Your SlideShare is downloading. ×
×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Transférez vos fichiers et vos données critiques en toute sécurité

2,314

Published on

Par Rod Gifford, responsable de segment de marché, gestion des transferts de fichiers, IBM. …

Par Rod Gifford, responsable de segment de marché, gestion des transferts de fichiers, IBM.
Découvrez dans ce livre blanc les principaux défis liés au transfert de fichiers et les bonnes pratiques pour y répondre.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,314
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
19
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Logiciel IBM Industry IdentifierSmarter CommerceBonnes pratiques : la sécurité desmouvements de fichiers de donnéesPar Rod Gifford, responsable de segment de marché,gestion des transferts de fichiers, IBM
  • 2. 2 Bonnes pratiques : la sécurité des mouvements de fichiers de donnéesEn résumé Sécurisation des données :La sécurité des données lors des transferts de fichiers attire l’approche IBM Smarter Commerceenfin l’attention qu’elle mérite. Ce qui ne préoccupait L’approche IBM® Smarter Commerce replace le client auauparavant que le secteur de la finance est désormais pris centre des préoccupations de l’entreprise. Le client est enau sérieux par tous les secteurs d’activité qui prennent outre devenu tout puissant : il est équipé d’appareils mobiles,aujourd’hui conscience des responsabilités et des risques se connecte sur les réseaux sociaux et peut accéder à deassociés aux transferts de fichiers non sécurisés. grands volumes de données ou les transmettre en quelques secondes. Parmi ces clients qui partagent des informations,Cette préoccupation grandissante ne signifie pas pour autant on constate une demande croissante de sécurité et deque les sociétés sont parvenues à atténuer efficacement confidentialité. Or, plus le volume de données échangéesces risques. Selon un rapport de la Privacy Rights dans la chaîne de valeur d’une société est élevé, plus lesClearinghouse, The Top Half Dozen Most Significant Data réseaux sont vulnérables et ouvrent la voie à des violationsBreaches in 2011 (Les six plus importantes violations de données de données.en 2011), « 2011 fut une année significative en matière desécurité des données avec certaines des failles de sécurité Les sociétés qui cherchent à contrôler et à superviser leursles plus importantes de notre histoire. En 2011, nous avons activités de transfert de fichiers doivent donc envisagerdétecté 535 violations impliquant 30,4 millions de dossiers d’adopter de bonnes pratiques basées sur l’approchesensibles ».1 Sans compter les autres failles éventuelles IBM Smarter Commerce. Bien que leurs préoccupationsn’ayant jamais été signalées. immédiates en matière de sécurité se limitent probablement aux seuls transferts de fichiers internes et basés sur Internet,Même si de nombreuses sociétés ont déjà reconnu qu’il les sociétés peuvent désormais établir plus largementétait nécessaire de protéger les données en mouvement ou les bonnes pratiques régissant tous les transfertsstatiques, celles-ci se sont principalement focalisées sur de fichiers, y compris ceux transitant par Internet,l’application de solutions restreintes à des points faibles via des services Cloud et les transferts de fichiers pointspécifiques. Le transfert de fichiers de données n’est à point internes ou externes de personnes à personnes.cependant plus aussi simple qu’un simple transfert d’unpoint ou d’un système à un autre. L’usage varié d’Internet,les services de transfert Cloud et les transferts de fichiersde personnes à personnes (ou ad hoc), mais également unetrop grande confiance dans le protocole FTP, vieux de40 ans, compliquent à la fois le transfert des fichiers et latâche des sociétés lorsqu’il s’agit de protéger les donnéesqu’ils contiennent.
