Les directives relatives à la fourniture de systèmes informatiques (แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสา รสนเทศ นป. 6/2567) émises par la Securities and Exchange Commission of Thailand (SEC) sont conçues pour garantir que les institutions financières, les sociétés de valeurs mobilières et autres entités réglementées maintiennent des systèmes informatiques sécurisés, fiables et efficaces. Ces directives s’inscrivent dans un cadre réglementaire plus large de la Thaïlande, visant à renforcer la cyber-sécurité, la protection des données et la résilience opérationnelle des marchés de capitaux.
Quelles sont les directives de la SEC Thaïlande relatives à la fourniture de systèmes informatiques ?
- La Securities and Exchange Commission de Thaïlande (SEC) supervise les opérations sur les marchés des valeurs mobilières et des capitaux, y compris la gouvernance informatique des fournisseurs de services financiers.
- Ces directives s’alignent sur la loi thaïlandaise sur la cyber-sécurité B.E. 2562 (2019) et sur la loi sur la protection des données à caractère personnel (PDPA).
- Pour atténuer les risques liés aux défaillances des systèmes informatiques, aux cybermenaces et aux violations de données.
- Pour assurer la confidentialité, l’intégrité et la disponibilité (triade CIA) des données financières.
- Pour promouvoir la continuité des activités et la préparation à la reprise après sinistre.
- S’applique aux sociétés de courtage, aux gestionnaires d’actifs, aux plateformes de financement participatif et aux autres entités réglementées par la SEC.
- Couvre l’infrastructure informatique, les logiciels, les réseaux, les services cloud et l’externalisation auprès de tiers.
Note de conformité
Garantir la conformité aux directives de la SEC relatives à la fourniture de systèmes informatiques
Explorez des solutions pour la conformité aux directives de gestion des risques informatiques dans le secteur financier, couvrant la sécurité des technologies de l’information et bien plus encore.
Comment Thales contribue à la conformité aux directives de la SEC relatives à la fourniture de systèmes informatiques en Thaïlande
Les solutions de cyber-sécurité de Thales aident les institutions financières à répondre aux 8 exigences du chapitre 2 – Sécurité informatique – en simplifiant la conformité et en automatisant la sécurité grâce à une visibilité et à un contrôle accrus, réduisant ainsi la charge de travail des équipes de sécurité et de conformité.
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre gamme de produits, leader sur le marché, comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants.
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Respecter les directives de la SEC relatives à la fourniture de systèmes informatiques
Comment Thales vous aide :
- Gérez les droits d’accès au système et aux données (contrôle d’accès) en prenant en charge l’autorisation basée sur les rôles (RBAC) et l’autorisation conditionnelle (ABAC).
- Offrez une gestion déléguée des utilisateurs pour accorder ou révoquer rapidement des droits avec une piste d’audit.
- Gérez le processus d’authentification des utilisateurs en prenant en charge l’authentification multifacteur (MFA).
- Fournissez une authentification unique (SSO) et affichez un rapport d’activité de connexion afin de vous conformer aux exigences de sécurité.
- Contrôlez et gérez les comptes d’utilisateurs privilégiés en prenant en charge l’application de l’authentification multifacteur (MFA) pour l’accès aux systèmes critiques.
- Concevez des procédures d’autorisation et d’approbation (orchestration des parcours utilisateurs) pour les comptes d’utilisateurs privilégiés, stockez-les et affichez-les sous forme de rapport d’activité d’utilisateur privilégié pour un audit détaillé.
- Gérez et contrôlez l’accès externe (gestion de l’accès par des tiers) en prenant en charge l’authentification via les réseaux sociaux ou les comptes de l’entreprise d’origine (BYOI).
- Évaluez les risques avant la connexion et vérifiez les risques d’accès en temps réel (authentification basée sur les risques), y compris l’affichage sous forme de rapport d’audit d’accès par des tiers pour permettre une surveillance, un audit et un contrôle continus.
