Six bonnes pratiques de prévention des pertes de données

Like this? Share it with your network

Share

Six bonnes pratiques de prévention des pertes de données

  • 1,345 views
Uploaded on

Uniquement l'année dernière, les pertes de données auront coûté quelque 105 milliards de dollars aux entreprises. Près de 220 millions d'enregistrements ont subi une brèche depuis 2005, selon......

Uniquement l'année dernière, les pertes de données auront coûté quelque 105 milliards de dollars aux entreprises. Près de 220 millions d'enregistrements ont subi une brèche depuis 2005, selon l'association à but non lucratif de défense et d'information des consommateurs Privacy Rights Clearinghouse. Ce livre blanc présente six bonnes pratiques aux entreprises souhaitant réduire les risques de pertes de données afin de protéger leurs revenus, limiter les déperditions de clientèle et satisfaire aux multiples exigences légales.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,345
On Slideshare
1,007
From Embeds
338
Number of Embeds
1

Actions

Shares
Downloads
29
Comments
0
Likes
0

Embeds 338

http://www.zdnet.fr 338

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Livre blancSix bonnes pratiques deprévention des pertes dedonnées
  • 2. Uniquement lannée dernière, les pertes de données auront coûtéquelque 105 milliards de dollars aux entreprises.Près de 220 millions denregistrements ont subi une brèche depuis 2005, selonlassociation à but non lucratif de défense et dinformation des consommateursPrivacy Rights Clearinghouse.SommaireBonnes pratiques de prévention des pertes de données page 1Bonne pratique n°1 -- Comprendre quelles sont les données page 2les plus sensiblesBonne pratique n°2 -- Localiser précisément les données critiques page 2Bonne pratique n°3 -- Formaliser l’origine et la nature des risques page 3Bonne pratique n°4 -- Sélectionner des contrôles appropriés en fonction page 4de la politique, du risque et de l’emplacement des données sensiblesBonne pratique n°5 -- Centraliser la gestion de la sécurité page 6Bonne pratique n°6 -- Auditer la sécurité pour laméliorer en permanence page 7Développer une stratégie de prévention des pertes de données page 8Conclusion page 9
  • 3. Les chiffres sont éloquents. Ce sont plus de 220 millions Limpact sur le cœur du métier peut se révéler désastreux,denregistrements électroniques qui auraient fait lobjet provoquant leffet totalement inverse de celui attendu dedune violation de confidentialité, depuis janvier 2005, lère de linformation.selon lassociation à but non lucratif de défense etdinformation des consommateurs Privacy Rights Comment alors se protéger dune catastrophe de perte deClearinghouse (www.privacyrights.org). données ?Le nombre de vols et de pertes de données liés à des Ce livre blanc présente six bonnes pratiques auxfailles de sécurité continue à croître à un rythme alarmant entreprises souhaitant réduire les risques de pertes deet leur impact monétaire et économique connaît la même données afin de protéger leurs revenus, limiter lesprogression. Selon des estimations du gouvernement déperditions de clientèle et satisfaire aux multiplesaméricain ces différentes « pertes de données » auraient exigences légales.coûté l’année dernière quelque 105 milliards de dollarsaux entreprises. Les brèches internes de sécurité desdonnées représenteraient à elles seules une perte Bonnes pratiques de préventionmoyenne de 3,4 millions de dollars par entreprise et par des pertes de donnéesan (selon le Ponemon Institute). Le cabinet Gartner estimequant à lui le coût de rétablissement de chaque Forte de plus de 25 années d’expérience de la sécurité,enregistrement compromis à 150 dollars – sans même y RSA bénéficie d’une expertise exclusive desintégrer l’impact monétaire de la perte de confiance et de problématiques et des bonnes pratiques pour prévenir lesfidélisation de la clientèle, les dommages à l’image de pertes de données. En respectant ces six principesmarque ni les risques juridiques et d’amendes. élémentaires, les entreprises peuvent simultanément améliorer la sécurisation de leurs données sensibles,Dans ce contexte dinflation des pertes de données, les protéger leurs sources de revenus, maximiser laentreprises continuent néanmoins à collecter de plus en fidélisation de leur clientèle et la qualité de leur image deplus dinformations pour optimiser leurs processus, la marque et mieux répondre aux exigences légales etqualité du service client ou leurs relations partenaires. réglementaires. Ces six bonnes pratiques sont :Cette tendance augmente la répartition des données surles nombreux systèmes dinformation à travers lentreprise 1. Comprendre quelles sont les données les plus sensibleset ainsi le risque de compromission de données sensibles- du fait du nombre dutilisateurs internes et externes qui 2. Localiser précisément leur emplacementdisposent daccès. lentreprise. 