agility made possible Sumner Blount, Merritt Maxim

Transcription

1 LIVRE BLANC Rôle de la gestion des identités et des accès dans la réalisation d une mise en conformité continue Février 2012 Rôle de la gestion des identités et des accès dans la réalisation d une mise en conformité continue Sumner Blount, Merritt Maxim Gestion de la sécurité CA agility made possible

2 Table des matières Résumé 3 Section 1 : Défi de la mise en conformité continue 4 Section 2 : Cycle de vie de la mise en conformité continue 4 Section 3 : Plate-forme de mise en conformité et de sécurité informatique unifiée 7 Contrôle des identités 8 Contrôle des accès 10 Contrôle des informations 12 SECTION 4 : Conclusions 14 Section 5 : CA Content-Aware Identity and Access Management 14 Section 6 : À propos des auteurs 15

3 Vue d ensemble Défi Aujourd hui, les organisations accordent une attention toute particulière au respect des obligations réglementaires, à la sécurisation de leurs systèmes informatiques et à la confidentialité des informations relatives à l entreprise et aux clients. De nombreux facteurs tels que l augmentation des exigences réglementaires, le changement perpétuel des environnements informatiques, les pressions exercées par le conseil d administration et les actionnaires pour une limitation des risques et la nécessité d une réduction des coûts de mise en conformité, freinent la réalisation de ces objectifs technologiques et commerciaux fondamentaux. Une approche efficace est aujourd hui primordiale pour parvenir à une mise en conformité continue dans les environnements réglementaires complexes actuels. Solution Ces exigences peuvent également être à l origine de nouvelles opportunités d amélioration des performances métier. Efficaces, les contrôles de sécurité destinés à la mise en conformité permettent également de limiter les risques, d automatiser les processus clés de réduction des coûts et des erreurs humaines, et de simplifier les audits grâce à la génération automatique de rapports de conformité. Une stratégie de mise en conformité efficace s appuie sur une infrastructure de gestion des identités et des accès intégrée puissante, qui protège les systèmes, les applications, les données et les processus des utilisations ou des accès non autorisés. Pour autant, le contrôle seul des identités des utilisateurs et de leurs accès aux applications et aux informations protégées n est pas suffisant. Pour parvenir à une mise en conformité et à une sécurité efficaces, vous devez contrôler l utilisation des données auxquelles les utilisateurs ont accès. Vous éviterez ainsi toute utilisation abusive ou toute divulgation d informations confidentielles relatives à l entreprise ou à ses clients. Avantages Outre les bénéfices de la mise en conformité continue avec les réglementations actuelles et émergentes, l utilisation d une plate-forme de mise en conformité et de sécurité informatique unifiée offre les avantages suivants : Diminution des risques : elle protège les actifs informatiques critiques, garantit la confidentialité des informations et réduit les risques de sinistres. Efficacité accrue : elle est à l origine du développement de processus métier et informatiques intégrés et automatisés, conçus pour améliorer la productivité des employés et réduire la charge imposée au personnel administratif. Réduction des coûts : elle permet l automatisation des processus de conformité, élimine toute redondance et améliore la productivité. 3

4 Amélioration de l efficacité métier : elle optimise la planification et la prise de décision stratégique. En effet, une infrastructure de mise en conformité et de sécurité forte facilite et accélère l accès des utilisateurs autorisés aux informations de l entreprise. Agilité métier accrue : elle permet à l organisation d être plus réactive face au marché et à la concurrence et d exploiter davantage les opportunités commerciales. Section 1 : Défi de la mise en conformité continue La mise en conformité au service de meilleures performances La mise en conformité est souvent perçue comme une charge. Pourtant, elle représente la possibilité de mieux comprendre l activité, d y instituer des contrôles et des règles efficaces et d utiliser ces contrôles, et la technologie qui les supporte, pour la mise en oeuvre de ces règles et l amélioration des opérations. Il s agit là des avantages réels de la mise en conformité. À mesure que les entreprises les plus réalistes mettent en place leurs efforts de mise en conformité pour une meilleure efficacité, celles qui choisissent de ne pas adopter cette approche holistique se retrouvent nettement désavantagées. Malheureusement, de nombreuses entreprises sont parvenues à se conformer aux règles en utilisant une approche «brutale», à l aide de processus manuels, chronophages et sujets à erreur, uniquement conçus pour répondre aux exigences d une réglementation donnée. L approche la plus efficace consiste à adopter une solution de mise en conformité et de sécurité intégrée et centralisée, permettant de simplifier la mise en conformité continue dans l ensemble de l organisation. Ce document aborde les technologies clés et les meilleures pratiques nécessaires à une stratégie de conformité continue solide. Section 2 : Cycle de vie de la mise en conformité continue Une méthode de mise en conformité continue efficace repose sur plusieurs éléments clés. Pour commencer, vous devez mener à bien les tâches suivantes : Définir un ensemble de phases efficaces et interdépendantes, qui interagissent aux moments clés dans le cycle de vie, et communiquer les informations d une manière bien définies. Déployer un ensemble de contrôles de sécurité automatisés, pour protéger efficacement vos actifs. Pour plus d efficacité, la mise en conformité requiert à la fois des contrôles préventifs et des contrôles de détection. Créer un processus continu (de préférence automatisé) de surveillance des contrôles clés de sécurité pour s assurer régulièrement de leur efficacité. Quantifier les risques actuels dans l ensemble de votre environnement informatique à l aide de l examen de ces contrôles. En fonction du niveau de tolérance des risques de votre entreprise, il se révèlera probablement nécessaire de modifier les règles existantes, renforçant alors également vos contrôles de sécurité. 4