Comment Thales vous aide :
- Identifiez les données sensibles structurées et non structurées à risque dans un environnement TI hybride.
- Classifiez et attribuez des niveaux de sensibilité spécifiques aux données lors de la définition de vos magasins de données et de vos profils de classification pour différents types d’ensembles de données.
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
Solutions :
Sécurité des applications
Sécurité des données
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Assurez un temps de disponibilité optimal grâce à une atténuation rapide et efficace des attaques DDoS et un SLA de 3 secondes pour les attaques des couches 3 et 4.
- Protégez-vous contre les attaques exploitant la logique commerciale et bien d’autres menaces figurant parmi les dix principales menaces des API de l’OWASP.
- Assurez une protection continue de toutes les API à l’aide d’une découverte et d’une classification approfondies pour détecter toutes les API publiques, privées et cachées.
- Identifiez l’état actuel de la conformité et documentez les lacunes.
- Chiffrez les données au repos sur site, dans le cloud et dans des environnements de Big Data et de conteneurs.
- Pseudonymisez les données sensibles dès leur création et assurez-vous que les données en clair ne seront pas traitées ou stockées par des personnes non autorisées afin d’empêcher l’exposition des données réelles aux applications et au personnel.
- Protégeez la racine de confiance d’un système cryptographique au sein d’un environnement hautement sécurisé conforme à la norme FIPS 140-3 niveau 3.
- Protégez les données en transit grâce à un chiffrement haut débit.
Solutions :
Sécurité des applications
Sécurité des données
Surveillance de l’activité des données
Découverte et classification des données
Analyse des risques liés aux données
Comment Thales vous aide :
- Gérez les droits d’accès au système et aux données (contrôle d’accès) en prenant en charge le contrôle d’accès basé sur les rôles (Role-Based Access Control : RBAC) et le contrôle d’accès basé sur les attributs (Attribute-Based Access Control : ABAC).
- Offrez une gestion décentralisée des droits d’utilisateur (gestion déléguée des utilisateurs) en accordant ou en révoquant rapidement les droits et générez une piste d’audit des modifications d’accès.
- Fournissez des processus d’authentification des utilisateurs en prenant en charge l’authentification multifacteur, l’évaluation des risques avant la connexion (authentification basée sur les risques) et l’authentification unique (Single Sign-On : SSO) avec un rapport de piste d’audit des activités de connexion.
- Contrôlez et gérez les comptes d’utilisateurs privilégiés grâce à l’authentification multifacteur lors de l’accès aux systèmes critiques.
- Concevez des processus d’autorisation et d’approbation (orchestration des parcours utilisateurs) pour les comptes d’utilisateurs privilégiés avec un rapport d’audit détaillé.
- Stockez et auditez les journaux d’accès TI et transmettez-les à des systèmes SIEM externes à des fins de corrélation, d’analyse des risques et d’audit rétrospectif, selon les besoins.
- Utilisez des processus d’authentification équivalents à l’authentification multifacteur (MFA), tels que la liaison d’appareils ou l’authentification biométrique.
- Effectuez une évaluation des risques avant d’approuver les exceptions et stockez les preuves de ces exceptions sous forme de rapports d’approbation des exceptions afin de vous conformer aux politiques en vigueur.
Solutions :
Gestion des identités et des accès
Gestion déléguée des utilisateurs
Gestion des fraudes et des risques
Comment Thales vous aide :
- Protégez les clés cryptographiques dans un matériel validé FIPS et inviolable.
- Chiffrez les clés avec une clé AES-256 à usage unique et envoyez-les via une connexion TLS à authentification mutuelle.
- Adoptez un chiffrement transparent et continu qui protège contre les accès non autorisés des utilisateurs et des processus dans les environnements physiques, virtuels et cloud.
