Thales banner

Conformité de la sécurité des données avec la norme prudentielle
CPS 234 de l’APRA en Australie

Thales aide les organisations à se conformer à la norme CPS 234 en tenant compte des lignes directrices prudentielles reposant sur les bonnes pratiques de l’APRA (PPG).

Ligne directrice prudentielle reposant sur les bonnes pratiques (PPG) de l’APRA pour se conformer à la norme CPS 234

Test

La norme prudentielle CPS 234 est une loi sur la sécurité de l’information visant à garantir que les entités réglementées puissent résister aux cyberattaques et autres menaces à la sécurité. L’objectif des lignes directrices prudentielles reposant sur les bonnes pratiques (PPG) est de fournir des conseils aux Conseils d’administration, à la direction générale, aux spécialistes de la gestion des risques et aux spécialistes de la sécurité de l’information (tant au niveau de la direction que des opérations) des entités réglementées par l’APRA en ce qui concerne la mise en œuvre de la norme CPS 234 sur la sécurité de l’information.

Grâce à sa vaste expérience, Thales aide les organisations à se conformer aux mandats de conformité en tenant compte des lignes directrices prudentielles reposant sur les bonnes pratiques (PPG) de l’APRA sur la capacité en matière de sécurité de l’information, le cadre politique, l’identification et la classification des actifs informationnels, la mise en œuvre des contrôles et la gestion des incidents.

  • Réglementation
  • Conformité

Présentation de la réglementation

L’Autorité australienne de régulation prudentielle (APRA) a pour mission de veiller à la protection des intérêts financiers des Australiens et à la stabilité, à la compétitivité et à l’efficacité du système financier. Cette ligne directrice prudentielle reposant sur les bonnes pratiques (PPG) cible les domaines où des faiblesses dans la gestion de la sécurité de l’information continuent d’être identifiées dans le cadre des activités de surveillance continue de l’APRA. Elle vise également à fournir des orientations concernant la mise en œuvre de la norme prudentielle CPS 234 sur la sécurité de l’information (CPS 234), dont les principaux articles sont présentées ci-dessous :

  • Considérations pour le Conseil d’administration
  • Rôles et responsabilités
  • Capacité en matière de sécurité de l’information
  • Cadre politique
  • Identification et classification des actifs informationnels
  • Mise en œuvre des contrôles
  • Gestion des incidents
  • Test de l’efficacité des contrôles
  • Audit interne

Qui doit se conformer à la norme CPS 234 ?
La norme CPS 234 s’applique aux entités réglementées par l’APRA, à savoir :

  • Les institutions de dépôt autorisées (IDA), y compris les IDA étrangères, les coopératives de crédit et les banques
  • Les compagnies d’assurance générales
  • Les compagnies d’assurance-vie et les mutuelles
  • Les compagnies d’assurance maladie privées
  • Les holdings non opérationnelles
  • Les fonds de pension

Thales aide les organisations à se conformer à la norme CPS 234 en tenant compte des lignes directrices prudentielles reposant sur les bonnes pratiques (PPG) de l’APRA sur la capacité en matière de sécurité de l’information, le cadre politique, l’identification et la classification des actifs informationnels, la mise en œuvre des contrôles et la gestion des incidents.

CAPACITÉ EN MATIÈRE DE SÉCURITÉ DE L’INFORMATION
Lignes directrices 18 : Capacité des tiers et des parties connexes

  • Grâce à la solution CipherTrust Data Security Platform (CDSP), les administrateurs peuvent créer une solide séparation des tâches entre les administrateurs privilégiés et les détenteurs des données et peuvent exécuter des politiques de gestion des accès pour les utilisateurs les moins privilégiés à un niveau de granularité élevé, ce qui permet de protéger les données contre les abus d’utilisation par les utilisateurs privilégiés.
  • CipherTrust Transparent Encryption offre une séparation complète des rôles administratifs où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées.
  • La capacité d’autorisation fine de la plateforme de gestion des identités OneWelcome de Thales aide les organisations à fournir le bon niveau d’accès aux bonnes personnes au bon moment.