5 Une mise en conformité efficace est un processus continu : un cycle de vie d activités de conformité. Les phases représentées dans l illustration A permettent d identifier les activités et les technologies clés, garantissant la mise en conformité continue. Illustration A. Cycle de vie de la mise en conformité continue 1. Identification des exigences réglementaires : la compréhension précise des exigences d un ensemble de réglementations donné est un véritable défi. De nombreuses entreprises font appel aux services onéreux d experts techniques ou de juristes pour analyser ces nouvelles réglementations et déterminer la conception des règles et des contrôles pouvant répondre aux différentes exigences. L objectif est d éliminer tous les contrôles redondants en mappant toutes vos exigences réglementaires dans un ensemble clé de contrôles harmonisés qui respectera chacune de ces exigences. 2. Définition des règles : les règles sont l essence même de la mise en conformité. Une règle est un énoncé qui intègre les objectifs et les normes de comportement qu une organisation souhaite inculquer à ses employés et à ses partenaires commerciaux. Ces règles sont généralement déterminées par les exigences réglementaires, les risques que l organisation entend contrôler ou les objectifs métier que celle-ci se fixe. Elles ne sont pas immuables. Elles peuvent être modifiées en cas de définition de nouvelles exigences réglementaires, de modification des objectifs de l entreprise ou des niveaux de tolérance des risques. 5

6 3. Prévention des violations : des contrôles préventifs sont utilisés pour éviter toute violation de règle. Ils permettent de protéger la confidentialité des données des clients, d éviter toute fuite de données et de protéger l accès aux ressources critiques de l entreprise telles que les applications, les systèmes et les informations. La gestion des accès Web et des utilisateurs à forts privilèges, ainsi que la prévention des pertes de données sont autant d éléments essentiels dans l intégration des contrôles de sécurité préventifs. 4. Détection et correction des violations : toutes les violations de règles ne peuvent pas toujours être évitées. Des contrôles de détection doivent être instaurés pour permettre l identification des zones de non-conformité. Ainsi, elles pourront être corrigées avant que les préjudices ne deviennent trop importants. L exemple le plus courant concerne les comptes utilisateur inactifs (ils appartiennent à un employé mais ne sont plus utilisés) ou orphelins (appartenant à un ancien employé). Dans les deux cas (en particulier celui des comptes orphelins), un risque potentiel de violation des exigences d un grand nombre de réglementations et de meilleures pratiques existe. Dans cet exemple, il est possible d établir des procédures permettant de surveiller périodiquement ces comptes utilisateur et, le cas échéant, de corriger rapidement les violations. Ces vérifications peuvent être effectuées manuellement, au moyen d une analyse administrateur hebdomadaire. Cependant, une solution automatisée (qui identifie et supprime ces comptes) se révèle plus efficace en matière d identification des violations et de contrôle des risques potentiels. 5. Validation des contrôles : la surveillance et la validation des contrôles de conformité est un processus continu souvent onéreux. Qu il s agisse d un processus régulier ou d une demande à la suite d un audit interne ou externe, il est nécessaire de tester les contrôles pour vérifier leur efficacité. À mesure que les meilleures pratiques en matière de validation de contrôle tendent vers une approche basée sur les risques, les tests se concentrent de plus en plus sur les contrôles clés uniquement. Il s agit d une évolution importante et judicieuse. 6. Surveillance des risques : la mise en conformité ne doit pas être envisagée de manière isolée. Étroitement liée, elle doit être intégrée à un programme complet de gestion des risques informatiques. Il importe également que les changements apportés à votre profil de conformité (p. ex., l échec d un contrôle) se répercutent adéquatement sur votre profil de risque actuel, de manière à pouvoir prendre les mesures requises pour faire face à ce risque accru. Après nous être concentrés sur le cycle de vie de la mise en conformité continue, abordons le sujet des technologies clés pouvant être utilisées pour offrir une solution complète de mise en conformité et de sécurité informatique unifiée. 6