- Utilisez des protocoles de chiffrement robustes et basés sur les normes, tels que l’Advanced Encryption Standard (AES) pour le chiffrement des données et la cryptographie à courbe elliptique (ECC) pour l’échange de clés.
Comment Thales vous aide :
- Prenez en charge les algorithmes de chiffrement tels que Advanced Encryption Standard (AES) 256 bits, RSA 3072 bits et conçus pour une mise à niveau post-quantique afin de maintenir une crypto-agilité.
- Gérez les clés de chiffrement, assurez un contrôle d’accès granulaire et configurez les politiques de sécurité.
- Centralisez la gestion du cycle de vie de clé, notamment la génération, la rotation, la destruction, l’importation et l’exportation.
- Assurez une suppression sécurisée en retirant les clés de CipherTrust Manager, ce qui efface numériquement toutes les instances des données.
- Protégez les clés cryptographiques dans un environnement FIPS 140-3 niveau 3.
- Sauvegardez et dupliquez facilement et en toute sécurité les clés cryptographiques sensibles sur le HSM de sauvegarde certifié FIPS 140-3 niveau 3.
- Gérez et protégez tous les secrets et les identifiants sensibles.
Comment Thales vous aide :
- Mettez en œuvre une séparation des responsabilités entre vos données et les parties externes ainsi que votre fournisseur de services cloud (CSP) en stockant en toute sécurité les clés de chiffrement en dehors du cloud correspondant.
- Automatisez la gestion du cycle de vie de clé dans les environnements cloud et hybrides grâce à des processus et des outils.
- Permettez la gestion des relations avec les fournisseurs, les partenaires ou tout utilisateur tiers, avec une délégation claire des droits d’accès.
- Minimisez les privilèges en utilisant une autorisation fine basée sur les relations.
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les performances et l’intégrité du réseau TIC contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
Comment Thales vous aide :
- Contrôlez et gérez l’accès aux systèmes informatiques à partir de réseaux externes (télétravail) en prenant en charge l’authentification multifacteur (MFA) et l’authentification basée sur les risques.
- Définissez des politiques permettant aux administrateurs d’approuver les connexions provenant de réseaux externes et d’afficher les résultats sous forme de rapports d’activité d’accès à distance.
- Gérez les politiques d’accès pour les appareils mobiles, notamment la vérification des installations de correctifs de sécurité et des paramètres de l’appareil, ainsi que l’application des politiques antivirus et contre les logiciels malveillants.
- Vérifiez les appareils avant d’autoriser l’accès aux systèmes informatiques dans les cas où les employés sont autorisés à utiliser leurs propres appareils (BYOD), notamment en empêchant les connexions depuis des appareils rootés ou jailbreakés et en imposant l’installation d’un logiciel anti-malware à jour afin de prévenir les menaces provenant d’appareils personnels.
Comment Thales vous aide :
- Enregistrez les journaux d’audit des données d’utilisation et transmettez ces données au système SIEM.
Comment Thales vous aide :
- Gérez l’authentification et le contrôle d’accès en prenant en charge l’authentification multifacteur et l’authentification unique (SSO) et en affichant les rapports de journal d’accès.
- Enregistrez les accès au système de base de données et détectez les tentatives de connexion à ce système.
- Gérez l’authentification et le contrôle d’accès en prenant en charge l’authentification multifacteur et en stockant les journaux d’accès avec affichage des rapports.
- Capturez les modifications apportées à la structure de la base de données (journal du schéma de la base de données) et aux données des tables importantes, qui peuvent être affichées sous forme d’un tableau de journal d’accès et d’un rapport.
- Produisez une piste d’audit et des rapports de tous les événements d’accès à tous les systèmes et transmettez les journaux aux systèmes SIEM externes.
- Fournissez un contrôle et un audit de l’accès aux canaux de communication électroniques en prenant en charge la gestion des droits d’accès (autorisation externalisée) et les rapports de piste d’audit.
