© 2012 IBM Corporation
IBM Security Systems
1© 2013 IBM Corporation
Le contexte de la cybersécuritéNotre environnement devient-il plus sécuritaire?
Stewart Wolfe, CISSP, CISM, CISA (certifications en vérification eten gestion de la sécurité informationnelle)
Concepteur principal en sécurité – Services mondiaux de sécurité IBM
Septembre 2013
© IBM Corporation 2013
Services de sécurité IBM
Sécurité IBM Le contexte de la cybersécurité
Services technologiques mondiaux IBMConcepteur principal en sécurité, Services de sécurité IBM (Canada)
Stewart Wolfe compte 20 ans d'expérience en TI, dans le cadre de la conception et de la mise en œuvre de solutions pour des entreprises clientes. Il est concepteur principal en sécurité chez IBM Canada et offre des services-conseils aux clients dans de nombreux secteurs variés, traitant d'un large éventail de sujets concernant la sécurité, de la consultation jusqu'à la mise en œuvre.
Conférencier de la séance d'aujourd'hui
Au cours de la dernière année, l'espace de la sécurité informatique a maintes fois fait la manchette des journaux. Qu'il s'agisse de la découverte de trousses d'outils complexes affublées de noms aussi inquiétants que Flame (flamme) ou de vulnérabilités multiplateformes inconnues (de type «jour zéro»), les consommateurs et les entreprises ont été inondés de conseils et d'alertes concernant de nouvelles menaces. La fréquence des atteintes à la protection des données et des incidents connexes, ayant déjà franchi un nouveau sommet en 2011, a poursuivi sa trajectoire ascendante.
2
© 2012 IBM Corporation
IBM Security Systems
3 © 2013 IBM Corporation
La dynamique changeante de la protection de l'entreprise
© 2013 IBM Corporation
IBM Security Services
2011 : «L'année de l'attaque ciblée»
Source : Rapport 2011 de l'équipe de recherche X-Force d'IBM sur les tendances et les risques
Services de
mise en marché
Jeux en ligne
Jeux en ligne
Jeux en ligne
Jeux en ligne
Gouvernement central
Jeux
Jeux
ServicesInternet
Jeux en ligne
Jeux en ligne
Servicesen ligne
Jeux en ligne
Sécurité informatiq
ue
Secteur bancaire
Sécurité informatiq
ue
Services-conseils
du gouvernement
Sécurité informatiq
ue
Télé-communica
tions
Diver-tissement
Électronique
grand public Agriculture
Vêtements
Assurances
Services-conseils
Électroniquegrand public
ServicesInternet
Gouv.central
Gouv.central
Gouv.central
Type d'attaque
Injection SQL
Altération d'URL
Harponnage
Logiciels de tiers
Déni de service distribué
SecureID
Programmes de Troie
Inconnue
La taille du cercle établit approximativement l'incidence relative des violations en fonction des frais qu'elle impose à l'entreprise
jan. fév. mar avr. mai juin juil. août sept. oct. nov. déc.
Divertissement
Défense
Défense
Défense
Électroniquegrand public
Gouvernementcentral
Gouvernementcentral
Gouvernementcentral
Gouvernementcentral
Gouvernementcentral
Gouvernementcentral
Gouvernementcentral
Électroniquegrand public
Policenationale
Policenationale
Policeprovinciale
Policeprovinciale
Police
Jeux
Marchéfinancier
Servicesen ligne
Services-conseils
Défense
Industrielourde
Divertissement
Secteur bancaire
Échantillonnage des incidents liés à la sécurité en 2011 par type d'attaque, selon la période et l'incidence
Les hypothèses formulées à l'égard de l'incidence relative des violations sont fondées sur de l'information communiquée publiquement concernant des informations divulguées et des pertes financières
Menaces Sécurité opérationnelleNouvelles tendances
4
© 2013 IBM Corporation
IBM Security Services
5
2012 : Le volume exponentiel de violations se poursuit!
Source : Rapport 2012 de l'équipe de recherche X-Force d’IBM sur les tendances et les risques
Échantillonnage des incidents liés à la sécurité en 2012 par type d'attaque, selon la période et l'incidence
Les hypothèses formulées à l'égard de l'incidence relative des violations sont fondées sur de l'information communiquée publiquement concernant des informations divulguées et des pertes financières
Type d'attaque
Injection SQL
Altération d'URL
Harponnage
Logiciels de tiers
Déni de service distribué
SecureID
Programmes de Troie
Inconnue
La taille du cercle établit approximativement l'incidence relative des violations en fonction des frais qu'elle impose à l'entreprise
jan. fév. mar avr. mai juin juil. août sept. oct. nov. déc.
