Total Protection for Compliance : audit unifié des stratégies informatiques

Transcription

1 Présentation de solution Total Protection for Compliance : McAfee Total Protection for Compliance Les réglementations et les normes se multiplient, tandis que la complexité et le coût des audits informatiques ne cessent d'augmenter. Pour faire face aux nouvelles exigences, aux contrôles toujours plus nombreux et à l'évolution des recommandations, la stratégie consistait jusqu'à présent à déployer de multiples technologies afin de gérer les cycles d'audits informatiques et de garantir la conformité. McAfee établit de nouvelles normes en matière d'intégration et d'automatisation en proposant ce qui se fait de mieux en la matière : une approche combinant audits de stratégies avec et sans agent. McAfee Total Protection for Compliance allie la puissance de McAfee Vulnerability Manager et de McAfee Policy Auditor, et les intègre avec McAfee epolicy Orchestrator (McAfee epo ) pour créer une plate-forme unique de déploiement, de gestion, d'analyse des risques et de génération de rapports de conformité. Principaux avantages Solution intégrée avec et sans agent (epo) Solution avancée permettant de mesurer efficacement la conformité des systèmes managés et non managés Renseignements exploitables Possibilité pour les clients d'identifier les infractions aux stratégies et les vulnérabilités et de les hiérarchiser en fonction des risques Normes ouvertes Contenu défini par un comité faisant autorité, exploité par le gouvernement fédéral américain et ouvert à toute inspection La solution McAfee Total Protection for Compliance : simplifie la couverture de la conformité grâce à des audits de stratégies informatiques unifiés ; propose l'approche technologique la plus efficace qui soit grâce à la prise en charge d'analyses avec et sans agent ; automatise les tâches fastidieuses d'audit en consolidant les évaluations sur les réseaux et les hôtes ; améliore et optimise les investissements déjà consentis dans l'infrastructure de gestion de la sécurité ; accroît l'efficacité de la sécurisation grâce à la technologie avancée de gestion des risques avec contremesures de McAfee ; réduit le temps de préparation des audits grâce à la prise en charge de l'automatisation du contenu des normes sectorielles. Solution McAfee Total Protection for Compliance Notation adaptée et gestion des risques avec contre-mesures Hiérarchisation des activités de correction et génération de rapports précis sur les infractions aux règles de conformité Modèle d'audit continu Données en permanence à jour en vue des audits internes et externes McAfee epo Gestion des problèmes et des exonérations Workflow de contrôle d'accès basé sur les rôles (RBAC, Role Based Access Control) et gestion des exonérations en adéquation avec les processus opérationnels Evaluations (sans agent) de McAfee Vulnerability Manager Correction et mise en œuvre de stratégies Utilisation de Remediation Manager pour automatiser les corrections et de MNAC pour garantir la conformité Evaluations (avec agent) de McAfee Policy Auditor

2 L'architecture peut limiter la couverture de la conformité Bon nombre de réglementations et de normes sont conçues pour garantir la mise en place de configurations de sécurité qui respectent les meilleures pratiques et les références sur les platesformes hôtes, ainsi que des analyses régulières afin d'épingler les vulnérabilités internes et externes. En conséquence, de nombreuses entreprises ont mis en œuvre une forme ou l'autre d'évaluation automatisée des contrôles afin de définir et de mesurer la conformité aux stratégies de sécurité. Les évaluations automatisées se font au moyen de solutions avec ou sans agent. Les solutions avec agent doivent être déployées à l'aide d'un agent logiciel qui réside physiquement sur le poste client managé (serveur, poste de travail, périphérique réseau ou autre). Ces solutions proposent des évaluations exhaustives des stratégies indépendamment de la disponibilité du réseau, mais sont limitées aux systèmes sur lesquels les agents peuvent être installés. Les périphériques tels que les routeurs, les commutateurs, les imprimantes et les pare-feux ne prennent pas en charge les agents et doivent être évalués différemment. Les solutions sans agent sont déployées facilement et rapidement sur l'ensemble du réseau et