Conformité DEFCON 658

Résumé

DEFCON 658 est un protocole d’approvisionnement axé sur la cybersécurité. Tous les fournisseurs du ministère de la Défense britannique qui soumissionnent pour de nouveaux contrats nécessitant le transfert d’informations identifiables du ministère sont tenus de se conformer au protocole DEFCON 658 et de respecter les règles prescrites par la norme DEFSTAN 05-138. À noter que le respect du protocole DEFCON 658 est également imposé aux chaînes d’approvisionnement (c'est-à-dire aux sous-traitants) des fournisseurs eux-mêmes.

Non-conformité

DEFCON 658 s’applique à tous les fournisseurs dans la chaîne d’approvisionnement du ministère de la Défense lorsque des informations identifiables du ministère sont impliquées. Toute entreprise ne respectant pas les dispositions de ce protocole se verra dans l’impossibilité de participer aux procédures de passation de marché du ministère de la Défense.

Résumé relatif à la conformité

La norme DEFSTAN 05-138, qui spécifie les mesures que les fournisseurs du secteur de la défense sont tenus de mettre en place à chacun des cinq niveaux de cyberrisque dont un contrat peut être évalué comme porteur, prévoit plusieurs contrôles spécifiques à la protection des informations sensibles, comme indiqué ci-dessous.

Thales fournit des solutions de sécurité des données permettant d’assurer ces contrôles. Notez que si les contrôles sont définis en fonction du niveau de risque associé au contrat en question (faible, moyen ou élevé), les solutions de Thales s’appliquent simultanément à plusieurs contrôles relevant du même domaine, et sont donc consolidées, tel qu’exposé ci-dessous.

Mesures de contrôle

L.07 Définir et mettre en œuvre une politique de contrôle d’accès aux informations et aux installations de traitement de l’information.
M.06 S’assurer que l’organisation a identifié les propriétaires des actifs et que lesdits propriétaires contrôlent l’accès à leurs actifs.
L.12 Définir et mettre en œuvre une politique de gestion des droits d’accès aux comptes utilisateurs.

Les solutions de Thales

Thales dispose d’un ensemble complet de solutions qui peuvent aider les organisations à se préparer et à se conformer au protocole DEFCON 658 dans tous les domaines où des données doivent être protégées (au repos, en transit et en cours d’utilisation), notamment :

• Découverte et classification des données sensibles
• Gestion des accès et authentification
• Chiffrement des données au repos et des données en transit
• Protection certifiée des clés de chiffrement
• Tokénisation avec masquage dynamique des données

Découverte et classification des données sensibles

La première étape de la protection des données sensibles consiste à trouver les données, quel que soit l’endroit où elles se trouvent au sein de l’organisation, à les classer comme sensibles et à les classer par type (p. ex. PII, financières, IP, HHI, confidentielles, etc.), afin de pouvoir appliquer les techniques de protection des données les plus appropriées. Il est également important de surveiller et d’évaluer régulièrement les données pour s’assurer qu’aucune nouvelle donnée n’est négligée et que votre organisation n’enfreint aucune règle de conformité.

La solution CipherTrust Data Discovery and Classification de Thales identifie de manière efficace les données sensibles structurées et non structurées sur site et dans le cloud. Prenant en charge les modèles de déploiement sans agent et avec agent, cette solution fournit des modèles intégrés qui permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et vous aident à découvrir les lacunes en matière de conformité. Grâce à un flux de travail rationalisé, les zones d’ombre en matière de sécurité sont exposées et le temps de remédiation réduit. Des rapports détaillés sont générés en vue d’enrichir les programmes de conformité et de faciliter la communication avec les dirigeants.

Protection des données sensibles au repos

Séparation des utilisateurs à accès privilégié et des données sensibles des utilisateurs

Grâce à CipherTrust Data Security Platform, les administrateurs peuvent mettre en place une séparation des tâches stricte entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans obtenir d’accès privilégié aux données sensibles qui se trouvent dans les systèmes qu’ils sont amenés à gérer.

Séparation des tâches d’administration

Il est possible de mettre en place des politiques de séparation des tâches strictes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.

