• Like

eGuide Transfert et gouvernance des données

  • 787 views
Uploaded on

Ce guide électronique vous aidera à identifier les mesures qui permettront à votre organisation d'opérer le transfert des fichiers critiques en toute sécurité et dans le respect de la réglementation. …

Ce guide électronique vous aidera à identifier les mesures qui permettront à votre organisation d'opérer le transfert des fichiers critiques en toute sécurité et dans le respect de la réglementation. Il vous offrira par ailleurs la possibilité d’être plus efficace dans votre travail et de proposer des suggestions intéressantes au service Sécurité.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
787
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
6
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. eGuide Mouvements et gouvernancedes donnéesAider les entreprises à rester en phase avec les réglementations
  • 2. eGuide Mouvements et gouvernance des donnéesSommaire IntroductionChapitre 1 : Principes de base 3 Vous pensez tout savoir des mouvements de données ? Qu’auriez-vous d’autre à savoir sur l’envoi de fichiers,Chapitre 2 : La gouvernance appliquée aux mouvementsde données entrants 6 opération que vous effectuez déjà tous les jours comme Une bonne maîtrise des principes concernantChapitre 3 : La gouvernance appliquée aux mouvements une routine ? Savez-vous vraiment à quel point cette opération peut être risquée ? Vous ne le saurez que les mouvements et la gouvernance desde données sortants 15 lorsqu’il sera trop tard. données peut vous permettre d’aider votreChapitre 4 : Visibilité interne et externe des mouvementsde données 17 Un audit se révèle catastrophique. Des informations entreprise à rester compétitive. clients sont menacées. Vous être rappelé à l’ordre pourChapitre 5 : Personnalisation des fonctions 21 ne pas avoir satisfait à un SLA (accord de niveau deAnnexe : Réglementations importantes 22 service) client majeur. Ce n’est qu’à cet instant que vous comprenez véritablement toute l’importance des transferts de fichiers pour votre entreprise, mais aussi pour votre carrière. Comment vous préparer à un tel moment ? Et surtout, comment anticiper et empêcher de tels incidents ? Il est absolument indispensable que vous compreniez les conséquences que peuvent entraîner une surveillance, une protection ou un contrôle inadaptés lors d’un transfert de données. Des pertes d’opportunités et de revenus pourraient bien finalement n’être qu’un moindre souci. Dans certains cas, des pratiques inappropriées peuvent conduire à des actions en justice, à des amendes voire à la faillite de l’entreprise. Ce guide électronique vous aidera à identifier les mesures qui permettront à votre organisation d’atteindre ses objectifs dans le respect de la réglementation. Il vous offrira par ailleurs la possibilité d’être plus efficace dans votre travail et de proposer des suggestions intéressantes au service Sécurité. Vous avez donc beaucoup à gagner. Prêt à aller de l’avant ? 2
  • 3. eGuide Mouvements et gouvernance des donnéesChapitre 1 : Principes de baseÉtant donné qu’un grand nombre de lecteurs de ce Mouvements de donnéese-guide font régulièrement appel à des solutions de Un mouvement de données renvoie au déplacementtransfert de fichiers administré, ce chapitre sera bref. de fichiers ou d’informations pouvant revêtir une Un mouvement de données dépasse lePour ceux d’entre vous qui découvrent ce sujet,nous débuterons ce guide en définissant trois importance stratégique pour l’ensemble des parties simple envoi de fichiers ; il revêt une intéressées dans votre organisation : employés,expressions clés : fournisseurs et toutes les personnes avec lesquelles importance stratégique pour chaque• Mouvements de données vous traitez. organisation. Pour cette raison, il doit faire• Transfert de fichiers administrés (ou MFT pour Les professionnels manipulent tous les types de l’objet d’une gouvernance plus étroite. Managed File Transfer) données. En fonction de votre rôle, vous pouvez avoir• Gouvernance une idée bien différente de ce que cela recouvre. Par exemple, un employé travaillant à la transmission des données peut considérer le transfert d’informations comme un simple envoi par lot. Les personnes gérant l’intégration B2B peuvent, pour leur part, le considérer comme un échange de données informatisé (EDI). L’employé moyen peut, quant à lui, le considérer uniquement comme l’envoi d’énormes fichiers électroniques. Toutes ces tâches sont importantes et chacune, à un degré ou à un autre, doit faire l’objet d’une gouvernance. 3
  • 4. eGuide Mouvements et gouvernance des donnéesGouvernance Points importantsLa gouvernance d’entreprise regroupe les règles etprocessus conformes à la législation et à la Mouvements de données Les exigences réglementaires nationales, Le mouvement de données est un point crucial pourréglementation applicables. Elle a donc une incidence tous les intervenants puisqu’il fait l’objet d’un nombre étatiques ou sectorielles ont un impactsur le mode de gestion ou de contrôle d’uneorganisation. Dans le domaine des technologies de croissant de réglementations de la part des autorités majeur sur la gouvernance d’entreprise … publiques, à tous les niveaux.l’information, la gouvernance renvoie à la structure, des solutions adaptées peuvent vous aiderà la supervision, au processus et aux contrôles quicontribuent à une gestion adéquate des données. MFT ou Transfert de fichiers administré à les respecter et à réduire vos coûts. Les solutions de gestion des transferts de fichiersLes réglementations nationales et étatiques portant sur administrés (Managed File Transfert, MFT) permettentla confidentialité des données des clients et sur la de gérer tous les types de transferts de fichiers et aidentvérifiabilité des transferts de données incluent les les utilisateurs à satisfaire aux règles édictées par lestextes suivants : autorités publiques et l’entreprise.• Graham Leach Bliley Act (GLBA) Gouvernance http://www.glba-guide.com/index.htm La gouvernance renvoie à la structure, à la supervision,• Sarbanes-Oxley (SOX) au processus et aux contrôles qui contribuent à une http://www.soxlaw.com/ gestion adéquate des données.• Federal Financial Institutions Examination Council (FFIEC) http://www.ffiec.gov/• Normes de sécurité des données de la Payment Card Industry (PCI DSS) https://www.pcisecuritystandards.org/index.shtml• Loi sur la protection des renseignements personnels et les documents électroniques http://www.priv.gc.ca/legislation/02_06_07_e.cf• Massachusetts Privacy Law 201 CMR 17.00 http://www.mass.gov/Eoca/docs/ idtheft/201CMR1700reg.pdf 4