peuvent analyser les périphériques sur lesquels il est impossible d'installer des agents. Ces solutions évaluent plus de postes clients (pas seulement les hôtes managés), mais exigent que le réseau soit disponible pour leurs évaluations. Elles peuvent être installées et maintenues à moindre coût, mais réalisent des audits plus superficiels (par exemple, elles n'ont pas accès aux informations du Registre) dans la mesure où aucun logiciel n'est installé sur le poste client. Le choix de la solution à utiliser est à l'origine d'un véritable dilemme. La technologie avec agent protège les postes clients managés et propose des évaluations approfondies des stratégies, que le réseau soit disponible ou non, mais elle se limite aux systèmes sur lesquels les agents peuvent être installés. De son côté, la technologie sans agent réduit considérablement la charge du réseau et peut analyser tous les périphériques, mais effectue un audit plus superficiel et exige que le réseau soit disponible. Chaque technologie présente des avantages, mais aucune ne peut offrir à elle seule une solution complète de couverture d'audit et de validation de la conformité. Comment la plupart des entreprises tranchent-elles? De nombreuses entreprises finissent par acheter des produits auprès de différents fournisseurs pour ensuite les assembler, obtenant ainsi des audits de stratégies basés sur des critères incohérents et dépourvus de toute structure consolidée de gestion et de génération de rapports. La solution optimale se doit de franchir efficacement les barrières technologiques et d'automatiser les activités d'audit, en les intégrant les unes avec les autres, de même qu'avec d'autres processus de sécurisation des systèmes et du réseau. Avec Total Protection for Compliance, McAfee offre désormais une solution complète qui prend en charge tous ces aspects. «Nous avons opté pour l'approche intégrée de McAfee afin de renforcer la protection des données clients. Le résultat est une infrastructure optimisée de protection des données qui a amélioré notre programme global de sécurisation des clients. Avec McAfee, nous avons mis en place les solutions appropriées et l'orientation stratégique adéquate pour l'avenir.» Grant Bourzikas, Directeur de la sécurité des informations et de la continuité des activités, Scottrade, Inc. McAfee Total Protection for Compliance Audit unifié des stratégies informatiques La solution McAfee Total Protection for Compliance automatise en toute transparence les activités de conformité dans ce qui constitue la première solution intégrée avec et sans agent du secteur pour l'évaluation des patchs, la génération de rapports de conformité et l'analyse des risques. Vulnerability Manager et Policy Auditor peuvent être déployés en combinaison avec epo en tant que plate-forme unique de gestion et de génération de rapports. McAfee étend également la gestion des risques grâce à la hiérarchisation des contre-mesures, qui augmente l'efficacité de la sécurisation. Jusqu'à présent, les administrateurs recevaient des informations sur les menaces en dehors de tout contexte et devaient déterminer l'impact de ces menaces sur leur environnement. McAfee met désormais en corrélation les informations sur les menaces avec les vulnérabilités uniques, la valeur des actifs et les mesures de protection existantes de chaque utilisateur. En mettant ces autres sources d'informations à la disposition du système de sécurité, McAfee offre aux responsables de la sécurité un accès personnalisé aux informations sur les menaces, adapté à leur propre environnement. Réduction de la non-conformité grâce à une vue consolidée Avec McAfee, il est facile de protéger à la fois les actifs managés et non managés afin de supprimer les brèches de sécurité qui réduisent la conformité et perturbent la sécurité. Pour McAfee, l'état de l'agent d'un actif donné qu'il soit managé ou non managé est moins important que le respect des meilleures pratiques en matière de sécurité et de configuration par l'actif en question. Pour fournir une évaluation précise de la conformité, McAfee propose une vue consolidée unique des systèmes avec et sans agent dans epo. Cette vue consolidée simplifie la couverture de conformité en supprimant les processus autonomes et en intégrant des outils critiques dans un environnement unique de gestion et de génération de rapports.