© 2013 IBM Corporation
IBM Security Services
Les menaces (acteurs) sont plus subtiles et évoluées
Nom de la menace
Acteur involontaire Opportuniste Hacktiviste Menace poussée, persistante ou mercenaire
Types Travailleurs en place - employés, fournisseurs (entrepreneurs), sous-traitants
Auteurs de ver informatique et de virus
Pirates adolescents
Agents de sécurité informatique et pirates informatiques
Protecteurs des «libertés sur Internet»
Gouvernements nationaux Crime organisé Espions industriels Cellules terroristes
% des incidents attribuables à
60 % 20 % =< 10 % =< 10 %
Profil de la menace
Inexpérimenté Aucun financement Cause du tort par
inadvertance en introduisant involontairement (accidentellement) des virus ou en affichant, envoyant ou perdant des données sensibles
Augmentation de la fréquence en raison des nouvelles formes d'accès mobile
Inexpérimenté Financement restreint Comportement
opportuniste Cible les vulnérabilités
connues Utilise les virus, les vers,
les programmes de Troie rudimentaires, les robots
Agit pour les sensations fortes, par vantardise
Facile à détecter
Compétences allant de l'inexpérience à une très grande expérience
Cible les vulnérabilités connues
Préfère les attaques par déni de service, MAIS utilise un maliciel comme moyen d'intrusion dans des outils plus évolués
Détectable, mais difficile à attribuer
Augmentation de la fréquence
Méthodes raffinées Organismes étrangers du
renseignement, groupes appartenant au crime organisé
Bon financement Cible tant la technologie que
l'information Agissant souvent dans une
perspective lucrative Cible et exploite les données
précieuses Établit une présence discrète
sur les réseaux sensibles Difficile à détecter Augmentation de la fréquence
6
© 2013 IBM Corporation
IBM Security Services
Les types de cyberpirates et les motivations demeurent les mêmes
Presque tous les incidents liés à la sécurité en 2012 ont été provoqués par des cyberpirates qui visaient une cible très étendue en utilisant des outils prêts à l'emploi (voir en haut à gauche)
L'injection SQL et les attaques par déni de service constituent toujours des méthodes d'attaque éprouvées
Les cyberpirates sont opportunistes, mais ce ne sont pas toutes les menaces poussées et persistantes et appuyées par l'État qui exploitent un maliciel et les vulnérabilités inconnues…
Menaces Sécurité opérationnelleNouvelles tendances
7
© 2013 IBM Corporation
IBM Security Services
Raffinement opérationnel ne rime pas toujours avec complexité technologique
Menaces Sécurité opérationnelleNouvelles tendances
8
© 2013 IBM Corporation
IBM Security Services
9
On demande de plus en plus aux chefs du service de l'information d'offrir une valeur commerciale transformatrice en utilisant moins de ressources
des sites web populaires et des 500 grandes entreprises indiquées par Fortune sont vulnérables2
40 %Risque plus élevé
des chefs du service de l'information jugent l'informatique en nuage essentielle à leurs plans5
60 %
Innovation dans le nuage
de la moyenne du budget en TI
sont consacrés aux opérations courantes4
71 %Contraintes budgétaires
71 %des centres de données
ont plus de 7 ans1
Infrastructure vieillissante
des entreprises utilisent les médias sociaux aujourd'hui
pour communiquer avec leurs clients7
74 %Entreprise réseautée
des organisations prendront en charge les applications d'entreprise sur les appareils personnels d'ici 20146
90 %
Mobilité au sein de l'entreprise
de contenu numérique en 2012, une croissance de 50 %
par rapport à 20113
2,7 Zo
Croissance excessive des données
Sources : 1Le chef du service de l’information : un acteur essentiel, étude mondiale réalisée auprès des chefs du service de l'information, mai 2011, 2Rapport de mi-année de X-Force<sup>MD</sup> d'IBM sur les tendances et les risques en 2011, septembre 2011, 3IDC, «IDC Predictions 2012: Competing for 2020» de Frank Gens, décembre 2011, IDC no 231720, volume 1, 4Basé sur Recherche IBM, 5McKinsey, How IT is managing new demands, 2011, 6Gartner prévoit que d'ici 2014, «90 % des organisations prendront en charge les applications d'entreprise sur les appareils personnels», 7Forrsights, sondage mené auprès des décideurs d'entreprise, T4, 2011