3. Formaliser l’origine et la nature des risquesPour corser un peu plus la situation, les infrastructures 4. Sélectionner des contrôles appropriés en fonction de latraditionnelles de sécurité furent conçues en premier pour politique, du risque et de l’emplacement des donnéesles menaces externes alors que la menace principaleémane aujourdhui de lintérieur même de lentreprise. 5. Centraliser la gestion de la sécuritéBien que le « marché noir de linformation » (vols 6. Auditer la sécurité pour laméliorer en permanencedidentités, fraude, détournements financiers, etc.) resteactif et prospère, les stratégies de sécurité mettentlaccent sur les menaces potentielles internes émanantdacteurs bénéficiant daccès étendus aux informationssensibles - sachant où se trouvent les systèmes, commentils interagissent et quelles données ils hébergent.Ce décalage entre les menaces actuelles et lesinfrastructures de sécurité traditionnelles conduit à lamultiplication des incidents et des réglementations et àdes coûts opérationnels plus élevés Livre blanc RSA 1
  • 4. seront accessibles à tous les collaborateurs duBonne pratique n°1 -- Comprendre quelles sont département de R&D mais seulement certains d’entre euxles données les plus sensibles pourront consulter les données relatives aux nouveaux produits avant leur lancement – et seulement à certainesEn matière de sécurité, toutes les données nont pas la heures et depuis l’intérieur du pare-feu d’entreprise.même importance... La première étape consiste donc àdéterminer les plus sensibles - ou celles exposées à desrisques supérieurs - afin de prioriser les efforts et Bonne pratique n°2 -- Localiser précisémentpolitiques de protection. Mais comment savoir quelles lemplacement des données critiquesdonnées sont les plus sensibles pour votre business ? La réponse à cette question peut sembler triviale puisquePour répondre à cette question, il est nécessaire davoir les données résident généralement dans une base deune parfaite compréhension de la structure métier de données... Cependant, ces dernières ne sont que la partielentreprise, ses départements et ses lignes dactivités et émergée de l’iceberg dans un environnement toujours plusdidentifier les exigences de sécurité réglementaires et mobile et collaboratif où les données des bases peuventinternes applicables à chacun. Le département financier être répliquées sur un disque et vraisemblablement sur ausera par exemple tenu de respecter des lois spécifiques moins une sauvegarde (autre disque, bande, etc.). En(Sarbanes-Oxley , Gramm-Leach-Bliley, SAS 70, etc.) tandis outre, les données sont susceptibles dêtre accédées parque lactivité de distribution sera elle soumise aux de multiples applications via différents types destandards SB 1386 et PCI. Quant à vos opérations à périphériques, transformées sur des portables, stations delinternational, elles seront soumises à la Directive travail ou appareils sans fil, envoyées par e-mail àeuropéenne sur la protection des données et à de dautres utilisateurs, et même enregistrées sur dautresmultiples autres législations nationales (Japan Privacy Act, serveurs de fichiers ou portails collaboratifs.Canadas PIPEDA, Australia Privacy Act, etc.). Le challenge de prévention des pertes de données estUne fois le contexte réglementaire et de conformité donc en réalité plus complexe que prévu. De nombreusesidentifié, il est possible de prioriser les données en les entreprises ont pourtant tendance à sous-estimer cetteregroupant en « classes » - 1 à 3 par exemple, allant des phase de découverte des données sensibles ce qui ne leurdonnées les plus sensibles (résultats financiers non laisse ensuite que trois alternatives (égalementpubliés) jusquaux informations les moins critiques (frais inefficaces) :de livraison des fournisseurs, etc.). – Sécuriser toutes les données. Une approche tropIl faut ensuite déterminer les catégories, éléments et coûteuse qui n’est envisageable que si les budgets depropriétaires de chaque de données. Par exemple, dans le sécurité sont illimités... Ce qui manque singulièrementcadre de la conformité à la loi California SB 1386, les de réalisme !informations personnelles non publiques (numérosnationaux didentification, état de citoyenneté, etc.) sont – Ne sécuriser aucune donnée. Cette approche est toutune pièce clé du puzzle de a conformité et doivent être aussi illusoire en raison des réglementations légalesclassées comme « restreintes ». Il reste alors à déterminer imposant à de multiples industries une protectionles éléments les plus critiques de ces informations et les minimale de certains types de données et des risquesdépartements ou entités métier qui en sont propriétaires. inacceptables de perte de chiffre d’affaires et de clientèle ou de dommages à l’image de marque.Une fois les données classées, il faut ensuite définir lespolitiques qui leur sont applicables, c’est-à-dire les règles – Sécuriser une partie des données. Cette approche flouegouvernant leur manipulation et les applications et consiste à prendre des mesures minimales pourcollaborateurs autorisés à y accéder (comment, quand, bénéficier d’un sentiment de sécurité, souvent trompeurd’où, etc.). Par exemple, les informations sur les produits dans la mesure où des risques significatifs ne sont pas pris en compte. Pour prévenir les pertes de données en trouvant un équilibre optimal entre les coûts et les risques, il ne suffit pas de localiser les bases de données critiques ; il est impératif d’initier un processus complet de découverte2 Livre blanc RSA