Contrôle granulaire des accès privilégiés

CipherTrust Data Security Platform peut exécuter des politiques de gestion des accès pour les utilisateurs les moins privilégiés à niveau de granularité élevé, ce qui permet de protéger les données contre les abus d’utilisation et les attaques de type APT. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application peuvent porter non seulement sur les permissions d’accès aux données en clair, mais également sur les commandes de système de fichiers disponibles pour les utilisateurs.

Gestion des accès et authentification robustes

Les solutions de gestion des accès et d’authentification de Thales fournissent à la fois les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les entreprises ont besoin pour se conformer aux réglementations sur la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent des données sensibles. En prenant en charge un large éventail de méthodes d’authentification et un accès dépendant du rôle et reposant sur des politiques, nos solutions aident les entreprises à réduire les risques de violation de données dues à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants en interne.

La prise en charge du SSO intelligent et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, leur permettant de s’authentifier uniquement lorsque cela s’avère nécessaire. Grâce à des rapports approfondis, les entreprises peuvent produire une piste d’audit détaillée de tous les événements d’accès et d’authentification, ce qui leur permet de prouver leur conformité à un large éventail de réglementations.

Mesures de contrôle

L.10 Définir et mettre en œuvre une politique de sécurité de l’information ainsi que les processus et procédures associés.
M.04 Définir et mettre en œuvre une politique de stockage, d’accès et de traitement sécurisé des informations sensibles.

Les solutions de Thales

Politiques de sécurité détaillées. La plateforme CipherTrust Data Security Platform propose des contrôles centralisés qui permettent une gestion homogène et reproductible du chiffrement, des politiques d’accès et des renseignements de sécurité pour toutes vos données structurées et non structurées. Elle est disponible sous forme d’appliances virtuelles et physiques certifiées FIPS 140-2 et conformes aux critères communs (« Common Criteria »).

Extensibilité. Reposant sur une infrastructure extensible, les composants de la plateforme CipherTrust Data Security Platform peuvent être déployés individuellement, tout en offrant une gestion efficace et centralisée des clés et des politiques.

Sécurité robuste pour les données sensibles. Thales aide à protéger les données sensibles grâce à la solution CipherTrust Transparent Encryption qui offre une gestion des clés intégrée pour les données au repos, grâce à la protection des données des applications et grâce à la tokénisation avec masquage dynamique. Ces techniques rendent les données illisibles et inutilisables sans les clés nécessaires pour les déchiffrer.

Mesures de contrôle

L.16 Définir et mettre en œuvre une politique de gestion des incidents, devant inclure des mesures de détection, de résolution et de reprise.

Les solutions de Thales

Renseignements de sécurité. La plateforme CipherTrust Data Security Platform fournit des journaux de renseignements de sécurité qui précisent quels processus et utilisateurs ont accédé aux données protégées, dans le cadre de quelles politiques, et si les demandes d’accès ont été autorisées ou refusées. Les journaux de gestion révèlent même lorsqu’un utilisateur privilégié soumet une commande telle que le changement d’utilisateur pour imiter, et potentiellement exploiter, les identifiants d’un autre utilisateur. Le partage de ces journaux avec une plateforme de gestion des informations et des événements de sécurité (SIEM) permet de découvrir les accès de processus et d’utilisateurs irréguliers pouvant déclencher une enquête supplémentaire. Par exemple, un administrateur ou un processus pourrait soudainement accéder à des volumes de données beaucoup plus importants que d’habitude ou tenter d’effectuer un téléchargement non autorisé de fichiers. Ces événements pourraient être le signe d’une attaque de type APT ou d’activités malveillantes d’initiés.

Mesures de contrôle

M.16 Définir et mettre en œuvre une politique pour sécuriser les actifs de l’entreprise lors du départ de personnes de l’entreprise.

Les solutions de Thales

Contrôle des accès privilégiés et journaux de renseignements. Les politiques granulaires de gestion des accès de la plateforme CipherTrust Data Security Platform peuvent être appliquées par utilisateur et l’accès peut être révoqué pour les personnes qui ont quitté l’organisation. Toute tentative d’accès à des données sensibles refusée sera enregistrée dans les journaux de renseignements de sécurité de CipherTrust Security Intelligence.