© 2013 IBM Corporation
IBM Security Services
10
81 % des fonctions assurées par le chef de la sécurité des informations font ou ont fait l'objet d'une réorganisation au cours des six derniers
mois. Étude du conseil exécutif du risque lié à l'information du Conseil de direction, juillet 2012
sont en mesure de trouver les
personnes possédant les
bonnes compétences
dénoncent l'incapacité de
mesurer l'efficacité des efforts actuels déployés envers la
sécurité
sont aux prises avec une équipe de TI en sous
effectif
Les compétences en sécurité sont difficiles à attirer et à conserver
IBM Security Services
© 2013 IBM Corporation11
Le fondement de notre approche en matière de protection de l'entreprise
IBM Security Services
© 2013 IBM Corporation12
Proactive
Au
tom
atis
éeM
anu
elle
Réactive
Efficace
Élémentai
re
Optimisée
Approche basée sur la maturité
7. Prendre en charge les nouvelles complexités de l'informatique en nuage et de la virtualisation
6. Contrôler l'accès au réseau et favoriser la résilience
1. Bâtir une culture d'entreprise et un système de gestion conscients des risques
2. Gérer de manière plus intelligente les incidents liés à la sécurité
3. Défendre les lieux de travail mobiles et sociaux
5. Automatiser la «santé» en matière de sécurité
4. Offrir des services hautement sécurisés dès la conception
10.Gérer le cycle de vie de l'identité
9. Assurer la protection des données et des renseignements personnels
8. Gérer la conformité des tierces parties en matière de sécurité
Cycle de vie des programmes
Renseignements
de sécurité
Le chemin vers un niveau de sécurité optimal commence par les dix pratiques essentielles d'IBM
IBM Security Services
© 2013 IBM Corporation13
Pratique essentielle 1 : Bâtir une culture d'entreprise et un système de gestion conscients des risques.
La culture de votre entreprise impose-t-elle des comportements adéquats en matière de risque et en assure-t-elle le suivi?
Lorsqu'il utilise la technologie, chaque employé d'une entreprise est susceptible d'infecter le système informatique, soit en cliquant sur une pièce jointe douteuse ou en négligeant d'installer un correctif de sécurité sur un téléphone intelligent.
Bâtir une culture d'entreprise consciente des risques exige de déterminer les risques et les buts ainsi que de les communiquer à l'ensemble de l'entreprise.
Le personnel de gestion doit sans relâche communiquer ce changement vers les niveaux hiérarchiques inférieurs, tout en mettant en place des outils de suivi des progrès.
Développer la mission de sécurité de l'entreprise et l'étendre de l'équipe des TI à la gestion des risques en matière de sécurité dans toute l'entreprise, et ce, sous la direction d'un gestionnaire possédant une vision stratégique de l'ensemble de l'entreprise.
Concevoir une structure organisationnelle et un modèle de gouvernance qui permettent l'identification et la gestion des risques de manière plus proactive.
Communiquer avec le personnel et le former afin de le sensibiliser aux cyberrisques potentiels.
Concevoir un système de gestion qui s'appuie sur des politiques, des mesures et des outils appropriés et assimilables.
Gouvernance et conception organisationnelle Évaluation de la gestion des risques et élaboration de programme Évaluation et définition des mesures de sécurité Développement de politiques Programme de sensibilisation en matière de sécurité Chefs de la sécurité de l'information à la demande Conception de l'architecture de sécurité de l'entreprise
Offres d'IBM
Mesures à prendre pour y parvenir :
IBM Security Services
© 2013 IBM Corporation14
Pratique essentielle 2 : Gérer de manière plus intelligente les incidents liés à la sécurité.
Comment utiliser les renseignements de sécurité au profit de votre entreprise?
Imaginez que deux incidents liés à la sécurité similaires se produisent, l'un au Brésil et l'autre, à Pittsburgh. Ils pourraient être reliés. Mais sans renseignements de sécurité pour établir un lien entre eux, un important schéma pourrait passer inaperçu.
Des efforts doivent être déployés à l'échelle de l'entreprise pour mettre en œuvre une analytique intelligente et des capacités de réponse automatisées.