  • 5. eGuide Mouvements et gouvernance des donnéesChapitre 2 : La gouvernance appliquéeaux mouvements de données entrantsCe chapitre examine les différents facteurs à prendre en Défense de haut niveaucompte concernant le mouvement de données entrant Comme bon nombre de termes informatiques,dans votre organisation. l’expression « Défense de haut niveau » est tirée du Différents produits de sécurité peuvent êtrePrincipaux thèmes abordés : jargon militaire. déployés pour se protéger contre toutes sortes• Défense de haut niveau Également appelée « approche multiniveau », cette de menaces potentielles au sein du réseau. expression définit l’utilisation de plusieurs niveaux et de• Contrôles d’audit différents types de mesures de sécurité pour protéger La défense de haut niveau est également Processus d’automatisation intelligents• • Analyse antivirus non seulement les différents composants système mais appelée « approche multiniveau ». également le système dans son ensemble.• Vérification de l’intégrité• Suppression des fichiers traités À titre d’exemple, citons les logiciels antivirus qui sont• Intégration dans une structure de sécurité commune installés sur des postes de travail déjà dotés d’une protection antivirus via les pare-feux et serveurs inclus dans le même environnement. Dans ce chapitre, nous examinerons plus particulièrement quatre composants utilisés pour assurer une défense de haut niveau dans le cadre d’une authentification multi facteur MFT : • Authentification multi-facteur • Zone démilitarisée (DMZ) multi-zone • Interruption de session • Vérification des protocoles Découvrez ici en quoi un proxy peut vous aider. 6
  • 6. eGuide Mouvements et gouvernance des donnéesAuthentification multi-facteur Dans une DMZ multi-zone, chacune des zones possèdeL’authentification multi-facteur permet de protéger un ses propres mesures de sécurité, notamment desaccès, notamment d’un compte bancaire ou d’un « Par définition, une véritable authentifi- informations d’identification qui sont stockées dansbâtiment, en exigeant de l’utilisateur qu’il produise cation multi-facteur implique l’emploi de une autre DMZ depuis des serveurs.plusieurs moyens d’identification. Plus les facteursrequis sont nombreux, plus l’accès est sécurisé. solutions composées d’au moins deux des Pour en savoir plus sur les DMZ, cliquez ici.Une authentification multi-facteur implique différentes trois catégories de facteurs. » Votre organisation bénéficie-t-elle d’une protectionméthodes d’identification d’un utilisateur. Par exemple, par DMZ multi-zone ? − Federal Financial Institutions Examination Council (FFIEC) américainpour retirer de l’argent dans un distributeurautomatique, l’utilisateur doit : 1) insérer sa carte et2) saisir son code. L’utilisateur est alors authentifié dedeux manières différentes. Zone démilitarisée (DMZ) multi-zone En termes militaires, une DMZ est une En termes informatiques, une zone démilitarisée (DMZ)Dans le cas d’une utilisation de système à système tel est une zone tampon qui renforce la sécurité entre zone non protégée ou semi-protégée situéeque vous pouvez le rencontrer au travail, vous trouverezd’autres exemples d’authentification : certificat, nom un réseau informatique sécurisé et les influences entre les forces ennemies. extérieures comme le piratage Internet.d’utilisateur/mot de passe et code généré par unjeton USB. À elle seule, cette zone empêche le réseau informatique interne d’être compromis par des attaques extérieures.Deux des trois facteurs d’authentification reconnus Comme il existe plusieurs zones au sein de cette DMZ,et recommandés par le Federal Financial Institutions si une zone est compromise, les autres ne le sont pas.Examination Council (FFIEC) américain sont :• les données comme un mot de passe ou un code (élément connu de l’utilisateur) ;• les objets comme une clé ou une carte magnétique (élément détenu par l’utilisateur).le troisième type d’authentification, à savoir les caractéristiques biométriques comme les empreintes ou l’analyse rétinienne (caractéristique personnelle de l’utilisateur) n’est pas utilisé dans les applications de système à système ; nous ne le traiterons donc pas ici.
  • 7. eGuide Mouvements et gouvernance des donnéesInterruption de session autorisent à pénétrer sur le réseau dans la mesurePour des raisons de sécurité, une interruption de où un respect obligatoire de la conformité aurait poursession correspond à la déconnexion automatique Un système de sécurisation du réseau conséquence de bloquer des informations entranteset volontaire entre le réseau d’un utilisateur et son informatique impose une interruption légitimes. Or, des pirates peuvent exploiter une telle situation en créant des codes malveillants comportantagresseur. Cette méthode permet de vérifier lesinformations d’identification avant que le contact de session entre un utilisateur cible et un des caractéristiques de non-conformité typiques desréel soit établi avec le serveur. agresseur dès la découverte d’une tentative données légitimes inoffensives. Une vérification efficace des protocoles permet alors de différencier les donnéesIl est possible de comparer cette méthode avec le d’intrusion hostile. légitimes des données malveillantes.contrôle des passeports aux points de contrôle d’unaéroport avant que les passagers n’embarquent dans Votre DMZ de transfert de fichiers procède-t-elleleur avion. à une vérification des protocoles ? Vérification des protocolesUn grand nombre de sociétés ne déploient pas encore La vérification des protocoles maintient la sécurité ence type d’application de sécurité par DMZ ; leurs veillant à la conformité des données avec des règlessessions de transferts de données sont donc préétablies lors de leur transit vers un ordinateur ouvulnérables. Les sociétés qui reconnaissent l’existence un réseau. « Comme son nom l’indique, un protocole,d’une menace prennent des mesures supplémentaires Un protocole correspond au format prescrit pour des indépendamment du contexte, est unpour éviter avant tout qu’elle ne se produise. Pour cela,elles déploient une application proxy basée sur une données et aux règles relatives à leur communication. ensemble de règles ou de manières de fairezone démilitarisée qui empêche tout établissement Parfois, les données ne respectent pas les règles … Certaines applications ne sont pasde session avant l’authentification des informationsd’identification de l’expéditeur. ou le format imposés. Cet accident peut être sans conformes aux protocoles prévus par leurs conséquence. Il peut également mettre en évidenceÀ partir de quel point votre système de sécurité de une attaque sur le réseau. concepteurs. Cette non-conformité peut êtreréseau oblige-t-il à une interruption de session ? Un système de sécurité efficace vérifie la conformité du une simple erreur ou, au contraire, une protocole des données entrantes. Comme des données tentative d’attaque du protocole aux inoffensives peuvent occasionnellement ne pas être conformes au protocole, de nombreux systèmes les conséquences indésirables. » —  homas W. Shinder et Thorsten Behrens. The Best Damn Firewall T Book Period, 8
  • 8. eGuide Mouvements et gouvernance des donnéesContrôles d’auditEn matière de sécurité informatique, un auditcorrespond à la collecte et à l’analyse d’informations (defaçon manuelle et automatisée) relative à une applicationou un système dans le but de déterminer sa protectioncontre les menaces et attaques.Différents types de contrôles d’audit permettent devérifier la configuration et l’exécution adéquates d’unsystème. Citons ainsi :• la génération de rapports ;• la surveillance ;• l’émission de reçus.
