Cadre de cyber-sécurité et de cyberrésilience (CSCRF) du SEBI
Le 20 août 2024, le Securities and Exchange Board of India (SEBI) a publié le cadre de cyber-sécurité et de cyberrésilience (CSCRF) à l’intention des entités réglementées par le SEBI afin d’améliorer les mesures actuelles de cyber-sécurité sur le marché indien des valeurs mobilières et de renforcer le mécanisme de gestion des cyberrisques ou des cybermenaces.
Le CSCRF vise à fournir des normes et des directives pour renforcer la cyberrésilience et maintenir une cyber-sécurité solide des entités réglementées par le SEBI. Le cadre du CSCRF remplace les circulaires/directives/avis/lettres existant(e)s du SEBI en matière de cyber-sécurité.
Le CSCRF est basé sur des normes et couvre largement les cinq objectifs de cyberrésilience adoptés dans le plan de gestion des crises cybernétiques (CCMP) de l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In) : Anticiper, Résister, Contenir, Récupérer et Évoluer. Ces objectifs de cyber-résilience ont été associés aux fonctions de cyber-sécurité suivantes : Gouvernance, Identification, Protection, Détection, Réponse et Récupération.
Le CSCRF est structuré en quatre parties :
- Partie I : Objectifs et normes
- Partie II : Directives
- Partie III : Formats structurés pour la conformité
- Partie IV : Annexes et références
Le cadre s’applique aux ER suivantes et les subdivise en différentes catégories en fonction de leur taille opérationnelle, du nombre de clients, du volume des transactions et des actifs gérés, et prévoit des exigences de conformité spécifiques pour chaque catégorie.
- Pour les ER pour lesquelles il existe déjà une circulaire sur la cyber-sécurité et la cyberrésilience, d’ici le 1er janvier 2025.
- Pour les autres ER pour lesquelles le CSCRF est émis pour la première fois, d’ici le 1er avril 2025.
Note de conformité
Cadre de cyber-sécurité et de cyberrésilience (CSCRF)
Explorez des solutions pour la conformité au CSCRF en tenant compte des directives relatives à la fonction de cyber-sécurité en matière de gouvernance, d’identité et de protection dans le cadre défini.
Comment Thales contribue à la conformité au CSCRF
Thales peut aider les ER à se conformer au CSCRF en tenant compte des directives relatives à la fonction de cyber-sécurité en matière de gouvernance, d’identité et de protection dans le cadre défini.
Nous proposons des solutions dans trois domaines clés de la cyber-sécurité : la sécurité des applications, la sécurité des données et la gestion des identités et des accès.
Solutions de conformité au CSCRF
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre suite de produits leader sur le marché comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants, la sécurité des API, un réseau de diffusion de contenu (CDN) sécurisé et l’autoprotection des applications en cours d’exécution (RASP).
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Respecter le code et les directives standard du CSCRF
SafeNet Authentication Service Private Cloud Edition (PCE) est une plateforme d’authentification sur site rentable et facile à utiliser qui offre plus de 200 configurations pré-testées, prend en charge des solutions tierces et propose différents types de tokens.
CipherTrust Data Discovery & Classification (DDC) identifie et classifie les données dans divers magasins de données, améliorant ainsi la confidentialité et la sécurité des données en gérant les actifs dans des environnements sur site, hybrides, cloud et multicloud.
Imperva Data Security Fabric Data Activity Monitoring (DAM) permet aux ER d’identifier les risques liés aux données critiques en surveillant en permanence l’activité des magasins de données et en fournissant des pistes d’audit détaillées.
Imperva Data Security Fabric Data Activity Monitoring (DAM) rationalise l’audit sur diverses plateformes (notamment relationnelles, NoSQL, mainframe, Big Data et entrepôts de données) et prend en charge Microsoft Azure et AWS, en capturant automatiquement l’activité détaillée des données.
Les HSM Luna et les chiffreurs haut débit de Thales offrent une approche crypto-agile pour assurer la préparation des ER à la PQC.
- Renforcez vos clés de chiffrement avec le HSM Luna de Thales à sécurité quantique, disponible sur le marché et intégrant les algorithmes finalistes du NIST résistants au quantique.