La création d'un système automatisé et unifié permet à une entreprise de mieux contrôler ses opérations et ainsi, réagir plus rapidement.
Mettre sur pied une équipe qualifiée responsable de gérer les incidents et d'y répondre, disposant des ressources suffisantes pour mener les investigations informatiques nécessaires.
Élaborer une politique et une procédure unifiées en matière de gestion des incidents.
Tirer parti d'outils et de renseignements de sécurité cohérents pour mener à bien la gestion des incidents et les investigations informatiques.
Élaboration d'un programme de réponse aux incidents
Services d'interventionMise en œuvre de solutions d'investigation
informatiqueRenseignements sur la sécurité et gestion
des événements (SIEM)Service d'analyse des menaces X-Force
d'IBM
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation
Pratique essentielle 2 : Renseignements de sécurité : intégration des données dans l'ensemble des silos TI dans le but d'engendrer de l'information exploitable
Sources de données étendues
Renseignements approfondis
Connaissances extrêmement précises et exploitables+ =
Corrélation des événements
Établissement d'une base de référence d'activités et détection des anomalies
Journaux Flux
Réputation des adresses IP
Emplacement géographique
Activités des utilisateurs Activités des bases de
données Activités des
applications Activité réseau
Activités des bases de données
Serveurs et hôtes
Activités des utilisateurs
Information sur la vulnérabilité
Information sur la configuration
Identification des infractions
Crédibilité Gravité Pertinence
Dispositifs de sécurité
Activité réseau et virtuelle
Activités des applications
Infractions à priorité élevée
IBM Security Services
© 2013 IBM Corporation
De quel type d'attaque s'agissait-il?
À qui peut-on l'attribuer?
Combien de cibles étaient visées?
L'attaque a-t-elle réussi?
Où les trouve-t-on?
Parmi ces cibles, certaines sont-elles vulnérables?
Quelle est la valeur de ces cibles pour l'entreprise?
Où trouve-t-on les preuves?
Pratique essentielle 2 :Transmission claire, précise et complète de données pertinentes :
IBM Security Services
© 2013 IBM Corporation
Pratique essentielle 2 :Règles et rapports de conformité
• Modèles prêts à l'emploi axés sur des réglementations et des pratiques exemplaires particulières :
• Lois et normes suivantes : COBIT, SOX (Sarbanes-Oxley), GLBA, NERC, FISMA, PCI, HIPAA et UK GCSx
• Modèles évolutifs permettant d'intégrer de nouvelles réglementations et pratiques exemplaires, au besoin
IBM Security Services
© 2013 IBM Corporation18
Pratique essentielle 3 : Défendre les lieux de travail mobiles et sociaux.
Quels éléments devriez-vous prendre en considération lorsque vous souhaitez protéger votre lieu de travail?
Les employés apportent un nombre croissant d'appareils personnels au travail et utilisent de plus en plus souvent des médias sociaux dans leurs communications. Chaque poste de travail, ordinateur portatif ou téléphone intelligent ouvre potentiellement la porte aux attaques malveillantes.
Les paramètres des appareils ne peuvent être définis par les individus ou les groupes autonomes, mais doivent plutôt faire l'objet d'une gestion et d'une mise en application centralisées.
Protéger la main-d'œuvre signifie trouver le parfait équilibre entre l'ouverture et la gestion des risques.
Permettre aux employés d'apporter leurs propres appareils et de tirer parti de l'utilisation des médias sociaux, tout en leur offrant la possibilité de séparer les données personnelles de celles de l'entreprise et de protéger les données de l'entreprise.
Protéger la plateforme micro-informatique afin qu'elle corresponde à un profil de risque basé sur le rôle d'un employé.
Automatiser la mise en application de paramètres de sécurité des points d'extrémité dans l'ensemble des postes de travail, des appareils mobiles et des images de nuages de bureau.
Isoler les données d'entreprise, personnelles et celles des clients et assurer leur protection.
Évaluation et stratégie en matière de mobilité et de point d'extrémité Mise en œuvre de solutions de point d'extrémité et de serveur Gestion de la sécurité des appareils mobiles
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation19
Pratique essentielle 4 : Offrir des services hautement sécurisés dès la conception.
Que signifie «hautement sécurisés dès la conception» pour mon entreprise?