  • 9. eGuide Mouvements et gouvernance des donnéesGénération de rapports Surveillance Émission de reçusLa génération de rapports, également appelée « La surveillance, également appelée « surveillance Un reçu de livraison, également appelé « confirmationgénération de rapports d’événements d’audit », est continue » ou « surveillance des événements », de livraison » ou « notification de réception de livraison »,généralement effectuée sur une base ad hoc, ce qui est une fonction automatisée qui analyse et décrit est un message automatisé qui est renvoyé au termesignifie que l’utilisateur demande et reçoit des rapports les événements informatiques ou réseau. Elle a pour d’une transmission de données. Ce reçu confirme laspécifiques et personnalisés. Or, la génération de objectif d’informer immédiatement les utilisateurs bonne réception des données.rapports n’est plus une activité facultative. Aujourd’hui, de toute situation potentiellement risquée et deles sociétés sont soumises à une liste grandissante leur permettre de prendre rapidement les En matière de sécurité numérique, la non-répudiationd’exigences gouvernementales. mesures adéquates. est un outil qui permet de prouver qu’un message transféré a bien été envoyé et reçu par deux parties.Parallèlement à la loi Sarbanes-Oxley, les entreprises L’aspect positif de la surveillance des événements estsont soumises à de nouvelles réglementations, qu’elle vous oblige à traiter les exceptions importantes Grâce à ce système de non-répudiation, l’expéditeurnotamment PCI, DSS et HIPPA, qui imposent la tenue dans les meilleurs délais pour maintenir l’exécution d’un message ne peut plus nier l’envoi effectué et ilde journaux d’audit. Ces obligations, qui ont toujours des processus clés et la recherche continue de existe une preuve de la bonne réception de ce messageimposé la tenue de journaux, contraignent désormais signes d’intrusion. par son destinataire.les utilisateurs à vérifier l’activité consignée dans ces À l’heure actuelle, un nombre croissant de sociétésjournaux et à identifier les points présentant une activité transfèrent des données au moyen du protocolepotentiellement anormale. Applicability Statement 2 (AS2), qui procède à l’envoiComment recherchez-vous les activités anormales Cherchez constamment tout ce qui échappe et à la réception des données via une connexion sécurisée. On peut comparer son fonctionnementdans vos rapports d’événements ? à la norme. à une sorte d’enveloppe qui contiendrait des informations importantes. Aussi, si vous optez pour un autre protocole ou pourLa génération de rapports est une tâche de un enregistrement dans un fichier journal, vous devez mettre en place une stratégie permettant de prouverplus en plus contraignante … qui dépasse la juridiquement que vous avez envoyé les données etsimple collecte des logs. qu’elles ont bien été reçues. Comment pouvez-vous prouver juridiquement que les données n’ont pas été uniquement envoyées mais également reçues ? 10
  • 10. eGuide Mouvements et gouvernance des donnéesProcessus d’automatisation intelligents Analyse antivirus Suppression des fichiers traitésDans le cadre de processus d’automatisation Un virus est un code informatique malveillant qui se La suppression des fichiers traités correspond à l’uneintelligents, des fonctions de flux de travail avancées propage de lui-même (logiciel malveillant) et compromet des meilleures pratiques en matière de sécurité dessont combinées avec les meilleures pratiques de les performances de votre système. Comme vous le systèmes. Un fichier peut contenir des informationsl’industrie pour assurer le déclenchement automatique savez déjà, vous devez constamment être sur vos importantes susceptibles d’être consultées par desde ces procédures. gardes. Parmi les méthodes de lutte disponibles, utilisateurs non autorisés comme des pirates Internet. l’analyse antivirus identifie et supprime ces Une fois le traitement des fichiers terminés, il est doncLe problème, en termes de gouvernance, est que vous « envahisseurs », dans l’idéal avant que le mal ne impératif que ces derniers soient supprimés pour quedisposez d’une méthode standard de traitement des soit fait. les informations qu’ils contiennent ne soient pluserreurs qui n’a pas à être codée manuellement dans accessibles aux tiers non autorisés.un script pour chaque transfert. Les événements sont Bien que les virus ne représentent qu’une menace faiblegérés par exception, et non par vérification, et les pour les fichiers générés par le système, ils demeurent L’objectif est simplement d’assurer uneutilisateurs concernés sont alertés en temps réel en une menace élevée pour les transferts de personne sécurité adéquate.cas de problème important. à personne effectués notamment au moyen de courriers électroniques. Quel est le niveau de fiabilité de votreEn résumé, la difficulté est de pouvoir travailler de système si vos fichiers traités ne sont pasfaçon plus intelligente à chaque fois. Vous trouverez Généralement, l’analyse antivirus traite d’autres automatiquement supprimés ?ci-dessous les quatre processus automatisés les menaces émanant de logiciels malveillants comme lesplus courants : chevaux de Troie et les vers. La meilleure analyse antivirus n’altère pas les performances d’une• Analyse antivirus application. Les analyses antivirus plus évoluées• Vérification de l’intégrité intègrent des alertes et des messages d’avertissement Les vieux fichiers peuvent donner lieu à une• Suppression des fichiers traités pour une meilleure prise de décisions. Comme les kyrielle de nouveaux problèmes.• Contrôle/redémarrage pirates informatiques inventent constamment de nouveaux virus, un outil d’analyse antivirus peut rapidement devenir obsolète : il doit donc être régulièrement mis à jour. Si votre analyse antivirus n’est pas exécutée automatiquement, vous courez le risque d’être rapidement dépassé. 11
