LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

Transcription

1 Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

2 Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques affectant votre entreprise 4 Définir le processus de mise en conformité et les critères de réussite 5 Identifier tous les composants informatiques cadrant au champ d application 5 Collecter les activités pertinentes des utilisateurs et du système 5 Enregistrer tous les journaux de manière centralisée et rationnelle, conformément aux exigences 6 Mettre en œuvre des tâches régulières 6 Vérifier le suivi continu 6 Démontrer aux auditeurs le statut de conformité 7 Étayer les rapports et les alertes 7 Conclusion

3 Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité La conformité sans la complexité TIBCO LogLogic Compliance Manager vous permet de surveiller l activité de l entreprise et de gérer les risques, ainsi que de gérer et d analyser les politiques réseau en fonction des exigences et des règlements. A chaque édition de TIBCO LogLogic Compliance Suite, la plate-forme LogLogic est optimisée avec des centaines de rapports spécialisés et d alertes spécifiquement adaptées aux exigences d une norme individuelle : IT Governance Institutes IT governance and control framework (COBIT) Federal Information Security Management Act (FISMA) Health Insurance Portability and Accountability Act (HIPAA) ISO 27002, une norme internationale de sécurité des informations (ISO) IT Infrastructure Library (ITIL) North America Electric Reliability Council (NERC) Payment Credit Card Industry Data Security Standard (PCI DSS) Sarbanes-Oxley Act (SOX) «La gouvernance informatique ne se résume pas à la sécurité ou à la conformité ; le défi consiste à rester sécurisé et compatible tout en optimisant les performances de l entreprise.» Khalid Kark, Analyste principal, Sécurité des informations et gestion des risques, Forrester Research Inc. 10 étapes essentielles Pour mettre en route une stratégie globale de mise en conformité à l échelle de l entreprise, il faut comprendre les exigences spécifiques de votre secteur et de votre entreprise. Ensuite, des règles doivent être mises en place pour collecter, alerter, générer des rapports, enregistrer, rechercher et partager les données de tous les systèmes, applications et éléments de réseau. Il se crée un processus en boucle fermée qui régit le cycle de vie des données d entreprise et garantit le succès de votre programme de conformité. Voici les 10 étapes essentielles pour mettre en œuvre un programme de conformité à l échelle de l entreprise : 1 Comprendre les exigences La première étape consiste à comprendre les exigences des réglementations auxquelles vous êtes soumis au sein de votre secteur. Quelle que soit l industrie où évolue votre entreprise, vous êtes astreints à de nombreuses normes et réglementations, et il existe également des mécanismes et des contrôles pour permettre aux diverses unités commerciales au sein de l organisation de se conformer aux règles de sécurité et de gestion des risques. Si certains contrôles ne sont pas respectés, une entreprise peut perdre des clients ou des contrats, et le non-respect des réglementations sectorielles et des exigences juridiques peut entraîner des conséquences plus graves, notamment des amendes, voire des peines d emprisonnement. Une compréhension approfondie des exigences pertinentes à votre industrie peut vous éviter bien des problèmes. 3

