Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance Intervention au Forum des Compétences Philippe Courtot - Chairman et CEO, Qualys Inc. Paris, 21 novembre 2006
Agenda Ce que disent les Experts Le point de vue de la Direction Le besoin de regrouper sécurité et mise en conformité, et d opérationnaliser leur mise en oeuvre L approche Sofware as a Service Conclusion 2
Ce que disent les experts Conformité versus Sécurité Beaucoup d entreprises consacrent trop de temps et de ressources sur les tâches de mise en conformité IT, parcequ elles n ont pas clairement défini quelles étaient les actions nécessaires et suffisantes à mettre en place ( ) ( ) Toutefois, dans le cadre d un projet de mise en conformité, l entreprise doit également considérer que le déploiement de solutions informatiques peut être opéré sur une base globale couvrant tous les besoins de conformité de l entreprise, plutôt que d implémenter une solution pour chaque besoin spécifique (tel que l attestation Sarbanes-Oxley) Gartner 2005 3
Convergence entre Sécurité et Conformité Le point de vue des Dirigeants Les besoins de conformité modifient les relations entre le business et l IT Les dirigeants ont aujourd hui la responsabilité de répondre aux contraintes de mise en conformité face aux réglementations Les actions des équipes IT sont maintenant également mesurées par des métrics de compliance et des audits Les dirigeants considèrent que les investissements pour la mise en conformité doivent également renforcer la sécurité de leur infrastructure informatique Les dirigeants souhaitent aborder la sécurité selon une approche de Risk Management, et non uniquement selon une approche technique 4
Une pléthore de règlementations Un cauchemar pour le Responsable en charge de la Conformité California SB 1386 HIPAA Security Rule a. Certification UK Data Privacy Act 1998 Basel II Banking Regulation GLBA/FFIEC 501 III (b) Assess Risk: Risk Assessments Required Data Protection Policies FISMA CA-2 Security Assessments Legacy Internal Security Policies SOX Identification, testing, verification of internal controls required. Japan s Data Privacy law 5
Les problèmes non résolus liés à la mise en conformité Un nombre important de résultats à obtenir, nécessitant beaucoup d implication Une documentation rébarbative et encore peu pratique Les audits sont encore faits manuellement la plupart du temps Difficulté de créer une solution intégrant à la fois la procédure d audit et la rémédiation Les solutions logicielles existantes sont onéreuses, difficiles à déployer et à maintenir, communiquant pas ou peu entre elles, et génèrent des coûts indirects importants Ceci contribue à rendre les prix des projets de sécurite et de mise en conformité prohibitifs 6
Comment résoudre ces problèmes? En conjugant Sécurité et Conformité Management Team IT Compliance Audit Team Vulnerability and Risk Management Team Audit team Manages policies Requests scans Views exception reports Vulnerability Management Team Runs Scans Reviews reports COBIT and ISO 17799 Framework 7
et en opérationnalisant Compliance scans create tickets assigned to team members Vulnerability Management Team IT Remediation Team Configurations adjusted / tickets closed Compliance audits show improvement over time 8
Pourquoi l approche Software as a Service? Les solutions logicielles sont difficiles et coûteuses à déployer, à maintenir et à intégrer Le modèle SaaS est un moyen beaucoup plus efficace de développer, délivrer et mettre à jour une solution, et permet : - Des applications sécurisées, centralisées et distribuées, sans logiciel à installer ou maintenir - Une administration unique et une intégration transparente avec les autres applications Le modèle SaaS libère les entreprises de la contrainte de devoir acquérir des infrastructures complexes et coûteuses Le marché des solutions logicielles se consolide, ce qui augmente les risques d investissements dans ce type d offre - Le coût de développement, de distribution et de maintenance des solutions logicielles traditionnelles devient prohibitif cela entraine par conséquent une consolidation des offres - Le modèle SaaS contraint les éditeurs établis à changer leur business model 9
