Livre blanc sur : Trois principes directeurs pour améliorer la sécurité et la conformité des données

1. Livre blanc exécutif
IBM Software Octobre 2012
Trois principes directeurs pour améliorer
la sécurité et la conformité des données
Une approche holistique de la protection des données pour faire face à un univers
de menaces complexe

2. 2 Trois principes directeurs pour améliorer la sécurité et la conformité des données
Récapitulatif
Les médias, en titrant sur la fréquence croissante des
détournements d’informations et d’identités, ont focalisé
l’attention du public sur les atteintes à la sécurité et à la
confidentialité des données, et leurs conséquences. En réaction,
de nouvelles réglementations sont entrées en vigueur partout
dans le monde. Si les particularités de ces réglementations
peuvent différer, l’incapacité à assurer la conformité des données
peut conduire à des condamnations financières significatives,
à des poursuites criminelles et à une perte de clients.
En outre, l’explosion de l’information, la prolifération des
terminaux, les volumes croissants d’utilisateurs et les nouveaux
modèles informatiques (Cloud, réseaux Sociaux, Big data) ont
donné naissance à de nouvelles vulnérabilités. Pour protéger
les données sensibles et répondre aux besoins de conformité,
les organisations se doivent d’adopter une approche plus
proactive et méthodique.
Les données constituent un composant critique du fonctionnement
quotidien des organisations, et il est essentiel de garantir
leur confidentialité et de les protéger, quelle que soit leur
localisation. Selon les types d’informations, les besoins de
protection seront différents ; d’où la nécessité pour les
organisations d’adopter une approche holistique, c’est-à-dire
globale, pour les préserver :
• Connaître la localisation des données : Tant qu’elles ne
savent pas les localiser et les relier, les entreprises et les
organisations ne peuvent pas protéger leurs données sensibles.
• Protéger les données sensibles, qu’elles soient
structurées ou non : Les données structurées stockées dans
les bases de données doivent être protégées de tout accès non
autorisé. Les données non structurées (documents,
formulaires, fichiers image, systèmes GPS, entre autres)
nécessitent des politiques de confidentialité pour supprimer
les informations sensibles, et ce, tout en permettant le partage
des données métier.
• Protéger les environnements hors production : Les
données utilisées dans les environnements hors production
(développement, formation, assurance qualité) doivent être
protégées, tout en restant exploitables pendant les processus
de développement d’applications, de tests et de formations.
• Sécuriser et surveiller en permanence l’accès aux
données : Les bases de données d’entreprise, les entrepôts de
bases de données, les partages de fichiers et les systèmes basés
sur le framework Hadoop imposent une surveillance en temps
réel pour assurer la protection et l’audit de l’accès aux
données. Les contrôles à base de règles, utilisant des profils
d’accès, sont indispensables pour détecter rapidement des
activités non autorisées ou suspectes, et alerter les personnes
concernées. En outre, les référentiels de données sensibles
doivent être protégés contre les menaces nouvelles ou d’autres
activités malveillantes, et faire l’objet d’une surveillance
permanente pour connaître leurs faiblesses.
• Démontrer la conformité pour la réussite des audits :
Il ne suffit pas de développer une approche holistique de la
sécurité et de la confidentialité des données ; les organisations
doivent également démontrer et prouver leur conformité
auprès de chargés d’audit externes.
Les solutions IBM®
de sécurité et de confidentialité des données
sont conçues pour mettre en œuvre cette approche holistique
et intégrer l’intelligence nécessaire pour répondre de manière
proactive aux menaces informatiques et aux risques auxquels
l’entreprise est confrontée. IBM a développé trois principes
directeurs simples (Connaître et définir, Sécuriser et protéger,
Surveiller et auditer) pour contribuer, au sein des organisations,
à une sécurité et à une conformité plus efficaces, et ce, sans
impact sur les systèmes de production et sans contraintes
supplémentaires pour des budgets déjà sous contrôle étroit.
De la rumeur à la connaissance :
les raisons d’un intérêt croissant pour
la protection des données
La sécurité des données constitue un objectif mouvant ; plus le
volume de données augmente, plus nous voyons apparaître de
réglementations et des menaces sophistiquées, alors que les
changements économiques rendent difficiles la sécurisation
et la protection des données. Les nouveaux supports d’attaque,
associés à des menaces contre la cyber-sécurité (vers
informatiques, chevaux de Troie, rootkits, faux logiciels de
sécurité - rogue, logiciel malveillant d’accès téléphonique -
dialer, logiciels espions) et contribuant à la complexité de
la sécurité avec l’évolution des architectures informatiques
(virtualisation, Big Data, entreprise étendue, consumérisme,
mobilité) empêchent les entreprises de se consacrer pleinement
à la protection des données (voir Figure 1).
Selon l’étude « Databases are More at Risk Than Ever »
publiée en octobre 2011, menée auprès de 355 professionnels
de la sécurité des données, un répondant sur quatre considère
qu’une atteinte aux données en 2012 était probable ou
inévitable. Seules 36 pour cent des organisations ont adopté des
mesures pour s’assurer que leurs applications ne seraient pas
exposées à des attaques par injection SQL, et plus de 70 pour
cent d’entre elles prennent plus de trois mois pour appliquer
des correctifs logiciels critiques, ce qui donne aux attaquants
l’opportunité qu’ils attendent. La plupart des organisations ayant
participé à l’étude sont dans l’incapacité d’indiquer s’il s’est
produit un accès ou des modifications non autorisés dans leurs
bases de données. Dans la plupart des cas, une atteinte pourrait
rester indétectée pendant plusieurs mois, voire plus, car seules
40 pour cent de ces entreprises ou organisations contrôlent leurs
bases de données de manière périodique.

3. IBM Software 3
Dans la majorité des organisations, les stratégies de prévention
sont quasiment inexistantes. Seule une sur quatre dit être capable
d’empêcher, avant qu’elle ne se produise, une utilisation abusive
des autorisations des utilisateurs privilégiés d’une base de données,
notamment des administrateurs de base de données. Seules 30 pour
cent cryptent leurs informations sensibles et personnelles dans
toutes leurs bases de données, bien que la réglementation
mondiale en matière de confidentialité des données impose le
cryptage des données non actives. En outre, la plupart admettent
disposer de données sensibles dans des environnements hors
production et accessibles par les développeurs, les responsables
de tests et mêmes des entités tierces.