7 Section 3 : Plate-forme de mise en conformité et de sécurité informatique unifiée Nécessité d une plate-forme de mise en conformité et de sécurité unifiée Bien qu il soit possible de déployer des composants technologiques distincts pour répondre aux exigences de mise en conformité et de sécurité les plus urgentes, un déploiement séparé de ces composants peut entraîner des redondances et des inefficacités à l origine d une hausse des coûts et, potentiellement, des risques. Une plate-forme complète de gestion de la mise en conformité et de la sécurité intégrée se révèle être la meilleure façon d assurer un effort de mise en conformité efficace et durable à l échelle de l entreprise. La raison la plus évidente justifiant l adoption d une plate-forme intégrée réside dans le fait que les composants non intégrés et les systèmes disparates sont généralement plus complexes à administrer et à gérer. En outre, une plate-forme unifiée permet l utilisation d éléments, de règles et de contrôles de sécurité communs dans les différents systèmes. Avec une stratégie centralisée, les règles et les contrôles sont harmonisés de façon à minimiser les efforts redondants et les chevauchements (ou les conflits) de contrôles. Fonctions d une plate-forme de mise en conformité et de sécurité unifiée Une plate-forme de gestion des identités et des accès (IAM) complète s avère être la base d une mise en conformité et d une sécurité efficaces. Cette plate-forme IAM vous permet de répondre aux questions de mise en conformité liées aux utilisateurs les plus importantes : Qui a accès à quoi? Que peuvent-ils faire de cet accès? Que peuvent-ils faire des informations ainsi obtenues? Qu en ont-ils fait? Pour répondre à ces questions, vous devez être en mesure d assurer un contrôle efficace des identités des utilisateurs, de leurs accès et de leur utilisation des informations, comme suit : Contrôle des identités : gérer les identités des utilisateurs et leurs rôles, provisionner des utilisateurs pour l accès aux ressources, simplifier la conformité à l aide de règles d identité et d accès et surveiller l activité des utilisateurs et la conformité. Contrôle des accès : mettre en oeuvre des règles relatives à l accès aux systèmes, aux applications Web, aux services système et aux informations clés. Gérer les utilisateurs à forts privilèges afin d éviter toute action inappropriée. Contrôle des informations : détecter, classer et prévenir toute fuite d informations confidentielles, relatives à l entreprise ou à ses clients. 7

8 Le graphique ci-dessous met en évidence les zones clés pour la conformité et décrit les technologies nécessaires à une mise en conformité efficace. Illustration B. Contrôle des identités La plupart des organisations ne considèrent pas la mise en conformité comme une option. Il ne suffit pas que les équipes chargées de la mise en conformité démontrent qu elles disposent de contrôles adaptés. Elles doivent le prouver de façon efficace et rentable. L automatisation des processus de mise en conformité des identités, tels que la certification des droits ou l identification des comptes orphelins, permet aux équipes de mise en conformité de ne pas lutter en permanence pour rassembler manuellement les données nécessaires au respect des exigences imposées par les audits. La gestion du cycle de vie des identités permet une mise en conformité des identités, un provisioning, une gestion des rôles et un reporting de conformité et d activité utilisateur à la fois modulaires et intégrés. Bien que chacune des différentes fonctions de la gestion du cycle de vie des identités puisse faciliter les efforts de mise en conformité, le déploiement simultané de ces fonctions offre une efficacité nettement supérieure. La gouvernance des identités consiste en l implémentation de processus et de contrôles simplifiant la gestion continue des accès utilisateur. Les processus de validation, tels que la certification des droits, exigent que les gestionnaires d utilisateurs, les propriétaires de rôles ou les responsables des ressources valident et vérifient régulièrement les accès actuels. Les accès non nécessaires identifiés via le processus de certification peuvent être rapidement supprimés pour réduire les risques de sécurité. Pratiquement toutes 8

