Directives sur l’information et la cyber-sécurité (ICS) 2023
La numérisation initiée par le gouvernement indien en 2017 et les modalités de travail à distance pendant la COVID-19 ont marqué un changement dans la manière dont les données sont traitées par le secteur indien de l’assurance. Face à l’évolution du paysage de la cyber-sécurité, l’Insurance Regulatory and Development Authority of India (IRDAI) a introduit le 24 avril 2023 les directives sur l’information et la cyber-sécurité (ICS) 2023, qui remplacent les directives de 2017.
En tant qu’un des leaders de la sécurité des données, Thales permet aux entreprises du secteur de l’assurance de se conformer aux directives ICS dans 6 politiques du domaine de la sécurité en recommandant les technologies appropriées de sécurité des données et de gestion des identités.
Présentation de la réglementation
Les directives sur l’information et la cyber-sécurité (ICS) 2023 mettent principalement l’accent sur une approche de sécurité centrée sur les données, c’est-à-dire sur la sécurisation des données elles-mêmes plutôt que sur celle du réseau ou du système dans lequel elles sont stockées. Les directives ICS 2023 imposent également aux entités réglementées (RE) d’adopter une approche basée sur les risques, de prendre les mesures nécessaires pour sécuriser la gestion des données et d’atténuer les cybermenaces qui pourraient entraîner la perte, l’utilisation abusive ou la fuite d’informations sensibles sur les clients, sous quelque forme que ce soit.
Quelles entreprises sont soumises aux directives ICS ?
Les directives ICS 2023 s’appliquent à tous les intermédiaires d’assurance, y compris les courtiers, les entreprises de réassurance étrangères (FRB), les agents d’entreprise, les agrégateurs web, les administrateurs tiers (TPA), les sociétés de marketing d’assurance (IMF), les référentiels d’assurance, les plateformes d’auto-réseau d’assurance (ISNP), les experts d’entreprise, les prestataires de services d’assurance automobile (MISP), les centres de services communs (CSC) et l’Insurance Information Bureau of India (IIB) (collectivement avec les assureurs, les « Entités réglementées »).
Conformité ICS
Thales aide les entreprises du secteur indien de l’assurance à se conformer aux directives sur l’information et la cyber-sécurité 2023 en prenant en compte 6 politiques du domaine de la sécurité.
Politiques du domaine de la sécurité | Solutions Thales |
|---|---|
2.1 Classification des données | |
3.3 Processus de classification des données : | La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent d’identifier rapidement les données réglementées, de mettre en évidence les risques de sécurité et de détecter les lacunes en matière de conformité. La solution Data Security Fabric surveille les données à partir d’un point de vue unifié pour l’audit de diverses plateformes sur site et dans le cloud, assurant la surveillance des bases de données relationnelles, des bases de données NoSQL, des ordinateurs centraux, des plateformes de Big Data et des entrepôts de données. L’activité détaillée des données structurées et non structurées est capturée automatiquement, ce qui permet de répondre plus facilement aux demandes d’audit. |
3.4.1.2 & 3.4.2.2 Exigences en matière de stockage 3.4.1.3 & 3.4.2.3 Exigences en matière de transfert | La solution CipherTrust Transparent Encryption fournit un chiffrement des données au repos avec une gestion centralisée des clés et un contrôle d’accès des utilisateurs privilégiés. Elle assure une séparation totale des rôles grâce à laquelle seuls les utilisateurs et les processus autorisés peuvent consulter les données non chiffrées. La solution CipherTrust Tokenization avec masquage dynamique des données permet la pseudonymisation des informations sensibles dans les bases de données tout en conservant la possibilité d’analyser les données agrégées, sans divulguer les données sensibles pendant l’analyse ou dans les rapports. La solution CipherTrust Enterprise Key Management rationalise et renforce la gestion de clé dans les environnements cloud et d’entreprise pour une variété de cas d’utilisation. En outre, les informations chiffrées peuvent être supprimées efficacement en détruisant les clés de chiffrement. |
2.2 Gestion des actifs | |
3.1 Profilage des actifs informationnels 3.2.2.1 Étiquetage des actifs 3.2.2.2 Inventaire et documentation des actifs | La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent d’identifier rapidement les données réglementées, de mettre en évidence les risques de sécurité et de détecter les lacunes en matière de conformité. |