Changements des environnements informatiques
et évolutions des affaires
Les politiques de sécurité et les technologies correspondantes
doivent évoluer alors que les organisations se trouvent
exposées à de nouvelles initiatives opérationnelles, telles que
l’externalisation, la virtualisation, le Cloud, la mobilité, les
approches 2.0, le Big data et les réseaux Sociaux. Pour les
organisations, cela veut dire réfléchir de manière élargie
concernant la localisation des données sensibles et la manière d’y
accéder. Elles doivent également considérer un ensemble étendu
de données sensibles aussi bien structurées que non structurées,
notamment les informations client, les secrets commerciaux,
la propriété intellectuelle, les plans de développement, les
différenciateurs concurrentiels, entre autres informations.
Des pirates informatiques plus sophistiqués et
plus efficaces
La plupart des organisations sont aujourd’hui en difficulté pour
faire face à l’écart croissant entre les capacités des pirates
informatiques et la protection de leur sécurité. La nature
évolutive, la complexité et l’échelle étendue des attaques venues
de l’extérieur sont également des sujets de préoccupation. Dans
le passé, les préoccupations les plus critiques résidaient dans le
déclenchement de virus ou les attaques brusques par déni de
service (DoS), entraînant une interruption momentanée des
activités des entreprises. Aujourd’hui, de plus en plus avertis et
interconnectés, les pirates informatiques s’appuient sur les
réseaux sociaux, achètent des applications de « piratage »
préassemblées, quand ils ne sont pas financés par des États.
En pénétrant et en infiltrant les réseaux, les nouvelles attaques
APT (menaces persistantes évoluées) exploitent les écarts de
connaissances entre employés, les faiblesses des processus et les
vulnérabilités technologiques, dans des combinaisons diverses,
pour détourner des données de clients ou d’entreprises,
notamment des secrets commerciaux, avec pour résultat éventuel
des milliards de dollars de perte de chiffre d’affaires, des
amendes, des procès et des dommages irréparables à la
réputation.
Selon l’étude Verizon Data Breach Investigations Report 2012,
la démarche la plus courante pour une atteinte consiste à
exploiter des mots de passe par défaut ou faciles à deviner (pour
29 % des cas), suivi des logiciels malveillants de type backdoor
(26 %), l’utilisation d’informations d’identification volées
(24 %), l’exploitation de canaux dissimulés, de commandes et de
contrôles (23 %), ainsi que les logiciels malveillants enregistreurs
de frappe au clavier (keylogger) et les logiciels espions (18 %).
Les attaques par injection SQL constituent 13 % des atteintes.
En ce qui concerne les cibles des attaques, 90 % des atteintes
étudiées par Verizon se sont produites sur des serveurs (points de
vente, web, applications, bases de données).
Respect des obligations légales de conformité
Le nombre et la variété des obligations légales, qui concernent
les entreprises et les organisations du monde entier, sont trop
larges pour être mentionnés ici. Certaines de ces obligations les
plus importantes incluent la réglementation SOX (Sarbanes-
Oxley Act), HIPAA (Health Insurance Portability and
Accountability Act), PCI-DSS (Payment Card Industry Data
Security Standard) – dont l’application s’étend désormais
au-delà de l’Amérique du Nord – FISMA (Federal Information
Security Management Act), ainsi que la directive européenne sur
la confidentialité des données. Parallèlement, se développent
également des contraintes imposant de démontrer une
conformité immédiate. Les entreprises doivent montrer leurs
progrès immédiats en la matière, aussi bien en interne que pour
leurs actionnaires, faute de quoi elles verront une détérioration
de leur réputation et subiront des condamnations financières.
L’explosion de l’information
L’explosion de l’information numérique est extraordinaire.
En 2009, le monde comptait 0,8 zétaoctets (Zo) de données.
En 2012, elles sont estimées à 1,8 Zo. Ce nombre est étonnant,
si on considère qu’un zétaoctet correspond à 1 000 milliards de
gigaoctets (Go). L’explosion de l’information a fait de l’accès à
des informations publiques et privées un élément de la vie
quotidienne. Elle s’accompagne d’une augmentation du volume,
de la variété et de la vitesse de circulation des données. Les
organisations doivent prendre conscience des défis particuliers
relatifs au Big data, notamment concernant les grandes
infrastructures Cloud, la diversité des sources et des formats
de données, la nature continue des flux d’acquisition de données
et de l’agrégation des données en volume.
Les applications métier les plus critiques collectent en général
ces informations à des fins justifiées ; toutefois, étant donné
la nature interconnectée du réseau Internet et des systèmes
d’information dont l’ERP, le CRM et les applications métier
personnalisées, les données sensibles peuvent facilement subir
des vols et des utilisations inappropriées.

4. 4 Trois principes directeurs pour améliorer la sécurité et la conformité des données
Menaces internes
Un pourcentage élevé des atteintes aux données résulte
effectivement des faiblesses internes en matière de sécurité.
Ces atteintes concernent aussi bien des employés utilisant de
manière inappropriée des numéros de cartes de crédit et d’autres
informations sensibles, ou d’autres stockant des données
confidentielles sur leurs ordinateurs portables, lesquels peuvent
être ensuite volés. En outre, les organisations ont également
la responsabilité de protéger les données, quelle que soit leur
localisation — qu’il s’agisse de partenaires commerciaux, de
consultants, de sous-traitants, de fournisseurs ou d’autres
interlocuteurs tiers.
En résumé, les organisations se focalisent de manière plus
résolue sur les problématiques de sécurité et de confidentialité
des données. Au-delà du développement de solutions ponctuelles,
capables de résoudre des problématiques spécifiques, elles
s’orientent vers l’élaboration de règles et de procédures de
sécurité et de confidentialité au sein de l’entreprise. Alors que
s’ouvre une nouvelle ère de l’informatique, il est particulièrement
important d’intégrer la sécurité dans les règles métier et les
processus informatiques.
Sécurité ou confidentialité
Si la sécurité et la confidentialité sont des notions associées,
elles relèvent de concepts distincts. La sécurité est un système
de protection d’infrastructure, permettant d’empêcher ou
d’autoriser l’accès à certains domaines ou données en fonction
d’une autorisation. En revanche, les restrictions de confidentialité
permettent de maîtriser l’accès pour des utilisateurs ayant
autorisation à accéder à un ensemble particulier de données.
