer un maximum de plus-value de la gestion du cycle de vie des produits La gestion du cycle

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

Cloud Service Management

Cloud Service Management Cloud Service Management HEAT Help Desk SOLUTION BRIEF 1 MODERNISEZ LES OPERATIONS DE GESTION DES SERVICES ET OFFREZ PLUS DE VALEUR STRATEGIQUE A L ENTREPRISE HEAT Cloud Service Management est un ensemble

Plus en détail

Tirez plus vite profit du cloud computing avec IBM

Tirez plus vite profit du cloud computing avec IBM Tirez plus vite profit du cloud computing avec IBM Trouvez des solutions de type cloud éprouvées qui répondent à vos priorités principales Points clés Découvrez les avantages de quatre déploiements en

Plus en détail

CA Mainframe Chorus for Security and Compliance Management version 2.0

CA Mainframe Chorus for Security and Compliance Management version 2.0 FICHE PRODUIT CA Mainframe Chorus for Security and Compliance CA Mainframe Chorus for Security and Compliance Management version 2.0 Simplifiez et rationalisez vos tâches de gestion de la sécurité et la

Plus en détail

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI HSM, Modules de sécurité matériels de SafeNet Gestion de clés matérielles pour la nouvelle génération d applications PKI Modules de sécurité matériels de SafeNet Tandis que les entreprises transforment

Plus en détail

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives Comment assurer une expérience utilisateur exceptionnelle pour les applications métier

Plus en détail

Citrix XenDesktop avec la technologie FlexCast. Citrix XenDesktop : la virtualisation des postes de travail pour tous. www.citrix.

Citrix XenDesktop avec la technologie FlexCast. Citrix XenDesktop : la virtualisation des postes de travail pour tous. www.citrix. Citrix XenDesktop : la virtualisation des postes de travail pour tous www.citrix.fr Les entreprises d aujourd hui doivent satisfaire de nombreux types d utilisateurs : des plus nomades qui utilisent des

Plus en détail

mieux développer votre activité

mieux développer votre activité cloud computing mieux développer votre activité Les infrastructures IT et les applications d entreprise de plus en plus nombreuses sont une source croissante de contraintes. Data centers, réseau, serveurs,

Plus en détail

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés Présentation Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés BÉNÉFICES Un accès à des informations plus précises qui permet une protection renforcée grâce à l analyse

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Cloud Computing*: questions juridiques

Cloud Computing*: questions juridiques 07 Juin 2011 CERT Ist - Forum 2011 Cloud Computing*: questions juridiques Jean-Marie Job Avocat associé de Gaulle Fleurance & Associés jmjob@dgfla.com * Informatique en nuage Ateliers ADIJ Solutions aux

Plus en détail

Case Study. EOS Digital Services

Case Study. EOS Digital Services Case Study EOS Digital Services Un fournisseur de services de sécurité et d automatisation propose un système de stockage haute capacité pour la vidéosurveillance des aéroports d affaires situés en périphérie

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

Livre Blanc Oracle Novembre 2010. Le Bureau des Projets (PMO) : un levier stratégique de création de valeur pour l industrie

Livre Blanc Oracle Novembre 2010. Le Bureau des Projets (PMO) : un levier stratégique de création de valeur pour l industrie Livre Blanc Oracle Novembre 2010 Le Bureau des Projets (PMO) : un levier stratégique de création de valeur pour l industrie Présentation générale Les entreprises industrielles sont confrontées à un environnement

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

Groupe d experts-conseils de Solutions de décision. Solutions de pointe pour entreprises de pointe

Groupe d experts-conseils de Solutions de décision. Solutions de pointe pour entreprises de pointe Groupe d experts-conseils de Solutions de décision Solutions de pointe pour entreprises de pointe Vue d ensemble Les entreprises d aujourd hui font face à de nombreux défis. Problèmes Tandis que le comportement

Plus en détail

SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID

SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID GUIDE DE CONCEPTION SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID VMware Horizon View 5.2 et VMware vsphere 5.1 - Jusqu à 2 000 bureaux virtuels EMC VSPEX Résumé Le présent guide décrit les composants

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

Guide pratique des solutions d automatisation des processus métier Avril 2014

Guide pratique des solutions d automatisation des processus métier Avril 2014 Guide pratique des solutions d automatisation des processus métier Avril 2014 Kemsley Design Limited Kemsley Design Limited www.kemsleydesign.com www.column2.com www.kemsleydesign.com www.column2.com Présentation

Plus en détail

Guide d Intégration PPM et ERP:

Guide d Intégration PPM et ERP: LIVRE BLANC Guide d Intégration PPM et ERP: Stratégies d intégration de logiciels dans les entreprises organisées par projet De: Neil Stolovitsky E-mail: sales@geniusinside.com Website: www.geniusinside.com

Plus en détail

Stratégie IT : au cœur des enjeux de l entreprise

Stratégie IT : au cœur des enjeux de l entreprise Stratégie IT : au cœur des enjeux de l entreprise Business Continuity Convention Tunis 27 Novembre 2012 Sommaire Sections 1 Ernst & Young : Qui sommes-nous? 2 Stratégie IT : au cœur des enjeux de l entreprise