  • 3. Logiciel IBM 3Le présent livre blanc décrit les bonnes pratiques aidant les Malheureusement, un grand nombre d’organisationssociétés à protéger leurs données au travers de la sécurisation n’ont pas encore adopté une démarche proactive en cepérimétrique, l’authentification, la configuration et la mise qui concerne la mise en œuvre de mesures de protectionen œuvre appropriées de règles de sécurité. Il fournit des données. À la place, elles réagissent à chaque incidentégalement des directives pour l’utilisation des services de en ne s’appuyant que sur leur propre expérience et leurtransfert de fichiers utilisant le Cloud et les transferts entre intuition, et non sur les bonnes pratiques du secteur.individus ou à la demande. Les transferts sur demande, Voici de quelle manière les participants à l’étude Besten particulier, constituent aujourd’hui un point important, Practices in Data Protection (Pratiques de bon usage en matièrecar la plupart des sociétés n’ont pas mis en œuvre les de protection des données) de l’Institut Ponemon ont décritcontrôles et les fonctions de protection des données adaptés. leurs stratégies par rapport aux bonnes pratiques de sécurité des données :4Atténuation des risques dans 19 % s’appuient sur une stratégie officielle déployéeun environnement de sécurité • dans l’ensemble de l’entreprise.des données changeant • 26 % s’appuient sur une stratégie partiellement miseLa protection des transferts de fichiers de données est vitale en œuvre.pour les sociétés, et ce, pour de nombreuses raisons. Veiller • 30 % s’appuient sur une stratégie non officielle.à procéder, en temps voulu, à la mise en œuvre et aux mises • 25 % n’ont aucune stratégie de protection des données.à jour règles de sécurité conformes au obligations légaleset sectorielles est l’une des principales raisons poussant Pas moins de 55 % des répondants manquent donc d’uneà l’adoption des bonnes pratiques en matière de sécurité stratégie officielle régissant la sécurité des données enpour le transfert de fichiers de données. Mais d’autres mouvement. Est-il donc surprenant d’apprendre qu’autantfacteurs peuvent s’avérer tout aussi importants pour les de failles de sécurité, si coûteuses, se sont produites enorganisations, notamment les obligations en matière d’audit, 2011 ? Dans une époque où les clients sont autonomes,l’intégrité des marques, les exigences des partenaires et la combien d’entre eux sont prêts à accepter un tel niveauréduction des risques. de risque ?En effet, les risques juridiques et financiers peuvent être Pour se prémunir contre de tels risques, les organisationsimmenses. Un rapport de la Privacy Rights Clearinghouse doivent protéger les zones de confiance de leurs réseauxprécise qu’en septembre 2011, une faille de sécurité a mis ainsi que leurs données, qu’elles soient en mouvement ouen péril les numéros de sécurité sociale de 5,1 millions statiques. Elles doivent protéger les données tant au sein dede patients de TRICARE. Au final, cette faille a coûté l’entreprise que pendant leur échange avec des partenaires.4,9 milliards de dollars US en poursuites judiciaires.2 Elles ont besoin d’une gestion centralisée de la sécurité afinCe cas montre clairement les responsabilités potentielles de prendre en charge les politiques et les pratiques de bonassociées aux violations de données et l’impact sur les usage en matière de sécurité. Les organisations doiventclients. En outre, l’étude 2010 Annual Study: U.S. Cost of également tenir compte des problèmes de réglementationa Data Breach (Étude annuelle 2010 : coût des failles de sécurité et de propriété. Au moment du transfert ou du stockage dedes données aux États-Unis) menée par l’Institut Ponemon fichiers, il est essentiel de comprendre les réglementationsa révélé que le coût moyen par incident des failles de sécurité locales et internationales, de savoir à qui appartiennent lesaux États-Unis s’élevait à 7,2 millions de dollars US.3  données, où elles résident, qui y a accès et si elles doivent être chiffrées.
  • 4. 4 Bonnes pratiques : la sécurité des mouvements de fichiers de donnéesAlors que les sociétés envisagent l’adoption de bonnes Après avoir identifié les réglementations applicables,pratiques, les mouvements de données sous formes de fichiers, créez un tableau de bord pour mesurer votre capacitéles réglementations émergentes et l’apparition régulière de à vous conformer à chaque exigence. Identifiez ensuite lesfailles de sécurité révélées par les médias devraient suffire à lacunes et hiérarchisez les projets qui permettront à votremotiver une société à agir. Or, l’importance de ces pratiques organisation d’être totalement conforme.pour la chaîne de valeur d’une entreprise n’est pas suffisammentprise en compte. Avec une approche plus orientée client, Réfléchissez aux facteurs de dynamique métier liés à vosles sociétés gagneraient à se servir de ces pratiques comme transferts de fichiers ainsi qu’aux technologies sous-jacentesd’un élément de différenciation pour remporter de nouvelles utilisées tant en interne que dans l’ensemble de la chaîneaffaires et comme d’un guide pour la protection des données de valeur. De plus en plus de transactions commercialespartagées dans la chaîne de valeur. passant par Internet, il