La confidentialité des données permet de s’assurer que ceux
qui ont un intérêt professionnel légitime à accéder à un sous-
ensemble de ces données n’utilisent pas de manière abusive
les autorisations qu’ils possèdent. Cet intérêt professionnel est
généralement défini par une fonction, définie à son tour par une
règle de régulation ou de gestion, ou les deux.
Parmi des exemples de solutions de sécurité des données,
figurent la surveillance de l’activité des bases de données et
l’évaluation de leurs vulnérabilités. Des exemples de solutions de
confidentialité des données, sont la suppression et le masquage
des données. Dans une situation récente illustrant la distinction
entre les deux notions, des médecins du centre médical de
l’UCLA ont été surpris en train d’examiner les dossiers médicaux
de la vedette Britney Spears. Les règles de sécurité de
l’établissement hospitalier ont été respectées puisque les
médecins ont obligatoirement accès aux dossiers médicaux,
mais il s’est produit une atteinte à la confidentialité puisque ces
médecins ont accédé au fichier pour des raisons de curiosité et
non à des fins médicales justifiées.
Les enjeux sont considérables :
risques associés à une sécurité et à une
confidentialité insuffisantes des données
En cas d’utilisation inappropriée des données, les entreprises
et leurs dirigeants peuvent faire face à des amendes allant de
5 000 dollars jusqu’à 1 million de dollars par jour, assorties
d’éventuelles peines de prison. Selon l’Institut Ponemon, dans
l’étude « 2011: Cost of Data Breach Study » (publiée en mars
2012), le coût moyen pour l’entreprise d’une atteinte aux
données en 2011 était de 5,5 millions de dollars. Les atteintes
aux données ont coûté aux entreprises concernées, en 2011, une
moyenne de 194 dollars par enregistrement altéré. Le nombre
d’enregistrements attaqués pour chaque incident en 2011 se
situait dans un intervalle compris entre 4 500 enregistrements
et plus de 98 000. En 2011, le nombre moyen d’enregistrements
attaqués a été de 28 349.
La résolution de l’atteinte la plus coûteuse étudiée par l’institut
Ponemon (étude annuelle 2010 : U.S. Cost of a Data Breach,
2011) a coûté 35,3 millions de dollars, en hausse de 4,8 millions
de dollars (+15 %) par rapport à 2009. L’atteinte aux données la
moins coûteuse a représenté un montant de 780 000 dollars,
en hausse de 30 000 dollars (+4 %) par rapport à 2009. Comme
les années précédentes, le coût des atteintes aux données semble
directement proportionnel au nombre d’enregistrements altérés.
Les lourdes peines appliquées ne sont qu’un exemple de la
manière dont les organisations peuvent être touchées ; parmi les
autres impacts négatifs, figurent les atteintes au cours de l’action,
sources de préoccupations pour les investisseurs, et la publicité
négative résultant d’une atteinte aux données. Les dommages
irréparables atteignant une marque signalent une entreprise
indigne de confiance.
Les cinq sources de risque les plus courantes sont les suivantes :
• Des autorisations excessives et une utilisation abusive
de ces autorisations par les utilisateurs. Lorsque les
utilisateurs (ou les applications) bénéficient d’autorisations
d’accès à des bases de données dépassant les besoins liés à
leurs fonctions, ces privilèges sont utilisables pour accéder
à des informations confidentielles.
• Augmentation non autorisée des niveaux d’autorisation.
Les attaquants peuvent tirer parti des vulnérabilités des
logiciels de gestion de bases de données pour convertir des
autorisations d’accès de bas niveau en des autorisations d’accès
de plus haut niveau.
• Injection SQL. Les attaques par injection SQL s’appuient
sur un utilisateur susceptible de tirer parti de vulnérabilités
dans les applications web et dans les procédures stockées pour
émettre des requêtes non autorisées d’interrogation des bases
de données, souvent basées sur un niveau d’autorisation élevé.
Avec une injection SQL, les attaquants peuvent même
bénéficier d’accès sans aucune restriction à l’ensemble d’une
base de données.

5. IBM Software 5
• DoS. Les attaques DoS (déni de service) sont déclenchées
au moyen de différentes techniques. Les plus courantes
concernent les dépassements de capacité des tampons,
la corruption des données, la saturation des réseaux et la
saturation des ressources. Cette technique de saturation
des ressources est spécifique à l’environnement des bases
de données et est fréquemment négligée.
• Exposition des données sauvegardées. Certaines attaques
médiatisées récentes ont consisté à voler des bandes de
sauvegarde de bases de données et des disques durs non cryptés.
œuvre d’autres initiatives, qui impacteraient lourdement leurs
processus. Elles se doivent d’intégrer des règles de sécurité et de
confidentialité dans leurs opérations courantes et de constituer
les équipes nécessaires à la mise en œuvre de ces règles à l’échelle
de l’organisation (notamment les équipes informatiques,
responsables métier, équipes opérationnelles et départements
juridiques). Alors que les besoins en matière de confidentialité
sont variables et dépendent des rôles, déterminer qui a besoin
d’accéder à quels données définies, n’est pas aisé. Enfin, les
approches manuelles ou « maison » de protection des données
entraînent une augmentation des risques et créent de
l’inefficacité. Les approches manuelles ne permettent
généralement pas de protéger un ensemble de données de
différents types, structurées et non structurées, et ne permettent
pas de suivre l‘évolution de l’organisation. Enfin, le nombre
croissant d’obligations légales de conformité, assorties de délais
de mise en application, contribue à des contraintes opérationnelles
supplémentaires sans clarifier les priorités.
Les organisations ont besoin d’une approche nouvelle de la
protection des données — une approche leur permettant
d’intégrer des règles de sécurité et de confidentialité dans leurs
meilleures pratiques et pouvant les aider, plutôt que les freiner,
à développer leurs résultats financiers. La conjugaison de
nombreux facteurs dynamiques et d’enjeux élevés place les
modalités d’approche de la sécurité et de la confidentialité des
données dans les priorités de premier plan.
Exploiter une approche holistique de la
sécurité et de la confidentialité
Les organisations ont besoin d’une approche globale de la
protection des données. Elle doit permettre la protection de
différents types de données dans des environnements physiques,
Cloud computing et Big Data, et intégrer une protection
des données structurées et non structurées aussi bien dans
les environnements de production que hors production
(développement, test, formation). Cette approche contribue
à recentrer des ressources limitées sans ajouter de nouveaux
processus ou accroître la complexité. Une approche globale
apporte également aux organisations la capacité à démontrer
leur conformité sans interrompre des processus métier critiques
ou leurs activités courantes.