  • 11. eGuide Mouvements et gouvernance des donnéesCheckpoint & restart Intégration dans une infrastructure Active Directory et Lightweight DirectoryLa méthode du Checkpoint/Restart (point de contrôle/ de sécurité commune Access Protocol (LDAP)redémarrage) permet de récupérer des données après L’intégration dans une infrastructure de sécurité Active Directory est une technologie Microsoft®.un incident ou une panne système connexe. Pour le commune permet aux différents systèmes employéstransfert de fichiers, un point de contrôle implique la pour faciliter le transfert des données de partager une Les sociétés utilisent Active Directory pour stocker etcréation d’un enregistrement à intervalles réguliers même base d’informations identification. organiser les informations relatives aux composantspendant la transmission d’un fichier. En cas de réseau comme les ordinateurs, périphériques oudéfaillance, le dernier point de contrôle constitue le point Grâce à cette zone unique de stockage des données utilisateurs. En résumé, il facilite l’affectation de règles,de restauration à partir duquel les transferts pourront utilisateur, il n’est plus nécessaire d’accéder aux le déploiement des logiciels et l’application de mises àreprendre. Cela vous évite de tout recommencer depuis différents serveurs sur lesquels les données jour critiques sur un système informatique.le début. Avec la technique Checkpoint/Restart, d’identification utilisateur sont stockées lorsqueles erreurs ne ralentissent pas votre système. celles-ci font l’objet d’une modification. Active Directory intègre le protocole LDAP. LDAP est la norme de l’industrie en matière d’accès à un répertoire.En cas de défaillance de votre système, serez-vous Cette technique simplifie considérablement la LDAP signifie que Active Directory est largementcapable de récupérer vos données sans avoir maintenance utilisateur et offre dans le même temps accessible aux utilisateurs qui souhaitent effectuer desà recommencer le transfert ? aux professionnels de l’informatique la gouvernance fonctions comme des demandes ou des applications nécessaire aux audits de sécurité. de gestion. Nous étudierons plus particulièrement les deux Pour en savoir plus sur Active Directory, cliquez ici. aspects suivants : Pour en savoir plus sur LDAP, cliquez ici.Un Checkpoint/Restart permet la • Active Directorypoursuite d’un transfert malgré l’existence • Base de certificats et de clésd’une erreur. Une technologie qui vous aide à garder le cap. 12
  • 12. eGuide Mouvements et gouvernance des donnéesBase de certificats et de clés Points importantsEn matière de sécurité des informations, une clé Défense de haut niveau(également appelée « clé de données » ou « clé dechiffrement ») est employée pour chiffrer ou déchiffrer La défense de haut niveau s’appuie sur différentsdes données. Un certificat est un ensemble niveaux et types de sécurité pour protéger le système.d’informations chiffrées, telles que le nom d’un Authentification multi-facteurutilisateur ou d’une organisation, qui définit le L’authentification multi-facteur fait appel à au moinspropriétaire d’une clé de données. deux types d’authentifications comme un jeton USBUne base de certificats est une base de données dans (ou token) et un changement d’adresse IP, pourlaquelle sont centralisés les certificats ; leur maintenance identifier un utilisateur.est assurée par un tiers appelé « autorité de certification ».Lorsqu’un individu tente d’accéder aux informations Interruption de sessionchiffrées, cette autorité est automatiquement contactée. Une interruption de session est un arrêt automatiqueLe certificat stocké dans la base de certificats est alors permettant de vérifier les informations d’identificationconsulté pour vérifier la propriété de la clé de données. d’un utilisateur. Des applications basées sur une DMZ assurent la sécurité avant qu’un arrêt de laEn disposant d’une base de clés et de certificats communication soit nécessaire.commune, vous pouvez réduire la maintenance deces importants artéfacts de sécurité, utilisés pour les Vérification des protocolesprotocoles chiffrés dans les transferts de fichiers. La vérification des protocoles permet de vérifier la conformité des données par rapport aux règles édictées. Pour une sécurité optimale, vous devez déployer une solution DMZ multiprotocole. 14
  • 13. eGuide Mouvements et gouvernance des donnéesChapitre 3 : La gouvernance appliquéeaux mouvements de données sortantsCe chapitre examine les différents facteurs à prendre en Chiffrement Transfert ad hoccompte concernant le transfert de données sortant de Le chiffrement (on utilise parfois l’anglicisme L’expression « ad hoc » renvoie aux actions qui sontvotre organisation. « encryption ») assure la confidentialité des messages spontanées et non prédéfinies ou planifiées. en transformant les données pour qu’elles ne puissentPrincipaux thèmes abordés : être lisibles que par les détenteurs de la clé compatible Dans le cadre de la gestion des transferts de fichiers, avec le système de chiffrement. l’expression « ad hoc » renvoie aux transferts orientés• Chiffrement personne et non aux transferts orientés système.• Prise en charge des transferts ad hoc Le recours au chiffrement, ou code, implique de Ils sont rarement planifiés, sont généralement externes• Analyse en prévention des pertes de données déchiffrer, ou décoder, les informations chiffrées pour à l’entreprise et impliquent des pièces jointes, qu’elles puissent être de nouveau lisibles. Un large des serveurs ftp, un service hébergé ou des éventail de protocoles de chiffrement est à votre supports physiques. disposition. À vous de choisir la clé de chiffrement et le partenaire que vous souhaitez utiliser. Dans ce type de transfert, vous pouvez échanger des pièces jointes volumineuses avec des tiers La plupart des professionnels de l’informatique externes au moyen d’un portail sécurisé et sans connaissent parfaitement les différentes options de configuration informatique. chiffrement. Pourtant, certaines organisations hésitent à appliquer les solutions disponibles. Actuellement, les options les plus intéressantes en matière de prise en charge ad hoc sont assurées par Votre organisation dispose-t-elle d’une règle de une interface utilisateur de type webmail et fournissent classification et cette dernière est-elle appliquée des notifications sur les principales activités. Vous pour le transfert de fichiers externes ? disposez également de fonctions de sécurité et d’audit. Si des transferts ad hoc sont réalisés au sein de votre organisation, et il est fort à parier que ce soit le cas, quel type de gouvernance et de contrôle disposez-vous pour ces activités ? Vos serveurs de messagerie sont saturés ? La sécurité est une préoccupation majeure ? Vous êtes contraint à réduire vos coûts ? 15
  • 14. eGuide Mouvements et gouvernance des données Prévention des pertes de données ou DLP La prévention des pertes de données (également appelée « prévention des fuites de données » ou DLP pour Data Loss Prevention) implique l’arrêt du transfert de données stratégiques sur la base d’une correspondance avec un modèle. Par exemple cette technique peut identifier les numéros de sécurité sociale contenus dans un fichier, en s’appuyant sur le format de nombre x xx xx xx xxx xxx, et arrêter leur transmission dans une pièce jointe à un courrier électronique. Pour cela, le logiciel de DLP est appelé dans le cadre du processus de transmission où il exécute des fonctions comme une vérification du contenu des données, un examen du contexte et une correction. Points importants Problématiques importantes Parmi les problématiques importantes liées au transfert de données sortants, citons le chiffrement, les transferts ad hoc et la prévention des pertes de données. Gouvernance Pour éviter toute interruption, amende, voire pire, les organisations doivent mettre en place et appliquer des règles de gouvernance et de contrôle efficaces. 16