CADRE POLITIQUE
Lignes directrices 21 : Une hiérarchie politique fondée sur un ensemble de principes clés

  • La plateforme de gestion des identités OneWelcome de Thales permet aux organisations d’associer des appareils et d’autres identités numériques à des comptes principaux, d’authentifier, d’autoriser, de collecter et de stocker des informations sur des identités externes et internes provenant de nombreux domaines.
  • Les cartes à puce SafeNet IDPrime peuvent être utilisées pour mettre en œuvre l’accès physique aux installations sensibles. Ces cartes à puce peuvent également renforcer les initiatives d’authentification sans mot de passe reposant sur les technologies ICP et FIDO.
  • La solution CipherTrust Transparent Encryption protège les données avec un chiffrement des données au repos au niveau du fichier et du volume, des contrôles d’accès et une journalisation d’audit des accès aux données sans avoir à modifier la structure des applications, des bases de données ou de l’infrastructure avec une fonctionnalité MFA limitant les données sensibles des utilisateurs privilégiés.
  • Les Luna Hardware Security Modules (HSM) de Thales fournissent le niveau le plus élevé de sécurité du chiffrement en stockant systématiquement les clés de chiffrement dans du matériel.
  • CipherTrust Manager gère les tâches du cycle de vie des clés, y compris la génération, la rotation, la destruction, l’importation et l’exportation, fournit un contrôle de l’accès aux clés et aux politiques basé sur les rôles, prend en charge des fonctions robustes d’audit et de génération de rapports et offre une API REST conviviale pour les développeurs. Il prend en charge l’authentification à deux facteurs pour l’accès administrateur.
  • La piste d’audit de CipherTrust Data Security Platform permet aux responsables des risques et aux auditeurs d’évaluer et de démontrer la conformité au cadre de la politique sur la sécurité de l’information. CipherTrust Transparent Encryption (CTE) fournit des journaux répertoriant des informations détaillées sur les accès aux données et CipherTrust Security Intelligence (CSI) des journaux et des rapports rationalisant la génération de rapports de conformité et accélérant la détection des menaces à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM)..

IDENTIFICATION ET CLASSIFICATION DES ACTIFS INFORMATIONNELS
Lignes directrices 26 : Classification de tous les actifs informationnels en fonction de leur caractère critique et de leur niveau de sensibilité

  • Classez tous les actifs informationnels en fonction de leur caractère critique et de leur niveau de sensibilité avec CipherTrust Data Discovery and Classification. Il offre une visibilité complète sur vos données sensibles, avec une découverte et une classification des données efficaces, ainsi qu’une analyse des risques dans les magasins de données hétérogènes (cloud, Big Data et environnements traditionnels) dans votre organisation.

MISE EN ŒUVRE DES CONTRÔLES
Lignes directrices 36 : Contrôles de sécurité de l’information mis en œuvre à tous les stades

  • Les solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte grâce à une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines. La solution facilite également la gestion de l’identité des appareils IdO externes via la spécification OAuth2 Device Flow. Les appareils connectés au web et les appareils dont l’entrée est limitée par l’utilisateur peuvent être liés à des comptes d’identité d’utilisateur gérés par les locataires de OneWelcome.
  • Les cartes à puce SafeNet IDPrime peuvent être utilisées pour mettre en œuvre l’accès physique aux installations sensibles. Ces cartes à puce peuvent également renforcer les initiatives d’authentification sans mot de passe reposant sur les technologies ICP et FIDO.
  • La signature numérique pour une large gamme d’applications avec les modules de sécurité matériels (HSM) protège les clés privées utilisées pour les signatures électroniques sécurisées ; elle renforce la sécurité et garantit la conformité.
  • La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données grâce aux outils CipherTrust Transparent Encryption et à CipherTrust Tokenization.
  • CipherTrust Transparent Encryption chiffre les données sensibles et exécute des politiques de gestion des accès d’utilisateurs privilégiés granulaires pouvant être appliquées en fonction de l’utilisateur, du processus, du type de fichier, de l’heure de la journée et d’autres paramètres.
  • CipherTrust Manager gère de manière centralisée les clés de chiffrement et configure les politiques de sécurité afin que les organisations puissent contrôler et protéger les données sensibles en séparant les tâches. Il rationalise et renforce la gestion des clés dans les environnements d’entreprise sur un ensemble varié de cas d’utilisation. 