Imaginez si les fabricants d'automobiles construisaient celles-ci sans y intégrer les ceintures de sécurité ni les coussins gonflables, puis les ajoutaient ultérieurement. Cela serait insensé et extrêmement coûteux.
De la même manière, une des plus importantes vulnérabilités des systèmes d'information provient de l'ajout des composants de sécurité une fois la mise en œuvre du service effectuée.
La meilleure solution est d'intégrer la sécurité dès le départ et d'effectuer régulièrement des tests automatisés afin d'en assurer la conformité.
Évaluer quels sont vos points de vérification de la qualité optimaux. Réduire les coûts associés à la livraison de solutions sécurisées en
intégrant les éléments de sécurité dans le processus de conception. Utiliser des outils permettant d'accroître l'adoption et d'effectuer le
suivi de la conformité. Découvrir les vulnérabilités et les faiblesses de façon proactive au
moyen de l'évaluation de la vulnérabilité des systèmes et de tests d'intrusion.
Conception technique et développement hautement sécurisés Tests d'intrusion Évaluation du code source des applications Gestion de la sécurité des applications hébergées Gestion des vulnérabilités réseau
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation20
Pratique essentielle 5 : Automatiser la «santé» en matière de sécurité.
Quels sont les risques associés à la mise en place continue de correctifs et à l'utilisation d'anciens logiciels?
Les gens continuent d'utiliser d'anciens programmes logiciels parce qu'ils les connaissent et sont à l'aise avec eux. Mais la gestion des mises à jour sur une variété de logiciels peut s'avérer une tâche quasi impossible.
Lorsque le système est sain et hautement sécurisé, les administrateurs peuvent effectuer le suivi de chacun des programmes en exécution et avoir la certitude que ces derniers sont récents, et qu'ils disposent d'un système complet sur lequel ils peuvent installer des mises à jour et des correctifs dès leur publication.
Ce processus «santé» devrait être systématique et intégré à la base de l'administration de systèmes.
Enregistrer tous les composants de l'infrastructure informatique dans un inventaire centralisé et en retirer de façon dynamique les anciens composants.
Intégrer les données de conformité pour assurer une présence de bout en bout.
Automatiser la gestion des correctifs et favoriser une culture qui prône la diligence afin de s'assurer que l'infrastructure protégera l'entreprise contre les menaces actuelles.
Identifier les occasions de sous-traiter les fonctions de surveillance routinières.
Évaluation de la santé de l'infrastructure et sous-traitance Mise en œuvre de solutions de point d'extrémité et de serveur Gestion des vulnérabilités réseau
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation21
Pratique essentielle 6 : Contrôler l'accès au réseau et favoriser la résilience.
Comment le recours à des services gérés peut-il m'aider à renforcer les contrôles de l'accès au réseau?
Imaginez que l'infrastructure informatique d'une entreprise soit comme un hôtel géant comprenant plus de 65 000 portes et fenêtres. Alors que le public est autorisé à y accéder par le hall, l'accès aux chambres serait contrôlé au moyen de l'enregistrement et des clés des invités.
Il en va de même pour les données. Les outils connexes à la sécurité des réseaux fournissent aux organisations un moyen de contrôler l'accès aux «chambres» où sont stockés les données confidentielles et les systèmes sensibles.
Optimiser les investissements existants et tirer parti des nouvelles technologies pour assurer un contrôle ainsi qu'une protection contre les menaces.
Détecter les activités malveillantes sur le réseau et les bloquer à l'aide d'une combinaison de solutions de journalisation, de surveillance d'analytique évoluées.
Identifier les éléments qui doivent être contrôlés et en établir les priorités. Optimiser l'infrastructure du réseau afin d'améliorer la performance et la
gestion des risques.
Évaluation de la vulnérabilité du réseau Système de détection d'intrusions et système de protection contre les
intrus (IDP et IPS) gérés Pare-feu géré Passerelle web sécurisée gérée Gestion unifiée des menaces (UTM) gérée Sécurité des courriels hébergés et du web Renseignements sur la sécurité et gestion des événements (SIEM) Gestion sécurisée des journaux
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation22
Pratique essentielle 7 : Prendre en charge la nouvelle complexité de l'informatique en nuage et de la virtualisation.
Comment pouvez-vous profiter de la technologie de l'informatique en nuage tout en réduisant les risques?