  • 15. eGuide Mouvements et gouvernance des donnéesChapitre 4 : Visibilité interne et externedes mouvements de donnéesCe chapitre examine les différents facteurs liés à la Surveillance centralisée Serveurs de règlesvisibilité du transfert des données à l’intérieur et à La surveillance centralisée renvoie à une solution qui Ces règles fonctionnelles sont établies pour gérer lesl’extérieur de votre organisation. assure la surveillance des systèmes, applications et situations susceptibles de se produire. Elles contribuent réseaux à partir d’un point centralisé. Nous étudierons à maintenir la sécurité des systèmes ou applications.Principaux thèmes abordés : plus particulièrement les quatre aspects suivants : Par exemple, une règle d’entreprise type peut imposer• Surveillance centralisée • Notifications qu’aucune information d’identification personnelle ne• Provisionnement centralisé pour toute • Serveurs de règles soit envoyée sans être chiffrée ou sans chiffrement nouvelle connexion • Surveillance basée sur des SLA minimal de 128 bits.• Choix des services d’externalisation et de gestion tiers • Intégration dans d’autres outils de gestion système L’utilisation de serveurs de règles pour les configurations assure la cohérence et la normalisation dans un Notifications système ou un réseau. Ils bloquent les activités des Nous connaissons tous les alarmes, voyants clignotants individus ou fournisseurs de solutions qui, comme des et autres bips énervants qui attirent notre attention pour électrons libres, veulent mettre en œuvre leurs propres nous faire réagir de façon appropriée. Dans le même manières de faire. esprit, il n’est plus nécessaire de rester devant une console pour être informé de l’existence d’un Êtes-vous certain que les principales règles événement ou d’une exception lors d’un transfert d’entreprise sont mises en œuvre en matière de fichiers importants. de transfert de données ? Aujourd’hui, les sociétés se servent de dispositifs mobiles pour rester informées et même gérer ce type d’événement depuis n’importe quel endroit. En cas de problème, comment êtes-vous informé ? 17
  • 16. eGuide Mouvements et gouvernance des données Surveillance basée sur des SLA Un SLA est un contrat de service dans lequel les aspects du service, notamment la disponibilité du système ou les créneaux de livraison des fichiers, sont très précisément indiqués. Chose plus importante, les SLA doivent préciser le mode de mesure des performances pour que les garanties de type 99,999 % ou traitement dans l’heure qui suit la réception, puissent être réalisées ou validées. Aujourd’hui, un nombre grandissant de transferts de données stratégiques sont régis par des SLA. Pour tenir les promesses énoncées dans le respect du SLA, vous devez vous doter d’une méthode de suivi des performances du SLA et d’identification des exceptions à traiter en priorité. De quels moyens disposez-vous pour vérifier que les niveaux de service sont atteints ? Une surveillance efficace permet de vous assurer que les obligations énoncées dans le SLA sont satisfaites et que des amendes ont pu être évitées. 18
  • 17. eGuide Mouvements et gouvernance des donnéesIntégration dans d’autres outils de Provisionnement centralisé pour toute Le provisionnement centralisé de toutes les nouvellesgestion système nouvelle connexion connexions offre un point centralisé unique à partirToutes les grandes entreprises se servent d’outils de Le provisionnement implique la configuration du duquel les connexions sont configurées, testées,gestion système comme HP Openview, IBM Tivoli, système, l’octroi d’un accès aux utilisateurs, la mise activées et désactivées. Il peut servir de structure etCA ControlM/ Patrol, etc. Ces outils, qui sont regroupés en conformité avec les règles édictées, etc. de contrôle aux processus ad hoc qui apparaissentdans des centres d’opération fonctionnant 24 heures dans l’organisation.sur 24, surveillent l’intégrité des applications, des Un provisionnement centralisé renforce la sécurité,serveurs et du réseau de l’ensemble de l’entreprise. accroît l’efficacité des processus et accélère lesLes transferts de fichiers doivent répondre à des Un provisionnement centralisé renforce la opérations ; aucune connexion unique n’est créée par application ou service.obligations de surveillance spéciales. Il est donc sécurité, accroît l’efficacité des processus etessentiel qu’ils partagent des alertes et des notifications Quel niveau de contrôle appliquez-vous à votreavec les outils de gestion système existants et vous accélère les opérations. processus de provisionnement actuel ?proposent des fonctions spécialisées de notificationet de gestion du SLA.Exploitez-vous les ressources de l’entreprise et leurfournissez-vous les services standard dont vousavez besoin ? 19
  • 18. eGuide Mouvements et gouvernance des donnéesServices d’externalisation et de Points importantsgestion tiers Solutions de visibilitéLes entreprises tendent aujourd’hui à sélectionner des Les solutions de visibilité comprennent les applicationsfonctions informatiques, notamment celles qui ne de surveillance et de provisionnement centralisés.constituent pas un facteur de différenciation, et à lesdéléguer à des sociétés capables d’offrir des niveaux de Tiers de confianceservice supérieurs et à moindre coût. La gestion des Les services gérés par un tiers de confiance peuventtransferts de fichiers en tant que service (MFT as-a- vous aider à rester en phase avec les nouvellesService) est une possibilité qu’examinent à présent de technologies et obligations gouvernementales.nombreuses sociétés.Les organisations peuvent choisir d’externaliser cesfonctions ou d’opter pour un service géré par un tiers.Face à la rapide évolution technologique et au nombregrandissant d’obligations gouvernementales,les entreprises ne peuvent plus ignorer ces options,notamment dans des environnements B2B où lesconnexions sont très nombreuses.Vous est-il possible d’externaliser certainesparties de vos opérations de transfert de donnéesafin de vous concentrer sur des processusplus différenciateurs ?L’externalisation peut aider à accroîtreles niveaux de service proposés pour uncoût moindre. 20