4 2 Mettre en œuvre des contrôles informatiques affectant votre entreprise En mettant en place des contrôles et des normes informatiques, l entreprise peut gérer les tâches de conformité, ce qui garantit qu elle gardera le bon cap. Toutefois, il faut pour cela comprendre le langage spécifique à la gestion des données de journal utilisé dans ces cadres normatifs. Les principales normes (COBIT/SOX, ISO, NIST, FISMA et PCI) se caractérisent toutes par des langages spécifiques se rapportant à la collecte et à la conservation des données de journal. Par exemple, l exigence 10 de la norme PCI indique que les entreprises doivent journaliser et suivre les activités des utilisateurs, automatiser et sécuriser les historiques, analyser les journaux tous les jours et conserver l historique d audit pendant au moins un an. D autres normes appliquent les mêmes exigences en matière de collecte et de conservation des données de journal. Il est important que les entreprises mettent en place ces normes en comprenant vraiment quelles en sont les exigences. «Grâce à LogLogic, nous avons rentabilisé notre investissement en moins de six mois, ce qui aurait été impossible avec une solution open source. Mais ce n est pas tout : après avoir installé la solution LogLogic, nous avons remarqué que nous pouvions voir pour la première fois les détails de nos processus réseau. Ainsi, nous sommes devenus considérablement plus conscients des problèmes de sécurité et nous sommes donc à même de réagir en conséquence.» Florian Gohlke, Président de LAVEGO AG 3 Définir le processus de mise en conformité et les critères de réussite Une fois que vous avez compris les exigences d un règlement ou d une norme, il convient de déterminer le champ d application, la configuration et le mécanisme de collecte, d alerte, d établissement de rapports, et d enregistrement des données nécessaires pour satisfaire aux exigences des auditeurs ou des parties prenantes. Ce processus progressif vous permet de définir des objectifs et des tâches, ce qui garantit le succès de votre stratégie de conformité. Par exemple, dans la détermination du champ d application, vous devez chercher à identifier tous les composants du système qui sont soumis à un règlement donné. Vous pouvez ensuite définir les tâches clés liées à cet objectif. En fois ces tâches terminées, vous pouvez passer à la configuration des éléments, des systèmes et des applications réseaux afin de générer les messages de journalisation requis. Après le pr«ocessus de configuration, vous pouvez commencer à définir des tâches dépendantes pour d importantes activités de conformité, notamment la collecte et la conservation des données, la mise en place d alertes automatisées et la création de rapports sur ces données. «Il nous fallait une solution permettant de collecter tous les journaux nécessaires dans un seul endroit et d assurer la conformité, tout en nous aidant également à limiter le temps nécessaire pour générer des rapports.» Daniel Barone, administrateur système, Plantronics 4

5 Bien que sa solution TIBCO LogLogic ait été configurée pour générer des rapports de conformité, Ameren Corporation a découvert des avantages inattendus, notamment que toutes les modifications du firewall devaient passer par un processus officiel de demande de modification, qui était parfois omis dans les situations d urgence. Avec LogLogic, les administrateurs informatiques peuvent identifier toute modification du firewall et réagir en conséquence. En outre, LogLogic montre quels changements ont été demandés et approuvés, et compare ces informations aux modifications effectivement réalisées, ce qui garantit une sécurité extrêmement rigoureuse. Le Lowry, un prestigieux centre théâtral et artistique, avait besoin d un système de gestion des journaux fonctionnant avec ses infrastructures existantes, conforme aux règlements de sécurité de la norme PCI DSS, et répondant aux besoins de gestion des événements et de mise en place des meilleures pratiques. Outre ses qualités de gestion de la conformité, LogLogic alerte le Lowry de toute menace extérieure potentielle. En cas de tentative de piratage du site Web, comme des attaques par force brute par exemple, la solution LogLogic alerte l équipe informatique. Avant de déployer LogLogic, l équipe savait qu une attaque était en cours seulement après l occurrence d un événement de sécurité. 4 Identifier tous les composants informatiques cadrant au champ d application La conformité du matériel n est pas le seul aspect à contrôler. Les serveurs, les applications et les systèmes développés en interne doivent également être surveillés. Les composants spécifiques nécessitant une surveillance dépendront des normes et des règlements qui s appliquent à votre industrie. Par exemple, si la norme PCI s applique à votre entreprise, tous les composants qui transmettent, traitent ou enregistrent des informations financières entrent dans le champ d application. 5 Collecter les activités pertinentes des utilisateurs et du système Les données de journal issues des composants informatiques au sein de l entreprise produisent une empreinte digitale des activités des utilisateurs. Ces informations sont nombreuses et variées : tentatives infructueuses de connexion, violations de sécurité, téléchargements de fichiers, accès aux données de carte de crédit, fuites d informations, activité des utilisateurs et du système, privilèges attribués et modifiés, applications non contrôlées, transactions des clients et données de messagerie. Les auditeurs attendent de vous une surveillance quotidienne de ces informations. Les données de journal permettent d avoir un excellent aperçu de l état de santé et de la sécurité du réseau. Par conséquent, il est essentiel de collecter, d enregistrer et d avoir accès à toutes ces données. 6 Enregistrer tous les journaux de manière centralisée et rationnelle, conformément aux exigences Toutes les informations issues des composants réseau (matériel, serveurs, applications et systèmes développés en interne) doivent être collectées sur des emplacements géographiquement distants et placées dans des archives centrales. Ces archives doivent être stockées sur le long terme, conformément à la réglementation. La plupart des règlements précisent que les données de journal doivent être conservées entre 1 et 7 ans : 7 ans pour l archivage à long terme 1 à 3 ans pour l accès immédiat aux données d analyse et de conformité 90 jours en ligne pour une utilisation opérationnelle Il ne devrait pas s agir de mesures provisoires. Il peut être aussi coûteux et inefficace d avoir trop que pas assez d informations archivées. Il convient de s assurer que les données non pertinentes ne prennent pas d espace précieux sur le disque dur et ne ralentissent pas vos activités de recherche et de découverte. 5