3 Cette solution intégrée améliore l'efficacité opérationnelle sur un éventail de périphériques et systèmes inégalé, en plus de réduire la fenêtre de non-conformité, laquelle peut offrir toute une série d'opportunités aux pirates informatiques et aux logiciels malveillants (malwares). Pour comprendre en quoi McAfee simplifie le processus d'audit, imaginons une solution permettant aux clients de cibler un groupe d'actifs avec ou sans agent, de sélectionner un modèle et de réaliser un audit. Policy Auditor détermine les actifs pouvant être analysés avec l'agent McAfee et ceux qui doivent être évalués avec Vulnerability Manager. Tout au long de ce processus, epo fournit un environnement centralisé de gestion, de déploiement et de génération de rapports sur les stratégies et les lignes de base. Cette combinaison de fonctionnalité et d'intégration offre une couverture complète de tous les actifs soumis à un audit, avec ou sans agent, et réduit le temps consacré aux activités d'audit. La solution permet de personnaliser facilement les stratégies et les contrôles en fonction des besoins de l'entreprise et de respecter les normes sectorielles. En outre, chaque activité est gérée depuis la console epo centrale unique. Les mises à jour en provenance de McAfee Labs permettent d'actualiser les consignes en matière de stratégies et de bénéficier des avis les plus récents sur les menaces. Une procédure de définition unique pour de multiples évaluations : définitions de stratégies consolidées et automatisées La plupart des entreprises doivent se conformer à de multiples réglementations et stratégies, et la majorité des organisations réglementées ont d'ores et déjà mis en place des stratégies. Toute la difficulté consiste à créer des modèles de stratégie automatisés au sein d'un environnement complexe et en constante évolution. Les audits sont désormais plus fréquents et pénibles. Les réglementations ne cessent de se renforcer dans chaque secteur et les consignes sont de plus en plus complexes. McAfee offre une solution puissante pour la définition automatique de stratégies qui supprime la nécessité de créer, de maintenir et de modifier plusieurs fois une même référence d'évaluation des stratégies. A partir d'epo, les responsables de la sécurité peuvent établir et sélectionner une référence pour les stratégies, puis procéder à l'évaluation de nombreux types d'actifs différents. Ainsi, pour assurer la conformité à la norme PCI (Payment Card Industry), par exemple, il n'est nul besoin de créer un modèle PCI pour les systèmes hôtes hébergeant des agents et un autre pour les périphériques réseau sans agent. Personnalisation des modèles en fonction de vos besoins McAfee inclut des modèles prédéfinis proposant des évaluations de conformité détaillées des contrôles informatiques pour les principales réglementations, normes et conventions. Ces modèles peuvent être modifiés afin de s'adapter à différents secteurs. De nouvelles stratégies de référence peuvent par ailleurs être importées directement à partir de sources externes, telles que le NIST (National Institute of Standards and Technology), réduisant ainsi considérablement le temps consacré par le service informatique aux évaluations de conformité. Utilisation des infrastructures existantes pour réduire les dépenses Le coût et la complexité des infrastructures et des consoles ne cessent d'augmenter car les entreprises sont contraintes d'acheter des nouveaux produits nécessitant des agents supplémentaires. Les entreprises souffrent également d'une «surcharge d'agents» : les performances et la disponibilité de l'hôte sont affectées par les trop nombreux logiciels supplémentaires installés. Les serveurs sont en outre parfois verrouillés pour empêcher tout ajout ou modification de logiciel. Dans tous ces cas, l'ajout de consoles, d'agents et d'une infrastructure de gestion est tantôt dommageable, tantôt interdit en vertu d'une stratégie. Gain de temps et d'argent Une méthode plus efficace consiste à utiliser l'infrastructure de gestion déjà en place et à l'étendre à d'autres fonctions nécessaires aux tâches de conformité. Cette approche rationalisée permet d'exploiter les agents existants pour d'autres tâches, telles que l'audit de stratégies. Il est ainsi possible de créer des synergies à partir de consoles communes, de structures de génération de rapports et de l'administration lorsque des évaluations sans agent sont intégrées. L'accent mis par McAfee sur ce type d'intégration contribue à améliorer le retour sur les investissements infrastructurels.