9 les réglementations liées à la sécurité nécessitent une évaluation périodique des droits d accès de chaque utilisateur. Une solution de gouvernance des identités est un outil idéal pour répondre à ce besoin. Le reporting basé sur les droits fait également partie des processus de mise en conformité des identités, puisqu il permet de savoir qui est autorisé à faire quoi. L organisation peut ainsi prendre les éventuelles mesures correctives requises. La mise en oeuvre d un processus de conformité des identités permet aux organisations d implémenter les contrôles nécessaires à la prévention des violations de règles métier et de conformité, tout en réduisant le coût des processus de validation grâce à l automatisation. La gestion des rôles est un élément clé de la gestion efficace des identités et des accès à grande échelle. Les outils de gestion des rôles mettent à disposition des fonctions d analyse puissantes qui aident les organisations à créer une structure de rôles efficace, comprenant rôles, règles, droits d accès, etc. La plupart des réglementations en matière de sécurité exigent un processus d allocation des droits d accès utilisateur clairement défini. En créant un ensemble de rôles mappé vers une fonction avec une série de règles d accès correspondante pour chaque rôle, un ensemble de droits d accès peut facilement être affecté à chaque nouvel utilisateur en fonction de son rôle. Grâce à l identification des failles potentielles (telles que les comptes orphelins ou les affectations excessives de droits), les capacités analytiques des solutions de gestion des rôles apportent une véritable valeur de mise en conformité. De plus, les solutions de gestion des rôles permettent d identifier les rôles probables de chaque utilisateur en fonction de similitudes avec d autres utilisateurs. Elles améliorent la gestion quotidienne des rôles et permettent une exécution plus efficace des processus de conformité, tels que la certification des droits. Pour finir, la gestion des rôles permet aux organisations de développer des règles de sécurité d identité entre les systèmes, pour éviter que les utilisateurs n obtiennent des droits excessifs ou conflictuels. Le logiciel de provisioning automatise les processus d ajout, de modification et de suppression d utilisateurs et des droits qui leur sont associés. Ce type de technologie est essentiel à la mise en conformité réglementaire pour de nombreuses raisons. Tout d abord, le provisioning permet de renforcer les contrôles internes en automatisant le processus d octroi et de suppression des droits d accès. S il n est pas automatisé, le provisioning est un processus manuel chronophage, qui présente des risques d erreurs. En outre, les processus manuels sont plus difficiles à auditer que les processus automatiques. Le provisioning offre également des fonctions préventives puissantes, importantes pour la mise en conformité et la gestion des risques. Les solutions de provisioning permettent de vérifier l absence de violations de séparation des fonctions au cours du processus de provisioning des utilisateurs, afin de réduire les risques de sécurité. Les lois Gramm-Leach-Bliley et Sarbanes-Oxley exigent en effet des contrôles permettant d éviter toute violation de séparation des fonctions. Les solutions de provisioning peuvent également générer des avertissements, lorsque les droits d accès octroyés à un utilisateur diffèrent fortement de ceux octroyés à ses collègues. Les organisations cherchent effectivement à réduire le nombre d affectations excessives de droits parmi les utilisateurs, car ces utilisateurs sont fréquemment à l origine de violations de conformité. Le reporting de conformité et d activité utilisateur est l une des difficultés majeures rencontrées lors de la gestion de la sécurité dans un environnement étendu, en raison de la surabondance d informations relatives aux événements de sécurité générés par les différents composants du système. Ce flux d informations peut submerger le personnel de sécurité, de sorte qu il est quasiment impossible de connaître l état réel de la sécurité informatique. Les quantités massives de données qui ne peuvent pas être traitées intelligemment rendent la surveillance, et donc la mise en conformité, extrêmement difficiles. 9

10 Une mise en conformité efficace requiert des fonctions solides de journalisation et de reporting des événements de sécurité pertinents, ainsi que des capacités de synthèse, d analyse et de présentation des informations dans un format adapté aux administrateurs. En contre-exemple, un système qui se contente de répertorier quotidiennement des milliers d événements «suspects» dans un fichier journal qui ne fait l objet d aucune vérification ou action, ne peut être considéré comme un contrôle interne efficace. L audit de conformité peut alors se révéler encore plus difficile à respecter. Les informations relatives à la sécurité doivent être exploitables et pertinentes. Ainsi, une solution de gestion du cycle de vie des identités solide est un élément essentiel de la mise en conformité informatique. Les systèmes de provisioning et de mise en conformité des identités permettent de déterminer les droits d accès de chaque utilisateur, la date et la raison justifiant l approbation et l affectation de ces droits, et de démontrer qu une règle prudente et cohérente de gestion des droits d accès utilisateur a été implémentée. La gestion des rôles est une base nécessaire, permettant d identifier les droits excessifs et les violations potentielles de séparation des fonctions. Le reporting de conformité et d activité utilisateur garantit, quant à lui, une surveillance effective des contrôles de sécurité permettant d améliorer l efficacité et de faciliter la mise en conformité. Contrôle des accès La capacité de base d une infrastructure de mise en conformité informatique réside dans le contrôle des accès aux systèmes et aux actifs protégés (fichiers, applications, services, bases de données, etc.). Tout ensemble de contrôles internes efficaces doit comprendre un composant de gestion des accès puissant. Deux domaines doivent être pris en compte : la gestion des accès Web et celle des utilisateurs à forts privilèges. Ils sont tous deux essentiels à une mise en conformité efficace. Tout composant de gestion des accès Web doit assurer deux fonctions : l authentification des utilisateurs et l autorisation des accès aux ressources protégées. Les fonctionnalités d authentification doivent être extrêmement flexibles, afin que vous puissiez modifier la méthode d authentification en fonction de facteurs tels que l importance de la ressource accédée, l emplacement de l utilisateur, son rôle, etc. Il est également nécessaire de disposer de différentes méthodes allant de simples mots de passe aux périphériques biométriques. Pour finir, il doit être possible de combiner les méthodes d authentification pour plus de sécurité en cas d applications ou de transactions critiques. L autorisation des accès utilisateur aux applications, aux ressources et aux services protégés est un élément essentiel de la conformité. La loi HIPAA exige, par exemple, l implémentation de règles et de procédures d autorisation d accès aux informations médicales protégées au format électronique (ephi). Sans fonctionnalité de gestion des autorisations puissante, il est impossible de respecter cette exigence. La plupart des organisations doivent se conformer à de nombreuses réglementations, présentant toutes des exigences d autorisation légèrement différentes. Le respect des exigences de conformité devient alors une tâche ardue. En outre, l autorisation s effectue généralement dans chaque application, occasionnant des silos d applications, à l origine d une mise en oeuvre des accès inefficace et bien souvent incohérente. L implémentation d accès distribués peut affaiblir les contrôles internes. Il est effectivement plus difficile pour les administrateurs de déterminer les droits d accès des utilisateurs et la mise en oeuvre de ces droits dans la suite d applications. 10

