présentation Bernard Montel
Download
Report
Transcript présentation Bernard Montel
Mercredi 27 Avril 2011
Solutions pour une gouvernance efficace
Bernard Montel - Directeur Technique
RSA, Division Sécurité d’EMC
Ère de l’entreprise hyper-étendue
IMPACT
BUSINESS ISSUES
Explosion de
l’Information
Innovation
Collaboration
Extension
des Identités
Supply Chain
Services
Cclients
Consumérisation de
l’IT
Virtualization et
Cloud Computing
2
Entreprise
Hyper étendue
Environnement
Complexe en terme de
Risque, Sécurité et
Conformité
Evolution de
l’Infrastructure
Augmentation des
Réglementations
Répondres aux défis de nos clients
Gérer le risques
et les menaces
à travers toute
l’entreprise
3
Prouver la
Conformité de
manière
cohérente et
économique
Accès Sécurisé
pour une
Mobilité & une
Collaboration
accrues
Sécuriser la
Virtualisation
& le Cloud
Computing
How?
Répondres aux défis de nos clients
Prouver la
Conformité de
manière
cohérente et
économique
4
PCI-DSS
Réduire les
coûts,
réduire le
périmètre
How?
L’approche EMC pour répondre aux
défis de nos clients
5
MENU
La GRC – Analogie avec l’application des lois
Gouvernance = Etablir les règles
Risque= S’assurer que les bonnes règles sont en
place et fonctionnent
Conformité = Mesurer l’efficacité d’une règle
–
–
Comprendre le processus utilisé pour définir la règle
Comprendre si les personnes adhèrent parfaitement à
la règle
L’approche eGRC d’EMC
GRC Business Solutions
Security
Management
Business
Continuity
Information
Governance
Plate-forme de gestion RSA Archer eGRC
Best Practices d’EMC
Consulting/Implementation
Plan de Continuité et de Reprise d’Activité
6
5
1
Toute révision du processus
de reprise peut être mise à
jour et centralisée dans
Archer pour utilisation future.
Reprise totale des
systèmes et passation
de tous les tests en xx
heures
Panne du système IT
2
Des sites de Back-up et
network recovery pout
continuer l’activité sur une
autre localisation et
d’accéder aux plans
BC/DR hébergés dans
Archer.
4
L’IT travaille avec les Business
Units pour s’assurer que les
systèmes sont via des plans de
test et supervise la progression.
3
Les systèmes sont à nouveau en
ligne et les détenteurs
d’applications démarrent les
procédures de reprise/test
stockées sur Archer
RSA Archer
Solution de Gouvernance, Risque & Conformité pour l’entreprise
Audit Management
Gérer Centralement le planning,
la priorité, les équipes et
procédures d’audits.
Policy Management
Gérer Centralement les politiques, les
rapprocher des objectifs.
Business Continuity Management
Automatiser l’approche de la
continuité d’activité et le planning de
la reprise.
Risk Management
Identifier les risques pour votre
activité, les mesurer.
Threat Management
Suivre les menaces avec un
système centralisé d’alertes.
Vendor Management
Centraliser les données
fournisseurs, et assurer la
conformité avec vos politiques et
contrôles.
Compliance Management
Documenter votre modèle de
contrôle, évaluer son efficacité
Enterprise Management
Gérer les actifs de l’entreprise
Incident Management
Rapporter les incidents et les
violations d’éthique, gérer leur
escalade, suivre leur
investigations et analyser leurs
résolutions.
Une Approche Flexible
Import de données
Incidents, Ressources, Processus, Scans de Vulnérabilité
10
Gestion de la conformité et des
Incidents
Des exigences de conformité croissantes
ISO
ITIL
COBIT
PCI DSS
Contrôles
Internes et
Politique de
Sécurité
Prévision
d’augmentation
des
réglementations
“ Nous l’avons fait pour SOX, puis PCI.
Mais je
fais face à de plus en plus de réglementations.
