Politique de la BNM sur la gestion des risques liés au cloud et aux données dans le secteur de la technologie (RMiT) en Malaisie

Présentation de la réglementation

La politique de la Bank Negara Malaysia (BNM) sur la gestion des risques technologiques (RMiT) vise à formaliser les programmes de gestion des risques utilisés lors de l’adoption du cloud et d’autres innovations technologiques dans les institutions financières malaisiennes.

La BNM a publié un document de politique (DP) actualisé sur la gestion des risques dans le domaine de la technologie le 1ᵉͬ juin 2023. Toutes les institutions financières doivent mettre en œuvre des contrôles de gestion des risques solides, supérieurs aux normes réglementaires minimales, afin de fournir des services financiers efficaces en toute sécurité et d’empêcher l’exploitation des maillons faibles des réseaux et systèmes interconnectés, grâce à une cyberfortification robuste, ceci pour préserver la confiance du public dans le système financier.

Les principales mises à jour du DP RMiT comprennent :

• Des orientations supplémentaires pour renforcer les capacités de gestion des risques liés au cloud des institutions financières
• Le passage à une approche basée sur le risque dans le processus de consultation et de notification du cloud avec des mises à jour correspondantes dans l’évaluation du risque et l’exigence de soumission. L’utilisation de l’authentification multifacteur (MFA) en tant que contrôle de sécurité est indiquée comme une exigence standard.
• Le document « Foire aux questions » a été mis à jour pour faciliter la mise en œuvre des exigences révisées de la politique.

Le document de politique RMiT de la BNM est entré en vigueur le 1ᵉͬ janvier 2020. Le DP mis à jour a été publié et est entré en vigueur le 1ᵉͬ juin 2023. Il remplace le document de politique précédent en date du 1ᵉͬ janvier 2020, à l’exception des paragraphes 10.49, 10.50, 10.51 et 10.52 qui resteront applicables jusqu’au 31 mai 2024.

En tant que leader de la sécurité et de l’identité numériques, Thales peut aider les organisations à répondre et à se conformer aux mandats respectifs de la politique RMiT de la BNM grâce à nos intégrations avec les fournisseurs de services cloud, tels que Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), et bien d’autres.

Nos solutions soutiennent les catégories de politiques RMiT dans les domaines suivants :

Développement et acquisition de systèmes :

• CipherTrust Tokenization anonymise les informations sensibles contenues dans les données de test afin que les fournisseurs tiers ou moins privilégiés puissent les traiter sans risque de perte de données.
• Pour sécuriser les données structurées et non structurées telles que les codes sources, CipherTrust Transparent Encryption peut chiffre l’intégralité du code source afin de le protéger contre tout accès non autorisé.

Cryptographie :

• CipherTrust Data Security Platform offre l’utilisation d’algorithmes basés sur les normes industrielles, le hachage et la signature avec RNG dans une plateforme centralisée et sécurisée.
• CipherTrust Manager (CM), dans la plateforme CipherTrust Data Security Platform, fournit la gestion du cycle de vie complet des clés ainsi que CipherTrust Cloud Key Management, la solution centralisée de gestion des clés multicloud. CipherTrust Manager offre une rotation des clés qui peut aider en cas de récupération lorsque les clés de chiffrement sont compromises. Cet outil offre également de solides fonctions de séparation des rôles. Il est possible d’aller plus loin avec les domaines de gestion de la sécurité qui combinent cette administration basée sur les rôles avec la possibilité de compartimenter la gestion des politiques, des clés de chiffrement des données, des configurations d’agents et des journaux d’audit pour un groupe d’entreprises particulier.
• CipherTrust Transparent Encryption permet la rotation automatique des clés sans interruption de l’application, ce qui permet aux clients de migrer facilement vers des normes cryptographiques plus récentes si et quand cela est nécessaire.
• Thales est le premier fournisseur de modules de sécurité matériels (HSM) au niveau mondial et parmi les banques en Malaisie. Les HSM de Thales sont certifiés conformes aux normes de sécurité internationales telles que la FIPS-140-2 niveau 3, les Critères Communs, l’eIDAS et la PCI-PTS.