Plus en détail

agility made possible

agility made possible DOSSIER SOLUTION Flexibilité et choix dans la gestion d infrastructure Le SI peut-il répondre aux attentes métier face à la complexité croissante des infrastructures et aux importantes contraintes en termes

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Sécurité sur le web : protégez vos données dans le cloud

Sécurité sur le web : protégez vos données dans le cloud Livre blanc Sécurité sur le web : protégez vos données dans le cloud Présentation Les équipes de sécurité ne peuvent pas être partout, et pourtant le contexte actuel exige des entreprises qu elles protègent

Plus en détail

(epc) Conformité avec les Global Trade

(epc) Conformité avec les Global Trade Des solutions de gestion des informations produit Pour vous aider à atteindre vos objectifs métier IBM WebSphere Product Center Points forts Offre une solution globale de gestion des informations produit

Plus en détail

10 astuces pour la protection des données dans le nouvel espace de travail

10 astuces pour la protection des données dans le nouvel espace de travail 10 astuces pour la protection des données dans le nouvel espace de travail Trouver un équilibre entre la sécurité du lieu de travail et la productivité de l effectif La perte ou la fuite d informations

Plus en détail

ComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES

ComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES TM ComplianceSP TM sur SharePoint 2010 Gestion complète de documents et processus des sciences de la vie sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES Aperçu Consciente de la pression croissante

Plus en détail

Les plates-formes informatiques intégrées, des builds d infrastructure pour les datacenters de demain

Les plates-formes informatiques intégrées, des builds d infrastructure pour les datacenters de demain Livre blanc Les plates-formes informatiques intégrées, des builds d infrastructure pour les datacenters de demain Par Mark Bowker, analyste senior, et Perry Laberis, associé de recherche senior Mars 2013

Plus en détail

Generali France optimise la visibilité et la gestion de l ensemble du portefeuille de projets informatiques grâce à la solution PPM de CA Clarity.

Generali France optimise la visibilité et la gestion de l ensemble du portefeuille de projets informatiques grâce à la solution PPM de CA Clarity. PRESENTATION DE LA TECHNOLOGIE : INNOVATION ET TRANSFORMATION DES ACTIVITES Generali France optimise la visibilité et la gestion de l ensemble du portefeuille de projets informatiques grâce à la solution

Plus en détail

Bureau du vérificateur général. Vérification du processus de planification des activités du Bureau des objets perdus d OC Transpo.

Bureau du vérificateur général. Vérification du processus de planification des activités du Bureau des objets perdus d OC Transpo. Bureau du vérificateur général Vérification du processus de planification des activités du Bureau des objets perdus d OC Transpo Résumé Déposé devant le Comité de la vérification - le 12 mars 2015 Cette

Plus en détail

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Gestion de projets et de portefeuilles pour l entreprise innovante

Gestion de projets et de portefeuilles pour l entreprise innovante LIVRE BLANC Novembre 2010 Gestion de projets et de portefeuilles pour l entreprise innovante accélérer le taux de rendement de l innovation James Ramsay Consultant principal, Gouvernance de la zone Europe,

Plus en détail

CA Automation Suite for Data Centers

CA Automation Suite for Data Centers FICHE PRODUIT : CA Automation Suite for Data Centers CA Automation Suite for Data Centers agility made possible «La technologie a devancé la capacité à la gérer manuellement dans toutes les grandes entreprises

Plus en détail

Lallemand obtient des informations sur ses marges globales

Lallemand obtient des informations sur ses marges globales Lallemand obtient des informations sur ses marges globales Accélération de la production de rapports et de la planification budgétaire Présentation Défi commercial En raison de sa présence dans plusieurs

Plus en détail

Conseil d administration Genève, novembre 2006 PFA/ICTS POUR INFORMATION. Système intégré d information sur les ressources (IRIS) Introduction

Conseil d administration Genève, novembre 2006 PFA/ICTS POUR INFORMATION. Système intégré d information sur les ressources (IRIS) Introduction BUREAU INTERNATIONAL DU TRAVAIL GB.297/PFA/ICTS/2 297 e session Conseil d administration Genève, novembre 2006 Sous-comité des technologies de l'information et de la communication PFA/ICTS POUR INFORMATION

Plus en détail

L avenir de l externalisation des applications : de la tactique à la stratégie

L avenir de l externalisation des applications : de la tactique à la stratégie IBM Global Business Services Livre blanc L avenir de l externalisation des applications : de la tactique à la stratégie Services d application Page 2 Sommaire 2 Introduction 2 Le succès entraîne de nouveaux

Plus en détail

Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME

Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME Des applications disponibles en permanence de la gestion quotidienne des systèmes à la reprise des

Plus en détail

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT ORACLE PRIMAVERA PORTFOLIO MANAGEMENT FONCTIONNALITÉS GESTION DE PORTEFEUILLE Stratégie d approche permettant de sélectionner les investissements les plus rentables et de créer de la valeur Paramètres

Plus en détail

Cinq raisons d aller encore plus loin avec votre environnement de virtualisation

Cinq raisons d aller encore plus loin avec votre environnement de virtualisation Cinq raisons d aller encore plus loin avec votre environnement de virtualisation Selon une étude, l ajout de puissantes fonctions de gestion améliorerait de 20 à 40 % les mesures de performances clés.

Plus en détail