Lignes directrices 44 : RÉDUIRE AU MINIMUM L’EXPOSITION AUX PIRES SCÉNARIOS PLAUSIBLES

  • Les modules de sécurité matériels (HSM) protègent les clés de chiffrement utilisées pour sécuriser les applications et les données sensibles, ce qui renforce la sécurité et garantit la conformité.
  • CipherTrust Data Security Platform peut exécuter des politiques de gestion des accès pour les utilisateurs les moins privilégiés à niveau de granularité élevé, ce qui permet de protéger les données contre les abus d’utilisation par les utilisateurs privilégiés et les auteurs d’attaques.
    • CipherTrust Transparent Encryption chiffre les fichiers tout en laissant leurs métadonnées en clair. Ainsi, les administrateurs informatiques effectuent leurs tâches d’administration système sans obtenir d’accès privilégié aux données sensibles résidant sur les systèmes qu’ils gèrent.
    • CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) surveille en permanence les processus à la recherche d’activités d’E/S anormales et alerte ou bloque les activités malveillantes avant que les rançongiciels ne s’emparent complètement de vos terminaux et de vos serveurs.
    • CipherTrust Manager offre une administration et un contrôle des accès centralisés, qui unifient les opérations de gestion des clés avec des contrôles d’accès basés sur les rôles qui empêchent les changements de mot de passe non autorisés et alertent sur les connexions simultanées par le même utilisateur.
  • La plateforme de gestion des identités OneWelcome de Thales permet aux organisations de limiter virtuellement (ou logiquement) l’accès aux ressources confidentielles grâce à l’utilisation de l’authentification multifacteur (y compris l’authentification résistante aux tentatives de hameçonnage) et de politiques d’accès granulaires. Les cartes à puce SafeNet IDPrime peuvent être utilisées pour mettre en œuvre l’accès physique aux installations sensibles.

Lignes directrices 46 (b) : CONTRÔLES PHYSIQUES ET ENVIRONNEMENTAUX

  • Les cartes à puce SafeNet IDPrime peuvent être utilisées pour mettre en œuvre l’accès physique aux installations sensibles. Ces cartes à puce peuvent également renforcer les initiatives d’authentification sans mot de passe reposant sur les technologies ICP et FIDO.

Lignes directrices 54 : TECHNIQUES DE CHIFFREMENT POUR RESTREINDRE L’ACCÈS ; Lignes directrices 56 : SOLUTIONS TECHNOLOGIQUES DE SÉCURITÉ DE L’INFORMATION et Lignes directrices 58 : LOGICIELS DÉVELOPPÉS/CONFIGURÉS PAR L’UTILISATEUR FINAL

  • Les modules de sécurité matériels (HSM) fournissent le niveau de sécurité le plus élevé en matière de chiffrement en stockant systématiquement les clés de chiffrement dans du matériel et offrent de solides contrôles d’accès empêchant les utilisateurs non autorisés d’accéder au matériel chiffré sensible.
  • Le portefeuille de formats d’authentification par certificats de Thales offre une solide authentification multifacteur, permettant aux organisations de répondre à leurs besoins en matière de sécurité ICP.

Protection des données en transit/en mouvement

  • Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit/mouvement indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le Cloud et inversement
  • CipherTrust Manager gère de manière centralisée les clés de chiffrement et configure les politiques de sécurité afin que les organisations puissent contrôler et protéger les données sensibles en séparant les tâches.

Protection des données en cours d’utilisation

  • CipherTrust Vaultless Tokenization protège les données au repos, tandis que sa capacité de masquage dynamique des données reposant sur des politiques protège les données en cours d’utilisation. Une API RESTful associée à la gestion centralisée et aux services permet la mise en œuvre de la tokénisation avec une seule ligne de code par champ.

Protection des données au repos

GESTION DES INCIDENTS - DÉTECTION DES FAILLES DE SÉCURITÉ
Lignes directrices 69

  • Grâce à CipherTrust Data Security Platform, les administrateurs peuvent mettre en place une séparation des tâches stricte entre les administrateurs privilégiés et les propriétaires des données. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.
  • La plateforme de gestion des identités OneWelcome de Thales permet aux organisations de limiter virtuellement (ou logiquement) l’accès aux ressources confidentielles grâce à l’utilisation de l’authentification multifacteur (y compris l’authentification résistante aux tentatives de hameçonnage) et de politiques d’accès granulaires avec les rapports d’analyse. Elle suit les événements liés à l’identité et fournit des rapports d’analyse.