L'informatique en nuage permet d'espérer une efficacité inégalée. Mais cela peut entraîner certains risques. Si une entreprise migre certains de ses services TI vers l'informatique en nuage, elle le fera en cohabitation avec plusieurs autres entreprises — y compris, peut-être, des personnes qui pourraient avoir de mauvaises intentions.
Pour réussir dans un tel environnement, les organisations doivent disposer des outils et des procédures leur permettant de s'isoler et de se protéger, ainsi que de contrôler les menaces potentielles.
Élaborer une stratégie permettant d'améliorer la sécurité de vos propres services d'informatique en nuage.
Évaluer les mesures de contrôle de la sécurité mises en place par les autres fournisseurs d'informatique en nuage pour protéger vos données.
Comprendre les forces et les faiblesses de votre architecture, ainsi que vos programmes, politiques et pratiques connexes à l'informatique en nuage.
Créer des services d'informatique en nuage qui demandent un niveau plus élevé de contrôle et de confiance.
Évaluation et stratégie connexes à la sécurité de l'informatique en nuage Gestion des vulnérabilités réseau Gestion de la sécurité des applications hébergées Pare-feu géré Systèmes de prévention et de détection des intrusions gérés (IPDS) Renseignements sur la sécurité et gestion des événements (SIEM) Gestion sécurisée des journaux
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation23
Pratique essentielle 8 : Gérer la conformité des tierces parties en matière de sécurité.
Vos politiques et défenses en matière de sécurité sont-elles conformes à l'heure actuelle?
La culture d'une entreprise en ce qui a trait à la sécurité doit s'étendre au-delà de ses murs et permettre d'établir de meilleures pratiques pour ses sous-traitants et fournisseurs.
La sécurité, tout comme l'excellence, devrait faire partie intégrante de tout l'«écosystème» des partenaires. De nombreux cas ont montré comment la négligence d'une entreprise peut avoir des conséquences dévastatrices sur plusieurs autres.
Intégrer la sécurité des systèmes lors de fusions et d'acquisitions. Évaluer les politiques et les pratiques en matière de sécurité et de
risques mises en place par les fournisseurs et sensibiliser ces derniers à l'importance de la conformité.
Évaluer la conformité aux exigences réglementaires et sectorielles en matière de processus et de protection des données, telles que les normes PCI1, GLBA2, HIPAA3, SOX4, NERC-CIP5.
Gérer le cycle de vie des risques associés aux fournisseurs.
Mesures à prendre pour y parvenir :
Évaluation de la conformité des tierces parties PCI1, GLBA2, HIPAA3, SOX4, NERC-CIP5
1Industrie des cartes de paiement (PCI), 2Loi GLBA (Gramm-Leach-Bliley Act), 3Loi HIPAA (Health Insurance Portability and Accountability Act), 4Loi Sarbanes-Oxley (SOX), 5NERC-CIP (North American Electric Reliability Corporation-Critical Infrastructure Protection)
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation24
Pratique essentielle 9 : Assurer une meilleure protection des données et des renseignements personnels.
Comment pouvez-vous améliorer la protection de vos données critiques?
Chaque entreprise possède des renseignements vitaux, que ce soit des données scientifiques et techniques, ou encore, des documents portant sur de possibles fusions et acquisitions ou des données financières non publiques concernant les clients.
Chaque entreprise devrait mettre sur pied un inventaire et accorder un traitement particulier aux données critiques. Chaque élément prioritaire devrait être protégé, suivi et chiffré comme si la survie de l'entreprise en dépendait. Dans certaines situations, il se peut que ce soit le cas.
Déterminer la valeur de vos données confidentielles et les conséquences de leur perte sur l'entreprise.
Évaluer les lacunes et définir une stratégie en matière de protection des données qui permet de gérer les risques de pertes de données et de répondre aux exigences des gouvernements et des clients.
Concevoir une solide architecture de gestion des données qui protège vos renseignements sensibles ou confidentiels.
Déployer et gérer des technologies de pointe en matière de protection des données.
Sécurité des données, et évaluation et stratégie connexes à la protection des renseignements personnels
Prévention des pertes de données Chiffrement des données Architecture et évaluation de la sécurité des bases de données Architecture de sécurité des mégadonnées Vérification et contrôle des bases de données Masquage des données
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation25
Pratique essentielle 10 : Gérer le cycle de vie de l'identité.
Quelle valeur la gestion de l'identité et de l'accès des utilisateurs confère-t-elle à mon entreprise?