est important de comprendre cet environnement. En sachant clairement pourquoiPour bien débuter… et comment les données sont transférées, vous serezConsidérations de base à même d’identifier les différents problèmes de sécuritéS’agissant des bonnes pratiques en matière de gouvernance des données et réseaux auxquels vous êtes confronté,et de risque, la première étape consiste à identifier la et d’appliquer les pratiques de bon usage appropriées.réglementation que votre société doit respecter pour letransfert sécurisé des données. Les considérations d’ordre organisationnel sont également importantes. Dans de nombreux cas, la responsabilité de laQuelles sont les réglementations applicables à votre sécurité des données incombe à un responsable informatiqueentreprise et à votre secteur d’activité ? Lesquelles ou au directeur d’une branche d’activité. En outre,s’appliquent aux relations entre partenaires commerciaux ? de nombreuses organisations mettent en place des équipesEn voici quelques exemples : multifonctions composées de représentants informatiques et des branches d’activité, qui collaborent pour proposer• Sarbanes-Oxley Act (SOX). des politiques de sécurité des données et surveiller le respect• EBICS, qui rempalce ETEBAC dans les échanges des pratiques de bon usage. banques/Entreprises.• OFTP d’Odette (Organisation for Data Exchange Documentation des cas d’utilisation by Teletransmission in Europe) pour la chaîne logistique Commencez par identifier les cas d’utilisation des transferts numérique du secteur automobile. de fichiers essentiels au fonctionnement de votre chaîne• Gramm-Leach-Bliley Act (GLBA). de valeur et à la conformité aux exigences de sécurité• Federal Financial Institutions Examination des données de chaque partenaire. Vous trouverez dans le Council (FFIEC). tableau suivant des exemples de cas d’utilisation de transfert• Health Insurance Portability and Accountability de fichiers typiques susceptibles de nécessiter un certain Act (HIPAA). niveau de sécurité des données.• Directive de l’Union européenne relative à la protection des données.• Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) – Canada.• Normes de sécurité des données Payment Card Industry (PCI DSS).
  • 5. Logiciel IBM 5 La base des bonnes pratiques Secteur Exemple de cas d’utilisation Cette section propose des listes de bonnes pratiques pour Services • change de transactions de type Chambre É la protection des données, la sécurisation du périmètre, financiers de compensation automatisée (ACH) l’authentification, la configuration et la mise en œuvre des entre banques. politiques de sécurité, l’utilisation des services Cloud de • change de transactions par cartes É transfert de fichiers et les transferts initiés par un individu de crédit entre établissements financiers. ou sur demande. Commerce • ransmission des informations concernant T les ventes quotidiennes des magasins Protection des données au siège. • Étudier les politiques de confidentialité des pays • ompensation des transactions par cartes C dans lesquels vous intervenez ou par lesquels passent de crédit entre établissements financiers. • aiements et autres échanges entre P vos données. l’entreprise et sa banque. • Élaborer des politiques visant à contrôler quels types de données peuvent être transférés hors du pays dans Industrie • istribution des mises à jour des D lequel vous intervenez et par qui. manufacturière plans de production aux usines, • Développer des méthodes pour documenter fournisseurs et fabricants partenaires. l’emplacement physique des données après leur • nvoi des données de paie E aux prestataires. transfert au-delà des frontières des pays dans lesquels vous intervenez. Distribution • change de commandes, expéditions, É • Comprendre qu’aucune donnée ne doit être écrite accusés de réception et états d’inventaire ni stockée dans la zone démilitarisée (DMZ). avec les clients, fournisseurs et prestataires • Mettre en place des contrôles qui contribueront de services logistiques. à garantir l’intégrité des données. Assurance • change des informations relatives aux É • Adopter des options de chiffrement puissantes, assurés avec les organismes de service incluant l’adhésion aux réglementations de la norme public et les fournisseurs de soins de santé. Federal Information Processing Standard (FIPS). • Adopter les protocoles Secure Sockets Layer (SSL) Communications • apture des informations relatives aux C et Transport Layer Security (TLS). et médias commandes des réseaux partenaires. • Utiliser des modules de sécurité matériels (HSM) pour stocker les clés cryptographiques pour une protection accrue.Tableau 1 : Exemples de transferts de fichiers par secteurPour documenter les cas d’utilisation des transfertsde fichiers de données, il convient de se poser lesquestions suivantes :• Quelles sont les données transférées ? Où et comment sont-elles transférées ?• Quelle est la sensibilité ou quel est le niveau de risque associé aux données ?• Quel serait l’impact d’une interruption du processus métier (qu’il soit ou non lié à des contrats de niveau de service (SLA)) si les données n’étaient pas réceptionnées en temps et en heure ?• Quel serait l’impact financier d’un défaut de réception des données transmises ?