4 Pour les clients McAfee epo existants, l'ajout de Policy Auditor représente moins de travail que l'installation d'un autre produit d'audit avec agent. Vulnerability Manager peut également être déployé par les clients epo pour étendre leur couverture sans charge supplémentaire sur les systèmes et les périphériques soumis à l'audit. En outre, l'intégration McAfee fournit une analyse avancée des risques en mettant en corrélation les renseignements sur les menaces avec les vulnérabilités, les actifs et les contre-mesures. Une protection plus intelligente avec McAfee L'intégration McAfee par le biais d'epo permet d'améliorer les mesures et les communications concernant l'emplacement des vulnérabilités et les systèmes qui exigent une attention prioritaire. De nombreux services de renseignements de sécurité ne fournissent que des informations générales sur les avis relatifs aux menaces. McAfee va plus loin en expliquant de quelle manière les efforts existants pour protéger les actifs limitent les risques. L'application de gestion des risques avec contre-mesures de McAfee évalue les nouvelles vulnérabilités et menaces vis-à-vis des fonctions de sécurité déployées : antivirus, prévention des intrusions et protection contre les Buffer Overflows. Les actifs qui disposent de ces contre-mesures sont moins exposés, ce qui permet aux administrateurs de concentrer leurs efforts sur la correction des ressources les plus vulnérables. Lorsqu'elle évalue un événement de menace par exemple, la technologie de McAfee permet aux administrateurs informatiques d'identifier et de cibler uniquement les systèmes vulnérables, en laissant de côté ceux affichant un niveau de protection adéquat. La pertinence et l'instantanéité des informations fournies permettent de gagner un temps précieux et d'améliorer considérablement la sécurité. Avec toutes ces cartes en main, le service informatique n'aura plus qu'à se préoccuper de 30 systèmes au lieu de La technologie de gestion des risques avec contre-mesures décrit le risque pesant sur les systèmes en danger et les mesures correctives à appliquer, en se basant sur la protection existante. Mesure du degré de conformité à l'aide de contenu intégré Bien souvent, les entreprises ont besoin de solutions disposant de contenu intégré pour mesurer leur degré de conformité par rapport aux réglementations et aux normes. Par exemple, les réglementations fédérales américaines émises par l'omb (Office of Management and Budget) stipulent que les organismes fédéraux doivent apporter la preuve de la conformité à la norme FDCC (Federal Desktop Core Configuration) pour les systèmes Windows XP et Windows Vista. La validation FDCC repose sur l'utilisation de contenu XCCDF/ OVAL (formats et langages descriptifs représentant des informations système). Policy Auditor et Vulnerability Manager prennent tous deux en charge les références XCCDF et le contenu OVAL. Policy Auditor est par ailleurs certifié «FDCC Scanner» (Analyseur FDCC) et «Authenticated Configuration Scanner» (Analyseur de configuration authentifié). Les fonctionnalités d'évaluation de Vulnerability Manager incluent du contenu développé par des tiers respectant les normes XCCDF et OVAL, ainsi que d'autres normes ouvertes intégrées au protocole SCAP (Security Content Automation Protocol).

5 Simplification des évaluations des contrôles informatiques : présentation d'un exemple Pour comprendre en quoi McAfee simplifie le processus d'audit, examinons un exemple illustrant la manière dont la solution Total Protection for Compliance assure un grâce à l'automatisation et à l'intégration des processus et technologies d'évaluation des contrôles : McAfee Policy Auditor utilise des agents pour réaliser des évaluations de stratégies approfondies sur les systèmes hôtes et offre la possibilité de créer des instantanés automatisés de l'état de conformité et une documentation précise des infractions et des exonérations. McAfee Vulnerability Manager étend davantage la couverture de conformité en intégrant un audit des stratégies sans agent dans l'analyse des paramètres de stratégies pour l'accès aux comptes, fichiers, réseaux et systèmes et examine l'état des fichiers et systèmes critiques. McAfee epo fournit des informations en temps réel et assure l'intégration des applications de sécurisation des serveurs, des ordinateurs et du réseau. Il sert d'infrastructure commune à de nombreuses solutions McAfee. McAfee epo réunit les évaluations de stratégies avec et sans agent au sein d'une plate-forme unique et efficace de génération de rapports et de gestion de la sécurité. Réalisation d'un : présentation d'un scénario Imaginons une grande chaîne de magasins confrontée à un audit de la norme PCI DSS (Payment Card Industry Data Security Standard) et qui doit s'assurer de sa conformité à la disposition 2.2 relative au développement de configurations de systèmes informatiques «qui soient cohérentes avec les normes de renforcement des systèmes acceptées par le secteur». Avant le déploiement des solutions McAfee, les professionnels de la sécurité redoutaient les audits à venir car ceux-ci étaient synonymes