Les directives de gestion des risques informatiques (แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ) de la Banque de Thaïlande (BOT) ont été actualisées en novembre 2023 pour faire face à l’évolution des menaces de cyber-sécurité, des risques de transformation numérique et des exigences de conformité réglementaire pour les institutions financières en Thaïlande. Les directives révisées comprennent le maintien des systèmes qui prennent en charge les canaux de banque mobile, la communication des auto-évaluations des risques informatiques à la Banque de Thaïlande dans un délai de 30 jours et la soumission de directives pour la mise en œuvre de la gestion des risques informatiques et la gestion des risques liés aux tiers.
Aperçu des directives de gestion des risques informatiques de la BOT
- L’objectif principal est de veiller à ce que les institutions financières placées sous sa supervision puissent identifier, évaluer, atténuer et surveiller efficacement les risques liés aux TI dans un paysage numérique en évolution rapide.
- Les directives révisées en 2023 visent à renforcer la résilience de la cyber-sécurité pour lutter contre les cybermenaces croissantes ciblant les institutions financières et la dépendance accrue aux services cloud et aux fournisseurs tiers.
Les banques, les institutions financières non bancaires et les fournisseurs de services de paiement sont supervisés par la BOT.
Note de conformité
Se conformer aux directives de gestion des risques informatiques de la Banque de Thaïlande (BOT)
Découvrez comment les institutions financières se conforment aux directives de gestion des risques informatiques grâce à nos solutions complètes et apprenez-en davantage sur les exigences.
Comment Thales contribue à la conformité aux directives de gestion des risques informatiques de la Banque de Thaïlande (BOT)
Les solutions de cyber-sécurité de Thales aident les institutions financières à répondre aux 8 exigences du chapitre 2 – Sécurité informatique – en simplifiant la conformité et en automatisant la sécurité grâce à une visibilité et à un contrôle accrus, réduisant ainsi la charge de travail des équipes de sécurité et de conformité.
Solutions de conformité de la BOT
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre gamme de produits, leader sur le marché, comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants.
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Respecter les directives de gestion des risques informatiques de la BOT
Comment Thales vous aide :
- Classifiez et attribuez des niveaux de sensibilité spécifiques aux données lors de la définition de vos magasins de données et de vos profils de classification pour différents types d’ensembles de données.
- Identifiez l’état actuel de la conformité et documentez les lacunes.
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
Solutions :
Sécurité des applications
Sécurité des données
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Offrez une protection unifiée, avec une détection et une réponse intégrées pour les API obsolètes, non authentifiées et vulnérables aux attaques BOLA (Autorisation au niveau de l’objet défaillante), ainsi que pour de nombreuses autres menaces figurant parmi les dix principales menaces OWASP API, en stoppant les abus de logique métier et les menaces liées aux API en temps réel.
- Assurez une protection continue de toutes les API à l’aide d’une découverte et d’une classification approfondies pour détecter toutes les API publiques, privées et cachées.
- Chiffrez les données au repos sur site, dans le cloud et dans des environnements de Big Data et de conteneurs.
- Pseudonymisez les informations sensibles dans les bases de données.
- Protégez la racine de confiance d’un système cryptographique au sein d’un environnement hautement sécurisé.
- Protégez les données en transit grâce à un chiffrement haut débit.
- Protégez les données en cours d’utilisation en tirant parti de l’informatique confidentielle.
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
Solutions :
Sécurité des applications
Protection contre les attaques DDoS
Sécurité des données
Surveillance de l’activité des données
Découverte et classification des données
Analyse des risques liés aux données
Comment Thales vous aide :
- Assurez une suppression sécurisée en retirant les clés de CipherTrust Manager, ce qui efface numériquement toutes les instances des données.
Comment Thales vous aide :
- Centralisez les tâches de gestion du cycle de vie de clé, notamment la génération, la rotation, la destruction, l’importation et l’exportation.
- Protégez les clés cryptographiques dans un environnement FIPS 140-2 niveau 3.
- Prenez en charge les algorithmes de chiffrement tels que Advanced Encryption Standard (AES) 256 bits, RSA 3072 bits et conçus pour une mise à niveau post-quantique afin de maintenir une crypto-agilité.
- Déployez un chiffrement transparent pour des protocoles de chiffrement robustes et conformes aux normes.
- Gérez et protégez tous les secrets et les identifiants sensibles.