  • 6. 6 Bonnes pratiques : la sécurité des mouvements de fichiers de donnéesSécurisation du périmètre Configuration et mise en œuvre• Utiliser un proxy basé sur la zone démilitarisée (DMZ). • Déployer une architecture qui minimise l’empreinte• Éviter les connexions directes entre Internet et les de la DMZ. serveurs de sauvegarde internes en fermant les sessions • Répondre aux besoins des équipes de sécurité de communication entrantes dans la DMZ avec des et d’infrastructure réseau. interruptions de session SSL. • Assurer une continuité des opérations et une• N’établir de sessions entre la DMZ et la zone de confiance disponibilité élevée grâce à des options de mise qu’après l’authentification appropriée d’un utilisateur en cluster et d’équilibrage des charges. partenaire. • Faciliter l’adaptation de la configuration en cas• Ne stocker aucune donnée, aucun fichier ni aucune d’évolution des exigences de sécurité et réseau sans information d’identification dans la DMZ. avoir à acheter de composants supplémentaires.• N’imposer aucune attente en entrée dans le pare-feu. • Assurer l’évolutivité pour permettre une hausse• Ne laisser aucun service web ou port d’interface des besoins en matière de transfert de fichiers. utilisateur (IU) ouvert dans la DMZ. • Utiliser le protocole SSL pour protéger les connexions• S’assurer autant que possible que les données passent entre les composants de la solution et tous les serveurs des zones les plus fiables aux moins fiables. internes de la zone de confiance.• Organiser vos sessions multiplex via un tunnel unique. • Exploiter les possibilités de déploiement pour une• Utiliser la vérification des protocoles, le filtrage des DMZ multiniveau. commandes et le blocage des exploits d’adresse courants • Utiliser la journalisation pour faire le suivi en temps pour vous protéger contre les attaques malveillantes. réel de l’activité et des événements de session à des fins d’audit, de conformité et de résolution des problèmes.Authentification• Authentifier les utilisateurs dans la DMZ plutôt que Fournisseurs de services de transfert de fichiers utilisant le Cloud dans la zone de confiance. • Définir des SLA pour mieux surveiller les performances de• Centraliser la gestion des utilisateurs dans un référentiel l’activité de transfert de fichiers jusqu’aux services tiers. utilisateurs externe, tel que la base de données • S’assurer que les fournisseurs tiers maintiennent leurs Microsoft® Active Directory. propres contrôles de sécurité.• Utiliser l’authentification multi-facteur en vérifiant • Prendre en charge la confidentialité des données en les utilisateurs selon le concept « élément que le sujet sachant qui a accès aux centres de données fournisseurs. connaît » et « élément que le sujet possède ».• Utiliser un portail de connexion pour l’authentification unique (Single Sign-On).• Opter pour un portail de connexion fournissant un outil de gestion des mots de passe utilisateurs en libre-service afin de faire baisser les coûts d’assistance téléphonique.• Assurer un accès basé sur les rôles.
  • 7. Logiciel IBM 7• Révoquer immédiatement les identifiants d’accès des Transferts initiés par un individu ou sur demande collaborateurs qui quittent la société. • Définir des politiques claires relatives aux types et niveaux• Accepter de laisser vos vérificateurs réaliser des audits de sensibilité des données susceptibles d’être jointes à des sur site. courriers électroniques ou copiées sur des clés USB.• S’assurer que les données demeurent uniquement • Déployer une technologie de prévention contre la perte dans les pays approuvés par votre politique. de données afin de bloquer les données sensibles avant• Mettre en avant les cas d’utilisation et les types de données qu’elles ne quittent l’organisation. Par exemple, acceptables pour des transmissions à l’international. rechercher la présence de numéros de sécurité sociale ou• Exiger une architecture empêchant aux autres clients de cartes de crédit dans les pièces jointes aux courriers d’accéder aux données de la société. électroniques ou aux fichiers FTP.