- Algorithmes résistants au quantique (QRA) avec module de fonctionnalité PQC et signature basée sur le hachage (SP800-208)
- PQC intégré/personnalisé : mettez en œuvre votre propre cryptographie post-quantique en utilisant le module de fonctionnalité (FM) de Luna ou avec divers FM/intégrations de partenaires.
- QRNG : injectez de l’entropie quantique avec QRNG et le stockage sécurisé des clés du HSM Luna.
- Les solutions de chiffrement réseau High Speed Encryption (HSE) de Thales sécurisent les données en transit et prennent en charge la cryptographie post-quantique (PQC) grâce à une architecture crypto-agile basée sur FPGA, offrant une protection à long terme contre les attaques quantiques et un chiffrement généralisé.
Le kit de démarrage PQC permet aux ER de tester en toute sécurité des solutions à sécurité quantique dans un environnement de confiance, en partenariat avec Quantinuum, pour configurer un HSM Luna pour des clés prêtes pour la PQC.
Le pare-feu pour applications web (WAF) d’Imperva offre une sécurité complète pour les applications web, en détectant et en prévenant les cybermenaces. Il bloque les attaques en temps réel et met les règles à jour quotidiennement.
Data Security Fabric Data Risk Analytics d’Imperva surveille l’accès aux données et leur activité, offrant une visibilité pour tous les utilisateurs. Elle s’appuie sur une expertise approfondie en matière de sécurité et sur l’apprentissage automatique pour identifier les comportements suspects.
SafeNet Authentication Service Private Cloud Edition (PCE) permet aux entreprises de limiter l’accès aux ressources confidentielles et prend en charge les solutions tierces via SAML, RADIUS, les agents ou les API.
Le pare-feu pour applications web (WAF) d’Imperva offre une sécurité complète des applications web, en détectant et en prévenant les cybermenaces telles que les scripts intersites et l’accès illégal aux ressources. Il bloque les attaques en temps réel, avec des mises à jour quotidiennes de l’équipe de recherche sur les menaces.
La solution API Security d’Imperva offre une visibilité complète des API, en découvrant automatiquement les points de terminaison et en évaluant les risques. Il classifie les API sensibles à l’aide des données d’appel, ce qui permet de prendre des mesures de sécurité proactives. La surveillance continue favorise des publications de logiciels plus rapides et plus sûres. Elle est disponible en tant que module complémentaire ou dans le cadre de l’offre API Security Anywhere.
CipherTrust Transparent Encryption offre un chiffrement continu au niveau des fichiers, une gestion centralisée des clés et un contrôle d’accès des utilisateurs privilégiés, empêchant les accès non autorisés dans les environnements physiques, virtuels et cloud et assurant une mise en œuvre fluide.
CipherTrust Enterprise Key Management améliore la gestion de clé dans les environnements cloud et d’entreprise, offrant une sécurité et une centralisation élevées pour les mécanismes de chiffrement développés en interne et les applications tierces à l’aide d’appliances virtuelles ou matérielles conformes à la norme FIPS 140-2.
SafeNet Authentication Service Private Cloud Edition (PCE) fournit un accès centralisé et sécurisé aux applications d’entreprise par le biais de diverses méthodes d’authentification telles que les mots de passe à usage unique (OTP), les identifiants PKI, Kerberos et divers facteurs de forme.
Les solutions de gestion des identités et des accès Thales OneWelcome offrent des mesures de sécurité complètes et des fonctionnalités de génération de rapports pour les entreprises, en utilisant des dispositifs d’authentification multifacteur pour de multiples applications.
Le module Thales OneWelcome Consent & Preference Management permet aux institutions financières de recueillir le consentement des consommateurs, de gérer l’accès aux données et de gérer la délégation B2B en fonction des rôles et des responsabilités des utilisateurs.
CipherTrust Manager simplifie la gestion du cycle de vie des clés, notamment les activités telles que la génération, la sauvegarde et la restauration, la désactivation et la suppression. Ses phases de destruction de clés permettent aux entreprises de procéder au déchiquetage numérique des données.