Solutions :
Sécurité des données
Comment Thales vous aide :
- Utilisez des protocoles de chiffrement robustes et basés sur les normes, tels que l’Advanced Encryption Standard (AES) pour le chiffrement des données et la cryptographie à courbe elliptique (ECC) pour l’échange de clés.
- Protégez les clés cryptographiques dans un matériel validé FIPS et inviolable.
Comment Thales vous aide :
- Centralisez la gestion du cycle de vie de clé, notamment la génération, la rotation, la destruction, l’importation et l’exportation.
- Gérez les clés de chiffrement, assurez un contrôle d’accès granulaire et configurez les politiques de sécurité.
- Assurez une suppression sécurisée en retirant les clés de CipherTrust Manager, ce qui efface numériquement toutes les instances des données.
- Prenez en charge les algorithmes de chiffrement tels que Advanced Encryption Standard (AES) 256 bits, RSA 3072 bits.
- Proposez des protocoles d’échange de clés sécurisés tels que TLS/SSL (authentification mutuelle), PKCS#11, KMIP, API REST (sur TLS), Diffie-Hellman à courbe elliptique (ECDH), encapsulation de clé (AES-KW, RSA-KW).
- Assurez un contrôle strict de l’HSM grâce à une authentification multifacteur robuste.
- Protégez les clés cryptographiques dans un environnement FIPS 140-3 niveau 3.
- Sauvegardez et dupliquez facilement et en toute sécurité les clés cryptographiques sensibles sur le HSM de sauvegarde certifié FIPS 140-3 niveau 3.
- Gérez et protégez tous les secrets et les identifiants sensibles.
Comment Thales vous aide :
- Mettez en œuvre l’authentification multifacteur (MFA) pour garantir que seules les personnes autorisées accèdent au système.
- Déployez l’authentification unique (SSO) pour permettre aux utilisateurs d’accéder en toute sécurité à plusieurs systèmes avec une seule authentification.
- Mettez en place des politiques de contrôle d’accès basées sur les rôles, les responsabilités et les risques des utilisateurs (contrôle d’accès adaptatif).
- Fournissez un accès au système d’audit et stockez les données d’utilisation (journaux d’accès) pour faciliter les audits rétrospectifs.
- Révoquez automatiquement les droits d’accès lorsqu’ils ne sont plus nécessaires (Gestion déléguée des utilisateurs et déprovisionnement automatisé).
Solutions :
Gestion des identités et des accès
Gestion déléguée des utilisateurs
Comment Thales vous aide :
- Proposez une authentification multifacteur (MFA) pour empêcher tout accès non autorisé au réseau.
- Créez des politiques de contrôle d’accès au réseau basées sur les rôles des utilisateurs et les risques.
- Surveillez et analysez le comportement d’utilisation du réseau afin de signaler tout risque détecté.
- Gérez les autorisations des utilisateurs externes devant accéder au réseau pour des raisons de sécurité.
Solutions :
Gestion des identités et des accès
Gestion déléguée des utilisateurs
Comment Thales vous aide :
- Surveillez l’activité des API, suivez leur utilisation, détectez les anomalies et identifiez les tentatives d’accès non autorisées potentielles.
- Activez une surveillance continue pour capturer et analyser toutes les activités du stockage de données, fournissant ainsi des pistes d’audit détaillées indiquant qui accède à quelles données, quand et quelles actions ont été effectuées sur ces données.
- Mettez en œuvre une gestion des droits d’utilisateur basée sur le type de données et le rôle de l’utilisateur et produisez des rapports pour les pistes d’audit.
- Capturez automatiquement les données d’activité détaillées à des fins d’audit.
- Enregistrez toutes les modifications apportées aux autorisations, ainsi que l’identité du responsable et les détails de la session.
Solutions :
Sécurité des applications
Sécurité des données
Surveillance de l’activité des données
Surveillance de l’activité des fichiers
Gestion des identités et des accès
Comment Thales vous aide :
- Ajustez les autorisations d’accès en fonction du comportement des utilisateurs et des facteurs contextuels, en temps réel ou quasi réel.
- Centralisez les politiques d’accès et leur application à plusieurs environnements hybrides depuis une interface de gestion unique.
- Fournissez un accès aux journaux et à l’activité des utilisateurs privilégiés (p. ex. administrateur système) pour une consultation ultérieure.