La gestion de l'accès des utilisateurs aux données critiques constitue un élément essentiel de la sécurité. Imaginez par exemple qu'un sous-traitant soit embauché à plein temps. Au bout de six mois, cette personne obtient une promotion. Puis, un an plus tard, un concurrent l'embauche. De quelle façon le système informatique gère-t-il l'identité de cette personne au fil du temps?
Il doit tout d'abord lui donner un accès limité aux données, puis étendre cet accès, pour finalement lui refuser tout accès.
Voilà en quoi consiste la gestion du cycle de vie de l'identité, et il s'agit d'un élément essentiel de la sécurité. Les entreprises qui négligent cet élément fonctionnent sans posséder suffisamment d'information et se rendent vulnérables aux intrusions.
Élaborer une stratégie optimisée en matière de gestion de l'identité et de l'accès.
Mettre en œuvre des mécanismes de contrôle normalisés à base de règles, ainsi que des mesures de surveillance plus intelligentes.
Centraliser et automatiser la gestion de la séparation des responsabilités.
Adoper une solution d'authentification unique pour les ordinateurs de bureau et le web.
Évaluation et stratégie en matière de gestion de l'identité Mise en œuvre d'une solution relative à l'identité Analytique liée aux rôles Authentification à deux facteurs Déploiement d'une infrastructure à clés publiques
Mesures à prendre pour y parvenir :
Offres d'IBM
IBM Security Services
© 2013 IBM Corporation
Le défi à relever se situe au plan opérationnel et non technique Bon nombre de violations peuvent être évitées
D'importants efforts doivent être déployés pour recenser et détecter les vulnérabilités et colmater les failles.
Il faut prévoir une certaine résistance sur le plan financier et de l'exploitation, alors quelle somme représente un investissement suffisant?
26
© 2012 IBM Corporation
IBM Security Systems
27 © 2013 IBM Corporation
Pourquoi IBM?
IBM Security Services
© 2013 IBM Corporation28
L'approche d'IBM en matière de cybersécurité s'appuie sur les leçons tirées dans le cadre de la protection de sa propre entreprise multinationale et de celle de milliers de clients autour du monde
Principaux lieux de travail des employés
Gestion des commandes des clients
Fabrication
Centres de services aux employés
Centres de recherche IBM
Centres de données internes IBM
Plus de 2 000 emplacements importants
Plus de 170 pays
Plus de 400 000 employés Près de 200 000 sous-traitants
IBM dispose d'une des plus vastes et complexes infrastructures internes de technologie de l'information au monde
Plus de 800 000 points d'extrémité traditionnels
Environ 50 % des employés sont mobiles
IBM Security Services
© 2013 IBM Corporation
Les Services de sécurité IBM fournissent des solutions de pointe à l'ensemble de l'infrastructure de sécurité IBM
Services professionnels
Services gérés
Services en nuage
Services de gestion de l'identité et de l'accès
Services de sécurité physique
Services de sécurité des données
Services de gouvernance, de gestion des risques et de conformité en matière de sécurité
Services de sécurité des applications
Services de sécurité
des infrastructures(atténuation des menaces)
Gestion unifiée des menaces
Évaluation des vulnérabilités
Gestion sécurisée des journaux
Gestion de l'identité et de l'accès gérés
Sécurité du courriel
GRC
Filtres web et URL
Prévention des intrusions
Filtres web et URL
Gestion des événements de sécurité
Évaluation des menaces
Gestion des pare-feu
29
© 2013 IBM Corporation
IBM Security Services
30
IBM peut offrir une couverture mondiale et des programmes de sensibilisation à la sécurité inégalés
Centres des opérations de sécurité
Centres de recherche en matière de sécurité
Centres de développement de solutions de sécurité
Filiales de l'Institute for Advanced Security
Expertise de l'équipe X-Force d'IBM
10Centres des opérations de sécurité
10 centres de recherche en matière de
sécurité
14 laboratoires de développement de
solutions de sécurité
400analystes des opérations de sécurité
650 spécialistes en protection des champs
1 200conseillers en sécurité des services
professionnels
4 300 ressources de prestation de services
de sécurité liée à l'impartition stratégique
150 M de tentatives d'intrusion quotidiennement 46 000 vulnérabilités consignées 40 M attaques uniques par pourriels
et hameçonnage Des millions d'exemples de maliciels uniques Des milliards de pages web analysées Plus de 1 000 brevets de sécurité
Plus de 20 000 dispositifs sous contrat Plus de 3 700 clients des services de sécurité
gérés mondialement Plus de 15 G d'événements gérés par jour Surveillance dans 133 pays (services de
sécurité gérés) Recherche et rapports uniques
Excellence en matière de services gérés
IBM Security Services
© 2013 IBM Corporation31
Source : Forrester Research Inc. Rapport d'analyste «The Forrester Wave<sup>MC</sup>: Information Security Consulting Services», 1<sup>er</sup> trimestre 2013. Et le rapport d'analyste «Forester Wave: Managed Security Services providers» du 1<sup>er</sup> trimestre 2012. Vous pouvez consulter les rapports complets sur le site http://www.ibm.com
Toute cette expérience a permis d'assurer la reconnaissance sur le marché mondial
Consultation en matière de sécurité
Services gérés de sécurité
«IBM possède la plus vaste clientèle parmi tous les participants... Les clients font l'éloge de la souplesse, de la connaissance et de la réactivité... et soulignent en outre l'excellente documentation de l'entreprise. Les organisations qui
cherchent un fournisseur de qualité supérieure en mesure d'offrir une solution complète et de la gérer après coup devraient se tourner vers IBM.»