API Security d’Imperva offre aux équipes de sécurité une visibilité complète sur les API, ce qui permet d’accélérer et de sécuriser les cycles de publication des logiciels et d’éviter les flux de travail gourmands en ressources, garantissant ainsi qu’elles restent informées des nouveaux risques.
Données au repos
Thales propose de multiples solutions pour les données au repos qui peuvent coexister avec le chiffrement natif fourni par le fournisseur de services cloud (CSP).
- CipherTrust Transparent Encryption offre un chiffrement continu au niveau des fichiers pour protéger contre les accès non autorisés dans les environnements physiques, virtuels et cloud. Il utilise des protocoles robustes, basés sur des normes, tels que AES et ECC, et est validé par la norme FIPS 140-2 niveau 1.
- CipherTrust Tokenization fournit la tokénisation et le masquage dynamique des données pour leur anonymisation et leur désidentification dans le cloud.
- CipherTrust Application Data Protection fournit un chiffrement traditionnel ou à préservation de format aux applications utilisant des API RESTful. Toutes les solutions susmentionnées peuvent être utilisées pour assurer la protection des données au repos dans le cloud.
- CipherTrust Manager est le point de gestion central de la plateforme CipherTrust Data Security Platform. Il gère les tâches liées au cycle de vie des clés (génération, rotation, destruction, importation et exportation), fournit un contrôle d’accès aux clés et aux politiques basé sur les rôles, prend en charge des audits et des rapports robustes et offre une API REST conviviale pour les développeurs.
Données en transit
- Les solutions de chiffrement réseau High Speed Network Encryption (HSE) de Thales sécurisent les données en transit lorsqu’elles passent d’un réseau à l’autre entre les centres de données et les sièges sociaux, les succursales et les bureaux satellites, et vers les sites de sauvegarde et de reprise après sinistre, sur site et dans le cloud.
CipherTrust Data Discovery and Classification (DDC) simplifie le processus d’identification et de classification des données sensibles dans divers magasins de données, réduisant ainsi les risques de sécurité et permettant une meilleure prise de décision pour la transformation et la correction du cloud.
API Security d’Imperva offre une visibilité complète des API aux équipes de sécurité en détectant automatiquement les points de terminaison et en déterminant les risques liés aux données sensibles. Il renforce la protection contre les 10 principaux risques liés à la sécurité des API de l’OWASP pour les ER, permettant aux développeurs de créer des microservices et des API dans différents environnements.
CipherTrust Secrets Management (CSM) automatise l’accès aux secrets via les outils DevOps et les charges de travail cloud. Propulsé par Akeyless Vault, il s’intègre avec des applications tierces comme GitHub et Kubernetes.
Les solutions de chiffrement haut débit (HSE) de Thales offrent un chiffrement des données en transit indépendant du réseau, protégeant les données, la vidéo, la voix et les métadonnées contre l’écoute, la surveillance et l’interception. Disponibles sous forme d’appliances physiques et virtuelles, ils prennent en charge une large gamme de vitesses de réseau.
Cadre pour l’adoption des services cloud
CipherTrust Data Security Platform fournit un stockage cloud sécurisé pour les ER, en utilisant un chiffrement avancé et une gestion centralisée des clés, garantissant la mobilité des données entre plusieurs fournisseurs de cloud.
CipherTrust Cloud Key Manager (CCKM) prend en charge les cas d’utilisation « Bring Your Own Key » (BYOK) dans de multiples infrastructures cloud et applications SaaS. Il fournit des mesures de protection robustes pour les données d’entreprise, permettant la conformité et le contrôle du cycle de vie des clés de chiffrement.
CipherTrust Transparent Encryption fournit un chiffrement transparent et un contrôle d’accès pour les données résidant dans Amazon S3, Azure Files et bien plus encore.
CipherTrust Tokenization tokénise les données avant leur migration vers le cloud sous une forme masquée afin de les protéger contre toute violation.
Les modules matériels de sécurité (HSM) Luna de Thales fournissent aux entreprises un matériel dédié au contrôle des clés cryptographiques, offrant un environnement inviolable pour le traitement cryptographique sécurisé, la génération de clés et le chiffrement.
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.