Pour initier la démarche, les organisations doivent prendre en
compte six questions essentielles. Ces questions sont destinées à
mieux centrer la réflexion sur les vulnérabilités les plus critiques
en matière de données :
1. Où sont localisées les données sensibles ?
2. Comment protéger, surveiller et auditer les bases de données
de votre entreprise ?
Figure 1 : Analyse des attaques malveillantes ou criminelles selon
l’étude 2011 Cost of Data Breach Study, menée par le Ponemon Institute
(publiée en mars 2012)
Les freins à la mise en œuvre : les défis
relatifs à la protection des données
Alors que le marché a placé la sécurité comme une priorité de
premier plan et que les risques sont clairement définis, pour
quelle raison les organisations n’ont-elles pas adopté une
approche holistique, donc globale, de la protection des
données ? Et pour quelle raison sont-elles submergées par
les nouvelles menaces ?
La réalité que les défis et la complexité sont considérables.
D’abord, de nombreuses solutions ne couvrent qu’un aspect ou
qu’une seule approche de la protection des données. Peu d’entre
elles couvrent l’ensemble des menaces, des sources et des types
de données pour proposer une stratégie globale apportant la
flexibilité nécessaire face aux nouvelles menaces et à l’adoption de
nouveaux modèles informatiques. De plus, peu d’organisations
disposent des ressources financières et humaines pour mettre en
Virus, logiciels malveillants, vers informatiques, chevaux de Troie
Activités criminelles de collaborateurs internes
Vol d’équipements contenant des données
Injection SQL
Phishing
Attaques par le web
Manipulation d’utilisateurs
Autres

6. 6 Trois principes directeurs pour améliorer la sécurité et la conformité des données
3. Comment protéger vos données vis-à-vis des accès autorisés
et non autorisés ?
4. Est-il possible de protéger les données confidentielles
contenues dans des documents tout en permettant le partage
des données métier, lorsque c’est nécessaire ?
5. Est-il possible de protéger des environnements hors
production, tout en permettant leur utilisation à des fins de
formation, de développement d’applications et de test ?
6. Quels sont les processus de cryptage de données les plus adaptés ?
Les réponses à ces questions constituent la fondation d’une
approche globale de la protection des données, capable d’évoluer
à mesure de l’engagement de l’organisation dans une nouvelle
ère informatique. Les réponses à ces questions permettent
également de mettre l’accent sur les domaines essentiels que les
organisations pourraient négliger avec les approches actuelles.
1. Il est impossible pour une organisation de protéger ses
données si elle ne sait pas qu’elles existent. Les données
sensibles sont stockées dans des formats structurés et non
structurés dans des environnements de production, ou dans
d’autres contextes. Les organisations doivent décrire et définir
l’ensemble des actifs de données et leurs relations, quelle que
soit la source. Il est essentiel de classifier les données, de
comprendre les relations entre les données et de définir des
niveaux de service. Le processus de découverte des données
permet d’analyser les valeurs et les profils de données
pour identifier les relations liant des éléments de données
disparates sous forme d’unités logiques d’information,
ou « objets métier » (notamment des données client, relatives
aux patients ou à la facturation).
2. La surveillance des activités permet de contrôler les accès
des utilisateurs (autorisés ou non) et des applications,
indépendamment des fonctions natives de journalisation et
d’audit des bases de données. Cette fonction permet une
compensation maîtrisée des problématiques de répartition
des tâches (SoD - separation-of-duties) pour les utilisateurs
autorisés grâce à la surveillance de l’ensemble des activités
des administrateurs. La surveillance des activités permet
également une sécurité accrue en détectant les activités
inhabituelles d’accès et de mise à jour de la couche
d’application à une base de données, un entrepôt de données,
un processus de partage des fichiers ou un système Hadoop.
L’agrégation, la corrélation et la génération de rapports
d’événements procure des capacités d’audit sans avoir à
mettre en œuvre les fonctions d’audit natives. Les solutions
de surveillance de l’activité doivent être capables de détecter
des activités malveillantes ou des accès non approuvés ou
inappropriés par des utilisateurs dûment autorisés.
3. Les données doivent être protégées au travers de différentes
techniques de transformation, notamment le cryptage, le
masquage et la suppression. C’est la définition de l’utilisation
métier des données qui permettra de définir les règles de
transformation des données. À titre d’exemple, il est possible
d’établir une règle permettant de masquer des données à
l’écran ou à la volée, pour éviter que les agents des centres
d’appels ne visualisent le numéro de sécurité sociale de leur
interlocuteur. Autre exemple, il est possible de masquer les
montants de chiffre d’affaires dans des rapports partagés avec
des partenaires commerciaux et des fournisseurs.
4. La suppression des données permet d’éliminer des données
sensibles dans des formulaires et des documents, en fonction
des rôles des utilisateurs ou des objectifs métier. À titre
d’exemple, les médecins doivent avoir accès à des informations
sensibles, notamment celles relatives aux symptômes et aux
pronostics, alors qu’un employé chargé de la facturation aura
besoin du numéro de sécurité sociale et de l’adresse de
facturation du patient. La difficulté consiste à assurer la
protection appropriée, et ce, tout en répondant aux besoins
métier en gérant les données en fonction de critères de
« nécessité ». Les solutions de suppression de données ont
pour objectif de protéger les informations sensibles dans des
documents, des formulaires et des graphiques non structurés.
5. Le masquage (ou désidentification) des données dans des
environnements hors production consiste simplement à
supprimer, masquer ou transformer de manière systématique
des éléments de données pouvant être utilisés pour identifier
une personne. Le masquage des données permet aux
développeurs, aux responsables de tests et aux formateurs
d’utiliser des données réelles et de produire des résultats
valides, et ce, tout en respectant la conformité aux règles de
protection de la vie privée. Les données ainsi gommées ou
nettoyées sont généralement considérées comme utilisables
dans des environnements hors production, en s’assurant que
même si les données sont volées, exposées ou perdues, elles ne
pourront être utilisées par personne.