  • 5. permettant de répondre à quelques questions élémentaires sur l’infrastructure : Bonne pratique n°3 -- Formaliser lorigine et la nature des risques – Des données sensibles sont-elles enregistrées dans des bases de données ? Dans quelles tables ? Dans quelles Après avoir localisé les données sensibles ou importantes colonnes ou rubriques ? et défini leurs principes d’utilisation, il convient d’évaluer – Des données sensibles sont-elles enregistrées dans des le niveau de risque auquel elles sont exposées. Est-il systèmes de partage de fichiers ? Dans quels possible qu’elles soient divulguées ou volées ? Par qui ? répertoires ? Dans quels fichiers ? Quelles en seraient les conséquences pour l’entreprise ? – Des données à haut risque sont-elles enregistrées sur Les réponses à ces questions se trouvent à l’intérieur et à des portables ? Lesquels ? l’extérieur de l’entreprise. En pratique, les failles entre processus métier et les manipulations malencontreuses Il faut ensuite répondre à d’autres questions relatives au des utilisateurs sont plus fréquentes que les attaques type de données et à l’usage qui en est fait : malveillantes provenant de l’extérieur. Une étude récente réalisée par le Ponemon Institute démontre à cet égard – Des éléments de propriété intellectuelle peuvent-ils être que les menaces internes - provenant de collaborateurs divulgués involontairement par des applications négligents, voire malveillants, de partenaires ou sous- spécifiques ? traitants, de processus défectueux, etc. - furent la – Des résultats financiers non-publiés peuvent-ils être première cause datteinte à lintégrité des données en illicitement copiés sur des portables, PDA, clés USB ? 2006. Même si la gravité de ces menaces varie selon l’entreprise, il est essentiel de définir ces niveaux de – Des données sur les cartes de crédit des clients sévérité pour connaître l’exposition au risque et peuvent-elles être transférées des bases de données sur développer un modèle pertinent. des serveurs de fichiers non-sécurisés (par exemple pour les intégrer à des feuilles de calcul, des rapports, Au cours de ces deux dernières années, tous les différents etc.) ? types de risques ont fait les gros titres : – Avez-vous la garantie que les bandes de sauvegarde – Supports médias volés ou perdus – Il peut s’agir de contenant des données clients arrivent à leur disques ou bandes de sauvegarde perdus ou volés dans destination sans interruptions ou interceptions?Avez- des centres de traitement des données ou lors de leurs vous la garantie que les bandes de sauvegarde trajets vers des sites d’archivage distants. Bien contenant des données clients arrivent à leur entendu, ces supports contiennent des informations destination sans interruptions ou interceptions? confidentielles sur les clients ou les collaborateurs, qui peuvent être négociées sur le marché noir dans le cadre Le processus de découverte permet de cartographier la dactivités organisées de vol didentité. répartition des données sensibles et fournit les fondations de la politique de sécurité et de la stratégie de contrôle. Il – Utilisateurs privilégiés - Des administrateurs de serveurs doit cependant être continu dans la mesure où les de fichiers ou de bases de données ont été surpris données ne sont jamais durablement statiques. lorsquils tentaient de vendre des informations sensibles sur le marché noir. Ceci sest notamment produit pour lun des premiers établissements financiers du Royaume-Uni dont un administrateur senior -La découverte des données relève responsable de la gestion des privilèges daccès aux données - qui a tenté de vendre les informationsd’un processus continu – et non personnelles de plus de deux millions de clients sur le marché noir pour une somme substantielle.d’une simple opération ponctuelle. Livre blanc RSA 3
