bg-intro-1-banner

ISO/IEC 27002:2013

Thales peut aider votre organisation à se conformer à la norme ISO/IEC 27002:2013

ISO/IEC 27002:2013:

TestISO/IEC 27002 est une norme internationale utilisée en tant que référence en matière de contrôles lors de la mise en place d’un système de gestion de la sécurité des informations, incorporant les contrôles d’accès aux données, le contrôle cryptographique des données sensibles et la gestion des clés.

Thales fournit un grand nombre de solutions requises pour se conformer à cette norme ISO, y compris :

  • un chiffrement des données avec des contrôles d’accès ;
  • une gestion et une protection des clés de chiffrement ;
  • une surveillance des accès aux données pour empêcher toute corruption.
  • Réglementation
  • Conformité

Récapitulatif de la réglementation

La norme ISO/IEC 27002 requiert la mise en place de bonnes pratiques, parmi lesquelles :

  • des contrôles d’accès aux données
  • un contrôle cryptographique des données sensibles
  • une gestion et une protection des clés de chiffrement
  • l’enregistrement et l’archivage de « tous les événements significatifs concernant l’utilisation et la gestion des identités d’utilisateur et des informations d’authentification secrètes » et la protection de ces enregistrements contre les « violations et les accès non autorisés ».

1ISO/IEC 27002, deuxième édition de la norme 2013-10-01 : Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information https://www.iso.org/fr/standard/54533.html

Récapitulatif de conformité

Thales peut vous aider à vous conformer aux normes ISO/IEC 27002:2013 grâce à :

  • des contrôles d’accès qui limitent la récupération des données aux utilisateurs autorisés uniquement ;
  • un chiffrement et une tokénisation des données, de sorte à les rendre illisibles et donc inutilisables si des cybercriminels venaient à les dérober ;
  • une gestion centralisée et un stockage sécurisé des clés de chiffrement dans toute l’organisation ;
  • des journaux de renseignements de sécurité protégés pour identifier les situations d’accès irrégulières et les fuites de données existantes ;

un contrôle d’accès ;

CipherTrust Data Security Platform fournit un contrôle des accès utilisateurs de pointe.

  • Séparation des utilisateurs privilégiés et des données sensibles appartenant aux utilisateurs. Grâce à CipherTrust Data Security Platform, les organisations peuvent créer une séparation des devoirs solide entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de Cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans pouvoir obtenir un accès privilégié aux données sensibles résidant dans les systèmes qu’ils gèrent.
  • Séparation des devoirs d’administration. Il est possible de mettre en place des politiques de séparation des devoirs robustes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.
  • Contrôles d’accès granulaires privilégiés. La solution de Thales peut mettre en application des politiques de gestion des accès d’utilisateurs les moins privilégiés à niveau de granularité élevé, permettant la protection des données contre les abus d’utilisation et les menaces persistantes avancées. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application peuvent contrôler non seulement les permissions d’accès aux données en clair, mais également les commandes de système de fichiers disponibles pour les utilisateurs.

Protection axée sur les données

Thales protège les données mêmes grâce à CipherTrust Transparent Encryption et sa solution intégrée Key Management pour les données au repos, CipherTrust Application Data Protection, CipherTrust Tokenization, et bien plus encore. Ces techniques rendent les données illisibles et inutilisables sans les outils nécessaires pour les déchiffrer.

Gestion des clés unifiée

CipherTrust Enterprise Key Management de Thales fournit une plateforme robuste, basée sur les normes, pour la gestion des clés de chiffrement depuis des sources disparates dans l’entreprise. Elle simplifie la gestion et les défis administratifs autour de la gestion des clés de chiffrement pour garantir que les clés sont protégées et toujours fournies aux services de chiffrement autorisés.

Journaux de renseignements de sécurité

Thales permet à l’entreprise de surveiller et d’identifier un accès aux données irrégulier. CipherTrust Security Intelligence fournit des journaux de gestion détaillés qui précisent quels processus et utilisateurs ont accédé aux données protégées. Ces journaux indiquent :

  • les utilisateurs et les processus ayant accédé aux données, les données consultées et les politiques régissant les accès ;
  • si les demandes d’accès ont été acceptées ou refusées.
  • Découvrez les tentatives d’utilisation d’une commande telle que le changement d’utilisateur par les utilisateurs privilégiés dans le but d’essayer d’imiter les informations d’identification d’un autre utilisateur.

Le partage de ces journaux avec une plateforme SIEM pour la gestion des informations et des événements de sécurité permet de découvrir les accès de processus et d’utilisateurs irréguliers pouvant déclencher une enquête supplémentaire.

  • Ressources associées
    • Fortrex: Using Encryption And Access Control For HIPAA Compliance - White Paper

    Fortrex: Using Encryption And Access Control For HIPAA Compliance - White Paper

    Since 1997 Fortrex Technologies, Inc. has been providing IT Governance, Risk, and Compliance advisory services and solutions. In this white paper Fortrex explores how encryption, access control and file access audit logs from Thales can Contributes to HIPAA compliance and...

    Download
    CipherTrust Transparent Encryption - White Paper

    CipherTrust Transparent Encryption - White Paper

    Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

    Download
    CipherTrust Transparent Encryption - Product Brief

    CipherTrust Transparent Encryption - Product Brief

    Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...

    Download
    The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

    The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

    Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

    Download
    The Enterprise Encryption Blueprint - White Paper

    The Enterprise Encryption Blueprint - White Paper

    You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

    Download
    eBook – Le chiffrement intégral, guide pratique pour protéger vos données sensibles

    eBook – Le chiffrement intégral, guide pratique pour protéger vos données sensibles

    En tant qu’expert en matière de sécurité des données pour votre entreprise, vous devez protéger les données sensibles de votre organisation en développant et appliquant une stratégie de chiffrement à l’échelle de l’entreprise. Mais il est très difficile d’identifier où...

    Download

    Autres réglementations de protection des données et sécurité importantes

    RGPD

    RÉGLEMENTATION
    EN VIGUEUR

    Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

    En savoir plus

    PCI DSS

    MANDAT
    EN VIGUEUR

    Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

    En savoir plus

    Lois sur la notification des brèches de données

    RÉGLEMENTATION
    EN VIGUEUR

    Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".

    En savoir plus
    man with laptop

    Contactez un spécialiste compliance

    Nous contacter
    laptop

    Êtes-vous prêt pour le RGPD ?

    Explorer
    two men

    Découvrer le guide Solutions de mise en conformité et réglementations.

    Télécharger

    Solutions associées

    Partners Resources Blogs Sentinel Drivers