6 En plus d assurer la conformité vis-à-vis de la norme PCI, la solution LogLogic de The Body Shop permet à l équipe informatique de découvrir et de résoudre les autres problèmes du système. Lorsque l équipe a dû utiliser une zone de réseau hautement sécurisée pour le traitement des cartes de crédit, afin de saisir des informations hors cartes de crédit, LogLogic a fourni des données de journal qui lui ont permis de comprendre comment faire communiquer les systèmes entre eux. Le logiciel LogLogic a également permis à The Body Shop d identifier des logiciels de point de vente générant un trafic important. Les fonctions d analyse système de LogLogic ont permis à The Body Shop de réduire le trafic en reconfigurant le logiciel. Hamleys est un détaillant en jouets évoluant à l échelle internationale. En déployant LogLogic, Hamleys a pu intégrer l ensemble des données de journal de son infrastructure dans le souci de renforcer sa cybersécurité. L entreprise est maintenant en mesure d empêcher toute utilisation abusive des données confidentielles de manière beaucoup plus rigoureuse. Toute la structure est surveillée de façon proactive 24 heures sur 24 et 7 jours sur 7, et des alertes en temps réel permettent d identifier toute activité inhabituelle au moment même où elle se produit. La solution ne se limite pas à assurer des analyses suite à une violation, mais surveille de façon proactive et prend des mesures en cas de transactions inhabituelles et suspectes, ou en cas d activités malveillantes. La solution inclut également des fonctions d analyse approfondie afin de comprendre les failles de sécurité éventuelles et d en assurer un suivi, ainsi que d identifier des moyens pour sécuriser le système à l avenir. 7 Mettre en œuvre des tâches régulières Certaines tâches, notamment le suivi d activité des utilisateurs, doivent être réalisées quotidiennement, mais d autres ne sont à réaliser qu une fois par semaine ou par mois, voire ponctuellement. Il est important de déterminer par avance la fréquence des tâches critiques. Les normes de contrôle et les meilleures pratiques informatiques donnent des recommandations quant à la fréquence des tâches spécifiques. Les alertes automatisées sont utiles pour les tâches ponctuelles telles que la surveillance des échecs excessifs de connexion d utilisateurs, les attaques IDS ou l analyse des demandes de gestion des changements. Les rapports automatiques facilitent les tâches quotidiennes et hebdomadaires, notamment l analyse des journaux sur les accès des utilisateurs ou les modifications de la configuration, ou la vérification que les sauvegardes sont effectuées correctement. «Lorsque nous mettons en œuvre des systèmes dans une unité extérieure, nous avons très peu de temps pour tout mettre en place, dépanner et mettre en ligne : nous avons besoin d une solution de journal facile à utiliser et aussi conviviale que possible. Nous avons ajouté de nouveaux firewalls et à chaque fois que de nouveaux équipements ont été ajoutés à notre environnement, il m a fallu moins d une minute pour envoyer les journaux à LogLogic et qu il les accepte. Avec LogLogic, c est aussi simple que cela.» 8 Vérifier le suivi continu Christopher Courtright, ingénieur senior en sécurité, Republic Airways Holdings LLC Les mécanismes d alerte et les rapports programmés informent le service informatique quand un composant, un système ou une application n est pas conforme aux règles. Au cours d un audit, les auditeurs voudront disposer d informations spécifiques sur les incidents qui se sont produits et les actions mises en œuvre pour circonscrire ou résoudre l incident. Les questions peuvent inclure : Quelles alertes actives sont définies pour surveiller ces contrôles? Quelle alerte avez-vous reçue? Peut-on voir la preuve que vous avez pris connaissance de l alerte? Peut-on voir la preuve que vous avez mis en œuvre une enquête sur l incident? Peut-on voir la preuve que vous consultez périodiquement les journaux des utilisateurs? Peut-on voir la preuve que vous avez supprimé les comptes des employés après la résiliation de leur contrat de travail? 9 Démontrer aux auditeurs le statut de conformité Grâce aux rapports programmés et aux alertes, vous pouvez également démontrer aux auditeurs le statut de conformité. Les alertes doivent être définies sur la base de la conformité aux normes SOX, PCI, ISO, HIPAA, ou autre réglementation ou meilleure pratique que vous mettez en œuvre. Ensuite, les rapports peuvent être utilisés pour démontrer la conformité. Un auditeur peut demander à voir le rapport que vous utilisez effectivement pour démontrer la séparation des tâches, par exemple. Les solutions de gestion des journaux et les outils d analyse tels que TIBCO LogLogic proposent des modèles de rapports intégrant les normes communes de contrôle informatique, afin de simplifier le processus de création de rapports de conformité. 6