• Veiller à la mise à jour constante de l’architecture au moyen de patchs de sécurité. Modèles de transfert de fichiers• Décrire clairement votre approche en matière de suppression et de restitution des données lorsque et risques de sécurité vous quittez le service. Le tableau suivant répertorie les modèles de transfert de fichiers et les risques potentiels encourus par les données transférées. Notez que le modèle de point à point indiqué ci-dessous n’est pas nouveau. L’utilisation des services Cloud pour les transferts de fichiers constitue néanmoins une évolution récente qui s’accompagne d’un ensemble de risques supplémentaires devant être envisagés par toutes les organisations. Modèle de transfert de fichiers Description et technologie utilisée Risques de sécurité des données De point à point • ’application initie le transfert. L • tilise couramment le FTP avec les risques U (d’application à application) • ne application basée sur serveur U de sécurité inhérents. envoie ou reçoit les fichiers. • u fait de l’absence de chiffrement, toutes les personnes D ayant accès aux fichiers peuvent en voir le contenu. De point à point • ’application initie le transfert. L • e permet aucun contrôle sur la technologie du fournisseur. N (dans le Cloud) • n fournisseur de services Cloud facilite U • uppose que le fournisseur assure la sécurité des données. S le transfert des données. • ’offre aucun contrôle sur l’emplacement physique N des données, ni sur les personnes qui y ont accès. D’entreprise à entreprise • es fichiers sont échangés avec les L • xpose les données et les réseaux internes à des risques E partenaires commerciaux via Internet. de sécurité. • e processus s’appuie sur des boîtes L • tilise couramment le FTP avec les risques U aux lettres ou sur un répertoire de de sécurité inhérents. fichiers basé sur serveur pour envoyer • u fait de l’absence de chiffrement, toutes les personnes D et recevoir les fichiers. ayant accès aux fichiers peuvent en voir le contenu. • e prend en charge que l’authentification de base N (identifiant, mot de passe), qui a lieu à l’intérieur du pare-feu. • mplique des sessions directement connectées à votre I serveur de périmètre. Initié par un individu • n individu initie un transfert de fichiers U • ontourne les contrôles de sécurité du réseau, permettant C (sur demande) vers une personne, une adresse les déplacement des données sensibles en interne électronique ou un répertoire et vers l’extérieur. de fichiers basé sur serveur. • u fait de l’absence de chiffrement, toutes les personnes D • e processus inclut les pièces jointes L ayant accès aux fichiers peuvent en voir le contenu. aux courriers électroniques, les scripts FTP et les clés USB.Tableau 2 : Modèles de transfert de fichiers et risques de sécurité connexes
  • 8. 8 Bonnes pratiques : la sécurité des mouvements de fichiers de donnéesMise en œuvre des bonnes pratiques Pour évaluer les solutions de sécurité, déterminez vosUne fois établies les bonnes pratiques, définissez besoins en termes d’évolutivité, de performance et deun plan de déploiement. Commencez par les lacunes de support technique. Les opérations d’envergure mondialeconformité identifiées précédemment et hiérarchisez-les nécessiteront un fournisseur proposant de fortes capacitésen fonction de leur criticité et du niveau d’efforts requis. globales, capable de gérer d’importants volumes de données et de répondre à de fortes attentes en matière de supportSélectionnez en premier lieu les projets qui sont non technique. Tenez également compte du fait que les capacitésseulement faciles à mettre en œuvre, mais également de sécurité doivent être intégrées à votre stratégie desusceptibles d’amorcer la prise de conscience et l’application transfert de fichiers. Déterminez si vous avez besoin d’unedes règles de sécurité critiques à l’échelle de l’organisation, solution ponctuelle pour résoudre un problème particuliertelles que celles qui régissent les mots de passe ou le partage ou d’un ensemble de fonctionnalités plus large dans toutedes informations en interne. Ces premiers projets ne doivent votre infrastructure de transfert de fichiers. Cette approchepas être trop mobilisateurs en temps, ni impliquer de trop vous aidera à décider si vous devez vous engager auprès d’ungrandes dépenses d’investissement. seul fournisseur, ou de plusieurs.Identifiez ensuite d’autres projets sur la base des lacunes De nombreuses entreprises plus visionnaires choisissentet priorités, et mettez en lumière des solutions et d’adopter un ensemble de fonctionnalités plus large etrecommandations technologiques, le cas échéant. tendent à opter pour un seul fournisseur dans le but d’éviterPar exemple, sachant que les employés utilisent Internet le coût total de possession (TCO) potentiellement élevéplus fréquemment pour échanger des informations avec associé à une stratégie multifournisseur. 