Data Security Compliance and Regulations - eBook
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Le protocole DEFCON 658 du ministère de la Défense britannique vise à protéger toute la chaîne d’approvisionnement du secteur de la défense contre les cybermenaces. Il s’applique aux fournisseurs ou fournisseurs potentiels du ministère de la Défense soumissionnant pour des contrats impliquant le traitement d’informations identifiables du ministère.
Les solutions Thales proposent un ensemble d’outils destinés à vous aider à vous conformer à DEFCON 658, et notamment :
DEFCON 658 est un protocole d’approvisionnement axé sur la cybersécurité. Tous les fournisseurs du ministère de la Défense britannique qui soumissionnent pour de nouveaux contrats nécessitant le transfert d’informations identifiables du ministère sont tenus de se conformer au protocole DEFCON 658 et de respecter les règles prescrites par la norme DEFSTAN 05-138. À noter que le respect du protocole DEFCON 658 est également imposé aux chaînes d’approvisionnement (c'est-à-dire aux sous-traitants) des fournisseurs eux-mêmes.
DEFCON 658 s’applique à tous les fournisseurs dans la chaîne d’approvisionnement du ministère de la Défense lorsque des informations identifiables du ministère sont impliquées. Toute entreprise ne respectant pas les dispositions de ce protocole se verra dans l’impossibilité de participer aux procédures de passation de marché du ministère de la Défense.
La norme DEFSTAN 05-138, qui spécifie les mesures que les fournisseurs du secteur de la défense sont tenus de mettre en place à chacun des cinq niveaux de cyberrisque dont un contrat peut être évalué comme porteur, prévoit plusieurs contrôles spécifiques à la protection des informations sensibles, comme indiqué ci-dessous.
Thales fournit des solutions de sécurité des données permettant d’assurer ces contrôles. Notez que si les contrôles sont définis en fonction du niveau de risque associé au contrat en question (faible, moyen ou élevé), les solutions de Thales s’appliquent simultanément à plusieurs contrôles relevant du même domaine, et sont donc consolidées, tel qu’exposé ci-dessous.
L.07 Définir et mettre en œuvre une politique de contrôle d’accès aux informations et aux installations de traitement de l’information.
M.06 S’assurer que l’organisation a identifié les propriétaires des actifs et que lesdits propriétaires contrôlent l’accès à leurs actifs.
L.12 Définir et mettre en œuvre une politique de gestion des droits d’accès aux comptes utilisateurs.
Thales dispose d’un ensemble complet de solutions qui peuvent aider les organisations à se préparer et à se conformer au protocole DEFCON 658 dans tous les domaines où des données doivent être protégées (au repos, en transit et en cours d’utilisation), notamment :
La première étape de la protection des données sensibles consiste à trouver les données, quel que soit l’endroit où elles se trouvent au sein de l’organisation, à les classer comme sensibles et à les classer par type (p. ex. PII, financières, IP, HHI, confidentielles, etc.), afin de pouvoir appliquer les techniques de protection des données les plus appropriées. Il est également important de surveiller et d’évaluer régulièrement les données pour s’assurer qu’aucune nouvelle donnée n’est négligée et que votre organisation n’enfreint aucune règle de conformité.
La solution CipherTrust Data Discovery and Classification de Thales identifie de manière efficace les données sensibles structurées et non structurées sur site et dans le cloud. Prenant en charge les modèles de déploiement sans agent et avec agent, cette solution fournit des modèles intégrés qui permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et vous aident à découvrir les lacunes en matière de conformité. Grâce à un flux de travail rationalisé, les zones d’ombre en matière de sécurité sont exposées et le temps de remédiation réduit. Des rapports détaillés sont générés en vue d’enrichir les programmes de conformité et de faciliter la communication avec les dirigeants.
Grâce à CipherTrust Data Security Platform, les administrateurs peuvent mettre en place une séparation des tâches stricte entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans obtenir d’accès privilégié aux données sensibles qui se trouvent dans les systèmes qu’ils sont amenés à gérer.
Il est possible de mettre en place des politiques de séparation des tâches strictes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.
CipherTrust Data Security Platform peut exécuter des politiques de gestion des accès pour les utilisateurs les moins privilégiés à niveau de granularité élevé, ce qui permet de protéger les données contre les abus d’utilisation et les attaques de type APT. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application peuvent porter non seulement sur les permissions d’accès aux données en clair, mais également sur les commandes de système de fichiers disponibles pour les utilisateurs.