7 10 Étayer les rapports et les alertes Les alertes et les rapports sur les journaux doivent être étayés par des archives de journaux irréfutables. Il est essentiel d enregistrer les journaux de façon centralisée à l aide d une solution d archivage à long terme vouée à préserver l intégrité des données. Pour obtenir des journaux irréfutables, il convient d établir certaines précautions telles que l horodatage, la signature numérique ou le cryptage, pour éviter la falsification, à la fois au moment où les données transitent du périphérique de journalisation au périphérique de stockage et pendant la période d archivage. Conclusion La conformité n est plus un projet informatique isolé : il s agit d un effort déployé à l échelle de l entreprise qui exige la coopération entre les unités commerciales et une compréhension profonde des exigences, règlements, normes et contrôles informatiques nécessaires pour votre secteur et activité spécifiques. La conformité doit être considérée comme une problématique structurelle nécessitant une approche fonctionnelle, mettant en œuvre des personnes, des processus et des technologies. Pour simplifier la conformité et réduire les coûts et les ressources nécessaires pour réaliser les tâches liées à la conformité, il convient de prendre les mesures nécessaires pour comprendre, définir et mettre en œuvre les contrôles et les cadres informatiques appropriés pour votre entreprise. TIBCO Software Inc. (NASDAQ : TIBX) est un des principaux fournisseurs mondiaux de logiciels d infrastructure et de Business Intelligence. Pour les besoins en matière d optimisation des stocks, de vente croisée de produits ou de prévention des crises, TIBCO propose la solution Two-Second Advantage qui permet de capturer les informations requises au moment adéquat et de les exploiter en priorité afin de gagner un avantage concurrentiel. Son large éventail de produits et services innovants fait de TIBCO le partenaire technologique stratégique de clients du monde entier. Pour en savoir plus sur TIBCO, consultez le site TIBCO Siège mondial 3307 Hillview Avenue Palo Alto, CA Tél. : Fax : , TIBCO Software Inc. Tous droits réservés. TIBCO, le logo TIBCO, TIBCO LogLogic et TIBCO Software sont des marques ou des marques déposées de TIBCO Software Inc. aux États-Unis et/ou dans d autres pays. Tous les autres noms de produits et de sociétés ainsi que toutes les autres marques figurant dans ce document sont la propriété de leurs détenteurs respectifs et ne sont mentionnés qu à des fins d identification. 7 exported29aug2014