6. Le cryptage de données ne constitue pas une technologie
nouvelle, et il en existe de nombreuses approches. Le cryptage
est explicitement exigé par de nombreuses réglementations,
notamment PCI-DSS, associé à la mise en œuvre d’une sphère
de sécurité dans le cadre de différentes obligations légales.
Ce qui veut dire que les organisations n’ont pas à divulguer les
atteintes aux données dont elles font l’objet si les données sont
cryptées. Du fait des offres prolifiques de différents fournisseurs,
il est difficile pour une organisation d’identifier l’approche
de cryptage la plus performante. Concernant le cryptage de
données structurées, il est possible d’envisager une approche
de traitement au niveau des fichiers. Elle permettra de
protéger à la fois les données structurées contenues dans le
système de gestion de base de données (SGBD) et également
les fichiers non structurés, notamment le journal du SGBD
ou les fichiers de configuration, tout en restant transparente
pour le réseau, les supports de stockage et les applications.
Il est préférable de privilégier les offres de cryptage apportant
une répartition des tâches robuste, des règles unifiées et un
système d’administration des clés permettant de centraliser
et de simplifier la gestion de la sécurité des données.

7. IBM Software 7
Apporter une réponse aux défis en
matière de sécurité et de conformité
des données
En quoi l’approche d’IBM en matière de protection des
données est-elle inégalée ? L’expertise. C’est la conjugaison
d’une approche englobant les personnes, les processus, la
technologie et l’information qui distingue les solutions
IBM de sécurité et de confidentialité des données de celles de
la concurrence. La finalité de la gamme proposée par IBM est
d’aider les organisations à respecter leurs obligations légales,
réglementaires et métier, et ce, sans ajouter de charge
supplémentaire. Ce qui permet aux organisations de mettre en
œuvre leurs initiatives de conformité, de réduire leurs coûts,
de minimiser les risques et de soutenir le développement de
l’organisation. En outre, IBM intègre les fonctions de sécurité
des données dans un framework de sécurité plus large.
L’IBM Security Framework (voir Figure 2), conjugué aux
meilleures pratiques, apporte l’expertise, l’analyse des données
et les modèles de maturité nécessaires pour offrir à nos clients la
capacité à s’engager dans l’innovation, en toute confiance.
Pour répondre aux problématiques de sécurité et de conformité
des données, IBM a défini trois principes directeurs pour mettre
en œuvre une approche globale de la sécurité des données :
Connaître et définir, sécuriser et protéger, surveiller et auditer.
En adoptant ces trois principes, une organisation peut améliorer
sa posture globale de sécurité et respecter en toute confiance ses
obligations légales de conformité.
Connaître et définir
Une organisation se doit d’identifier les données sensibles, de les
localiser, de les classifier, de définir des types de données et de
déterminer des indicateurs et des règles permettant d’assurer
une protection durable. Les données sont souvent réparties sur
différentes applications, bases de données et plateformes, le tout
sans être véritablement décrites. Pour les décrire, la plupart des
organisations s’appuient de manière excessive sur des experts
des systèmes et des applications. Parfois, ces descriptions sont
intégrées dans la logique de l’application, et il peut exister des
relations masquées en arrière-plan des interfaces concernées.
Identifier les données sensibles et découvrir les relations entre
les données nécessite une analyse soigneuse. Les sources de
données et les relations entre elles doivent être clairement
identifiées et documentées afin de ne laisser aucune donnée
sensible exposée à des vulnérabilités. C’est seulement après avoir
identifié l’ensemble du contexte qu’une organisation peut définir
des règles appropriées de sécurité et de confidentialité pour
ses données.
La solution IBM InfoSphere Discovery est conçue pour
identifier et décrire les données dont vous disposez, leur
localisation et leurs liens entre les différents systèmes,
en identifiant de manière intelligente les relations et en
déterminant les transformations et les règles métier appliquées.
Elle permet d’automatiser l’identification et la définition des
relations entre données dans des environnements complexes
et hétérogènes.
En l’absence de processus automatisés pour identifier les relations
entre données et définir les objets métier, une organisation
peut consacrer des mois à une analyse manuelle — et ce, sans
aucune assurance d’une démarche complète ou exacte. Avec
IBM InfoSphere Discovery, par contre, il est possible d’identifier
de manière automatique et exacte des relations entre données et
de définir des objets métier en une fraction du temps qui serait
nécessaire avec une approche manuelle ou de profilage.
La solution s’adapte à un large éventail de sources de données,
notamment les bases de données relationnelles, les bases de
données hiérarchiques et d’autres sources de données
structurées, stockées sous forme de fichiers texte.
Figure 2 : IBM est le seul fournisseur proposant un framework de
sécurité sophistiqué intégrant des fonctionnalités de sécurité intelligente
englobant les personnes, les données, les applications et l’infrastructure.

8. 8 Trois principes directeurs pour améliorer la sécurité et la conformité des données
Pour résumer, la solution IBM InfoSphere Discovery apporte
aux organisations les capacités suivantes :
• Localiser et inventorier les sources de données à l’échelle
de l’organisation ;
• Identifier et classifier les données sensibles ;
• Connaître les relations entre les données ;
• Définir et décrire les règles de confidentialité ;
• Décrire et gérer les exigences et les menaces de
manière continue.
Sécuriser et protéger
Les solutions de sécurité et de confidentialité des données
s’appliquent à l’ensemble des éléments hétérogènes de
l’entreprise, en contribuant à protéger les données structurées
comme non structurées, présentes dans les environnements de
production et hors production (voir Figure 3). Les solutions
IBM InfoSphere aident à protéger les données sensibles des
applications ERP/CRM, des bases de données, des entrepôts
de données, des outils de partage de fichiers et des systèmes
utilisant le framework Hadoop, mais aussi pour gérer des
formats non structurés, tels que des formulaires et des
documents. Les technologies essentielles incluent la surveillance
des activités, le masquage des données, la suppression des
données et le cryptage des données. La solution InfoSphere
Guardium apporte les contrôles et les capacités nécessaires à
l’échelle de l’entreprise en englobant différentes plateformes
et sources de données, permettant ainsi d’enrichir les
investissements déjà effectués dans des plateformes telles que
RACF sur System z, qui apporte des modèles de sécurité
intégrée capables d’exploiter des sources de données telles que
DB2 for z/OS, IMS et VSAM. Une approche globale de la
protection des données permet d’assurer une protection à
360 degrés de l’ensemble des données organisationnelles.