Annexe A : Principes de sécurité 1. (a)

  • CipherTrust Manager offre une administration et un contrôle des accès centralisés, qui unifient les opérations de gestion des clés avec des contrôles d’accès basés sur les rôles.
  • Les modules de sécurité matériels (HSM) protègent les clés de chiffrement utilisées pour sécuriser les applications et les données sensibles, ce qui renforce encore plus la sécurité et garantit la conformité grâce à une couche de protection supplémentaire.

Annexe A : Principes de sécurité 1. (e)

  • La plateforme de gestion des identités OneWelcome de Thales permet aux organisations d’identifier et d’authentifier les utilisateurs internes et externes, gère efficacement l’identité des tiers grâce à sa capacité de gestion des délégations et réduit les risques liés aux tiers, tout en fournissant une piste d’audit immédiate et actualisée de tous les événements d’accès à tous les systèmes.
  • Une fois un utilisateur identifié, vous pouvez contrôler et coordonner la manière dont les utilisateurs accèdent aux actifs et ce qu’ils peuvent faire avec ces actifs grâce à CipherTrust Enterprise Key Management Solution.

Annexe C : Identités et accès

  • Les solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte..
  • Les cartes à puce SafeNet IDPrime peuvent être utilisées pour mettre en œuvre l’accès physique aux installations sensibles.

Annexe E : Techniques cryptographiques

  • Les HSM Luna de Thales fournissent un environnement renforcé et inviolable pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées.
  • CipherTrust Data Security Platform peut exécuter des politiques de gestion des accès pour les utilisateurs les moins privilégiés à niveau de granularité élevé, ce qui permet de protéger les données contre les abus d’utilisation par les utilisateurs privilégiés et les auteurs d’attaques.

Ressources recommandées

Comply with the APRA Prudential Standard CPS234 in Australia

Comply with the APRA Prudential Standard CPS234 in Australia - Compliance Brief

The purpose of Prudential Practice Guidelines (PPG) is to provide guidance to Boards, senior management, risk management and information security specialists (both management and operational) of APRA-regulated entities with respect to the implementation of Prudential Standard...

Read More
Address Information Security Requirements of ASIC

Address Information Security Requirements of ASIC Market Integrity Rules in Australia - Compliance Brief

ASIC introduced the ASIC Market Integrity Rules (Securities Markets and Futures Markets) Amendment Instrument 2022/74 which amends the ASIC Market Integrity Rules (Securities Markets and Futures Markets) 2017. The background on the amendments can be found in Report 719:...

Read More
Get Ready for PCI DSS 4.0 with Thales Data Protection

Get Ready for PCI DSS 4.0 with Thales Data Protection - White Paper

Criminals continue to target consumers’ payment data, and IT security defenses need to keep pace. According to the 2024 Thales Data Threat Report, nearly two-thirds of financial services respondents (64%) report seeing an increase in attacks, versus 49% survey-wide. Notably,...

Read More
Get Ready for PCI DSS 4.0 with Thales SafeNet Trusted Access

Get Ready for PCI DSS 4.0 with Thales OneWelcome Identity Platform - Solution Brief

The Payment Card Industry Data Security Standard (PCI DSS) is an information security standard that provides a baseline of technical and operational requirements designated to protect payment data and reduce credit card fraud.

Read More
Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Read More

Autres réglementations de protection des données et sécurité importantes

RGPD

RÉGLEMENTATION
EN VIGUEUR

Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

En savoir plus

PCI DSS

MANDAT
EN VIGUEUR

Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

En savoir plus

Lois sur la notification des brèches de données

RÉGLEMENTATION
EN VIGUEUR

Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".

En savoir plus
man with laptop

Contactez un spécialiste compliance

Nous contacter
laptop

Êtes-vous prêt pour le RGPD ?

Explorer
two men

Découvrer le guide Solutions de mise en conformité et réglementations.

Télécharger
Partners Resources Blogs Sentinel Drivers