  • 6. Figure 1 Quelle importance attribuez-vous aux ten- Source : Etude Encryption Key Management menée auprès de 199 décideurs informatiques responsables de la sécurité par Forrester Consulting pour le compte de RSA Security en avril dances suivantes en matière de sécurité des 2007 données pour les années à venir ? Base : tous les répondants n=199 Essor des demandes d’accès de collaborateurs mobiles 75% 19% 6%Besoins supérieurs de collaboration et d’échange avec les partenaires 69% 23% 8% Complexité supérieure des menaces de sécurité 68% 29% 3% Demandes d’accès client en ligne 63% 26% 11% Floraison de nouvelles exigences réglementaires 58% 28% 14% 5 ou 4= Important à Très important 3 = Assez important 2 ou 1 = Peu ou Pas important – Distribution involontaire – Lorsque des données LLa création dun modèle de risque recensant tous les sensibles sont envoyées par e-mail, exposées sur des moyens potentiels de compromettre ou voler les données portails publics ou distribuées d’une autre manière à fournit le contexte dont lentreprise a besoin pour des utilisateurs non-habilités. implémenter une stratégie cohérente de contrôle, qui définit à la fois les différents mécanismes de contrôle – Piratage applicatif – Un pirate (souvent de l’intérieur) applicables (comment) et les points stratégiques de contourne les contrôles d’habilitation pour accéder à contrôle (où). des données hautement sensibles (comptabilité, ressources humaines, systèmes de point de vente, applications critiques, etc.). Il est également fréquent que les développeurs utilisent des données de Bonne pratique n°4 -- Sélectionner des con- production pour tester de nouvelles applications, en trôles appropriés violation de règles élémentaires et créant un risque conséquent. Après avoir éclairé le paysage en matière de risque, d’emplacement des données sensibles et de politique, il – Vols ou pertes physiques – Un ordinateur portable ou est possible de développer une stratégie de contrôle un périphérique mobile contenant des données cohérente incluant des technologies et des processus sensibles sur la clientèle ou la propriété intellectuelle spécifiques. est volé ou égaré. La stratégie de contrôle physique intègre deux Selon une étude récemment conduite par Forrester composants : les mécanismes de contrôle (types) et les Consulting pour le compte de RSA, la croissance des points de contrôle (emplacement dans l’infrastructure : demandes d’accès de collaborateurs mobiles et des stockage, base de données, serveur de fichiers, besoins de collaboration et d’échange de données avec application, réseau, point de terminaison, etc.). Une les partenaires représentent les principaux challenges stratégie globale doit inclure une combinaison de pesant sur la sécurité des données aujourd’hui et dans le contrôles des trois catégories suivantes qui devront être futur prévisible (voir figure 1). implémentés à différents niveaux du système d’information : 4 Livre blanc RSA
  • 7. – Les contrôles daccès qui traitent à la fois Information and Event Management) offrent des moyens lauthentification (lutilisateur est-il bien celui quil de prouver la conformité et daffiner les politiques et prétend ?) et lhabilitation (prérogatives de lutilisateur, contrôles. cest à dire ce quil peut faire après laccès). Cette Au cours des dernières années, on vu de plus en plus catégorie est couverte par de nombreux types de dentreprises se focaliser sur limplémentation de produits : gestion des accès Web, authentification forte contrôles de données, et plus particulièrement de à deux facteurs, authentification par base de solutions de cryptage et de systèmes DLP (référencés connaissances, etc. comme protection contre la perte ou fuite de données). – Les contrôles de données sintéressant à la donnée Cet engouement résulte du nombre croissant de failles sur elle-même. Ces contrôles intègrent des produits et les données et de laugmentation des contraintes légales technologies couvrant le cryptage et la gestion des clés, en matière de confidentialité et dintégrité des données la prévention des pertes de données (DLP) et la gestion (voir en figure 2). des droits relatifs à chaque information (IRM). En effet, les systèmes de cryptage et de DLP sont particulièrement efficaces dans les environnements – Les contrôles daudit fournissant les mécanismes de collaboratifs où les données sont mobiles, partagées et retour dinformation sur le respect des politiques et transformées. Ces deux types de contrôles des données contrôles. Ces systèmes dits SIEM (pour Security illustrent la notion d« autodéfense des données ». Figure 2 Quelles seront vos principales initiatives de Source : Etude Encryption Key Management menée auprès de 199 décideurs informatiques responsables de la sécurité par Forrester Consulting pour le compte de RSA Security en avril sécurisation des données au cours 2007 Base : tous les répondants n=199 Extension du cryptage 62% Classification des données 52% Protection contre les fuites de données (filtrage et découverte) 50% Gestion des droits numériques (DRM) 22% Sans opinion 4% Pour 3 % des répondants les projets de ges- Autres 13% ! tion des identités figurent dans la catégorie AutresLes contrôles de données font appel à des produits ettechnologies de type cryptage, prévention des pertesde données, la gestion des droits sur linformation. Livre blanc RSA 5