Solutions :
Sécurité des données
Surveillance de l’activité des données
Surveillance de l’activité des fichiers
Gestion des identités et des accès
Gestion des fraudes et des risques
Comment Thales vous aide :
- Offrez un contrôle et un audit de l’accès aux données à caractère personnel (contrôle d’accès aux données à caractère personnel) en prenant en charge la définition de politiques d’accès contextualisées (contrôle d’accès adaptatif) adaptées au niveau de risque de l’utilisateur.
- Déployez une authentification multifacteur (MFA) pour les utilisateurs accédant à des données à caractère personnel sensibles ou à partir de nouveaux appareils/nouvelles localisations.
- Définissez des politiques de prévention (politiques d’accès) pour l’accès aux données sensibles en dehors des heures de bureau ou à partir de réseaux non fiables.
- Détectez et alertez les administrateurs en cas de tentatives d’accès anormales, afin qu’ils puissent réagir rapidement.
- Facilitez la création de rapports de piste d’audit de tous les accès à des fins d’audit et d’enquête en cas d’incident.
Comment Thales vous aide :
- Limitez les droits d’accès au journal système aux seules personnes autorisées par les rôles et les politiques de l’entreprise (contrôle d’accès basé sur les rôles).
- Contrôlez en détail les attributions d’accès aux journaux à des fins d’audit.
- Imposez l’authentification multifacteur (MFA) aux administrateurs qui ont besoin d’accéder aux journaux afin de renforcer la sécurité.
- Offrez des droits d’accès stricts aux journaux d’audit grâce au contrôle d’accès adaptatif afin d’empêcher tout accès non autorisé et de créer des enregistrements de piste d’audit pour les audits rétrospectifs.
Comment Thales vous aide :
- Détectez les menaces système grâce au pare-feu d’applications Web, à la sécurité des API et à la sécurité des bases de données et transmettez les journaux au système SIEM.
- Surveillez l’activité des API, suivez leur utilisation, détectez les anomalies et identifiez les tentatives d’accès non autorisées potentielles.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
Comment Thales vous aide :
- Alertez ou bloquez en temps réel les attaques de bases de données et les demandes d’accès anormales.
- Surveillez l’activité des fichiers au fil du temps afin de configurer des alertes sur les activités susceptibles de mettre les institutions financières en danger.
- Surveillez en continu les processus pour détecter toute activité d’entrée/de sortie anormale et alertez ou bloquez les activités malveillantes.
- Surveillez les processus actifs pour détecter les rançongiciels, en identifiant des activités telles que l’accès excessif aux données, l’exfiltration, le chiffrement non autorisé ou l’usurpation malveillante de l’identité d’un utilisateur et en alertant/bloquant lorsqu’une telle activité est détectée.
Comment Thales vous aide :
- Offrez des fonctionnalités avancées de vérification d’API pour renforcer vos défenses contre les vulnérabilités potentielles.
Comment Thales vous aide :
- Effectuez des tests d’évaluation sur des magasins de données tels que MySQL pour rechercher les vulnérabilités connues.
- Analysez vos bases de données avec plus de 1 500 tests de vulnérabilité prédéfinis, basés sur les référentiels CIS et PCI-DSS, afin de vous aider à les protéger contre les menaces les plus récentes.
Comment Thales vous aide :
- Réduisez les risques liés aux tiers en conservant un contrôle sur site sur les clés de chiffrement protégeant les données hébergées dans le cloud.
- Assurez une séparation complète des rôles entre les administrateurs du fournisseur de cloud et votre entreprise et limitez l’accès aux données sensibles.
- Surveillez et signalez les anomalies afin de détecter et d’empêcher les activités indésirables de perturber la chaîne d’approvisionnement.
- Permettez la gestion des relations avec les fournisseurs, les partenaires ou tout utilisateur tiers, avec une délégation claire des droits d’accès.
- Minimisez les privilèges en utilisant une autorisation fine basée sur les relations.
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.