11 Par ailleurs, le contrôle des actions des administrateurs de sécurité et informatiques, aussi appelé gestion des utilisateurs à forts privilèges, est l un des domaines qui comportent le plus de risques en termes de sécurité informatique.qu elles soient involontaires ou malveillantes, les actions inappropriées des utilisateurs à forts privilèges peuvent avoir des effets désastreux sur les opérations informatiques, la sécurité générale et la confidentialité des actifs et des informations d entreprise. Par conséquent, il est important que les administrateurs effectuent uniquement les actions pour lesquelles ils disposent d une autorisation et seulement sur les actifs appropriés. De nombreuses exigences réglementaires et meilleures pratiques (telles que la norme ISO 27001) exigent l implémentation de contrôles sur les administrateurs. À titre d exemple, citons la section de la norme PCI DSS intitulée «Restriction des droits d accès accordés aux ID d utilisateur privilégiés en octroyant les privilèges les plus faibles qui sont nécessaires pour la réalisation du travail». Les administrateurs partagent souvent (voire même perdent) leurs mots de passe système, entraînant alors un risque encore plus grand de violations des règles. Lorsque tous ces utilisateurs se connectent en tant qu utilisateur «root» ou «Admin», leurs actions consignées dans le fichier journal sont essentiellement anonymes. Ces conditions représentent non seulement un risque de sécurité considérable, mais rendent également la mise en conformité extrêmement difficile. En effet, il est impossible d associer les actions inappropriées à la personne fautive. Un contrôle des accès des administrateurs extrêmement précis est donc nécessaire. Malheureusement, la sécurité des systèmes d exploitation de serveur natifs ne garantit pas un contrôle suffisant des accès aux ressources, ni un audit précis pour le respect des exigences de conformité les plus courantes. Une solution de gestion des utilisateurs à forts privilèges permet aux responsables informatiques de créer et d appliquer des contrôles basés sur des règles pour les accès de ces utilisateurs aux ressources système, de contrôler leur activité ainsi que les circonstances dans lesquelles ces accès sont autorisés. Cela favorise la responsabilisation et permet un meilleur contrôle des ressources IT critiques. L utilisation des mots de passe d utilisateurs à forts privilèges, souvent définis sur leurs valeurs par défaut ou partagés avec des utilisateurs qui ne devraient pas disposer de droits aussi élevés, fait partie des risques de sécurité. C est pourquoi la gestion des mots de passe des utilisateurs à forts privilèges (Privileged User Password Management, PUPM), qui assure une gestion sécurisée de ces mots de passe, constitue une fonctionnalité essentielle de la mise en conformité. La fonctionnalité PUPM autorise l accès aux comptes à forts privilèges grâce à des mots de passe temporaires à usage unique, tout en garantissant la responsabilisation des administrateurs via un audit sécurisé. Elle permet de limiter l accès aux comptes à forts privilèges et de surveiller l utilisation de ces comptes. Ainsi, lorsqu un audit de conformité révèle une violation potentielle, la fonctionnalité PUPM peut déterminer qui est responsable des changements apportés au système critique. La sécurité de la virtualisation gagne en importance à mesure que les entreprises étendent l utilisation de machines virtuelles. Par essence, les environnements virtualisés représentent un risque de sécurité particulier. En effet, en cas de violation de l hyperviseur ou de toute autre machine virtuelle, les préjudices peuvent être considérables. Pour preuve, le supplément aux directives relatives à la norme PCI DSS de 2011 en matière de virtualisation étend de manière significative la portée de la mise en conformité pour la norme PCI DSS, dans la mesure où il exige que si l un des composants d un environnement virtuel contient des données de titulaires de cartes, tout l environnement virtuel (y compris l hyperviseur) doit répondre aux exigences de conformité. Dès lors, la mise en conformité par rapport à la norme PCI DSS implique à présent des contrôles supplémentaires au niveau de l hyperviseur afin de garantir la protection des données des titulaires de cartes. 11