3.2.2.3 Inventaire des autorisations 3.2.3 Utilisation des actifs | CipherTrust Secrets Management est une solution de gestion des secrets de pointe, qui protège et automatise l’accès aux secrets via les outils DevOps et les charges de travail dans le cloud, y compris les secrets, les identifiants, les certificats, les clés API et les tokens. Combiner la gestion des secrets avec la gestion de clé, c’est comme avoir un coffre-fort renforcé pour tous vos actifs de valeur en un seul endroit pour le contrôle de l’inventaire. |
3.2.6 Mise au rebut des actifs | La solution CipherTrust Enterprise Key Management assure une mise au rebut sécurisée des actifs. Tirant parti des appliances matérielles ou virtuelles conformes FIPS 140-2, les outils et solutions de gestion de clé de Thales fournissent un niveau de sécurité élevé pour les environnements sensibles et centralisent la gestion de clé pour les mécanismes de chiffrement développés en interne ainsi que les applications tierces. |
2.3 Contrôle d’accès | |
3.3 Création et maintenance des identifiants utilisateur 3.5 Comptes d’utilisateurs privilégiés | Les solutions de gestion des identités et des accès Thales OneWelcome limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte. Soutenues par une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines permettent de s’assurer que le bon utilisateur a accès à la bonne ressource au bon moment. Cela minimise le risque d’accès non autorisé. SafeNet Trusted Access (STA) est une solution de gestion des accès basée dans le cloud qui facilite la gestion des accès aux services cloud et aux applications d’entreprise grâce à une plateforme intégrée combinant l’authentification unique, l’authentification multifacteur (MFA) et les politiques d’accès basées sur des scénarios. Elle offre une vue unique des événements d’accès dans l’ensemble de votre parc d’applications afin de garantir que le bon utilisateur a accès à la bonne application au bon niveau de confiance. |
2.16 Surveillance, journalisation et évaluation | |
3.3 Journalisation et surveillance des systèmes d’information | La solution CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) surveille en permanence les processus à la recherche d’activités anormales et alerte ou bloque les activités malveillantes. Elle surveille les processus actifs afin d’identifier les activités telles que l’accès excessif aux données, l’exfiltration, le chiffrement non autorisé ou l’usurpation malveillante de l’identité d’un utilisateur, et déclenche des alertes ou bloque lorsqu’une telle activité est détectée. |
2.12 Contrôles cryptographiques | |
3.1 Utilisation des contrôles cryptographiques | CipherTrust Secrets Management est une solution de gestion des secrets de pointe, qui protège et automatise l’accès aux secrets via les outils DevOps et les charges de travail dans le cloud, y compris les secrets, les identifiants, les certificats, les clés API et les tokens, garantissant ainsi que toutes les informations d’authentification statiques ou réutilisables doivent être chiffrées pendant le stockage et l’utilisation. |
3.2 Gestion de clé | La solution CipherTrust Manager permet aux entreprises de gérer les clés de chiffrement, de mettre en place des contrôles d’accès granulaires et de configurer les politiques de sécurité de manière centralisée. CipherTrust Manager est le point de gestion central de la CipherTrust Data Security Platform. Il gère les tâches liées au cycle de vie des clés, fournit un contrôle d’accès aux clés et aux politiques basé sur les rôles, prend en charge des audits et des rapports robustes et offre une API REST conviviale pour les développeurs. Les modules matériels de sécurité (HSM) Luna Thales protègent les clés cryptographiques et fournissent un environnement FIPS 140-3 niveau 3, renforcé et inviolable, pour le traitement cryptographique sécurisé, la génération et la protection des clés, le chiffrement, etc. Les HSM Luna sont disponibles sur site, dans le cloud en tant que service et dans des environnements hybrides. |
2.19 Sécurité du cloud | |
3.4.7 Chiffrement | La solution CipherTrust Enterprise Key Management simplifie et renforce la gestion de clé dans les environnements cloud et d’entreprise. Elle offre également une haute sécurité aux environnements sensibles et centralise la gestion de clé pour les mécanismes de chiffrement développés en interne, et prend en charge le protocole KMIP ainsi que les applications tierces. La solution CipherTrust Cloud Key Management permet aux entreprises de séparer les clés des données stockées dans le cloud, empêchant ainsi l’accès non autorisé aux données par le fournisseur de services cloud. Grâce à la technologie Hold-Your-Own-Key (HYOK), les entreprises conservent le contrôle total et la pleine propriété de leurs données en contrôlant l’accès aux clés de chiffrement. |
3.4.8 Sécurité des applications | La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour la sécurité des applications. Parmi elles, citons :
|
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.