L’Agence de cyber-sécurité de Singapour (CSA) a publié les codes de pratique ou les normes de performance établis par le commissaire à la cyber-sécurité pour réglementer les propriétaires d’infrastructures d’information critiques (IIC), conformément à la loi sur la cyber-sécurité (Cybersecurity Act). Le Code de pratique en matière de cyber-sécurité pour les infrastructures d’information critiques – deuxième édition (CCoP2.0) entre en vigueur le 4 juillet 2022 et remplace les versions précédentes du code.
Présentation du Code de pratique en matière de cyber-sécurité pour les infrastructures d’information critiques (CCoP) Objectif du CCoP2.0
Le CCoP2.0 vise à spécifier les exigences minimales qu’un propriétaire d’infrastructures d’information critiques (IIC) doit mettre en œuvre pour garantir la cyber-sécurité de celles-ci. L’IIC est censé mettre en œuvre des mesures allant au-delà de celles stipulées dans ce Code afin de renforcer davantage la cyber-sécurité des infrastructures d’information critiques en fonction du profil de risque de cyber-sécurité de celles-ci.
- Renforcer les défenses de cyber-sécurité des infrastructures d’information critiques contre les cyberattaques avancées et sophistiquées.
- Fournir un cadre permettant aux infrastructures d’information critiques de relever les nouveaux défis posés par des technologies comme le cloud computing, l’intelligence artificielle (IA) et la 5G.
- Accroître la capacité des infrastructures d’information critiques à réagir à l’évolution rapide des risques et incidents de cyber-sécurité.
- Promouvoir une meilleure collaboration et un meilleur partage d’informations entre le gouvernement et le secteur privé afin d’identifier rapidement les cybermenaces et d’y répondre.
- Améliorer la résilience globale des infrastructures d’information critiques de Singapour face aux événements cybernétiques perturbateurs.
La loi sur la cyber-sécurité fournit un cadre pour la désignation des infrastructures d’information critiques (IIC) et les propriétaires d’IIC dans les 11 secteurs critiques sont tenus de se conformer aux pratiques d’hygiène cybernétique obligatoires du CCoP2.0 afin de garantir une base solide en matière de cyber-sécurité pour les secteurs d’IIC.
- 11 secteurs critiques : énergie, infocommunications, eau, santé, banque et finance, sécurité et services d’urgence, aviation, transports terrestres, transport maritime, administration publique et médias.
- Un ensemble de pratiques de cyber-sécurité obligatoires spécifiques aux technologies opérationnelles (OT) a été introduit comme addendum au CCoP2.0 dans le but d’élever le niveau de cyber-sécurité pour les infrastructures critiques d’information des technologies opérationnelles (OT IIC).
Note de conformité
Conformité au Code de pratique en matière de cyber-sécurité pour les infrastructures d’information critiques (CCoP2.0) à Singapour
Découvrez comment les IIC se conforment au CCoP2.0 grâce à nos solutions complètes de cyber-sécurité et apprenez-en davantage sur les exigences.
Comment Thales contribue au CCoP2.0 à Singapour
Les solutions de Thales peuvent aider les IIC à répondre aux exigences du CCoP2.0, en se concentrant sur les clauses de protection et de détection, en simplifiant la conformité et en automatisant la sécurité grâce à une visibilité et un contrôle accrus, réduisant ainsi la charge de travail des équipes de sécurité et de conformité.
Solutions de conformité au CCoP2.0 à Singapour
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre gamme de produits, leader sur le marché, comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants, la sécurité des API et un réseau de diffusion de contenu (CDN) sécurisé
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Respecter la clause du CCoP2.0
Comment Thales vous aide :
- Limitez l’accès des utilisateurs internes et externes aux systèmes et aux données en fonction de leurs rôles et du contexte, à l’aide de politiques.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
- Centralisez les politiques d’accès et leur application à plusieurs environnements hybrides depuis une interface de gestion unique.
- Unifiez les opérations de gestion de clé grâce au contrôle d’accès basé sur les rôles.
- Protégez et automatisez l’accès aux secrets via les outils DevOps.
- Proposez une authentification multifacteur (MFA) pour garantir que les personnes accédant au système y sont réellement autorisées.
- Utilisez l’authentification unique (SSO) pour permettre aux utilisateurs d’accéder en toute sécurité à plusieurs systèmes avec une seule authentification.
- Mettez en place des politiques d’accès basées sur les rôles, les responsabilités et les risques des utilisateurs.
Solutions :
Sécurité des données
Surveillance de l’activité des données
Surveillance de l’activité des fichiers
Gestion des identités et des accès
Comment Thales vous aide :
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
- Proposez des options d’authentification flexibles pour les flux de travail automatisés afin de réduire la dépendance aux mots de passe.