Pour chaque type de données (structurées, non structurées,
offline et online), nous recommandons différentes technologies
de protection. Il est nécessaire de garder à l’esprit que différents
types de données existent dans les environnements de
production comme hors production.
Données structurées : Ces données sont fondées sur un modèle
et disponibles sous des formats structurés (base de données, XML).
Données non structurées : Ces données apparaissent dans des
formulaires ou des documents pouvant être manuscrits,
dactylographiés ou disponibles dans des référentiels de fichiers, tels
que les documents de traitement de texte, les messages de courrier
électronique, les images, les fichiers sonores numériques, les fichiers
vidéo, les données de GPS, entre autres.
Données connectées : Ces données sont utilisées de manière
courante pour le fonctionnement de l’organisation, et incluent les
métadonnées, les données de configuration ou les fichiers journaux.
Données non connectées : Il s’agit de données contenues dans des
bandes de sauvegarde ou sur des équipements de stockage.
Figure 3 : Lors du développement d’une stratégie de sécurité et de confidentialité des données, il est essentiel de prendre en compte tous les types de
données présents dans les environnements de production et hors production.
Données contenues dans des
bases de données hétérogènes
(Oracle, DB2, Netezza, Informix,
Sybase, Sun MySQL, Teradata)
• Surveillance d’activité
• Évaluation des vulnérabilités
• Masquage des données
• Cryptage des données
Données hors des bases de données
(Hadoop, partages de fichiers, ex : SharePoint,
TIF, .PDF, .doc, documents numérisés)
• Suppression des données
• Surveillance d’activité
• Masquage des données
Données
structurées
Données non
structurées
Données
connectées
Données non
connectées
Données utilisées dans
les activités courantes
• Surveillance d’activité
• Évaluation des vulnérabilités
• Masquage des données
• Cryptage des données
Données extraites des
bases de données
• Cryptage des données
Systèmesdep
roduction et h
orsproduction

9. IBM Software 9
A noter que ces quatre types de données élémentaires se
caractérisent par une explosion en termes de volume, de variété
et de vitesse. La plupart des organisations cherchent à intégrer
ces types de données dans des systèmes Big data, tels que
Netezza ou Hadoop, pour les analyser de manière plus détaillée.
L’offre IBM InfoSphere Guardium Activity Monitor and
Vulnerability Assessment apporte une solution de sécurité
permettant de prendre en compte l’ensemble du cycle de vie de
la sécurité et de la conformité d’une base de données, avec une
console web unifiée, un magasin de données « back end » et un
système d’automatisation du workflow. La solution vous apporte
la capacité à :
• Évaluer les vulnérabilités et les failles de configuration des
bases de données et des référentiels de données ;
• Vérifier que les configurations sont protégées après mise en
œuvre des changements recommandés ;
• Assurer la visibilité et la granularité totales de toutes les
transactions menées sur les sources de données — quels que
soient les plateformes et les protocoles — au moyen d’un
processus d’audit sécurisé et infalsifiable intégrant la
répartition des tâches ;
• Surveiller et appliquer des règles pour l’accès aux données
sensibles, les actions des utilisateurs dûment autorisés, le
contrôle des changements, l’activité des utilisateurs des
applications et les exceptions de sécurité, notamment les
échecs de connexion ;
• Automatiser l’ensemble du processus d’audit de conformité —
y compris la diffusion des rapports aux équipes de supervision,
aux agents chargés des abonnements et aux niveaux
hiérarchiques d’escalade — en utilisant des rapports
préconfigurés compatibles avec les réglementations SOX,
PCI-DSS et de protection de la confidentialité des données ;
• Créer un référentiel d’audit unique et centralisé pour le
reporting de conformité à l’échelle de l’entreprise,
l’optimisation des performances, les investigations et les
recherches de preuves ;
• Étendre facilement les opérations depuis la protection d’une
simple base de données jusqu’à celle de milliers de bases de
données, d’entrepôts de données, de solutions de partage de
fichiers ou de systèmes utilisant le framework Hadoop, pour
des centres de données disséminés dans le monde entier.
Traditionnellement, la protection des informations non
structurées contenues dans les formulaires, les documents et les
graphiques est effectuée manuellement en supprimant le contenu
électronique et en utilisant un stylo noir sur du papier pour
supprimer ou masquer des informations sensibles. Cependant,
ce processus manuel peut provoquer des erreurs, conduire à des
omissions involontaires et laisser des informations masquées dans
des fichiers, d’où un risque d’exposition de données sensibles. Les
volumes immenses de formulaires et de documents électroniques
produits aujourd’hui font de ce processus manuel une activité
fastidieuse sur le plan pratique, et contribuent aux risques
auxquels une organisation peut s’exposer.
IBM InfoSphere Guardium Data Redaction permet de
protéger de toute divulgation inopinée les informations sensibles
contenues dans des documents non structurés et des formulaires.
La solution automatisée apporte de l’efficacité au processus de
suppression en détectant les informations sensibles et en les
éliminant automatiquement de la version des documents mise
à la disposition de lecteurs ne disposant pas d’autorisation
particulière. Basée sur des techniques de suppression de données
par logiciel parmi les plus performantes de l’industrie,
la solution InfoSphere Guardium Data Redaction apporte
également la flexibilité nécessaire pour l’analyse et la
surveillance humaines, le cas échéant.
IBM InfoSphere Optim Data Masking Solution propose
un ensemble complet de techniques de masquage de données
répondant à la demande à vos besoins de conformité en matière
de confidentialité des données, incluant les capacités suivantes :
• Fonctionnalités de masquage en fonction des applications,
pour s’assurer que les données masquées, par exemple, les
noms et les adresses, sont présentées sous un aspect identique
aux informations originales (voir Figure 4).
• Sous-programmes de masquage de données pré-conditionnées
et contextualisées, pour désidentifier des données (par exemple,
numéros de carte de crédit, numéros de Sécurité sociale,
adresses géographiques, adresses de courrier électronique).
• Fonctionnalités de masquage permanent, qui permettent de
propager des valeurs de remplacement masquées de manière
cohérente dans les applications, les bases de données, les
systèmes d’exploitation et les plateformes matérielles.
• Fonctionnalités de masquage de données statiques ou
dynamiques, compatibles à la fois avec les environnements
de production et hors production.
Avec l’offre InfoSphere Optim, les organisations disposent des
moyens de désidentifier des données d’une manière pertinente
pour les utiliser dans les environnements de développement, de
test ou de formation, et ce, tout en protégeant la confidentialité
des informations.