12 L authentification avancée et la prévention des fraudes apportent des fonctionnalités flexibles, destinées à renforcer l authentification de vos utilisateurs. Ces fonctionnalités incluent l authentification basée sur les risques, afin d identifier et d empêcher toute activité frauduleuse. L authentification à deux facteurs, par exemple, assure une meilleure protection que les mots de passe. Cependant, implémentés sous forme de jetons matériels, ces facteurs peuvent eux-mêmes occasionnés des coûts et des problèmes supplémentaires. Une solution d authentification multifacteur réservée aux logiciels permet de mettre un terme à ces problèmes et améliore la sécurité des actifs critiques. Ainsi, tout renforcement de vos contrôles de sécurité facilitera très probablement le respect des différentes réglementations. L authentification basée sur les risques peut améliorer la conformité dans la mesure où elle permet l intégration de facteurs contextuels dans le processus d authentification. De tels facteurs comme l emplacement de l utilisateur, son activité récente et l heure de la journée peuvent impliquer le recours à une authentification renforcée (de niveau supérieur). Il est important que les fonctionnalités de gestion des accès comprennent l ensemble des mainframes de votre environnement. Le niveau de sécurité de votre système se résume à celui du maillon le plus faible. Autrement dit, lorsque le mainframe n est pas sécurisé efficacement, c est l intégralité de votre profil de mise en conformité qui s en trouve affecté. En outre, l intégration de solutions dans l ensemble des mainframes et systèmes distribués est essentielle pour simplifier l administration de la sécurité et assurer une cohérence suffisante des processus dans l ensemble de l environnement. Contrôle des informations De nombreux fournisseurs proposent des solutions axées sur la gestion des identités des utilisateurs et leurs accès. Cependant, il est essentiel que l utilisation des informations soit elle aussi contrôlée afin d être en mesure d identifier tout auteur d une violation des règles d utilisation. Par exemple, les employés reconnaissent souvent que lorsqu ils quittent leur travail, ils emportent des données sensibles de l entreprise. En ces temps de récession économique, il s agit d un facteur de risque majeur contre lequel les organisations doivent se protéger. La capacité à contrôler les accès jusqu au niveau des données (et non pas uniquement jusqu au conteneur, comme un fichier) fait partie des exigences critiques de mise en conformité. Elle permet également de différencier les fournisseurs de solutions de gestion des identités les plus importants. Le terme «Content-Aware IAM» décrit cette capacité. En effet, le contenu réel des données est utilisé pour identifier toute violation des règles de sécurité. L historique de l utilisation des données des utilisateurs peut être utilisé pour modifier, à tout moment, leurs droits d accès afin d éviter tout risque ou toute violation supplémentaires. La possibilité d ajuster les règles et les droits d utilisateurs de manière dynamique en fonction de l historique de l utilisation des données se révèle être une évolution importante et innovante en matière de gestion des accès et des identités. Il est nécessaire que les organisations identifient et détectent les informations sensibles contenues dans l entreprise et leur emplacement. Elles doivent ensuite les protéger et les contrôler correctement. Les solutions de prévention des pertes de données (Data Loss Prevention, DLP) entrent alors en jeu. Elles protègent les organisations contre les pertes de données en analysant et en protégeant ces dernières au niveau des terminaux (ordinateurs portables et de bureau), des serveurs de messagerie (courriels internes et externes, ou envoyés depuis des périphériques mobiles) dans les limites du réseau, et en détectant et en protégeant les données stockées (p. ex. via l identification des données sensibles dans les référentiels SharePoint). Elles permettent la création de règles flexibles destinées à de nombreux types de données (informations d identification personnelle, informations confidentielles, propriété intellectuelle, etc.). Les règles surveillent les activités des données à la recherche de possibles violations de sécurité. Ces activités comprennent l envoi 12