Les solutions de gestion des accès et d’authentification de Thales fournissent à la fois les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les entreprises ont besoin pour se conformer aux réglementations sur la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent des données sensibles. En prenant en charge un large éventail de méthodes d’authentification et un accès dépendant du rôle et reposant sur des politiques, nos solutions aident les entreprises à réduire les risques de violation de données dues à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants en interne.
La prise en charge du SSO intelligent et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, leur permettant de s’authentifier uniquement lorsque cela s’avère nécessaire. Grâce à des rapports approfondis, les entreprises peuvent produire une piste d’audit détaillée de tous les événements d’accès et d’authentification, ce qui leur permet de prouver leur conformité à un large éventail de réglementations.
L.10 Définir et mettre en œuvre une politique de sécurité de l’information ainsi que les processus et procédures associés.
M.04 Définir et mettre en œuvre une politique de stockage, d’accès et de traitement sécurisé des informations sensibles.
Politiques de sécurité détaillées. La plateforme CipherTrust Data Security Platform propose des contrôles centralisés qui permettent une gestion homogène et reproductible du chiffrement, des politiques d’accès et des renseignements de sécurité pour toutes vos données structurées et non structurées. Elle est disponible sous forme d’appliances virtuelles et physiques certifiées FIPS 140-2 et conformes aux critères communs (« Common Criteria »).
Extensibilité. Reposant sur une infrastructure extensible, les composants de la plateforme CipherTrust Data Security Platform peuvent être déployés individuellement, tout en offrant une gestion efficace et centralisée des clés et des politiques.
Sécurité robuste pour les données sensibles. Thales aide à protéger les données sensibles grâce à la solution CipherTrust Transparent Encryption qui offre une gestion des clés intégrée pour les données au repos, grâce à la protection des données des applications et grâce à la tokénisation avec masquage dynamique. Ces techniques rendent les données illisibles et inutilisables sans les clés nécessaires pour les déchiffrer.
L.16 Définir et mettre en œuvre une politique de gestion des incidents, devant inclure des mesures de détection, de résolution et de reprise.
Renseignements de sécurité. La plateforme CipherTrust Data Security Platform fournit des journaux de renseignements de sécurité qui précisent quels processus et utilisateurs ont accédé aux données protégées, dans le cadre de quelles politiques, et si les demandes d’accès ont été autorisées ou refusées. Les journaux de gestion révèlent même lorsqu’un utilisateur privilégié soumet une commande telle que le changement d’utilisateur pour imiter, et potentiellement exploiter, les identifiants d’un autre utilisateur. Le partage de ces journaux avec une plateforme de gestion des informations et des événements de sécurité (SIEM) permet de découvrir les accès de processus et d’utilisateurs irréguliers pouvant déclencher une enquête supplémentaire. Par exemple, un administrateur ou un processus pourrait soudainement accéder à des volumes de données beaucoup plus importants que d’habitude ou tenter d’effectuer un téléchargement non autorisé de fichiers. Ces événements pourraient être le signe d’une attaque de type APT ou d’activités malveillantes d’initiés.
M.16 Définir et mettre en œuvre une politique pour sécuriser les actifs de l’entreprise lors du départ de personnes de l’entreprise.
Contrôle des accès privilégiés et journaux de renseignements. Les politiques granulaires de gestion des accès de la plateforme CipherTrust Data Security Platform peuvent être appliquées par utilisateur et l’accès peut être révoqué pour les personnes qui ont quitté l’organisation. Toute tentative d’accès à des données sensibles refusée sera enregistrée dans les journaux de renseignements de sécurité de CipherTrust Security Intelligence.
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
La première étape vers la conformité est de comprendre ce qui constitue les données sensibles, où elles sont stockées et comment elles sont utilisées. Si vous ne savez pas quelles données sensibles vous possédez, où elles résident et pourquoi elles sont là, vous ne pouvez pas...
More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...
Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks. Explore authentication technologies to learn: • Selecting authentication methods •...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
En tant qu’expert en matière de sécurité des données pour votre entreprise, vous devez protéger les données sensibles de votre organisation en développant et appliquant une stratégie de chiffrement à l’échelle de l’entreprise. Mais il est très difficile d’identifier où...
Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.
Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".