  • 8. Même si un utilisateur est capable de circonvenir les Où crypter ? contrôles daccès et de voler des données cryptées, il ne pourra en avoir aucun usage... De la même façon, si des Il existe de multiples solutions de cryptage données sensibles, soumises à des exigences légales de permettant de crypter les données virtuellement confidentialité, sont transmises par e-mail, le système DLP à nimporte quel niveau du système linformation est en mesure de réagir pour les protéger. Dans les : stockage, base de données, serveur de fichiers, environnements actuels de mobilité et de collaboration, applications, postes utilisateurs, réseau, etc. Le ces contrôles sont devenus indispensables. cryptage adressera des risques différents selon le niveau concerné. Ainsi les entreprises cryptent généralement les supports de stockage (bandes de sauvegarde, etc.) et les points de terminaison Bonne pratique n°5 -- Centraliser l’administra- (portables, etc.). Le cryptage à ces niveaux est tion de la sécurité certes peu invasif pour les applications qui tournent au dessus mais il ne répond quaux Plus que nimporte quel facteur, la gestion des risques physiques (perte ou vol du support lui- mécanismes de contrôle a un impact immédiat sur même) et ne couvre donc quune petite partie du lefficacité des contrôles et leur coût total dexploitation. spectre des risques potentiels. Les entreprises commettent souvent lerreur dune gestion isolée de chaque mécanisme de contrôle, ce qui se traduit Certaines entreprises implémentent également par une politique incohérente, une inflation des coûts des solutions de cryptage au niveau des bases dadministration et labsence de continuité entre les de données et des serveurs de fichiers car il processus métiers. sagit aussi dune approche non-invasive vis-àvis Pour éviter ces écueils, il est nécessaire de centraliser la des applications et offrant une protection gestion des politiques de sécurité et des mécanismes de étendue contre les atteintes délibérées issues contrôle. Cela garantit lapplication efficace des règles de dutilisateurs privilégiés (DBA compromettant les sécurité par les points de contrôle et automatise la données) ou involontaires (utilisation de données supervision proactive des activités pouvant entrainer une de production par les développeurs pour tester violation potentielle de sécurité. La centralisation garantit les applications). également que les utilisateurs respectent les règles établies lors de la manipulation des données sensibles Le cryptage applicatif offre une protection afin déviter toute fuite dinformation. supérieure en sécurisant les données tout au long de leur cycle de vie (du point de Le deuxième composant dune gestion centralisée de la terminaison, jusqu’à l’application, la base de sécurité concerne les clés de cryptage. Avec une gestion données et l’infrastructure sous-jacente de centralisée des clés, les contrôles de cryptage peuvent stockage et de sauvegarde). Cependant, cette être implémentés de façon efficace et cohérente dans tous protection renforcée a naturellement un coût et les mécanismes de contrôle protégeant lentreprise contre exige d’ajouter des appels aux systèmes de toute atteinte à lintégrité des données causée par des cryptage dans le code applicatif. Même si les erreurs humaines, la perte de clés, ou des politiques de solutions les plus avancées simplifient le cryptage incompatibles ou en conflit. Ainsi bien que tous processus, il reste invasif et ciblé sur des les produits de cryptage disposent dune sorte de console applications qui traitent des données très dadministration, souvent ces consoles noffrent des sensibles ou réglementés, par exemple les fonctionnalités de haut-niveau basées sur les politiques de systèmes point de vente premiers candidats à ce sécurité. En outre, la multiplication de ces consoles type de contrôles. dadministration interdit lalignement des principes de configuration et de fonctionnement avec les politiques de La réponse à la question « où crypter les sécurité métier sous jacentes. Bien pire encore divers données » est donc combiner les différents employés, nappartenant pas à léquipe sécurité, sont mis points de contrôles en fonction de la nature des à contribution pour la gestion des divers produits de données et des infrastructures de traitement. cryptage - alourdissant dautant les coûts dadministration.6 Livre blanc RSA
  • 9. Sans une gestion centralisée à la fois Globalement, lorsque des données cryptées doivent être partagées entre applications, groupes ou infrastructures,des politiques de sécurité et des clés l’absence d’une gestion centralisée des clés exige que le décryptage soit réalisé avant transmission puis que lesde cryptage, les processus peuvent données soient à nouveau cryptées à l’arrivée – autant de manipulations nuisant aux performances et créant desubir des ruptures irréversibles, nouvelles vulnérabilités. Sans une gestion centralisée à la fois des politiques de sécurité et des clés de cryptage, lesinduisant de lourdes perturbations processus peuvent subir des ruptures irréversibles, induisant de lourdes perturbations dactivité.dactivité. Bonne pratique