Solutions IBM i

Solutions IBM i de conformité aux réglementations de sécurité

Utilisez les solutions de sécurité de Precisely pour répondre aux exigences des réglementations sur la sécurité informatique et à celles des auditeurs à l’égard du suivi de la conformité, du contrôle d’accès et de la confidentialité des données au sein d’environnements IBM i

Répondez à vos obligations de conformité

Les organisations doivent suivre de nombreuses normes de sécurité pour respecter les réglementations sur la protection et la confidentialité des données, sous peine de se voir infliger de lourdes amendes.

Les organisations sont soumises à des réglementations sectorielles, nationales ou internationales, émanant souvent de différents organismes de régulation. La sécurité et le contrôle des systèmes IBM i sont des préoccupations majeures, car ces systèmes hébergent de précieuses données. Dans le contexte actuel, il est désormais essentiel de comprendre et de respecter les normes et les réglementations en matière de sécurité. Une conformité irréprochable ne doit pas être la seule préoccupation des services informatique ou juridique, mais un impératif vital pour toute l’entreprise.

Plus de la moitié des administrateurs IBM i pensent que les investissements de leur société en matière de sécurité seront destinés aux trois piliers des réglementations sur la sécurité, à savoir la conformité, l’audit et le reporting. Avec le renforcement continu des réglementations sur la sécurité et la confidentialité des données, les critères de conformité vont être de plus en plus difficiles à atteindre.

réglementations sur la sécurité

Quelles que soient les réglementations sur la sécurité auxquelles est soumise une entreprise, une parfaite conformité peut demander la mise en œuvre de plusieurs solutions de sécurité IBM i.

Contrôle d’accès

Des solutions de contrôle d’accès permettent d’interdire tout accès non autorisé à votre environnement IBM i, tout en contrôlant avec précision les actions que les utilisateurs accrédités peuvent réaliser une fois connectés. Une solution complète permettra de contrôler l’accès par le biais de réseaux, de ports de communication, de protocoles de bases de données open source, de lignes de commandes, etc., et de déclencher des alertes en cas de détection d’une activité suspecte.

Authentification multifacteur

Une authentification multifacteur est exigée par certaines réglementations afin de protéger la consultation de données sensibles en imposant aux utilisateurs au minimum deux formes d’identification. Utilisées notamment pour valider la connexion à des systèmes, les solutions d’authentification multifacteur peuvent également être déployées dans des situations spécifiques telles que le contrôle d’accès à des bases de données ou à des fichiers spécifiques, ou l’exécution de certaines commandes.

Gestion des privilèges élevés

Une parfaite gestion des privilèges élevés est nécessaire pour restreindre l’usage de « super profils » dotés des autorités *SECADM ou *ALLOBJ, et d’autres fonctionnalités potentiellement dangereuses. La meilleure pratique exigée par les auditeurs est de n’accorder aux utilisateurs que les privilèges strictement nécessaires à l’exécution de leur travail et de n’activer que ponctuellement des autorités élevées pour certaines tâches spécifiques. Les solutions de gestion des autorités élevées automatisent l’octroi temporaire de droits élevés en fonction des besoins, et peuvent même enregistrer toutes les actions des utilisateurs auxquels des droits étendus ont été accordés.

Mesures pour la confidentialité des données

De nombreuses réglementations exigent la mise en place de mesures pour assurer la confidentialité des données afin d’empêcher la consultation d’informations d’identification personnelle, d’informations de santé personnelles et de données de cartes bancaires par des personnes non autorisées. Des solutions de chiffrement, de tokenisation, d’anonymisation et de masquage permettent de protéger la confidentialité des données au repos et en transit.

Contrôle et reporting de conformité

De nombreuses réglementations exigent des pistes d’audit des modifications apportées aux données et au système comme preuves de conformité. Dans certains cas, ces pistes d’audit doivent être conservées pendant des années. En complément des capacités de journalisation intégrées à l’OS IBM i, les solutions qui enregistrent les événements de sécurité tels que les déchiffrements de fichiers, les modifications apportées à des données sensibles et les échecs d’authentification multifacteur offrent une visibilité étendue sur les incidents de sécurité.