40 % desleurs partenaires, il est probable que le besoin en une participants à l’étude de l’Institut Ponemon sur lessolution de sécurité basée sur une DMZ s’intensifie, plaçant bonnes pratiques ont d’ailleurs indiqué préférerle projet parmi les premiers de votre liste. Dans tous les n’avoir recours qu’à un seul fournisseur.5cas, vous devez procéder à des estimations budgétaires etcollaborer avec vos partenaires des services informatiques Formation et sensibilisationet des branches d’activité pour obtenir le financement Pour que l’adoption et l’exécution des règles de sécurité deset leur feu vert. transferts de fichiers soient efficaces, il est fondamental de former les utilisateurs et de sensibiliser l’ensemble de l’organisation. Les employés doivent comprendre pourquoiBesoins technologiques la sécurité est importante et savoir qu’il s’agit de protégerLa technologie est un aspect essentiel de tout projet de la marque et de servir au mieux les intérêts des clientssécurité et nécessitera un plan de déploiement. Tout d’abord, importants. Une faille de sécurité, en particulier si celle-ciidentifiez la technologie nécessaire pour l’exécution de votre est mal gérée, peut détériorer définitivement les relationsplan, puis définissez le budget requis pour son achat et sa avec la clientèle et ternir la réputation de la société.mise en œuvre. De nombreuses solutions ponctuelles sont Il convient d’établir des programmes visant à expliquerdisponibles en fonction de vos cas d’utilisation et de vos aux employés comment les données peuvent êtrebesoins en matière de sécurité des données. involontairement exposées et ce qu’ils peuvent faire pour minimiser les risques, protéger la marque et les relations dans la chaîne de valeur.
  • 9. Logiciel IBM 9N’oubliez pas que la forme de ces présentations peut s’avérer Convaincre l’entrepriseaussi importante que leur fond. Accordez une grande L’un des aspects les plus importants de la mise en œuvre desattention à votre stratégie de communication et à votre bonnes pratiques de sécurité en matière de transfert de fichiersmessage en personnalisant vos supports en fonction des de données est l’élaboration d’un argumentaire. Pour élaborerresponsabilités quotidiennes des employés. Veillez à intégrer un cas pertinent, commencez par expliquer l’impérieusedes tests dans vos programmes de formation afin de vous nécessité de ce type de sécurité, puis poursuivez en présentantassurer que chaque employé a bien compris les politiques les pratiques applicables à votre entreprise. Expliquez le liende sécurité des données. existant entre les pratiques et le plan global de sécurité des données de l’entreprise, et développez leur pertinence,De nombreuses organisations prévoient des réunions y compris leur contribution au respect des obligations d’audit.mensuelles ou trimestrielles jusqu’à ce que les bonnes Veillez à présenter l’intérêt et les avantages pour l’entreprise,pratiques soient intégralement mises en œuvre. Les réunions y compris l’impact possible d’une faille de sécurité sur ladeviennent ensuite annuelles ou se tiennent dès qu’un marque et le portefeuille, ainsi que l’importance du problèmechangement intervient, comme une nouvelle réglementation pour votre chaîne de valeur.ou une mise à jour. Certaines organisations de pointe ont misen place des Centres d’Excellence de gestion des transferts Mettez en avant tous les préjudices passés, le cas échéant,de fichiers. Un Centre d’Excellence permet d’adopter une ou indiquez des entreprises de votre secteur ayant étéapproche plus stratégique et architecturale des technologies victimes d’événements indésirables. Mentionnez que lesconcernant la rationalisation, le déploiement et la gestion bonnes pratiques en matière de sécurité des données peuventdes  transferts de fichiers, en les incorporant dans une être utilisées comme un avantage concurrentiel auprès desstratégie de sécurité informatique plus large. partenaires commerciaux, qu’elles facilitent la conformité aux règlementations, et qu’elles peuvent aider à protégerAudits de sécurité les données sensibles lors de leurs transferts en interne ouSeules certaines bonnes pratiques présentées dans ce livre vers l’extérieur.blanc s’appliqueront à votre organisation. C’est pourquoiil est important d’évaluer vos besoins de sécurité avec l’aided’un chargé d’audit. Des sessions d’évaluation peuvent aiderà déterminer les politiques internes à mettre en œuvre, lemode de gestion des mots de passe, la nécessité ou nond’auditer les services Cloud, à quelle fréquence, et lesmesures à suivre. Ces mesures doivent comprendre lesperformances des transferts de fichiers et mesurer le respectdes contrats de niveau de service (SLA). Pour contribuer àune comptabilité performante, il peut s’avérer nécessaired’associer, à certaines mesures, une analyse de haut niveau.En utilisant ces mesures, vous pouvez identifier, hiérarchiseret surveiller les projets axés sur la résolution des lacunes oudes risques de sécurité pour obtenir de bons résultats.
