En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour une société de communication
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de produits non alimentaires
    A déterminer €
    > En savoir plus
  • Création d'un site E-commerce dans la vente de champagne
    < 2 500 €
    > En savoir plus
ITrust_SOC_leaderboard

Sécurité et conformité informatiques : quelles mesures prendre ?

Global Knowledge_Docker_pavé

Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences réglementaires ? Bastien Meaux, responsable marketing & partenaires chez Beta Systems France aide à y voir plus clair.

En France, 44 % des décideurs informatiques estiment que des utilisateurs non-autorisés peuvent accéder à leurs systèmes d’information (Data Security Confidence Index – 2014). De toute évidence, les nouvelles technologies bouleversent la vision classique du système d’information de l’entreprise. Les menaces de sécurité qui pèsent sur l’informatique de l’entreprise n'ont jamais été aussi nombreuses et ses défenseurs ont rarement dû se sentir aussi démunis.

Parallèlement, le nombre croissant de réglementations et d’obligations légales (Bâle 3, Sarbanes-Oxley…) nécessite que l’entreprise mette en œuvre une gestion rigoureuse de sa sécurité informatique et contrôle en permanence la conformité de ses systèmes à ces exigences règlementaires. Elle doit également pouvoir rendre compte de ces contrôles via des audits informatiques.

Ces règlementations se déclinent à travers des normes et standards internationaux de type ISO (27001), et à travers des normes et directives sectorielles répondant à des besoins de sécurité spécifiques. C’est le cas de la norme PCI-DSS dédiée à l’industrie des cartes de paiement qui assure la sécurité des données de transaction bancaire. L’agence fédérale allemande BSI ou l’agence nationale ANSSI en France sont également à l’origine de directives et de procédures de contrôle très strictes visant à sécuriser les systèmes d’informations.

Enfin, l’entreprise peut s’appuyer sur des guides de bonnes pratiques tels que les méthodologies ITIL 2011 et Cobit 5. Ces modèles de référence aident l’entreprise à mettre en œuvre sa gouvernance informatique, c’est-à-dire à aligner ses mécanismes organisationnels avec son système informatique pour fournir des services IT efficaces, sécurisés et conformes aux obligations légales en vigueur.

Réorganiser son environnement

 

Ces évolutions doivent permettre la surveillance dynamique et en temps réel de ses systèmes tout en s’assurant qu’ils répondent à des procédures régulières de contrôle et d’audit. Ces fonctions de monitoring, qui peuvent nécessiter des traitements en temps réel, voire une historisation continue pour les cas les plus extrêmes, devront venir compléter un nécessaire contrôle des accès aux ressources informatique et des identités des utilisateurs. 

Pour une couverture à 360°, il est essentiel que les données de l’ensemble des systèmes et applications, aussi bien z/OS que distribués, soient en permanence collectées et archivées en un point unique. Dès lors, les informations sont analysées et compilées en rapports transmis automatiquement aux responsables.

Pour se conformer avec plus de facilité à la norme ISO 2700X, l’entreprise s’appuiera sur une solution qui intègre des tests de sécurité et des procédures d'audit dynamique en ligne avec les exigences de la norme. Des procédures de contrôle personnalisées pourront également être définies pour faire appliquer la règlementation interne de l’entreprise.

Visualiser les risques d’accès

L’entreprise cherchera à protéger au mieux ses données et ressources informatiques contre des interventions non autorisées et potentiellement dangereuses. Les solutions d’Access Intelligence lui permettent de s’assurer que toutes les informations liées aux accès (utilisateurs, rôles, autorisations…) sont capturées et documentées.

A l’aide de rapports dynamiques et d’une interface graphique optimisée pour manipuler les données, l’analyse intelligente des accès associés aux utilisateurs permet d’identifier d’éventuelles failles et le niveau de risque généré. Un grand nombre de rapports standards doivent être inclus. Ces tableaux de bords pourront également être personnalisés afin d’offrir le niveau de détail nécessaire en fonction de l’utilisation qui en est faite.

Les auditeurs internes ou externes et les responsables sécurité informatique souhaitent des rapports détaillés, avec un maximum d’information. La direction générale quant à elle, exige des tableaux de bord concis qui présentent une synthèse des risques à l’aide d’indicateurs visuels, pour une prise rapide de décision. Ainsi, un outil de visualisation des risques d’accès doit réunir les directions métiers (direction générale, responsables d’équipe…) à la recherche de tableaux de bord synthétiques, et les directions informatiques, habituées à utiliser des outils techniques, et désireuses d’obtenir des rapports détaillés. En réunissant l’IT et les métiers, l’entreprise renforce ses mécanismes de gouvernance pour une meilleure gestion des risques et une sécurité renforcée.

Enfin, il est important que la solution offre des fonctionnalités d’historisation dynamique de sorte que toute modification effectuée, dans le passé ou en temps réel, soit identifiée, tracée et consultable en toute simplicité. Ainsi, l’outil permettra de répondre aux questions telles que  « qui a donné accès à qui et quand ? » et « quel niveau de risque génère cet utilisateur ? ».

Opter pour une surveillance dynamique

Des procédures de contrôle intégrées à l’outil de gestion des accès faciliteront la génération des rapports d’audits. Ici aussi, l’entreprise aura d’autant plus de facilité à assurer la conformité des accès si la solution permet de décentraliser l’exécution des audits au profit des auditeurs non-informaticiens. Ces outils d’aide à l’audit sont appréciés des entreprises qui doivent rendre compte de contrôles effectués à fréquence régulière.

Mais les normes en vigueur, en l’occurrence ISO 2700X, requièrent également que l’entreprise mette en place des outils de monitoring dynamique de la sécurité informatique. Ainsi, la direction informatique doit pouvoir surveiller en temps réel la configuration et les événements de sécurité, grâce à l’enregistrement et l’analyse des données SMF. En cas de violation, des alertes de sécurité sont alors automatiquement envoyées aux destinataires déclarés.

Assurer la conformité de ses systèmes informatiques pour répondre aux obligations légales est une démarche complexe mais nécessaire. Pour mener à bien cet objectif, l’entreprise privilégiera un outil de gestion des accès conçu en parfaite adéquation avec ces normes et référentiels dans le but de faciliter les audits tout en assurant un niveau de sécurité maximal.

Auteur : Juliette Paoli

Sécurité et conformité informatiques : quelles mesures prendre ?
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Avantages fiscaux d'Apple et d'Amazon : Bercy soutient les décisions de la Commission européenne

    Dans une déclaration commune, Bruno Le Maire, Gérald Darmanin et Mounir Mahjoubi se réjouissent des…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - Alain Bouillé, président du CESIN, n’imagine pas l’agilité sans tests continus

    Toute entreprise devra former sur le long terme ses développeurs et ses administrateurs, et surveiller…

    > En savoir plus...
Etudes/Enquêtes
  • Les services de sécurité managés en plein boom

    D’après le rapport Risk:Value de NTT Security, la pénurie de compétences et l’accès à des…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Cloud hybride : réussir l’externalisation de votre SI en 4 étapes

    > Voir le livre
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
Universign_maitrisez risques signature elec_skycraper