Figure 4 : Les informations permettant d’identifier des personnes
sont masquées en utilisant un masque réaliste, mais contenant des
données fictives.
Masque

10. 10 Trois principes directeurs pour améliorer la sécurité et la conformité des données
IBM InfoSphere Guardium Data Encryption constitue une
solution unifiée, facile à administrer et évolutive pour crypter
les données sans sacrifier les performances des applications ou
apporter de la complexité à la gestion de clés. InfoSphere
Guardium Data Encryption permet de résoudre les défis des
approches invasives et ponctuelles au travers d’une démarche
transparente et cohérente permettant le cryptage et la gestion de
la sécurité des données d’une organisation. Contrairement aux
approches invasives telles que le cryptage de bases de données
par colonnes, le cryptage de fichiers par le procédé PKI ou le
cryptage ponctuel natif, IBM InfoSphere Guardium Data
Encryption constitue une solution unifiée et transparente facile à
administrer. L’approche unifiée du cryptage permet de bénéficier
des fonctionnalités les plus performantes des deux domaines :
la capacité à répondre parfaitement aux besoins de gestion de
l’information, conjuguée à une robuste sécurité des données,
basée sur des règles. Des agents jouent le rôle de bouclier
transparent, dont le rôle est d’évaluer toutes les demandes
d’information au regard de règles facilement personnalisables.
Ces agents assurent des contrôles intelligents basés sur le
décryptage pour les opérations de lecture, d’écriture et d’accès
à des contenus cryptés. Cette solution haute performance est
idéale pour les environnements distribués, et les agents assurent
une sécurité cohérente, contrôlable et non invasive, centrée sur
les données, quasiment pour tous les fichiers, bases de données
ou applications, et ce, quelle que soit leur localisation.
En résumé, la solution InfoSphere Guardium Data Encryption
apporte les avantages suivants :
• Un procédé de cryptage unifié, cohérent et transparent adapté
aux entreprises les plus complexes ;
• Une approche basée sur des règles, vérifiable et exploitable à
l’échelle de l’entreprise ;
• Des processus de mise en œuvre parmi les plus rapides
possible, ne nécessitant aucune modification des applications,
des bases de données ou des systèmes ;
• Une gestion de clés simplifiée, sécurisée et centralisée pour
l’ensemble des environnements distribués ;
• Des règles de sécurité des données intelligentes et facilement
personnalisables pour une sécurité des données robuste
et permanente ;
• Une séparation des tâches forte ;
• Des performances exceptionnelles avec une capacité éprouvée
à répondre aux contrats de niveau de services (SLA) pour les
systèmes critiques d’entreprise.
IBM Tivoli Key Lifecycle Manager apporte aux départements
informatiques les moyens de gérer plus facilement le cycle de vie
des clés de cryptage en leur permettant de centraliser et de
renforcer leurs processus de gestion de clés. La solution permet
de gérer les clés de cryptage pour des dispositifs IBM de
stockage à cryptage intégré, mais aussi pour les solutions autres
qu’IBM utilisant le protocole KMIP (Key Management
Interoperability Protocol). IBM Tivoli Key Lifecycle Manager
apporte les avantages suivants en matière de sécurité des données :
• Centralise et automatise le processus de gestion des clés
de cryptage ;
• Améliore la sécurité des données, tout en réduisant
considérablement le nombre de clés de cryptage à gérer ;
• Simplifie la gestion des clés de cryptage grâce à une interface
utilisateur intuitive utilisée pour la configuration et
l’administration ;
• Minimise le risque de perte ou d’atteinte à des
informations sensibles ;
• Facilite l’administration de la conformité à des normes
réglementaires, telles que SOX et HIPAA ;
• Étend les capacités d’administration de clés à la fois aux
produits IBM et non-IBM ;
• S’appuie sur des standards ouverts pour améliorer la flexibilité
et faciliter l’interopérabilité entre fournisseurs.
Surveiller et auditer
Au-delà de la localisation et de la protection des données,
l’entreprise se doit de démontrer sa conformité, de se préparer
à réagir à de nouveaux risques, externes ou internes, et de
surveiller en permanence ses systèmes. La surveillance
des activités des utilisateurs, de la création d’objets, de la
configuration des référentiels de données et de la définition des
droits permet aux professionnels informatiques et aux chargés
d’audit d’assurer le suivi des utilisateurs des applications et des
bases de données. Ces spécialistes peuvent créer des règles
précises définissant des comportements appropriés et bénéficier
d’alertes si ces règles sont violées. Une organisation doit être en
mesure de démontrer rapidement sa conformité et confère aux
chargés d’audit la responsabilité de vérifier la situation en la
matière. Le reporting d’audit et les processus de désinscription
facilitent les processus de conformité en contrôlant les coûts et
en minimisant les perturbations techniques et métier. En résumé,
une entreprise doit créer des processus d’audit continus et
détaillés de toutes les activités de bases de données, y compris
la description de chaque transaction (qui, quoi, quand, où
et comment).
La solution IBM InfoSphere Guardium Activity Monitor permet
des audits détaillés et indépendants des systèmes de gestion de
bases de données, avec un impact minimal sur les performances.
InfoSphere Guardium est également conçu pour réduire les
coûts d’exploitation grâce à l’automatisation et à des règles et
des référentiels d’audit centralisés pour différents systèmes
de gestion de bases de données, auxquels s’ajoutent des
fonctionnalités de filtrage et de compression.

11. IBM Software 11
Conclusion : une sécurité et une
conformité des données plus performantes
La protection de la sécurité et de la confidentialité des données
constitue une responsabilité rigoureuse et permanente qui doit
être intégrée aux meilleures pratiques. IBM propose une
approche intégrée de la sécurité et de la confidentialité des
données, mise en œuvre au travers de trois principes directeurs :
1. Connaître et définir.
2. Sécuriser et protéger.
3. Surveiller et auditer.
La protection des données impose une approche holistique,
c’est-à-dire à 360 degrés. Au travers de son expertise détaillée
et approfondie dans le domaine de la sécurité et de la
confidentialité, IBM peut aider votre entreprise à définir et
mettre en œuvre une approche de ce type.