13 de courriels, la messagerie instantanée, l utilisation du Web, le protocole de transfert des fichiers (FTP), le protocole simple de transfert de courrier (SMTP), le protocole de transfert hypertexte (HTTP), l enregistrement sur un support amovible, l impression de fichiers, etc. Une solution DLP permet d identifier les violations et de prendre immédiatement les mesures correctives appropriées, telles que le blocage d une activité, la mise en quarantaine ou l affichage d un avertissement. Le besoin de conformité est essentiel au développement de la prévention des pertes de données. Grâce à la solution DLP, les organisations réduisent le risque de divulgation volontaire ou involontaire des données sensibles ou confidentielles. En effet, le risque de divulgation des données est plus important dans les organisations qui ne sont pas équipées d une solution de ce type et peut entraîner des violations de conformité, suivies de sanctions. Par ailleurs, un besoin métier croissant justifie l adoption d une solution DLP : les clients, les partenaires et les actionnaires exigent désormais que les organisations disposent de solutions DLP avant d entreprendre des transactions avec elles. Ainsi, le déploiement d une solution DLP peut se transformer en un avantage commercial considérable. Le dernier élément clé d une solution DLP réside dans sa capacité à relier les données sensibles à une identité particulière. Il ne suffit pas simplement de savoir que des données confidentielles ont été accédées ou divulguées, le véritable intérêt consiste en l identification de l utilisateur à l origine de cette action. Une fois identifié, l organisation peut examiner le rôle et les droits de cet utilisateur et éventuellement ajuster ses privilèges. Sécurité et mise en conformité dans les environnements virtualisés et Cloud La sécurité représente un défi considérable dans la plupart des environnements d entreprise. La sécurité gagne en complexité à mesure que les entreprises adoptent des modèles informatiques avancés, tels que des environnements virtualisés ou le Cloud Computing. Par exemple, dans un environnement virtualisé, toute faille dans la plate-forme virtuelle peut compromettre l ensemble des applications exécutées sur les machines virtuelles de la plate-forme. De même, le Cloud Computing implique des défis complexes en matière de sécurité en raison de l hébergement multiclient, occasionnant de possibles co-emplacements d informations confidentielles relatives à l entreprise et aux clients entre les nombreux clients de services Cloud. Les entreprises commencent déjà à concevoir des environnements Cloud privés grâce à la virtualisation. Les environnements virtualisés exigent un contrôle maximal des actions des utilisateurs à forts privilèges, ces dernières pouvant avoir des répercussions considérables. Un contrôle précis des accès des administrateurs, ainsi qu une gestion des utilisateurs à forts privilèges, sont donc nécessaires à la sécurisation des environnements virtualisés. Le Cloud Computing est l une des nouvelles tendances informatiques majeures qui requiert des méthodes de sécurité innovantes. Les fournisseurs de services doivent améliorer la sécurité afin d offrir des garanties supplémentaires aux clients potentiels de services Cloud. Un fournisseur de services Cloud se doit de respecter les exigences de conformité et de sécurité de l ensemble de ses clients. Par conséquent, il est important que les fonctions de sécurité des services Cloud soient solides, conformes aux normes et qu elles aient fait l objet de tests rigoureux. La mise en conformité est elle aussi plus compliquée à implémenter dans un environnement Cloud, et ce pour deux raisons. Premièrement, si vos données sont stockées sur le site du fournisseur de services Cloud, il est nécessaire de s assurer que ces données restent confidentielles et sécurisées, mais également qu elles ne sont pas accessibles aux personnes étrangères à l entreprise tout comme aux autres clients de services Cloud ou aux administrateurs non autorisés. Cela engendre un nouveau défi relativement complexe. Deuxièmement, le fournisseur de services doit implémenter des contrôles de conformité adaptés aux exigences des réglementations en vigueur. Par exemple, de nombreux pays ont leurs propres dispositions en matière de respect de la confidentialité des données stockées sur son territoire. Si les données confidentielles de vos clients sont sur le Cloud, il importe que vous sachiez où se trouve ce dernier et comment il est protégé. 13

14 Section 4 : Conclusions Les réglementations gouvernementales en matière de sécurité comprennent souvent les mêmes exigences. Les plus courantes concernent la connaissance de l identité des utilisateurs, des applications et des ressources auxquelles ils ont le droit d accéder et des détails relatifs à l utilisation de ces accès (ex. : la date). La façon la plus efficace d atteindre ce niveau de contrôle consiste en une plate-forme IAM intégrée et centralisée, qui contrôle les identités, les accès et l utilisation des informations. Une solution Content-Aware Identity and Access intégrée est essentielle pour permettre un processus de mise en conformité automatisé, lequel augmente la rentabilité tout en réduisant l effort requis pour une mise en conformité continue. Sans automatisation de la mise en conformité, les contrôles manuels habituels restent d application, limitant l efficacité des contrôles internes et affectant la capacité de l entreprise à pouvoir rivaliser avec des concurrents plus réactifs. Section 5 : Content-Aware Identity And Access Management de CA Technologies CA Technologies est un important fournisseur de logiciels de sécurité qui propose une plate-forme complète de gestion des identités et des accès sensible au contenu, à la fois pour les systèmes distribués et les mainframes. Une solution CA IAM comprend les composants suivants : Contrôle des identités CA IdentityMinder comprend des fonctionnalités avancées de gestion des utilisateurs, telles que le provisioning automatisé des utilisateurs, le self-service des utilisateurs, des workflows de gestion des approbations, la délégation de l administration des utilisateurs et une interface utilisateur simple pour la création des règles et l administration des identités. CA GovernanceMinder offre des fonctions d analyse avancées et un moteur de règles puissant, permettant d améliorer la rentabilité d activités fondamentales telles que l assainissement des droits et la détection des rôles. Contrôle des accès CA SiteMinder offre une structure de gestion de la sécurité centralisée, permettant d utiliser le Web en toute sécurité et de proposer des applications et des données aux clients, partenaires et employés. CA ControlMinder fournit une solution robuste de gestion des utilisateurs à forts privilèges, protégeant les serveurs, les applications et les périphériques dans les divers systèmes d exploitation et plates-formes. Il augmente la précision des droits d accès et améliore la sécurité de base des systèmes d exploitation. Il permet l émission de mots de passe temporaires à usage unique, tout en assurant la responsabilisation des administrateurs via un audit sécurisé. 14