  • 19. eGuide Mouvements et gouvernance des donnéesChapitre 5 : Personnalisationdes fonctionsMise en application des connaissancesAvec la complexité grandissante des infrastructures,il devient encore plus urgent que les donnéesrespectent des directives strictes lors de leurs transfertsà l’intérieur et à l’extérieur de l’entreprise. À défaut, lesconséquences peuvent être catastrophiques : pertes derevenus, amendes de l’administration publique, brèchesde sécurité, voire faillites.Heureusement, les outils et stratégies de contrôle et deprotection des données d’entreprise commencent à semultiplier. Les personnes concernées par la gestion destransferts de fichiers ont beaucoup à gagner à rester aufait des dernières fonctionnalités proposées.Vous pouvez aider votre organisation à restercompétitive en découvrant mieux les fonctions degouvernance que nous venons d’identifier, et en enfavorisant la mise en œuvre.N’attendez pas que le service Sécurité de votreentreprise vous demande ce que vous faites pourassurer la conformité des données vis-à vis desobligations gouvernementales : prenez une longueurd’avance et faites des recommandations, ou indiquezce qu’il est possible de faire.Maintenant que vous en savez plus sur les principauxproblèmes liés au transfert et à la gouvernance desdonnées, vous êtes mieux armé pour affronter lesdifficultés à venir. Si vous avez besoin d’aide, examinezles solutions IBM susceptibles de répondre à vosattentes. Nous sommes prêts à aller de l’avantavec vous. 21
  • 20. eGuide Mouvements et gouvernance des donnéesAnnexe : RéglementationsimportantesAider les services financiers à répondre Les solutions IBM assurent les • Audit de l’activité de transfert des fichiers et de l’accèsaux obligations réglementaires et de fonctions suivantes : système lors du transfert des données d’un système Chiffrement des données en mouvement et statiques à un autre, en interne ou avec des partenaires etl’industrie en matière de sécurité en interne ou en externe clients externesIBM joue un rôle de premier plan dans le domaine des • Solution de transfert de fichiers de pair à pair quiréglementations gouvernementales et sectorielles. La • Accès aux données et fonctions système basé sur réduit le risque de propagation des données ensociété aide, en effet, les sociétés de services financiers des rôles limitant le transfert des données au producteur et auà répondre à leurs objectifs de conformité réglementaire • Authentification multi-facteur consommateur Absence d’infrastructure intermédiaireen matière de sécurité, de confidentialité des données • Architecture et fonctions de sécurisation du périmètre pour le stockage et l’acheminement des données,clients et de vérifiabilité des transferts de données. (meilleures pratiques) d’où limitation d’un point d’accès aux données etPour toutes ces réglementations, les services financiers • Fonctions permettant de satisfaire à 7 des suppression d’un emplacement d’archivage desdoivent mettre en place des contrôles appropriés dans 12 exigences des normes de sécurité PCI-DSS données dans l’infrastructurel’ensemble de l’entreprise. Aucun contrôle ni aucune • Consignation détaillée des activités d’audit et basesolution ne peut couvrir seul toutes les situations ou de données d’activités consolidéeobligations. Les solutions IBM fournissent des fonctionsde sécurité centrales aidant les entreprises de services La solution Sterling MFT permet d’aller au-delà desfinanciers à atteindre leurs objectifs de conformité exigences de sécurité par les biais suivants :réglementaire. Elles offrent également aux institutionsfinancières la flexibilité et l’extensibilité qui leur sont • Meilleurs pratiques en matière d’authentification :nécessaires pour intégrer leur propre politique de prise en charge de l’authentification multi-facteur,sécurité en amont et en aval de ce qu’impose vérification CRL, mappage des ID utilisateurs,la réglementation. graduation de la sécurité, intégration LDAP, et octroi de flexibilité et de l’extensibilité nécessaires auxRéglementation institutions financières pour mettre en place des• Sarbanes Oxley(SOX) – Vérifiabilité des transferts et contrôles organisationnels internes supplémentaires de l’accessibilité des données • Meilleures pratiques en matière de confidentialité des• Payment Card Industry Data Security Standards données au moyen de fonctions protégeant les (PCI DSS) – Sécurité des données données clients comme le chiffrement des données• Protocole EBICS, qui remplace ETBAC pour les en mouvement et statiques Accès aux données et échanges Banques/Entreprises fonctions système basé sur des rôles, authentification• Graham Leach Bliley Act (GLBA) – Confidentialité des multi-facteur et fonctions de sécurisation du données Federal Financial Institutions Examination périmètre pour bloquer tout accès non autorisé Council (FFIEC) – Authentification bancaire en ligne à l’environnement• Loi sur la protection des renseignements personnels et les documents électroniques (Canada) – Confidentialité des données 22
  • 21. eGuide Mouvements et gouvernance des donnéesNormes de sécurité des données de la Payment Card Industry (PCI DSS) : Avec une architecture de transfert de fichiers de point à point (par exemple, Connect:Direct), les donnéesCréation et gestion d’un réseau sécurisé ne sont pas stockées dans des systèmes de fichiersExigence 1 Installer et gérer une configuration de pare-feu pour protéger les données de titulaire de carte intermédiaires : elles ne sont donc pas susceptiblesExigence 2 d’être consultées ou manipulées par le personnel de Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur ç l’infrastructure ou opérationnel.Protection des données de titulaire de carte de crédit ç  xigences PCI 3, 7 et 9 (en n’imposant pas une EExigence 3 Protéger les données de titulaire de carte stockées infrastructure qui obligerait à une conformité avecExigence 4 Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts ç les normes PCI)Gestion d’un programme de gestion des vulnérabilités ç Les passerelles de fichiers externes utilisent uneExigence 5 Utiliser des logiciels antivirus et les mettre à jour régulièrement architecture « enregistrement/transmission » et ouvrentExigence 6 Développer et gérer des systèmes et des applications sécurisés donc la voie à un accès non autorisé.Mise en œuvre de mesures de contrôle d’accès strictes a)  terling File Gateway permet le chiffrement des SExigence 7 données statiques et leur accès basé sur des rôles Restreindre l’accès aux données de titulaire de carte aux seuls individus qui doivent les connaître ç pour permettre aux composants de sécurité deExigence 8 Affecter un ID unique à chaque utilisateur d’ordinateur ç répondre aux exigences PCI.Exigence 9 Restreindre l’accès physique aux données du titulaire de carte ç ç Exigences PCI 3, 7 et 9Surveillance et test réguliers des réseaux b)  terling File Gateway prend en charge des ID SExigence 10 Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte ç utilisateurs uniques et offre une fonction étendue deExigence 11 Tester régulièrement les processus et les systèmes de sécurité consignation des activités pour permettre de surveillerGestion d’une politique de sécurité des informations les activités d’accès aux fichiers et de déplacement des fichiers au moyen de ses pistes d’audit et de sesExigence 12 Gérer une politique de sécurité des informations fonctions de génération de rapports. ç Exigences PCI 8 et 10 23
