bg-intro-1-banner

ISO/IEC 27002:2013

Thales peut aider votre organisation à se conformer à la norme ISO/IEC 27002:2013

ISO/IEC 27002:2013:

TestISO/IEC 27002 est une norme internationale utilisée en tant que référence en matière de contrôles lors de la mise en place d’un système de gestion de la sécurité des informations, incorporant les contrôles d’accès aux données, le contrôle cryptographique des données sensibles et la gestion des clés.

Thales fournit un grand nombre de solutions requises pour se conformer à cette norme ISO, y compris :

  • un chiffrement des données avec des contrôles d’accès ;
  • une gestion et une protection des clés de chiffrement ;
  • une surveillance des accès aux données pour empêcher toute corruption.
  • Réglementation
  • Conformité

Récapitulatif de la réglementation

La norme ISO/IEC 27002 requiert la mise en place de bonnes pratiques, parmi lesquelles :

  • des contrôles d’accès aux données
  • un contrôle cryptographique des données sensibles
  • une gestion et une protection des clés de chiffrement
  • l’enregistrement et l’archivage de « tous les événements significatifs concernant l’utilisation et la gestion des identités d’utilisateur et des informations d’authentification secrètes » et la protection de ces enregistrements contre les « violations et les accès non autorisés ».

1ISO/IEC 27002, deuxième édition de la norme 2013-10-01 : Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information https://www.iso.org/fr/standard/54533.html

Récapitulatif de conformité

Thales peut vous aider à vous conformer aux normes ISO/IEC 27002:2013 grâce à :

  • des contrôles d’accès qui limitent la récupération des données aux utilisateurs autorisés uniquement ;
  • un chiffrement et une tokénisation des données, de sorte à les rendre illisibles et donc inutilisables si des cybercriminels venaient à les dérober ;
  • une gestion centralisée et un stockage sécurisé des clés de chiffrement dans toute l’organisation ;
  • des journaux de renseignements de sécurité protégés pour identifier les situations d’accès irrégulières et les fuites de données existantes ;

un contrôle d’accès ;

CipherTrust Data Security Platform fournit un contrôle des accès utilisateurs de pointe.

  • Séparation des utilisateurs privilégiés et des données sensibles appartenant aux utilisateurs. Grâce à CipherTrust Data Security Platform, les organisations peuvent créer une séparation des devoirs solide entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de Cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans pouvoir obtenir un accès privilégié aux données sensibles résidant dans les systèmes qu’ils gèrent.
  • Séparation des devoirs d’administration. Il est possible de mettre en place des politiques de séparation des devoirs robustes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.
  • Contrôles d’accès granulaires privilégiés. La solution de Thales peut mettre en application des politiques de gestion des accès d’utilisateurs les moins privilégiés à niveau de granularité élevé, permettant la protection des données contre les abus d’utilisation et les menaces persistantes avancées. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application peuvent contrôler non seulement les permissions d’accès aux données en clair, mais également les commandes de système de fichiers disponibles pour les utilisateurs.

Protection axée sur les données

Thales protège les données mêmes grâce à CipherTrust Transparent Encryption et sa solution intégrée Key Management pour les données au repos, CipherTrust Application Data Protection, CipherTrust Tokenization, et bien plus encore. Ces techniques rendent les données illisibles et inutilisables sans les outils nécessaires pour les déchiffrer.

Gestion des clés unifiée

CipherTrust Enterprise Key Management de Thales fournit une plateforme robuste, basée sur les normes, pour la gestion des clés de chiffrement depuis des sources disparates dans l’entreprise. Elle simplifie la gestion et les défis administratifs autour de la gestion des clés de chiffrement pour garantir que les clés sont protégées et toujours fournies aux services de chiffrement autorisés.

Journaux de renseignements de sécurité

Thales permet à l’entreprise de surveiller et d’identifier un accès aux données irrégulier. CipherTrust Security Intelligence fournit des journaux de gestion détaillés qui précisent quels processus et utilisateurs ont accédé aux données protégées. Ces journaux indiquent :

  • les utilisateurs et les processus ayant accédé aux données, les données consultées et les politiques régissant les accès ;
  • si les demandes d’accès ont été acceptées ou refusées.
  • Découvrez les tentatives d’utilisation d’une commande telle que le changement d’utilisateur par les utilisateurs privilégiés dans le but d’essayer d’imiter les informations d’identification d’un autre utilisateur.

Le partage de ces journaux avec une plateforme SIEM pour la gestion des informations et des événements de sécurité permet de découvrir les accès de processus et d’utilisateurs irréguliers pouvant déclencher une enquête supplémentaire.

  • Ressources associées
  • Autres réglementations de protection des données et sécurité importantes

    RGPD

    RÉGLEMENTATION
    EN VIGUEUR

    Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

    PCI DSS

    MANDAT
    EN VIGUEUR

    Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

    Lois sur la notification des brèches de données

    RÉGLEMENTATION
    EN VIGUEUR

    Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".