Les solutions de contrôle et de reporting de conformité basées sur des modèles proposent de puissantes fonctions de filtrage, de requête et de mapping permettant d’analyser le contenu de journaux IBM i pour garantir la conformité de votre système. Des alertes et des rapports détaillés vous aident à identifier les points exigeant votre attention. Ces solutions peuvent également être utilisées pour vérifier la conformité de votre système à vos politiques de sécurité interne et signaler certains événements, comme l’accès à des fichiers en dehors des heures de travail, l’affichage de fichiers spool sensibles, la modification de listes d’autorisations, et bien plus encore.

L’intégration de ces logs à une solution SIEM permet de corréler et d’analyser des données de sécurité IBM i à la lumière de données d’autres plateformes, et de produire des rapports de sécurité détaillés.

Évaluation des risques de sécurité

Requise par de nombreuses réglementations en matière de cybersécurité, l’évaluation des risques de sécurité est un outil indispensable pour identifier les failles de sécurité de façon proactive. Les outils et services d’évaluation des risques de sécurité doivent vérifier les valeurs système, les paramètres de mots de passe, les autorités de bibliothèques, les ports ouverts, les programmes d’exit et de nombreux autres éléments afin de produire des rapports détaillant les risques potentiels et les mesures à prendre pour y remédier.

Les réglementations sur la sécurité dépassent souvent les lignes internationales et sectorielles, affectant indifféremment des organisations des secteurs public et privé opérant sur différents marchés. Les réglementations les plus contraignantes en matière de sécurité et de confidentialité des données portent sur les informations d’identification personnelle, les données de santé et les informations de transactions financières :

Loi Sarbanes-Oxley

Cette réglementation vise à accroître la transparence au sein des entreprises publiques aux États-Unis, notamment en ce qui concerne leurs rapports financiers.

Les auditeurs doivent examiner les politiques et les normes de sécurité, les contrôles d’accès et d’autorisation, la sécurité du réseau, les capacités de contrôle du système et du réseau et la séparation des rôles et des responsabilités.

Norme de sécurité de l’industrie des cartes de paiement (PCI DSS)

L’objectif principal de la norme PCI DSS est de limiter les fraudes à la carte bancaire et de protéger les informations de paiement des consommateurs.

Tout comme la loi Sarbanes-Oxley, la norme PCI DSS impose des contrôles de conformité annuels, l’évaluation des contrôles de sécurité comme les firewalls, la gestion des accès, la protection des données de titulaires de cartes bancaires, le chiffrement, le contrôle du réseau et du système ainsi que des protocoles de test de la sécurité.

Loi HIPAA (Health Insurance Portability and Accountability Act)

La loi HIPAA a été conçue pour assurer la protection des informations de santé personnelles.

Les recommandations de la loi HIPAA portent notamment sur le contrôle d’accès, la protection des données en transit, la surveillance des accès au système et les politiques de réponse et de signalement des incidents.

Règlement général sur la protection des données (RGPD)

Le RGPD édicte une série de règles régissant la collecte, le stockage et la gestion de données relatives aux citoyens de l’Union européenne.

Ainsi, toute organisation amenée à traiter des données appartenant à des citoyens européens doit se conformer aux obligations de sécurité du RGPD, où que soient situés son siège social ou ses serveurs. Le RGPD porte essentiellement sur le consentement des utilisateurs, mais il définit également des protocoles à suivre en cas de violation de données.

Loi de l’État de Californie sur la protection du consommateur (CCPA)

La loi CCPA renforce les protections de confidentialité des données des consommateurs et propose une définition étendue des « données personnelles ».

À l’image du RGPD, la loi CCPA s’applique à toute organisation qui collecte, stocke ou utilise des données portant sur des résidents de l’État de Californie, indépendamment du lieu où cette organisation est établie.