15 CA AuthMinder est une solution d authentification avancée réservée aux logiciels, offrant aux organisations une solution unique permettant de mettre en place une stratégie d authentification robuste et cohérente. En vous appuyant sur un vaste éventail d interfaces et de méthodes d authentification, vous pouvez supprimer tous les coûts redondants de votre processus d authentification. CA AuthMinder s adapte parfaitement aux organisations qui optent pour des méthodes d authentification basées sur les risques et élimine le recours à plusieurs solutions d authentification provenant de différents fournisseurs. CA RiskMinder est une solution Web d authentification basée sur les risques et de détection des fraudes. Elle assure la prévention des fraudes en temps réel dans les services en ligne de clients et d entreprises, sans occasionner de gêne pour les utilisateurs légitimes. CA RiskMinder examine automatiquement une gamme de données et évalue les risques en combinant les analyses basées sur les règles et celles basées sur les modèles. En fonction du score, les utilisateurs peuvent être autorisés à poursuivre, obligés de fournir des informations d identification supplémentaires ou se voir refuser l accès. CA ACF2 et CA TopSecret Security permettent le partage contrôlé des ordinateurs et des données des mainframes, tout en évitant la destruction, la modification, la divulgation et/ou l utilisation abusive, accidentelles et volontaires, des ressources informatiques. Ces solutions vous permettent de contrôler les utilisateurs qui se servent de ces ressources et vous fournissent les données nécessaires à la surveillance efficace de votre règle de sécurité. Contrôle des informations CA DataMinder se sert des identités pour analyser l activité des utilisateurs finals en temps réel et comprendre les données avec un niveau de précision élevé afin d aider les organisations à protéger plus efficacement leurs informations sensibles. Section 6 : À propos des auteurs Sumner Blount a travaillé pendant plus de 25 ans dans les domaines du développement et de la commercialisation de logiciels. Il a dirigé les vastes équipes de développement de systèmes d exploitation de Prime Computer et de Digital Equipment, où il a également supervisé l équipe en charge de la gestion des produits pour environnements informatiques distribués. Il a rejoint CA après avoir occupé plusieurs postes de chef de produit, notamment chez Netegrity, où il était responsable du produit SiteMinder. Il s occupe désormais des solutions relatives à la sécurité et à la conformité au sein de CA Technologies. Merritt Maxim jouit de 15 années d expérience dans la gestion et la commercialisation des produits dans le secteur de la sécurité informatique. Il a notamment travaillé chez RSA Security, Netegrity et CA. Actuellement, Merritt est en charge de la commercialisation des produits relatifs à la gestion des identités et à la sécurité du Cloud. Co-auteur du document intitulé «Wireless Security», Merritt blogue sur divers sujets liés à la sécurité IT et peut être suivi sur Titulaire d un BA cum laude de la Colgate University et d un MBA de la MIT Sloan School of Management, il est l auteur de «Wireless Security». 15

16 CA Technologies est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements, en permettant à ses clients de fournir des services IT plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes informatiques en constante évolution. Pour plus d informations, suivez l actualité de CA Technologies sur ca.com. Copyright 2012 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou l exhaustivité des informations qu il contient. Dans les limites permises par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages. CA ne fournit pas d assistance juridique. Aucun produit logiciel référencé dans le présent document ne peut être substitué à l obligation du lecteur de respecter la législation en vigueur, notamment sous forme de loi, règlement, réglementation, règle, directive, norme, mesure, politique, instruction administrative, décret-loi, ou autre (désignés collectivement sous le nom de «Lois»), évoquée dans le présent document ni à aucune obligation contractuelle tierce. Le lecteur doit consulter un conseiller juridique compétent pour toute information concernant lesdites Lois. CS1933_0212