Nous avons besoin d’un moyen plus efficace de
gérer la conformité vis à vis de multiples
réglementations et standards. ”
12
Impacts Business
“
Le reporting de
“conformité
est stocké
“
Les initiatives de
conformité sont
traitées comme
des projets
individuels
”
dans des feuilles
Excel et ne
représente qu’un
moment précis
”
Les exceptions à
la politique ne sont
pas suivies et
exposent un risque
”
données de
“ Les
conformité sont
réparties sur de
multiples silos
”
ont du
“ Lesmalmanagers
à prioriser les
menaces en fonction
de leur impact sur le
business.
”
Construire votre programme d’IT-GRC
Incident Management
Policy Management
Lois
PHI
Réglementations
PCI
Objectifs
Business
Frameworks
Rapporter
Gérer Centralement
les incidentsles
et les
violations
politiques,d’éthique,
les rapprocher
gérer des
leur
objectifs
escalade,
et feuilles
suivre
deleurs
route, et
investigations
promouvoir leur
et connaissance
analyser leurs
pour encourager
résolutions.
une culture de
gouvernance d’entreprise
14
SOLVENCY II
Comment nous procédons – Solutions RSA
Archer IT-GRC
RSA Archer Policy Management
Gérer Centralement les politiques, les rapprocher des objectifs et feuilles de route, et
promouvoir leur connaissance pour encourager une culture de gouvernance d’entreprise.
Créer les politiques
Exploiter les standards de Best-Practice
de Contrôle
Documenter les Procédures de
contrôle
Communiquer aux Employés
Rapprocher des sources qui font
autorité
Traquer les demandes
d’Exception
“
La solution [RSA] Archer Policy Management nous fournit un
outil encore plus complet pour gérer efficacement les standards
et réglementations pendant que nous continuons à maintenir le
plus haut niveau de conformité de notre entreprise et pour nos
clients.
Senior VP of Information Security, Financial Services Client
15
Comment nous procédons – Solutions RSA
Archer IT-GRC
RSA Archer Incident Management
Report Rapporter les incidents et les violations d’éthique, gérer leur escalade, suivre leurs
investigations et analyser leurs résolutions.
“
Nous sommes maintenant capables de traquer
automatiquement tous les incidents relatifs à la
confidentialité et toute information qui pourrait être mal
utilisée. Notre équipe de confidentialité peut aisément
rechercher, traquer le statut et produire des rapport avec
la solution RSA Archer incident tracking solution.
Information Security Consultant, Insurance Client
16
Identifier les Incidents
Evaluer les Incidents
Traquer les Procédures de
réponse
Résoudre les Incidents
Gérer les
Investigations
Produire des rapports sur
les tendances d’Incident
Cas d’utilisation RSA Incident Management
Enterprise and Policy Mgr
Les alertes enVision sont mises
en contexte avec les actifs,
risques, processus, équipes, etc.
de l’entreprise
Integration Framework
Alimentation temps – vers Archer
des incidents pour le suivi de la
conformité
SIEM / DLP
Données Formatées XML sortant
de enVision Task Triage – détails
sur les Incident avec notes
associées
Context
Policy
Incident Dashboards
and Workflow
Les Incidents sont assignés à
des files d’attente, un workflow
automatise le processus de
gestion du case. Des métriques
sont remontées dan un
Tableaux de bord dirigeants
“Nous avons économisé 1,500
Heures par mois grâce à
l’intégration.”
Source: EMC CIRC
Business Continuity & Incident Management Use Case #3
Critical Application Crash Recovery
Auto
detection
Help Desk
IT
Manual Incident
Creation
Auto Incident
Creation
Major Site Crash
Communication
to all employees
Request Business
Continuity Support
Notification
of application problem
Communication
to all employees
Major Site
Up Again
Business Continuity
Team
Qualify severity,
Provide recovery
procedure Staff
Close Incident
Get Procedure from Archer
Execute Procedure
Recover Crash
Notify
Employee
PCI-DSS
Réduire les coûts, réduire le périmètre
Le Cycle de vie de la conformité PCI
Etre conforme
à la norme
Sécuriser les
Données sensibles
Maintenir le niveau de
sécurité
Maintenir la sécurité et
Données bancaires et
PCI
associées
Dommages : perte ou fuite de
Objectif : définir le périmètre
données sensibles
Impact : évaluer l’impact
Pertes : Image
avantages compétifis
gouverner la mise en
Conformité
Effort: Audit réguliers
Cout : élevé et
difficile à maintenir
Améliorer la sécurité des données
des cartes de paiement
21
Quelle solution pour réduire le périmètre
PCI-DSS ?