  • 22. eGuide Mouvements et gouvernance des donnéesLa navigation sécurisée derrière un pare-feu est Sarbanes Oxley (SOX) :également exigée. Sterling Secure Proxy offre un certain Pour se conformer à la loi SOX, la meilleure pratique consiste à appliquer les recommandations du COSOnombre de fonctionnalités permettant de satisfaire aux (Committee Of Sponsoring Organizations of the Treadway Commission) ainsi que les pratiques informatiquesexigences PCI. énoncées dans COBIT (Objectifs de Contrôle de l’Information et des Technologies associées). La suite logicielle Sterling MFT aide les organisations à atteindre leurs objectifs de mise en conformité. Vous trouverez les principauxç Exigence 1 points dans le tableau ci-dessous.L’intégralité de l’architecture Sterling MFT assure le COBIT Description Suite Sterling MFTchiffrement des transmissions internes ou externes desdonnées d’une organisation. DS1.5 Surveillance et Sterling Control Centre regroupe dans d’une base de données centralisée les fichiers journaux des génération de différentes solutions de transfert de fichiers utilisées dans l’entreprise et propose plus de 50 rapportsç Exigence 4 rapports standard ainsi que des rapports personnalisés via Crystal Reports. Solution de pointe, Sterling Integrator/Sterling File Gateway offre également une surveillance en ligne et des fonctions de génération de rapports aux utilisateurs opérationnels et internes, et aux partenaires commerciaux externes. Le protocole SNMP (Simple Network Management Protocol) peut être employé pour l’intégration aux systèmes de surveillance d’entreprise. Sterling Secure Proxy, le composant de sécurité de la solution basé dans la DMZ fournit un journal consolidé de l’activité de toutes les sessions ainsi que des journaux séparés. Les messages consignés peuvent également être transmis à un démon syslog qui les achemine à son tour aux parties intéressées pour leur permettre de prendre les mesures appropriées. DS5.1 Gestion à Sterling Control Centre fournit des fonctions complètes de surveillance, de notification et de gestion des distance SLA pour l’ensemble de l’activité de transfert de fichiers, et ce à partir de n’importe quel endroit. Via l’interface web MyFileGateway, les utilisateurs de Sterling Integrator/Sterling File Gateway (internes ou externes) peuvent disposer de fonctions à distance en libre-service pour connaître un état, exécuter des rapports, télécharger des fichiers et s’abonner à des alertes par courrier électronique. Les administrateurs peuvent accéder au composant de sécurité de la sécurité basé dans la DMZ, Sterling Secure Proxy, via une interface utilisateur de type navigateur. Sterling Secure Proxy est accessible depuis la zone sécurisée via HTTPS pour la configuration et la gestion des opérations. DS5.3 Gestion des IBM permet à l’utilisateur de se servir d’un système d’exploitation intégré ou d’une authentification identités externe (par exemple, LDAP). Sterling Integrator/Sterling File Gateway prend également en charge l’authentification unique (Single Sign-On). Le composant de sécurité de la sécurité basé dans la DMZ, Sterling Secure Proxy, prend en charge l’authentification des utilisateurs en interrogeant un ou plusieurs serveurs LDAP. Les certificats sont validés au moyen d’une vérification CRL. Sterling Secure Proxy prend également en charge l’authentification multi-facteur. Sterling Secure Proxy met fin aux sessions avec Sterling Integrator/Sterling File Gateway en cas d’échec de l’authentification. 24
  • 23. eGuide Mouvements et gouvernance des donnéesCOBIT Description Sterling MFT SuiteDS5.4 Gestion des IBM fournit des fonctions complètes de définition et de gestion des comptes utilisateur, notamment une comptes interface adaptée à la plate-forme. Ces fonctions incluent la définition d’ID et de mots de passe utilisateur, utilisateurs la capacité d’activer et de désactiver l’accès ainsi que la possibilité de définir des autorisations et des droits d’accès basés sur des rôles.DS5.5 Détection Sterling Control Centre assure un blocage après un certain nombre de tentatives de connexions des activités infructueuses. Sterling Integrator/Sterling File Gateway propose une fonction de journalisation détaillée anormales pour suivre les activités de transmission et des utilisateurs. Le composant de la solution basé dans la DMZ, Sterling Secure Proxy, consigne toutes les occurrences des erreurs. Il vérifie également l’exactitude du protocole Connect:Direct et recherche le contenu approprié dans les messages de contrôle Connect:Direct. Si Sterling Secure Proxy détecte des anomalies, il met fin à la connexion s’il est configuré dans ce sens ou consigne un message d’avertissement. Pour les protocoles FTP (File Transfer Protocol) et HTTP, Sterling Secure Proxy peut être configuré pour interdire différentes commandes et opérations possibles dans ces protocoles.DS5.7 Protection de la Les fonctions de contrôle d’accès et de journalisation détaillée de Sterling Integrator/Sterling File technologie de Gateway restreignent l’accès aux zones sécurisées du système et assurent la consignation des sécurité modifications apportées. Le composant de la solution basé dans la DMZ, Sterling Secure Proxy, sécurise les connexions au moyen des protocoles SSL et TLS. Il a essentiellement pour fonction d’opposer une barrière sécurisée aux connexions entrantes pour que seules les connexions autorisées soient admises au sein du réseau interne. Aucune information d’identification utilisateur n’est stockée dans la DMZ et seuls les ports sortants sont ouverts sur les pare-feux pour protéger la zone sécurisée.DS5.8 Gestion des clés IBM s’intègre à votre système de gestion des clés et des certificats standard. cryptographiques Sterling Secure Proxy assure la gestion des certificats et des clés dans les différents formats nécessaires pour mettre en oeuvre ses fonctions de sécurité.DS5.10 Sécurité du Les solutions IBM assurent le chiffrement des transmissions pour protéger les données lors de leur transit réseau sur le réseau. Aucun composant de sécurité réseau n’est nécessaire (par exemple, IPSEC). Le composant de la solution basé dans la DMZ, Sterling Secure Proxy, propose des services de proxy d’application, notamment des interruptions de session SSL, la validation des partenaires commerciaux, la validation des protocoles et des certificats, les limites de session et l’authentification multi-facteur. Grâce à une sécurisation de pointe du périmètre, vous pouvez utiliser Internet en toute sécurité et ainsi effectuer des transferts de fichiers fiables, économiques, haut débit, basés sur des normes. Ce composant n’active également que les ports entrants des pare-feux pour assurer une navigation sécurisée d’une zone à l’autre de la DMZ. 25
