En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
  • 11/10/2017
    Les Assises de la sécurité et des systèmes d’information 2017

    La 17ème édition des Assises de l'événement incontournable en matière de cybersécurité aura lieu du 11…

    en détail En détail...
ITrust_SOC_leaderboard

Sécurité et conformité informatiques : quelles mesures prendre ?

Paessler_Restez-au-top-Securite_Pave

Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences réglementaires ? Bastien Meaux, responsable marketing & partenaires chez Beta Systems France aide à y voir plus clair.

En France, 44 % des décideurs informatiques estiment que des utilisateurs non-autorisés peuvent accéder à leurs systèmes d’information (Data Security Confidence Index – 2014). De toute évidence, les nouvelles technologies bouleversent la vision classique du système d’information de l’entreprise. Les menaces de sécurité qui pèsent sur l’informatique de l’entreprise n'ont jamais été aussi nombreuses et ses défenseurs ont rarement dû se sentir aussi démunis.

Parallèlement, le nombre croissant de réglementations et d’obligations légales (Bâle 3, Sarbanes-Oxley…) nécessite que l’entreprise mette en œuvre une gestion rigoureuse de sa sécurité informatique et contrôle en permanence la conformité de ses systèmes à ces exigences règlementaires. Elle doit également pouvoir rendre compte de ces contrôles via des audits informatiques.

Ces règlementations se déclinent à travers des normes et standards internationaux de type ISO (27001), et à travers des normes et directives sectorielles répondant à des besoins de sécurité spécifiques. C’est le cas de la norme PCI-DSS dédiée à l’industrie des cartes de paiement qui assure la sécurité des données de transaction bancaire. L’agence fédérale allemande BSI ou l’agence nationale ANSSI en France sont également à l’origine de directives et de procédures de contrôle très strictes visant à sécuriser les systèmes d’informations.

Enfin, l’entreprise peut s’appuyer sur des guides de bonnes pratiques tels que les méthodologies ITIL 2011 et Cobit 5. Ces modèles de référence aident l’entreprise à mettre en œuvre sa gouvernance informatique, c’est-à-dire à aligner ses mécanismes organisationnels avec son système informatique pour fournir des services IT efficaces, sécurisés et conformes aux obligations légales en vigueur.

Réorganiser son environnement

 

Ces évolutions doivent permettre la surveillance dynamique et en temps réel de ses systèmes tout en s’assurant qu’ils répondent à des procédures régulières de contrôle et d’audit. Ces fonctions de monitoring, qui peuvent nécessiter des traitements en temps réel, voire une historisation continue pour les cas les plus extrêmes, devront venir compléter un nécessaire contrôle des accès aux ressources informatique et des identités des utilisateurs. 

Pour une couverture à 360°, il est essentiel que les données de l’ensemble des systèmes et applications, aussi bien z/OS que distribués, soient en permanence collectées et archivées en un point unique. Dès lors, les informations sont analysées et compilées en rapports transmis automatiquement aux responsables.

Pour se conformer avec plus de facilité à la norme ISO 2700X, l’entreprise s’appuiera sur une solution qui intègre des tests de sécurité et des procédures d'audit dynamique en ligne avec les exigences de la norme. Des procédures de contrôle personnalisées pourront également être définies pour faire appliquer la règlementation interne de l’entreprise.

Visualiser les risques d’accès

L’entreprise cherchera à protéger au mieux ses données et ressources informatiques contre des interventions non autorisées et potentiellement dangereuses. Les solutions d’Access Intelligence lui permettent de s’assurer que toutes les informations liées aux accès (utilisateurs, rôles, autorisations…) sont capturées et documentées.

A l’aide de rapports dynamiques et d’une interface graphique optimisée pour manipuler les données, l’analyse intelligente des accès associés aux utilisateurs permet d’identifier d’éventuelles failles et le niveau de risque généré. Un grand nombre de rapports standards doivent être inclus. Ces tableaux de bords pourront également être personnalisés afin d’offrir le niveau de détail nécessaire en fonction de l’utilisation qui en est faite.

Les auditeurs internes ou externes et les responsables sécurité informatique souhaitent des rapports détaillés, avec un maximum d’information. La direction générale quant à elle, exige des tableaux de bord concis qui présentent une synthèse des risques à l’aide d’indicateurs visuels, pour une prise rapide de décision. Ainsi, un outil de visualisation des risques d’accès doit réunir les directions métiers (direction générale, responsables d’équipe…) à la recherche de tableaux de bord synthétiques, et les directions informatiques, habituées à utiliser des outils techniques, et désireuses d’obtenir des rapports détaillés. En réunissant l’IT et les métiers, l’entreprise renforce ses mécanismes de gouvernance pour une meilleure gestion des risques et une sécurité renforcée.

Enfin, il est important que la solution offre des fonctionnalités d’historisation dynamique de sorte que toute modification effectuée, dans le passé ou en temps réel, soit identifiée, tracée et consultable en toute simplicité. Ainsi, l’outil permettra de répondre aux questions telles que  « qui a donné accès à qui et quand ? » et « quel niveau de risque génère cet utilisateur ? ».

Opter pour une surveillance dynamique

Des procédures de contrôle intégrées à l’outil de gestion des accès faciliteront la génération des rapports d’audits. Ici aussi, l’entreprise aura d’autant plus de facilité à assurer la conformité des accès si la solution permet de décentraliser l’exécution des audits au profit des auditeurs non-informaticiens. Ces outils d’aide à l’audit sont appréciés des entreprises qui doivent rendre compte de contrôles effectués à fréquence régulière.

Mais les normes en vigueur, en l’occurrence ISO 2700X, requièrent également que l’entreprise mette en place des outils de monitoring dynamique de la sécurité informatique. Ainsi, la direction informatique doit pouvoir surveiller en temps réel la configuration et les événements de sécurité, grâce à l’enregistrement et l’analyse des données SMF. En cas de violation, des alertes de sécurité sont alors automatiquement envoyées aux destinataires déclarés.

Assurer la conformité de ses systèmes informatiques pour répondre aux obligations légales est une démarche complexe mais nécessaire. Pour mener à bien cet objectif, l’entreprise privilégiera un outil de gestion des accès conçu en parfaite adéquation avec ces normes et référentiels dans le but de faciliter les audits tout en assurant un niveau de sécurité maximal.

Auteur : Juliette Paoli

Sécurité et conformité informatiques : quelles mesures prendre ?
Notez cet article

Laisser un commentaire

Intégrer une solution de communication unifiée

La communication remplace la simple téléphonie, avec intégration des e-mails, téléphone fixe et mobile, chat, visioconférence, social média, web…

Lire le livre-blanc

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Les conditions de l’introduction de nouvelles technologies dans l’entreprise

    Associer les représentants du personnel et formalités auprès de la Cnil : quelles obligations pour…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Machine Learning : concept et raisons de son adoption croissante

    En mai dernier, le programme AlphaGo développé par la société DeepMind a fait parler de…

    > En savoir plus...
Etudes/Enquêtes
  • Navigateurs Internet : Google Chrome écrase la concurrence

    Google Chrome tient le haut du pavé avec ses 51,6% de parts de marché mondiales.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc : votre entreprise pourrait-elle surmonter une attaque de cryptovirus ?

    > Voir le livre
  • INTÉGRATION DE LA COMMUNICATION MULTICANAL

    > Voir le livre
elo_processus pointe_skyscraper