de semaines de préparations pour couvrir une partie seulement du périmètre total de l'audit. Les administrateurs devaient rassembler la plupart des données manuellement, et les rares évaluations automatisées des contrôles informatiques disponibles ne concernaient que des systèmes individuels. Ils devaient également consolider manuellement les résultats. Avec McAfee Total Protection for Compliance, cette chaîne de magasins est capable de réduire la durée de l'audit à quelques jours, tout en offrant une couverture totale à l'ensemble des composants critiques de l'infrastructure informatique. La combinaison de Policy Auditor, Vulnerability Manager et epo étend la portée de la couverture de conformité tout en réduisant le temps consacré aux tâches d'audit. McAfee Total Protection for Compliance garantit un audit unifié et simplifié. Voyons comment dans le cas de ce scénario. Avantages de McAfee Total Protection for Compliance Référentiel central d'actifs Création unifiée de stratégies Evaluations «avec et sans agent» Structure unique de génération de rapports et de gestion Audit unifié des stratégies informatiques en action 2. Sélectionner une référence de stratégie 3. Affecter les actifs à évaluer 1. Importer les actifs dans epo Responsable de la sécurité 4. Réaliser les audits sur les actifs managés et non managés 6. Examiner les détails 5. Afficher les résultats d'audit combinés

6 L' en action Etape 1 : Importation de tous les actifs. Avec McAfee Total Protection for Compliance, cette entreprise utilise un référentiel central d'actifs pour obtenir des informations sur l'ensemble des systèmes hôtes et des périphériques réseau utilisés pour stocker ou faire transiter des données clients. Grâce à ses analyses de découverte, Vulnerability Manager fournit des informations d'actifs sur les systèmes non managés. Ces informations sont ensuite synchronisées à intervalles planifiés avec epo, qui héberge et gère de manière centralisée les informations sur les actifs. Cette approche a pour effet de simplifier la tâche d'identification des actifs à évaluer lors d'un audit automatisé des stratégies. Etape 2 : Sélection de la référence unifiée. Le responsable de la sécurité sélectionne la référence de la stratégie PCI DSS depuis la console epo. Les références contiennent les renseignements relatifs aux objets à évaluer et aux propriétés à valider. Elles sont créées par McAfee et des organismes de réglementation tiers à l'aide de cadres et de meilleures pratiques correspondant aux réglementations et aux normes. Dans la plupart des environnements, des références distinctes doivent être créées pour les différents types d'actifs ou de technologies. Par contre, Total Protection for Compliance fournit une référence unique permettant d'évaluer tous les actifs. Il n'est donc nul besoin de créer un modèle PCI pour les systèmes hôtes hébergeant un agent et un autre pour les périphériques réseau sans agent. Les administrateurs utilisent la console epo pour sélectionner une référence unique afin d'évaluer la conformité des périphériques managés et non managés aux dispositions en matière de configuration des systèmes de la norme PCI DSS. Etape 3 : Affectation des actifs. Le responsable de la sécurité attribue, depuis epo, la référence PCI aux systèmes et périphériques qui doivent faire l'objet d'un audit de conformité PCI. Cette capacité à évaluer uniquement les actifs nécessaires permet de gagner du temps au niveau de la gestion et de l'exécution. Etape 4 : Exécution des audits. Le responsable de la sécurité effectue les évaluations à partir de la console epo. Une fois lancée, l'évaluation s'exécute sur les actifs managés et non managés. Si un agent McAfee est installé sur l'actif (un serveur Windows, par exemple), Policy Auditor effectuera l'évaluation. En l'absence d'agent, c'est McAfee Vulnerability Manager qui se chargera de l'évaluation à l'aide de la même référence. McAfee Total Protection for Compliance est la seule solution à proposer ce niveau d'audit unifié des stratégies. Etape 5 : Affichage des résultats d'audit. Policy Auditor et Vulnerability Manager renvoient tous deux les résultats de leur évaluation à epo. Les responsables de la sécurité peuvent examiner les informations récapitulatives dans des tableaux de bord qui représentent l'état de la conformité PCI de plusieurs actifs de types différents sous forme visuelle. Cette vue globale montre les résultats de la référence (réussite ou échec), la gravité des échecs et une synthèse des résultats de l'audit par domaine d'activité. Cette vue consolidée et efficace permet aux responsables de la sécurité d'évaluer en une seule fois l'ensemble du réseau ses risques et sa conformité ou actif par actif. Etape 6 : Examen des détails. Les vues récapitulatives d'epo permettent aux administrateurs de cliquer sur des zones déterminées et de visualiser des rapports plus détaillés sur les actifs et leur conformité aux exigences de la norme PCI DSS. Des rapports intégrés affichent des informations indiquant si les actifs ont réussi ou échoué pour une référence donnée, ainsi que leurs scores de conformité individuels.