Ouvertes et modulaires, les solutions IBM prennent en compte
tous les aspects de la sécurité et de la confidentialité des
données, en englobant les données structurées, semi-structurées
et non structurées, quelle que soit leur localisation. Les solutions
IBM sont compatibles avec la plupart des systèmes d’exploitation
et bases de données les plus performants, notamment IBM DB2,
Oracle, Teradata, Netezza, Sybase, Microsoft®
SQL Server,
IBM Informix, IBM IMS, IBM DB2 for z/OS, IBM VSAM,
Microsoft Windows®
, UNIX®
, Linux®
et IBM z/OS. InfoSphere
est également compatible avec des applications ERP et CRM
majeures — Oracle E-Business Suite, PeopleSoft Enterprise,
JD Edwards EnterpriseOne, Siebel et Amdocs CRM — ainsi
que la plupart des progiciels et applications spécifiques.
IBM propose des solutions de surveillance des accès pour les
logiciels de partage de fichiers tels que Microsoft SharePoint
et IBM FileNet. IBM intègre également les systèmes basés sur le
framework Hadoop, tels que Cloudera et InfoSphere BigInsights.
À propos des solutions IBM InfoSphere
Le logiciel IBM InfoSphere constitue une plateforme intégrée
permettant de définir, d’intégrer, de protéger et de gérer des
informations fiabilisées et dignes de confiance pour l’ensemble
de vos systèmes. Cette plateforme apporte les briques de
construction fondamentales pour générer des informations
dignes de confiance, au travers de l’intégration des données, des
entrepôts de données, de la gestion des données de référence et
de la gouvernance de l’information, l’ensemble de ces fonctions
sont intégrées autour d’un cœur de métadonnées et de modèles
partagés. La gamme de solutions est modulaire, ce qui vous
permet de lancer la démarche à partir de l’un ou l’autre des
thèmes et de conjuguer les briques de construction du logiciel
IBM InfoSphere avec des composants proposés par d’autres
fournisseurs, ou de déployer plutôt une combinaison de ces
briques pour accélérer la démarche et créer de la valeur. La
plateforme IBM InfoSphere constitue une fondation à l’échelle
de l’entreprise pour les projets utilisant intensivement de
l’information, en apportant les performances, l’évolutivité, la
fiabilité, les capacités d’accélération nécessaires pour simplifier
les défis les plus difficiles et produire plus rapidement des
informations dignes de confiance pour votre organisation.
À propos des solutions IBM Security
La gamme de solutions de sécurité d’IBM apporte l’intelligence
nécessaire en matière de sécurité pour protéger de manière
globale les collaborateurs, les infrastructures, les données et les
applications d’une entreprise. IBM propose des solutions de
gestion des identités et des accès, de sécurité des bases de
données, de développement d’applications, de gestion des
risques, de gestion de terminaux et de sécurité des réseaux, entre
autres. IBM dispose de l’une des structures de recherche, de
développement et prestation de services en matière de sécurité
parmi les plus importantes. Cette structure s’appuie sur neuf
centres opérationnels de sécurité (SOC), neuf centres de
recherche IBM, onze laboratoires de développement en matière
de sécurité des logiciels, ainsi que l’Institute for Advanced
Security, avec une implantation aux États-Unis, en Europe et
dans la zone Asie-Pacifique. IBM assure la surveillance de
13 milliards d’événements de sécurité par jour, dans plus de
130 pays, et détient plus de 3 000 brevets dans le domaine de
la sécurité.
Pour plus d’informations
Pour en savoir plus sur les solutions IBM Security, visitez le site :
ibm.com/security/fr
Pour en savoir plus sur les solutions IBM InfoSphere destinées à
protéger la sécurité et la confidentialité des données, n’hésitez
pas à contacter votre interlocuteur commercial IBM ou à visiter
le site : ibm.com/guardium.
Pour en savoir plus sur les nouvelles fonctionnalités de sécurité
du logiciel IBM DB2 for z/OS, téléchargez le Redbook à
l’adresse : www.redbooks.ibm.com/Redbooks.nsf/
RedbookAbstracts/sg247959.html
Par ailleurs, les solutions de financement proposées par
IBM Global Financing contribuent à une gestion efficace de
votre trésorerie, protègent vos investissements IT vis-à-vis de
l’obsolescence et vous permettent d’obtenir des gains de coût
total de possession (TCO) et de retour sur investissement (ROI).
De plus, IBM propose son offre GARS (Global Asset Recovery
Services), destinée à répondre aux enjeux environnementaux grâce
à des solutions nouvelles et plus économes en énergie. Pour en
savoir plus sur IGF, visitez le site : ibm.com/financing/fr.

12. Veuillez recycler
IBM France
17 Avenue de l’Europe
92275 Bois Colombes Cedex
IBM, le logo IBM, ibm.com, BigInsights, DB2, FileNet, Guardium,
IMS, Informix, InfoSphere, Optim, RACF, System z, Tivoli, et z/OS
sont des marques d’International Business Machines Corp., déposées
dans de nombreux pays du monde. Les autres noms de produits et de
services peuvent être des marques d’IBM ou d’autres sociétés. Une liste
actualisée des marques déposées IBM est accessible sur le web sous la
mention « Copyright and trademark information » à l’adresse
ibm.com/legal/copytrade.shtml.
Linux est une marque déposée de Linus Torvalds aux États-Unis et/ou
dans d’autres pays.
Microsoft et Windows sont des marques de Microsoft Corporation aux
États-Unis et/ou dans d’autres pays.
Netezza est une marque ou une marque déposée de Netezza
Corporation, une entreprise IBM.
UNIX est une marque déposée de The Open Group aux États-Unis et
dans d’autres pays.
Le présent document est proposé dans sa version actuelle à sa date
initiale de publication et peut être modifié à tout moment par IBM.
Toutes les offres ne sont pas disponibles dans tous les pays dans lesquels
IBM opère.
LES INFORMATIONS CONTENUES DANS CE DOCUMENT
SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE
EXPRESSE OU TACITE, NOTAMMENT SANS AUCUNE
GARANTIE DE QUALITÉ MARCHANDE OU D’ADAPTATION
À UN EMPLOI SPÉCIFIQUE, ET SANS AUCUNE GARANTIE
OU CONDITION DE NON INFRACTION VIS-À-VIS DES LOIS.
Les produits IBM bénéficient d’une garantie conforme aux conditions
générales des contrats dans le cadre desquels ils sont mis à la disposition
des clients.
IMW14568-FRFR-05