- Analysez le comportement des utilisateurs privilégiés et les journaux d’audit pour détecter les anomalies telles que la connexion d’un administrateur en dehors des heures de travail ou la modification de privilèges anormaux.
- Créez des flux de travail pour les demandes de privilèges et l’enregistrement des approbations afin de faciliter la révision.
Solutions :
Gestion des identités et des accès
Gestion des fraudes et des risques
Comment Thales vous aide :
- Surveillez l’activité des API, suivez leur utilisation, détectez les anomalies et identifiez les tentatives d’accès non autorisées potentielles.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Alertez ou bloquez en temps réel les attaques de bases de données et les demandes d’accès anormales.
- Surveillez l’activité des fichiers au fil du temps afin de configurer des alertes sur les activités susceptibles de mettre les institutions financières en danger.
- Surveillez en continu les processus pour détecter toute activité d’entrée/de sortie anormale et alertez ou bloquez les activités malveillantes.
- Surveillez les processus actifs pour détecter les rançongiciels, en identifiant des activités telles que l’accès excessif aux données, l’exfiltration, le chiffrement non autorisé ou l’usurpation malveillante de l’identité d’un utilisateur et en alertant/bloquant lorsqu’une telle activité est détectée.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
- Centralisez les politiques d’accès et leur application à plusieurs environnements hybrides depuis une interface de gestion unique.
- Concevez et déployez des politiques d’authentification adaptatives en fonction de la sensibilité des données/applications.
- Surveillez le comportement des utilisateurs, tel que la connexion d’un administrateur depuis une nouvelle localisation/adresse IP ou un schéma d’accès au système incorrect, afin d’alerter et de prévenir les attaques.
- Analysez les données d’analyse du comportement des utilisateurs (UBA) et le contexte (tel que l’heure, l’appareil ou le réseau) pour ajouter une authentification ou bloquer l’accès.
- Créez un flux de travail pour alerter, approuver et vérifier la gestion des incidents des parties concernées.
Solutions :
Sécurité des applications
Protection contre les attaques DDoS
Sécurité des données
Surveillance de l’activité des données
Surveillance de l’activité des fichiers
Protection contre les rançongiciels
Gestion des identités et des accès
Comment Thales vous aide :
- Offrez des fonctionnalités avancées de vérification d’API pour renforcer vos défenses contre les vulnérabilités potentielles.
- Effectuez des tests d’évaluation sur des magasins de données tels que MySQL pour rechercher les vulnérabilités connues.
- Analysez vos bases de données avec plus de 1 500 tests de vulnérabilité prédéfinis, basés sur les référentiels CIS et PCI-DSS, afin de vous aider à les protéger contre les menaces les plus récentes.
Comment Thales vous aide :
- Gérez l’accès au système à partir des appareils d’entreprise et des appareils personnels grâce à la vérification d’identité et à l’authentification multifacteur (MFA).
- Appliquez des politiques d’accès contextuelles et contrôlez les droits d’accès aux systèmes et aux données en fonction des risques liés à l’appareil et au rôle de l’utilisateur, par exemple en refusant l’accès à partir d’appareils non enregistrés ou à haut risque.
- Créez des flux de travail pour l’enregistrement, le renouvellement et la résiliation des contrats BYOD.
- Vérifiez l’identité des appareils à l’aide de certificats numériques ou d’autorités de confiance avant d’autoriser les connexions.
- Détectez les appareils non autorisés, tels que les appareils rootés/jailbreakés, et bloquez immédiatement l’accès.
Comment Thales vous aide :
- Pseudonymisez les informations sensibles dans les bases de données afin d’éviter l’exposition de données réelles pour les tests.
Comment Thales vous aide :
- Gérez l’identité des fournisseurs de services externes en contrôlant et en vérifiant leur identité avant de leur accorder l’accès aux systèmes ou aux données sensibles.
- Mettez en œuvre des politiques d’accès basées sur le rôle et le risque du fournisseur afin de limiter l’accès au seul périmètre de travail nécessaire.
- Gérez les droits d’accès et attribuez des droits de gestion aux administrateurs ou aux superviseurs.
- Créez des flux de travail pour enregistrer, vérifier et révoquer les droits des fournisseurs de services externes en fonction du cycle contractuel.
- Suivez et stockez les journaux d’activités d’accès des fournisseurs de services externes afin de faciliter les audits rétrospectifs.
Solutions :
Gestion des identités et des accès
Gestion déléguée des utilisateurs
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.