  • 10. 10 Bonnes pratiques : la sécurité des mouvements de fichiers de donnéesFaites part de votre analyse des motifs ayant conduit d’autres La manière la plus efficace de convaincre votre entrepriseentreprises à adopter les bonnes pratiques. Selon l’étude d’adopter de bonnes pratiques consiste à obtenir le soutienréalisée par l’Institut Ponemon sur les bonnes pratiques, de la direction. L’étude sur les bonnes pratiques 2011 réaliséeles sociétés adoptant une approche de ce type pour la sécurité par l’Institut Ponemon a recherché ce qui distinguait unedes données le font pour trois raisons principales : 6 société utilisant les bonnes pratiques de sécurité des autres : le soutien de la direction s’est avéré être un facteur déterminant.• Pour 26 %, il s’agit de se conformer au maximum aux D’après cette étude, « les organisations appliquant de bonnes politiques, procédures et accords internes. pratiques sont plus à même d’obtenir le soutien et l’aide• Pour 25 %, il s’agit de se conformer au maximum aux financière de la direction générale et des cadres supérieurs, réglementations et normes publiques. car la responsabilité en termes de protection des ressources• Pour 21 %, il s’agit de prendre la tête du secteur en matière d’information est plus grande, tout comme le désir de de bonnes pratiques de protection des données. protéger la bonne réputation de la société ».9 Quelle leçon en tirer ? Les organisations qui adoptent une vision proactiveCe sont donc la conformité et la volonté de dominer le de la protection des données et qui n’attendent pas que dessecteur qui semblent motiver l’adoption des bonnes facteurs externes les poussent à agir peuvent être mieuxpratiques en matière de sécurité des données. Les récentes armées pour réagir à une faille, appliquer de nouvellestendances confirment ce schéma tandis que de nombreux obligations de conformité et être considérées comme desorganismes gouvernementaux continuent à instaurer leaders dans leur secteur.de nouvelles obligations. Le Bureau du Commissaireà l’Information britannique a publié un document, Guidance L’objectif est d’éviter de devenir un autre exemple de failleon data security breach management (Guide sur la gestion des de sécurité et de débourser éventuellement plusieurs millionsfailles de sécurité des données), aidant les sociétés à préparer de dollars pour tenter d’en corriger l’impact. Les sociétésla gestion des failles de sécurité.7 En outre, la commission qui déploient de bonnes pratiques en matière de sécurité desjudiciaire du Sénat américain a récemment déposé trois transferts de fichiers de données semblent prendreprojets de loi sur la sécurité pour l’instauration d’une l’avantage.« norme fédérale visant à signaler aux individus les violationsd’informations personnellement identifiables sensibles ».8 Pourquoi IBM ? Dès qu’une directive est mise en place concernant les bonnes pratiques à mettre en œuvre, vous devez les faire concorder avec les solutions technologiques appropriées qui sont, pour le transfert de fichiers de données, classées dans la catégorie des solutions de gestion des transferts de fichiers. Lors de l’examen de vos besoins technologiques, ne négligez pas l’opportunité de baisser votre coût total de possession en optant pour les produits d’un seul fournisseur.