IBM Security Services
© 2013 IBM Corporation
Engagez-vous à l'aide de l'équipe de recherche et développement X-Force d'IBM
Suivez-nous sur @ibmsecurity et @ibmxforce
Téléchargez les rapports de X-Force sur les tendances et les risques en matière de sécurité
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
Inscrivez-vous aux alertes par courriel de X-Force à l'adresse http://iss.net/rss.php ou au
blogue X-Force pour obtenir des renseignements sur la sécurité à l'adresse
http://www.ibm.com/blogs/xforce
32
Merci!
© 2013 IBM Corporation
IBM Security Services
34
ibm.com/security
© IBM Corporation 2013. Tous droits réservés. Les renseignements contenus dans le présent document sont fournis à titre indicatif seulement, et sont fournis «tels quels», sans aucune garantie, expresse ou implicite. IBM ne pourra être tenue responsable des dommages résultant de l'utilisation du présent document ou d'autres documents, ou y étant liés. Aucun élément de ce document n'a pour objet ni n'a pour effet de produire quelque garantie ou déclaration que ce soit de la part d'IBM (ni de ses fournisseurs ou concédants de permis), ou de modifier les modalités des permis d'utilisation régissant l'utilisation des logiciels IBM. Cette présentation peut faire référence à des produits ou à des services IBM non annoncés dans votre pays. Cela ne signifie pas qu'IBM ait l'intention de les y annoncer. Les dates de lancement de produits et (ou) les fonctionnalités indiquées dans cette présentation peuvent être modifiées en tout temps, à la seule discrétion d'IBM, selon les possibilités commerciales ou d'autres facteurs, et elles ne signifient en aucun cas qu'IBM s'engage à rendre disponibles des produits ou des fonctionnalités à l'avenir. IBM, le logo IBM et tous les autres produits ou services IBM sont des marques de commerce d'International Business Machines Corporation aux États-Unis et dans d'autres pays. Tous les autres noms de société, de produit ou de service peuvent être des marques de commerce ou des marques de service appartenant à leurs détenteurs respectifs.
Déclaration de pratiques de sécurité recommandées : La sécurité des systèmes informatiques inclut la protection des systèmes et de l'information par la prévention, la détection et la réponse aux accès inopportuns provenant de l'intérieur comme de l'extérieur de l'entreprise. Un accès inopportun peut se traduire par la modification, la destruction ou le détournement de données, ou peut endommager vos systèmes ou entraîner leur mauvais usage, y compris pour des attaques de tiers. Aucun système ou produit informatique ne doit être considéré comme entièrement sûr et aucun produit ou aucune mesure de sécurité ne peut être complètement efficace pour empêcher les accès inopportuns. Les systèmes et produits IBM sont conçus pour faire partie d'une approche de sécurité complète, ce qui implique nécessairement d'autres procédures opérationnelles, et peuvent avoir besoin d'autres systèmes, produits ou services pour être les plus efficaces possible. IBM NE GARANTIT PAS QUE TOUS LES SYSTÈMES, PRODUITS OU SERVICES SONT À L'ABRI DES CONDUITES MALVEILLANTES OU ILLICITES DE TIERS.