n°6 -- Auditer la sécurité Ne pas centraliser la gestion de sécurité pour laméliorer en permanence induit trois problèmes significatifs : Comme tout processus d’entreprise, le programme de 1. Incohérence entre politiques. Une gestion sécurité doit intégrer un mécanisme de retour d’expérience individuelle des mécanismes complexifie - permettant d’évaluer le niveau de conformité vis-à-vis des voir interdit - une implémentation politiques et l’efficacité des contrôles. Lactivité nétant uniforme et homogène des règles de pas statique et il en va de même des mécanismes de sécurité à travers tous les mécanismes de sécurité qui la protègent. Il est donc indispensable contrôle. davoir une supervision et une corrélation, en temps 2. Inflation des coûts d’administration. Une réel, des événements de sécurité afin de réagir gestion séparée multiple les coûts totaux instantanément au changement. d’exploitation (TCO) dans la mesure où Les systèmes de gestion des informations et événements différents collaborateurs (pas toujours de sécurité, dénommés SIEM (pour Security Information spécialisés en sécurité) doivent maîtriser and Event Management) permettent danalyser et de une myriade de consoles d’administration produire des rapports sur tous les logs et événements de de différents éditeurs. Il s’agit sécurité de lentreprise en temps réel. Les systèmes SIEM généralement d’outils rudimentaires, sont aujourdhui indispensables pour réaliser un audit dépourvus de système de gestion par probant de linfrastructure de sécurité, car ils assurent la politiques et imposant des interactions collecte, la gestion et lanalyse automatiques de tous les système techniques et de bas niveau. journaux dévénements produits par chaque système Autant de fecteur induisant des coûts de sécurité, périphérique réseau, système dexploitation, formation, de supervision et diverses application et plate-forme de stockage, déployés dans autres charges. lentreprise. Ces logs surveillent les systèmes et gardent 3. Absence de continuité des processus une trace de tous les événements de sécurité, accès à métier. De nombreux processus dépendent linformation et activités des utilisateurs - indispensables du partage de données entre applications, tant pour les analyses en temps réel que pour les utilisateurs, infrastructures, voire entre investigations forensiques. entreprises. Les mécanismes de sécurité sont supposés faciliter et non handicaper En corrélant en temps réel les événements de vos ces processus, pourtant le manque systèmes de contrôle des données (cryptage, prévention dadministration centralisée, crée des des pertes, etc.), vous pouvez répondre aux incidents dès barrières inutiles entre ces composants quils se produisent, remédiant ainsi toute perte pouvant conduire à une panne intégrale. potentielle. Cette gestion proactive des logs fournit de robustes fondations dune stratégie daudit globale. Les Livre blanc RSA 7
  • 10. plates-formes SIEM permettent deffectuer une revue mail, fichiers non structurés, etc.) et dans différentsrégulière de lenvironnement de sécurité : contextes (statique dans un centre stockage, en déplacement sur le réseau, en cours dutilisation sur des– investigations et analyses forensiques sur les incidents portables, des appareils mobiles, des ériphériques de– Réponse aux incidents et ré-médiation stockage portables, etc.) ce qui complique singulièrement le processus.– Conformité avec les réglementations et standards RSA DLP Datacenter permet la découverte et la– Constitution des preuves légales classification des données à léchelle de toute lentreprise et donc didentifier rapidement la localisation des– Audit et application des politiques de sécurité informations sensibles au sein des partages de fichiers,La mise en ouvre de bonnes pratiques d’audit et des SAN/NAS et autres référentiels de données, et parl’implémentation d’un système SIEM performant sont des conséquent de connaitre les zones où les données sont legages de réduction des coûts et d’amélioration de plus exposées au risque. Grâce à cette solution, la gestionl’efficacité des processus de conformité, de gestion du des données sensibles peut être réalisée en conformitérisque et d’investigation. En outre, l’audit permet de avec les exigences légales et les standards industriels enréaliser des progrès continus ce qui est particulièrement offrant une protection supérieure des informations sur lasouhaitable dans la mesure où la sécurité doit être gérée propriété intellectuelle, la stratégie commerciale, lecomme un processus à longue durée de vie et non comme fonctionnement opérationnel, etc. RSA propose égalementun événement ponctuel. des services professionnels pour vous assister à définir une politique de classification et à faire une utilisation optimale des outils de la suite RSA DLP.Développer une stratégie de prévention des Bonne pratique n°3 -- Formaliser l’origine et la nature despertes de données risques RSA DLP RiskAdvisor