  • 24. eGuide Mouvements et gouvernance des donnéesCOBIT Description Sterling MFT Suite Federal Financial InstitutionsDS5.11 Échange Sterling Integrator/Sterling File Gateway propose un certain nombre de protocoles sécurisés et de Examination Council (FFIEC) : de données technologies de chiffrement pour protéger les échanges de données stratégiques (notamment TLS, SSL, La solution Sterling MFT aide les institutions financières stratégiques SSH et PGP). Par ailleurs, Sterling Secure Proxy peut s’appuyer sur la fonction Sterling Secure+ pour à répondre aux exigences définies par le FFIEC échanger des informations en toute sécurité avec Connect:Direct et protéger le périmètre du réseau concernant les meilleures pratiques en matière d’une organisation. d’authentification. Pour cela, elle prend en chargeDS11.5 Sauvegarde et Les données de toutes les solutions IBM sont stockées dans des fichiers de configuration et une l’authentification multi-facteur, propose une sécurisation restauration base de données standard. La meilleure pratique de base inclut des processus de sauvegarde graduée, une intégration LDAP, et offre la flexibilité et réguliers et des processus de récupération documentés. Une fonction d’archivage intégrée peut être programmée régulièrement. l’extensibilité nécessaires à une institution financière pour mettre en place d’autres contrôles. Pour plusDS11.6 Sécurité des Sterling File Gateway ne stocke aucune donnée dans la DMZ et assure le chiffrement des données données statiques ainsi qu’un accès basé sur des rôles pour que seules les personnes disposant d’un accès d’informations, reportez-vous au tableau de conformité approprié puissent y accéder. à la loi SOX ci-dessus. Le composant de sécurité de la sécurité basé dans la DMZ, Sterling Secure Proxy, ne stocke pas les données utilisateur échangées via les protocoles Connect:Direct, FTP ou HTTP. Après validation, Graham Leach Bliley Act (GLBA) les informations sont transmises de l’entité expéditrice à leur destinataire. La solution IBM MFT (qui se compose de plusieursDS13.2 Programmation Sterling Integrator/Sterling File Gateway est doté d’un programmateur qui permet d’automatiser les produits) aide une institution financière à répondre des tâches processus de transfert des fichiers. aux obligations définies par le GLBA concernant la protection des informations personnelles de ses clients en proposant des fonctions de meilleures pratiques protégeant les données des clients comme le chiffrement des données en mouvement et statiques. Accès aux données et fonctions système basé sur des rôles, authentification multi-facteur et fonctions de sécurisation du périmètre pour bloquer tout accès non autorisé à l’environnement Pour plus d’informations, reportez-vous au tableau précédent, sous Conformité à la loi SOX.
  • 25. eGuide Mouvements et gouvernance des donnéesNormes de sécurité d’entreprisePour toutes les réglementations, les sociétés doiventmettre en place des contrôles appropriés dansl’ensemble de l’entreprise. Aucun contrôle ne peutà lui seul couvrir toutes les situations. Les solutionsIBM peuvent favoriser la sécurité des données via lechiffrement des données en mouvement et statiques.Nous pouvons vous aider dans vos activités d’audit etd’accès, et sécuriser le périmètre de votre entreprisepour que seuls les clients et systèmes autoriséspuissent s’y connecter, et pour maintenir les donnéessous surveillance et contrôle pendant qu’elles résidentdans la solution.IBM est à la pointe des réglementationsgouvernementales et sectorielles, et s’assure que lessociétés pourront s’y conformer. Notre solution offreégalement aux institutions financières la flexibilité etl’extensibilité nécessaires pour intégrer leurs propresmesures de sécurité en amont et en aval de cequ’impose la réglementation. Ainsi, il est possible deconfigurer des règles de mot de passe pour votrestratégie de sécurité. La solution peut égalements’intégrer à vos propres fonctions de sécurité au seindu processus de transfert de fichiers. La solution desécurité par DMZ IBM assure une navigation sécuriséederrière un pare-feu et propose des schémas dedéploiement souples pour répondre aux exigencesdes architectes réseau et de sécurité.
  • 26. eGuide Mouvements et gouvernance des données IBM France 17 Avenue de lEurope 92275 Bois Colombes Cedex France IBM, le logo IBM et ibm.com sont des marques dInternational Business Machines Corporation aux États-Unis et/ou dans dautres pays. Lassociation dun symbole de marque déposée (® ou ™) avec des termes protégés par IBM, lors de leur première apparition dans le document, indique quil sagit, au moment de la publication de ces informations, de marques déposées ou de fait aux États-Unis. Ces marques peuvent également être des marques déposées ou de fait dans d’autres pays. Une liste actualisée des marques IBM est accessible sur le web sous la mention « Copyright and trademark information » à l’adresse www.ibm.com/legal/copytrade.shtml. Sterling Commerce, Sterling Integrator et Connect:Direct sont des marques ou des marques déposées d’IBM International Group B.V., une société IBM. Les informations contenues dans le présent document sont fournies à titre d’information uniquement. Malgré tous les efforts déployés pour vérifier lexhaustivité et lexactitude des informations contenues dans ce document, ce dernier est fourni EN L’ÉTAT sans garantie aucune, expresse ou implicite. Par ailleurs, les informations fournies ici sont basées sur la stratégie et les plans de produits actuels dIBM, lesquels sont susceptibles d’être modifiés par IBM sans avis préalable. IBM ne peut être tenu pour responsable de dommages qui résultent de l’utilisation du présent document ou de tout autre document, ou qui leur sont liés. Aucune information contenue dans ce document na pour objet, ou ne peut avoir pour effet de donner lieu à des garanties ou assurances dIBM (ou de ses fournisseurs ou détenteurs de licences), ou de modifier les conditions générales du contrat de licence applicable régissant lutilisation des logiciels IBM. Ces informations concernent les produits, programmes ou services commercialisés par IBM et n’impliquent aucunement leur disponibilité dans l’ensemble des pays dans lesquels IBM est présent. Les dates de commercialisation des produits et/ou fonctionnalités mentionnées dans le présent document peuvent être modifiées à tout moment à la seule discrétion d’IBM en fonction des opportunités du marché ou d’autres facteurs, et ne constituent donc aucunement un engagement concernant la disponibilité future d’un produit ou d’une fonction. Aucune des informations contenues dans ces documents ne tend à énoncer ou impliquer, ni à avoir pour conséquence, que les activités engagées par vos soins donneront lieu à des ventes spécifiques, une hausse de vos revenus, des économies ou quelque autre résultat. © Copyright IBM Corporation 2012 Veuillez recycler ZZM12345-FRFR-01