- Étendez l’authentification unique aux applications cloud, permettant un accès centralisé et sécurisé avec une identité protégée.
- Appliquez un contrôle d’accès privilégié aux données sensibles.
- Activez une gestion complète des secrets des identifiants, des certificats et des clés, y compris les secrets statiques, les secrets dynamiques, les clés SSH, les clés API et les tokens qui prennent en charge l’accès juste à temps (secrets dynamiques) au lieu des secrets statiques pour les comptes privilégiés à travers les piles technologiques.
Solutions :
Gestion des identités et des accès
Gestion des accès du personnel
Sécurité des données
Comment Thales vous aide :
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Surveillez le trafic de données pour détecter le risque de fuite de données.
- Protégez-vous contre les attaques exploitant la logique commerciale et bien d’autres menaces figurant parmi les dix principales menaces des API de l’OWASP.
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web.
- Chiffrez les données sensibles dès leur création et assurez-vous que les données en clair ne seront ni traitées ni stockées par des applications ou du personnel non autorisés.
- Protégez et automatisez l’accès aux secrets via les outils DevOps.
Solutions :
Sécurité des applications
Protection contre les attaques DDoS
Sécurité des données
Comment Thales vous aide :
- Activez le contrôle d’accès des utilisateurs privilégiés pour les données sensibles et limitez les accès non autorisés grâce au principe du moindre privilège.
- Proposez une tokénisation/un chiffrement en masse haut débit, tel que la protection des informations personnelles identifiables au niveau des colonnes, de la source à la destination.
- Unifiez la gestion des clés et des certificats pour les connecteurs et les dispositifs tiers, y compris divers clients KMIP, agents TDE, etc.
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
- Alertez ou bloquez en temps réel les attaques de bases de données et les demandes d’accès anormales.
- Surveillez en continu les processus pour détecter toute activité d’entrée/de sortie anormale et alertez ou bloquez les activités malveillantes.
- Surveillez les processus actifs pour détecter les rançongiciels, en identifiant des activités telles que l’accès excessif aux données, l’exfiltration, le chiffrement non autorisé ou l’usurpation malveillante de l’identité d’un utilisateur et en alertant/bloquant lorsqu’une telle activité est détectée.
Comment Thales vous aide :
- Effectuez des tests d’évaluation sur des magasins de données tels que MySQL pour rechercher les vulnérabilités connues.
- Analysez vos bases de données avec plus de 1 500 tests de vulnérabilité prédéfinis, basés sur les référentiels CIS, afin de vous aider à les protéger contre les menaces les plus récentes.
Comment Thales vous aide :
- Protégez les clés cryptographiques dans un environnement FIPS 140-3 niveau 3.
- Rationalisez la gestion de clé dans les environnements cloud et sur site grâce à la gestion du cycle de vie de clé.
- Prenez en charge une liste croissante de fournisseurs IaaS, PaaS et SaaS pour la gestion de clé dans le cloud. Les solutions SaaS comprennent Microsoft Office 365, Salesforce.com et Salesforce Sandbox, ainsi que SAP Data Custodian. Les solutions IaaS/PaaS prises en charge comprennent Microsoft Azure, Microsoft Azure China National Cloud, Microsoft Azure Stack, IBM Cloud, Google Cloud Platform et Amazon Web Services.
- Gérez et protégez tous les secrets et les identifiants sensibles.
- Stockez les données chiffrées et leur clé de chiffrement dans des emplacements différents pour respecter le principe de séparation des tâches.
- Adoptez l’agilité post-quantique pour faire face aux menaces liées à l’informatique quantique.
- Prenez en charge les protocoles BYOK et HYOK avec gestion complète du cycle de vie des clés dans le cloud natif ainsi que des clés générées par ses sources de clés.
Comment Thales vous aide :
- Utilisez l’analyse des signatures, du comportement et de la réputation pour bloquer toutes les attaques par injection de logiciels malveillants.
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web.
- Obtenez une visibilité en surveillant et en auditant toute l’activité des bases de données sur les systèmes cloud et sur site.
- Protégez les données grâce à des alertes en temps réel ou au blocage de l’accès des utilisateurs en cas de violation des politiques.
- Fournissez des informations basées sur la synthèse des comportements des utilisateurs, des modèles d’accès aux applications et aux API, ainsi que sur le contexte des sources de données.
- Surveillez en temps réel l’accès aux données non structurées sur les serveurs, le cloud et les partages de fichiers.
- Détectez les menaces et les risques liés aux initiés grâce à une visibilité approfondie et à des renseignements basés sur l’IA avec une analyse intelligente et riche en contexte.
Solutions :
Sécurité des applications
Sécurité des données
Surveillance de l’activité des données
Analyse des risques liés aux données
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.