fournit des services dévaluation desMaintenant que les bonnes pratiques de lindustrie en risques et menaces majeurs guettant vos informations etmatière de lutte contre la perte de données, ont été ainsi vous aider à identifier les politiques, procédures etidentifiées, comment les implémenter ? Il peut sagir dune contrôles les plus pertinents pour traiter ces risques. Laentreprise complexe, cest pourquoi, RSA, leader de la prestation RSA DLP RiskAdvisor exploite la suite RSA DLPsécurité des données, fournit une solution complète, pour automatiser la découverte des données sensiblesaidant les entreprises à tous les stades de leurs projets exposées et fournir un cliché instantané de lexposition aude sécurisation - de lévaluation du risque à risque. La suite RSA DLP permet en effet de scannerimplémentation, en passant par la stratégie de contrôle. A automatiquement les infrastructures pour détectertravers une combinaison de produits et services, la rapidement les données sensibles hébergées sur sessolution RSA peut vous aider à mettre en œuvre les composants clés (systèmes de partage de fichier, stationsbonnes pratiques que nous venons de souligner selon de travail, etc.). Le service RSA Risk Advisor fournitlapproche suivante : également un mappage à haut niveau entre fonctionsBonnes pratiques n°1 et 2 - Déterminer quelles données métier et données sensibles pour tous les systèmessont sensibles et où résident-elles scannés afin de mettre en lumière la façon dont des informations critiques peuvent se retrouver à desAprès avoir classifié les informations, il est nécessaire de emplacements où elles ne devraient pas figurer.localiser leurs instances présentes sur le réseau (dans lessystèmes de fichiers, postes de travail, PDA, etc.) et au- En sachant où se trouvent les informations sensibles etdelà de son périmètre (par exemple en cas d’envoi par e- pourquoi, il est possible de définir des recommandationsmail). de progrès (reconception de workflows à risque, amélioration des contrôles de sécurité, etc.) et de prendreLa découverte et la classification sont les deux premières des mesures immédiates de protection fournissant deétapes de la sécurisation des données sensibles. Ces robustes fondations pour concevoir une stratégie dedernières peuvent cependant exister sous différentes sécurité globale à long-terme.formes (enregistrement de bases de données, message e-8 Livre blanc RSA
  • 11. Bonne pratique n°4 -- Sélectionner des contrôles appro- niveau cartouche par les lecteurs IBM TS1120. RSA priés en fonction de la politique, du risque et de l’em- collabore étroitement avec EMC pour intégrer placement des données sensibles directement ses technologies de cryptage et de gestion des clés aux produits de stockage EMC afin d’offrir à Les services professionnels RSA peuvent vous aider à leurs clients communs des plates-formes parfaitement développer une stratégie de contrôle adaptée aux risques transparentes. encourus. RSA propose également une gamme complète de produits pour mettre en œuvre efficacement les – RSA® Access Manager pour centraliser les contrôles politiques de sécurité et contrôle daccès, dutilisation et daccès sur une seule console dadministration et de distribution des données dans toute linfrastructure : définir précisément qui a accès à quoi. RSA® Access Manager permet également de déléguer des privilèges – RSA® DLP Network et RSA® DLP Endpoint détectent les spécifiques à certains groupes ou départements et données sensibles en déplacement sur le réseau et intègre un moteur central dhabilitation et utilisées sur des portables ou stations de travail pour dauthentification fournissant aux utilisateurs une solutionner rapidement tout incident de violation de qualité dexpérience incomparable tout en optimisant politique. Ces solutions supervisent et bloquent en effet les contrôles de sécurité et de confidentialité. toutes les transmissions impliquant des contenus sensibles pour minimiser les interventions manuelles et – RSA SecurID® pour déployer une solution pérenniser la conformité avec la législation ou les dauthentification forte à deux facteurs basée sur un politiques dentreprise. RSA DLP Network et RSA DLP élément que connaît lutilisateur (son mot de passe ou Endpoint gèrent en effet la mise en application des code PIN) et un composant en sa possession politiques d’entreprise, par exemple en automatisant le (lauthentificateur). Ce dernier génère un mot de passe routage des e-mails sensibles vers un serveur de à usage unique toutes les 60 secondes rendant laccès cryptage pour sécuriser à la volée les messages et leurs illicite impossible. Pour accéder aux ressources pièces jointes, ou encore, en interdisant la copie sur protégées par RSA SecurID, il suffit aux utilisateurs de des clés USB. fournir leur code PIN et le mot de passe à usage unique indiqué par leur authentificateur à ce moment – RSA® Key Manager et Application Encryption pour gérer précis. Cette