  • 11. Logiciel IBM 11Chez IBM, nous pensons que la sécurité doit constituer Pour les entreprises recherchant des conseils pertinents pourune part intrinsèque de vos processus métier, de votre la définition et le déploiement d’une technologie de transfertdéveloppement et de vos opérations quotidiennes. Elle doit de fichiers externalisé, il peut être intéressant de procéder àdonc être intégrée dans la conception initiale de votre plate- une évaluation de la valeur métier, menée par les spécialistesforme informatique et de vos solutions d’infrastructure d’IBM. Menée dans le cadre d’une collaboration avec IBM,stratégiques, et non rajoutée par la suite. Que la solution cette opération permet d’évaluer votre infrastructure deappliquée repose sur un proxy basé sur une DMZ, transfert de fichiers actuelle et vos pratiques opérationnelles.avec la solution IBM Sterling Secure Proxy, le logiciel Elle prend en compte la chaîne de valeur complète de votreIBM Sterling Connect:Direct ou un protocole FTP point organisation ainsi que l’intégralité des transferts de fichiersà point standard, sans faille de sécurité en plus de 25 ans de données nécessaires pour qu’elle reste synchronisée.d’existence, les sociétés peuvent utiliser la technologie IBM IBM analyse les bonnes pratiques et aide à corréler lapour garantir la sécurité de leur données et de leurs réseaux. technologie, les processus et les produits IBM associés.Dans le même temps, l’autonomie des clients rend ces Pour de plus amples informationsderniers plus sensibles à la sécurité des données et oblige Contactez votre interlocuteur commercial IBM pourles partenaires commerciaux à adopter une approche plus organiser une évaluation de la valeur métier ou consultezsécuritaire pour protéger les données et les réseaux internes. le site suivant :L’adoption d’une approche davantage centrée sur le client http://www-01.ibm.com/software/fr/commerce/en termes de bonnes pratiques de sécurité des fichiers peut managed-file-transfer/aider les entreprises à harmoniser leurs règles avec lesprocessus de la chaîne de valeur.Dans le cadre de l’approche IBM Smarter Commerce,la synchronisation de la chaîne de valeur nécessite de solidescapacités d’intégration B2B. L’un des composants de cescapacités est la gestion des transferts de fichiers (MFT).Une solution MFT IBM, en plus d’aider les organisationsà synchroniser leurs communautés métier, peut fournirune base technique aux bonnes pratiques.
  • 12. IBM France 17 Avenue de l’Europe 92275 Bois Colombes Cedex IBM, le logo IBM, ibm.com et Smarter Commerce sont des marques d’International Business Machines Corp., déposées dans de nombreux pays du monde. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. Une liste actualisée des marques IBM est accessible sur le Web sous la mention « Copyright and trademark information » à l’adresse ibm.com/legal/copytrade.shtml. Connect:Direct est une marque ou une marque déposée d’IBM International Group B. V., une société IBM. Microsoft est une marque de Microsoft Corporation aux États-Unis et/ou dans d’autres pays. Le présent document est à jour à la date de publication initiale et peut être modifié par IBM à tout moment. Toutes les offres ne sont pas disponibles dans tous les pays où IBM intervient. LES INFORMATIONS CONTENUES DANS CE DOCUMENT SONT FOURNIES « EN L’ÉTAT » ET SANS AUCUNE GARANTIE, EXPRESSE OU TACITE, Y COMPRIS LES GARANTIES DE QUALITÉ MARCHANDE OU D’ADÉQUATION À UN USAGE PARTICULIER, OU TOUTE GARANTIE OU CONDITION DE NON-VIOLATION. Les produits IBM sont garantis conformément aux conditions générales des accords dans le cadre desquels ils sont fournis. Il incombe au client de s’assurer de la conformité avec la législation et les réglementations applicables. IBM n’émet aucun avis juridique, et ne déclare ou garantit en aucun cas que ses produits ou services assurent aux clients leur conformité aux lois et réglementations en vigueur. 1,2 Privacy Rights Clearinghouse, The Top Half Dozen Most Significant Data Breaches in 2011 (Les six plus importantes violations de données en 2011), 16 décembre 2011, http://www.privacyrights.org/data-breach-year- review-2011 3 Institut Ponemon, 2010 Annual Study: U.S. Cost of a Data Breach (Étude annuelle 2010 : coût des failles de sécurité des données aux États-Unis), mars 2011.4,5,6,9 Institut Ponemon, Best Practices in Data Protection: Survey of U.S. IT IT Security Practitioners (Pratiques de bon usage en matière de protection des données : étude auprès des services informatiques et des professionnels de la sécurité informatique des États-Unis), octobre 2011, sponsorisée par McAfee, http://www.mcafee.com/us/resources/reports/rp-ponemon- data-protection-full.pdf 7 Bureau du commissaire à l’information, Guidance on data security breach management (Guide sur la gestion des failles de sécurité des données), juillet 2011, http://www.ico.gov.uk/~/media/documents/library/ Data_Protection/Practical_application/GUIDANCE_ON_DATA_ SECURITY_BREACH_MANAGEMENT.ashx 8 Harley Geiger, « Senate Judiciary Committee Passes Three Data Security Bills » (« La commission judiciaire du Sénat américain dépose trois projets de loi sur la sécurité des données »), Center for Democracy Technology, 23 septembre 2011, https://www.cdt.org/blogs/ harley-geiger/239senate-judiciary-committee-passes-three-data- security-bills © Copyright IBM Corporation 2012 Veuillez recycler ZZW03114-FRFR-00

×