Objectifs de la Solution Présentation de QualysGuard (avant-première) Apporter à la fois Sécurité et Conformité au travers d une solution unique et sans agent, délivrée sur le mode ondemand Opérationnaliser la mise en conformité et la lier à la gestion des vulnérabilités Développement à partir de COBIT et ISO 9770 tout en permettant de créer ses propres politiques 10
Objectifs de Developpement Bâtir une solution sans agent Première Etape - Receuillir les informations Identifier les ressources et contôler la conformité, Systèmes d exploitation Windows, Linux/Unix (HP-UX, AIX, RedHat), AS400, Solaris, Cisco IOS Applications Oracle, MS SQL, Sybase, IIS, Apache, DB2 SNMP Devices Intégration avec Active Directory et autres annuaires pour importer les noms des responsables des unités 11
Identifier et Catégoriser les ressources Infrastructure SaaS de scanning 12
Plate-forme de Sécurité et Compliance Une vue intégrée de la Sécurité et de la Compliance Dashboard Views with Drilldown Reporting Vulnerability Manager PCI On demand Policy Compliance Manager (Q2 2007) Web Application Scanning (Q3 2007) NAC On Demand Agents (Q4 2007) Risk Manager (Q4 2007) Management Services Network Discovery Vulnerability scans Authenticated Scans Workflow Engine Reporting XML Engine QualysGuard Platform Automatic Updates Extensible XML APIs Remote Data Centers Integrations with SIMS, Active Directory Helpdesk, Remediation, & NAC Systems 13
L Architecture Présentation de QualysGuard Policy Compliance Deuxième Etape - Créer les politiques, visualiser les exceptions et s assurer de la mise en conformite Dashboard and Exception Reporting Policy Builder and Repository Authentication and Asset Manager Remediation Tracking and Auditing 14
Policy Compliance Application Présentation de QualysGuard Policy Compliance Policy Dashboard Catalog Exception Enterprise Handling Compliance - Authentication Reporting - By Manager Enterprise Enterprise Compliance Compliance Reporting Reporting - By Control By Policy Host Type Identifies the risk of data leaking Click out Host of on the pass/fail the enterprise number of Identifies report non-compliance Ready to use with which results hosts policy library - ISO Customizable hosts Data protection failed -COBIT authentication control types Drill Edit down -CIS statements into the Heat map Provides or view asset create or group Drill risk down view. views Asset compliance Group and Business exceptions Policy Statements Drill down Drill into down risk Global into unit type the views or and host are configurable by business unit view. Business Units 15 Compliance failure statistics by asset group / business unit Drill down into the host view Click on the IP for host view.
Pour résumer Le modèle SaaS est adopté dans tous les secteurs L adoption du SaaS s observe dans de nombreux segments de marché CRM, ERP, Gestion de Documents, Procurement, Mail etc.. SaaS dans le secteur de la Sécurité et de la Compliance Anti-Spam et filtrage Email : BlackSpider/SurfControl, Postini, Symantec Brightmail, MessageLabs, ScanSafe Antivirus / Antispyware: Symantec, MessageLabs, Microsoft Gestion des Vulnérabilités et Conformité : Qualys Les appliances multifonctions (UTM) 16
.. et l adoption s accèlere Tous les ingédients sont maintenant en place Le modèle SaaS réduit les coûts (pour les vendeurs comme pour les utilisateurs) tout en offrant une qualité bien supérieure SaaS offre une meilleure interopérabilité Le modèle SaaS permet une meilleure gouvernance IT ainsi qu une meilleure sécurité (audit tiers de confiance, liens avec la rémediation et capacités de gestion décentralisée avec centralisation des informations) Il ne s agit plus de savoir où mes données sont stockées, mais pluôt de savoir si elles sont sécurisées, comment je peux y accéder façilement et les partager, et comment il m est possible de répondre aux contraintes de mise en conformité 17
Questions/Réponses Merci www.qualys.com pc@qualys.com 18