solution est proposée en différents le cryptage applicatif et administrer les clés. RSA Key formats (matériels et logiciels) pour répondre aux Manager assure la gestion des clés pour les solutions exigences spécifiques de chaque activité et employé de cryptage de RSA, dEMC mais également dautres fournisseurs tiers. Parmi ces solutions tierces figure Bonne pratique n°5 -- Centraliser la gestion de la sécurité notamment Cisco SME (Storage Media Encryption), une RSA Key Manager centralise le provisioning et la gestion solution de cryptage à hautes performances en de du leur cycle de vie des clés de cryptage et autres environnement hétérogène directement intégrée à la objets de sécurité pour toute lentreprise. Cette approche fabrique de réseau de stockage assurant le cryptage réduit la complexité du déploiement initial et de la bande. RSA Key Manager offre également une gestion gestion continue des contrôles de cryptage. Ses centralisée des clés pour les cryptages réalisés au fonctionnalités avancées de cryptage applicatif et dadministration des clés peuvent également être intégrées très simplement à des applications spécialisées (TPV, systèmes comptables et financiers, etc.). RSA Key Manager permet également de gérer en fonction deLes risques de pertes finan- politiques les clés de cryptage pour les solutions de cryptage de RSA, dEMC et de fournisseurs tierscières et de dommages à la La suite RSA DLP centralise également la gestion de laclientèle ou à l’image de découverte et la classification des données, du reporting, de l’audit et des fonctionnalités de protection contre lesmarque sont bien trop fuites de données.conséquents pourêtre ignorés... Livre blanc RSA 9
  • 12. Bonne pratique n°6 -- Auditer la sécurité pour laméliorer A propos de RSAen permanence RSA, la Division Sécurité d’EMC, est le premier fournisseurRSA® enVision™ est une plate-forme globale de gestion de de solutions de sécurité pour l’accélération métier et lel’information permettant de transformer d’innombrables partenaire privilégié des plus grandes entreprisesévénements système en informations exploitables pour mondiales pour résoudre leurs challenges de sécurité lesoptimiser la conformité et l’intelligence de sécurité. RSA plus pressants, complexes et sensibles. L’approche de laest un pionnier des technologies de gestion des sécurité centrée sur l’information prônée par RSA garantitinformations et événements de sécurité (SIEM) qui sont son intégrité et sa confidentialité tout au long du cycle deaujourd’hui indispensables à toutes les entreprises dont vie – quels que soient ses cheminements, sesles infrastructures informatiques jouent un rôle stratégique consommateurs ou ses modalités d’utilisation.ou qui sont soumises à des exigences de conformitéréglementaire ou légale. La plate-forme RSA enVision RSA propose des solutions leaders de certification desassure en effet une collecte fiable et exhaustive de tous identités et de contrôle d’accès ; de prévention des pertesles événements ; elle est reconnue unanimement comme de données ; de cryptage et de gestion des clés ; d’ad-la solution de référence pour collecter et protéger toutes ministration de la conformité et des informations de sécu-les données (All the Data™ ) quels que soient les rité et de protection contre la fraude. Cette large gammepériphériques IP et l’étendue du système d’information – de solutions certifie l’identité de millions d’utilisateurset ce, sans filtrage ni déploiement d’agents. dans le monde et des données qu’ils génèrent lors de leurs transactions quotidiennes. Pour plus d’informations, veuillez consulter www.RSA.com et www.EMC.com.ConclusionLa protection contre les pertes de données est aujourd’huiun impératif stratégique en raison des risques potentielsde pertes financières, de dégradation de la confiance de laclientèle et de dommages à l’image de marque qui sonttout simplement trop importants pour pouvoir êtrenégligés. Il n’en reste pas moins que la définition d’unestratégie de sécurité et son implémentation ne sont jamaisdes tâches triviales.RSA, le leader des solutions de sécurité centrées surl’information, a identifié ces six bonnes pratiques grâce àsa longue expérience de protection des données sensiblesde milliers d’entreprises dans le monde entier. En leurdonnant toute l’importance qu’elles méritent, vous pouvezaméliorer considérablement votre capacité à sécuriser lesdonnées sensibles sur votre clientèle, à protéger vossources stratégiques de chiffre d’affaires, à réduire lesrisques de perte de clientèle et à répondre à vosexigences légales de conformité. RSA, RSA Security, SecurID et enVision sont des marques ou marques déposées de RSA Security Inc. aux Etats-Unis et/ou dans d’autres pays. EMC est une marque déposée d’EMC Corporation. Tous les autres noms de produits ou services mentionnés sont la propriété de leurs détenteurs respectifs. ©2007-2008 RSA Security Inc. Tous droits réservés PEDL WP 010810 Livre blanc RSA