RSA Data Protection Manager
Protection de la donnée de bout-en-bout
PROTEGER
Données
sensible et
séquestre des
clés
RENFORCER
GERER
ETENDRE
Permissions
d’accès
Le cycle de vie
des clés et des
tokens “alias”
Sur l’ensemble
du périmètre
Augmenter la sécurité de Réduire le coût opérationnel
la donnée
Quelle solution ?
RSA Data Protection Manager
RSA Data Protection Manager
Chiffrement applicatif
Tokenization
Protection de bout-enbout
Protection de bout-enbout
Performances reconnues
(RSA BSAFE)
Format de donnée
préservé
Support de nombreux
algorithmes
Format de token “alias”
paramétrable
Chiffrement données résidentes
Gestion de clés
mutualisée dans
l’entreprise
Replication automatique
Sequestre des clés
Protéger Réduction du périmètre PCI par
tokenisation
RSA Data
Protection
Manager
Chiffrement
KJaSA^)(#E&HLghrS$
Lja(*&gfbe$%634Hdc
6011-2548-5246-7563
Valeur originale
Capacité d’offrir une solution
“hybride” pour des deploiements
ayant besoin de chiffrement et de
tokenisation : RSA Data Protection
Manager
6011-5872-6325-5564
Tokenization
Gérer Le cycle de vie des clés et des tokens
“alias”
Data Protection Manager prend en compte la génération,
distribution, et l’ensemble de la gestion du cycle de vie des clés et
tokens
Génération de clés et
token sécurisée
Actif
désactivé
RSA DPM
Distribution sécurisée
aux applications
suprrimé
compromis
La rotation des clés et des tokens n’est pas
seulement nécessaire pour la mise en
conformité, mais augmente également la
sécurité en réduisant l’exposition des
données
Tokenization versus chiffrement avec RSA DPM
Ou : comment réduire le périmètre de sensibilité
Tokenization
Chiffrement
Performance
Modèle centralisé – plus d’effort u
niveau serveur
Modème distribué - certaines
commandes de protection peuvent
être executée au niveau du client
Utilisation “Offline”
Necessite une connection établie
avec le serveur
Peut être executé sans connection au
serveur pour une courte durée
Opération fléxible
Le format des tokens peut être
facilement paramétrable
Les utilisateurs n’ont pas le contrôle
du format de la donnée chiffrée
Impact sur le
déploiement
Préservation du format de la
donnée. Pas d’impact sur la
structure des bases de données
Le format des données chiffrées
change et doit être manipulé avec
attention
Utilisation de la
donnée protégée
D’autres applications peuvent
utiliser une partie de la donnée du
token
Les utilisateurs n’ont pas le contrôle
du format de la donnée chiffrée
Référence
Une société Internationale de Transport de colis et
lettres a choisit RSA Data Protection Manager pour
protéger les données sensibles et réduire le coût de
mise en conformité
OBJECTIFS:
SOLUTION:
RESULTATS:
Protéger les données
financières de ses
clients résidentes
dans le DataCenter
RSA Data Protection
Manager avec
Tokenization
Déploiement rapide
with avec une mise en
production en 6 mois
Gérer et réduire the le
risque et le coût de
mise en conformité
vis-à-vis d’un client
dans le monde de la
finance (plus de $420
Milliards d’actifs)
La solution RSA a
permis de mettre en
conformité ce client et
d’appréhender de
nouveaux clients
Conformité A
Payment Card
Industry Data
Security Standard
(PCI DSS)
Les solutions RSA pour une meilleure gestion de la
conformité à PCI DSS
Governance, Compliance & Risk (GRC) Platform
Manage policies, audits, processes and more
Data Loss Prevention
Identify sensitive data & prevent
leakage
Security Incident & Event Management
Simplify Security operations
Policy Exception Use Case: Archer and DLP
By selecting one of these exception requests, we
andsee
by a
selecting
the details
can
description
and additional details
Thank you!