Opérations des centres de données :

• Les données sensibles contenues dans les supports médiatiques amovibles peuvent être sécurisées grâce à CipherTrust Data Security Platform qui garantit que les données sont chiffrées avant d’être stockées et transportées. CipherTrust Key Management s’intègre avec les principaux fournisseurs de solutions de sauvegarde pour gérer les clés de chiffrement de sauvegarde et séparer les données des clés. Cette solution sécurise également les données avant qu’elles ne soient sauvegardées et stockées sur le support médiatique amovible.

Services cloud :

• Grâce à la technologie HYOK (Hold-Your-Own-Key) de CipherTrust Cloud Key Management, les clients des fournisseurs de services cloud conservent le contrôle total et la propriété de leurs données en contrôlant l’accès aux clés de chiffrement, ce qui élimine le risque de divulgation des données à des puissances étrangères.
• CipherTrust Data Security Platform aide les institutions financières à chiffrer leurs données stockées dans des serveurs cloud pour les protéger contre la divulgation et l’accès non autorisés, même à partir du fournisseur de services cloud, en utilisant la technologie HYOK (Hold-Your-Own-Key).

Contrôle de l’accès :

• CipherTrust Transparent Encryption (CTE) permet la séparation des tâches entre l’administrateur de sécurité et l’administrateur système à l’intérieur des serveurs, garantissant que les administrateurs système ou les comptes privilégiés n’ont pas accès aux clés de chiffrement sensibles et que les administrateurs de sécurité n’ont pas accès aux données. Il enregistre toutes les activités de fichiers des utilisateurs du système d’exploitation et les transmet à un syslog ou à un SIEM.

Risques clés et mesures de contrôle pour les services cloud : CipherTrust Data Security Platform, solutions CipherTrust Tokenization, CipherTrust Transparent Encryption, CipherTrust Key Management, CipherTrust Cloud Key Management et HSM.

• CipherTrust Data Security Platform (CDSP) comporte plusieurs modules et approches pour aider les clients à sécuriser leurs données stockées dans le cloud, comme Bring-Your-Own-Encryption (BYOE), Hold-Your-Own-Key (HYOK), Bring-Your-Own-Key (BYOK), ainsi qu’une fonction de gestion centralisée des clés multicloud pour fournir une solution de protection des données complète et exhaustive couvrant tous les types de données et de cas d’utilisation dans le cloud. Cet outil permet de migrer des données chiffrées entre différents clouds, sans dépendre des formats spécifiques utilisés par les différents fournisseurs cloud ; les clients ne sont ainsi pas liés à un cloud unique. CipherTrust Data Security Platform offre une garantie totale de destruction des données à la sortie d’un cloud grâce au déchiquetage numérique et propose diverses options et méthodes de chiffrement pour les données stockées dans le cloud.
• Avec CipherTrust Transparent Encryption (CTE) et CipherTrust Tokenization, les institutions financières peuvent chiffrer les données avant qu’elles ne soient transférées dans le cloud, c’est-à-dire qu’elles peuvent procéder à l’anonymisation des données avant leur intégration dans les lacs de données se trouvant sur le cloud. CipherTrust Transparent Encryption assure non seulement le chiffrement, mais aussi un contrôle d’accès granulaire (séparé du contrôle d’accès du système d’exploitation) pour les utilisateurs privilégiés, afin d’éviter toute utilisation abusive.
• Les HSM Luna de Thales offrent une protection matérielle inviolable, ce qui est essentiel pour les solutions de signature numérique.
• CipherTrust Key Management (CCKM) s’intègre à VMware pour permettre le chiffrement des images de MV et le chiffrement VSAN, tandis que CipherTrust Transparent Encryption permet de sécuriser les données à l’intérieur des machines virtuelles et des conteneurs par le biais du chiffrement et du contrôle d’accès de manière transparente, sans aucune modification de l’application. CipherTrust Key Management permet de conserver sa propre clé (HYOK) pour les environnements cloud et multicloud où les clients restent propriétaires de leur clé de chiffrement et fournit une approche complète et centralisée de la gestion des clés multicloud, permettant la génération, le stockage et la distribution de clés multicloud en toute sécurité. Cela permet de réduire la complexité et les coûts administratifs élevés liés à l’utilisation de plusieurs clouds.