7 Les utilisateurs obtiennent les informations dont ils ont besoin pour identifier les actifs nécessitant une attention prioritaire et pour hiérarchiser leurs efforts de correction. A partir de là, les administrateurs peuvent effectuer des analyses complémentaires. Les informations des rapports pourront ensuite être automatiquement transmises au service informatique, aux responsables de secteurs d'activités et aux dirigeants de l'entreprise. McAfee fournit des tableaux de bord de conformité permettant d'interpréter rapidement et facilement les résultats des évaluations de stratégies PCI DSS. Conclusion Les audits de conformité sont désormais solidement et durablement ancrés. Face à la multiplication des réglementations affectant les entreprises de toutes tailles, celles-ci se doivent d'adopter une nouvelle approche de la gestion des nombreux audits. La solution McAfee Total Protection for Compliance automatise en toute transparence les activités de conformité dans ce qui constitue la première solution intégrée avec et sans agent du secteur pour l'évaluation des patchs, la génération de rapports de conformité et l'analyse des risques. Grâce à la prise en charge de nombreuses normes, McAfee réduit les erreurs et les interprétations incorrectes qui compliquent et prolongent le processus d'audit. Vulnerability Manager McAfee Total Protection for Compliance Policy Auditor epo McAfee Policy Auditor fait appel à une fonction d'automatisation innovante et à l'intégration des produits pour rationaliser les processus tout au long du cycle de vie des audits et de la gestion des stratégies. McAfee Vulnerability Manager exploite son moteur éprouvé d'analyse du réseau et une bibliothèque étendue comptant plusieurs milliers de contrôles au sein d'un cadre d'audit de stratégies. McAfee epo réunit le tout dans une plate-forme unifiée destinée au déploiement, à la gestion et à la génération de rapports sur la sécurité des systèmes et la conformité aux stratégies. epo combine la gestion des stratégies avec la gestion d'autres produits McAfee, ainsi que de produits de partenaires SecurityAlliance.

8 En intégrant McAfee Policy Auditor et Vulnerability Manager avec epo, McAfee optimise vos investissements de sécurité pour vous offrir une efficacité opérationnelle mesurable. Les clients epo doivent déployer nettement moins de serveurs et faire appel à un nombre réduit d'administrateurs, lesquels consacreront moins de temps en tâches administratives et en gestion des produits de sécurité. Ce gain de temps se traduit à son tour par une diminution sensible des effectifs nécessaires et des coûts d'exploitation. Pour plus d'informations sur les solutions de gestion de la gouvernance, des risques et de la conformité informatiques de McAfee ou sur McAfee epolicy Orchestrator (epo), visitez le site : ou appelez le (standard) aux heures de bureau. A propos de McAfee, Inc. Basé à Santa Clara en Californie, McAfee Inc., la première entreprise au monde entièrement vouée à la sécurité informatique, fournit des solutions et des services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier. McAfee met ses compétences inégalées en matière de sécurité et son engagement envers l'innovation au service des particuliers, des entreprises, du secteur public et des fournisseurs de services pour les aider à bloquer les attaques de pirates, à prévenir les perturbations dans le flux des activités ainsi qu'à évaluer et à améliorer en continu leurs défenses. McAfee S.A.S. Tour Franklin, La Défense Paris La Défense Cedex France (standard) McAfee et le logo McAfee sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. Les autres noms et marques peuvent être la propriété d'autres sociétés. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright 2010 McAfee, Inc brf_tops-compl_0910_fnl