Étude de cas client – Corpbanca

Contrainte de trouver rapidement une solution pour se conformer aux réglementations du gouvernement chilien et de l’industrie des cartes de paiement, Corpbanca a déployé les solutions Assure Monitoring and Reporting et System Access Manager afin d’améliorer l’audit de ses transactions et ses capacités de contrôle d’accès. Corpbanca avait besoin de solutions pour répondre aux obligations gouvernementales en matière de contrôle et de reporting, de protection de fichiers confidentiels et de suivi des actions réalisées par ses « super utilisateurs ».

Elle a choisi Assure Monitoring and Reporting pour suivre et auditer les modifications apportées à ses fichiers les plus sensibles. Cette solution permet également à ses administrateurs de produire facilement des rapports lisibles, ponctuellement ou de manière planifiée, et de les envoyer automatiquement aux employés compétents. La société économise ainsi des heures de travail manuel habituellement requis pour rechercher, organiser, mettre en forme et distribuer des données d’audit.

Lisez l’étude de cas pour obtenir plus d’informations.

 

Étude de cas client – Westpac Pacific Banking Corporation

Filiale du groupe bancaire international Westpac Banking Corporation, Westpac Pacific Banking est soumise à de nombreuses réglementations qui l’obligent à avoir une visibilité totale sur l’ensemble des événements survenant dans son environnement IBM i.

Depuis la mise en œuvre des fonctionnalités d’audit du système d’Assure Monitoring and Reporting, les auditeurs et les responsables de sécurité internes apprécient la capacité de la solution à produire des rapports concis et précis. L’automatisation poussée du processus d’audit et de conformité les séduit tout autant : les équipes informatiques n’ont plus besoin de passer des heures à regrouper des informations sur le système, à gérer les accès des utilisateurs et à présenter des données dans des formats lisibles par les auditeurs.

Lisez l’étude de cas pour obtenir plus d’informations.

 

Que doit apporter une évaluation de la conformité ?

La réalisation d’une évaluation approfondie de la conformité d’un serveur IBM i et la vérification complète de la sécurité d’un système vis-à-vis des exigences réglementaires requièrent un très haut niveau d’expertise. Bien souvent, les sociétés ne disposent pas d’employés ayant de telles connaissances IBM i, et doivent confier ces évaluations à des consultants ou des prestataires tiers. En général, le recours à un auditeur indépendant est considéré comme une bonne pratique.

Tout auditeur de conformité IBM i doit disposer d’une profonde connaissance de l’OS IBM i. Les entreprises ont également un rôle à jouer en évaluant leurs politiques de mots de passe et d’authentification, les profils de « super utilisateurs », les paramètres objets, les points d’exit et d’autres sujets sensibles.

Une fois terminée, votre évaluation de conformité doit vous indiquer clairement quelles actions engager pour assurer votre conformité avec les réglementations auxquelles votre entreprise est soumise.

Lisez notre eBook : Réussir votre prochain audit : Les défis à relever pour sécuriser votre serveur IBM i et assurer votre conformité. 

Ne restez pas seul

Avec des ressources de plus en plus limitées et un niveau d’expertise faisant souvent défaut en interne, les entreprises doivent s’entourer des services d’un consultant ou d’un prestataire de services tiers pour accompagner leurs efforts de conformité aux réglementations en matière de cybersécurité.

En collaborant avec un expert reconnu en sécurité informatique, les entreprises peuvent s’assurer de leur conformité réglementaire, tout en allégeant la charge de travail de leurs équipes internes qui peuvent se consacrer à d’autres tâches tout aussi importantes. Un audit permanent est également fortement conseillé pour évaluer en continu votre niveau de sécurité et garantir que vos pratiques de gestion des données sont à jour et conformes aux dernières recommandations en la matière.

L’émergence de réglementations aussi précises que contraignantes – telles que le RGPD et la loi CCPA – est un signe des temps qui traduit un changement des mentalités quant aux besoins de protection des données et de normes de sécurité. Il ne s’agit pas de l’aboutissement d’une course aux réglementations, mais du début d’une nouvelle ère dans la gestion des risques et les attentes en matière de conformité.

Téléchargez la fiche produit de nos services professionnels de sécurité pour obtenir plus d’informations.