Mercredi 27 Avril 2011Solutions pour une gouvernance efficace

Bernard Montel - Directeur Technique

RSA, Division Sécurité d’EMC

Ère de l’entreprise hyper-étendue

2

EntrepriseHyper étendue

Environnement Complexe en terme de

Risque, Sécurité et Conformité

Supply Chain

Consumérisation de l’IT

Services Cclients

InnovationCollaboration

Extension des Identités

Explosion de l’Information

Evolution del’Infrastructure

Augmentation desRéglementations

BUSINESS ISSUES IMPACT

Virtualization etCloud Computing

Répondres aux défis de nos clients

Prouver la Conformité de

manière cohérente et économique

Sécuriser la Virtualisation & le Cloud Computing

Accès Sécurisé pour une

Mobilité & une Collaboration

accrues

Gérer le risques et les menaces à travers toute

l’entreprise

3How?

Répondres aux défis de nos clients

Prouver la Conformité de

manière cohérente et économique

PCI-DSSRéduire les

coûts, réduire le périmètre

4How?

5

L’approche EMC pour répondre aux défis de nos clients

MENU

La GRC – Analogie avec l’application des lois

Gouvernance = Etablir les règles

Risque= S’assurer que les bonnes règles sont en place et fonctionnent

Conformité = Mesurer l’efficacité d’une règle

– Comprendre le processus utilisé pour définir la règle

– Comprendre si les personnes adhèrent parfaitement à la règle

Best Practices d’EMC Consulting/Implementation

L’approche eGRC d’EMC

Business Continuity

Information Governance

GRC Business Solutions

Security Management

Plate-forme de gestion RSA Archer eGRC

Reprise totale des systèmes et passation de tous les tests en xx

heures

Plan de Continuité et de Reprise d’Activité

Panne du système IT1

Des sites de Back-up et network recovery pout

continuer l’activité sur une autre localisation et

d’accéder aux plans BC/DR hébergés dans

Archer.

2

Les systèmes sont à nouveau en ligne et les détenteurs

d’applications démarrent les procédures de reprise/test

stockées sur Archer

L’IT travaille avec les Business Units pour s’assurer que les

systèmes sont via des plans de test et supervise la progression.

4

5

3

Toute révision du processus de reprise peut être mise à

jour et centralisée dans Archer pour utilisation future.

6

Compliance ManagementDocumenter votre modèle de

contrôle, évaluer son efficacité

Policy ManagementGérer Centralement les politiques, les

rapprocher des objectifs.

Threat ManagementSuivre les menaces avec un système centralisé d’alertes.

Enterprise ManagementGérer les actifs de l’entreprise

Risk ManagementIdentifier les risques pour votre

activité, les mesurer.

Incident ManagementRapporter les incidents et les

violations d’éthique, gérer leur escalade, suivre leur

investigations et analyser leurs résolutions.

Business Continuity ManagementAutomatiser l’approche de la

continuité d’activité et le planning de la reprise.

Audit ManagementGérer Centralement le planning,

la priorité, les équipes et procédures d’audits.

Vendor ManagementCentraliser les données

fournisseurs, et assurer la conformité avec vos politiques et

contrôles.

RSA ArcherSolution de Gouvernance, Risque & Conformité pour l’entreprise

10

Une Approche Flexible

Import de données

Incidents, Ressources, Processus, Scans de Vulnérabilité

Gestion de la conformité et des Incidents

Des exigences de conformité croissantes

12

PCI DSSISOITIL

COBIT

Nous l’avons fait pour SOX, puis

PCI. Mais je fais face à de plus en plus de réglementations. Nous avons

besoin d’un moyen plus efficace de gérer la conformité vis à vis de multiples réglementations et

standards.

”

“

Contrôles Internes et Politique de

Sécurité

Prévision d’augmentation

des réglementations

Impacts Business

Les initiatives de conformité sont traitées comme

des projets individuels

“

”

Les managers ont du mal à prioriser les

menaces en fonction de leur impact sur le

business.

“

”

Les données de conformité sont réparties sur de multiples silos

“

”

Les exceptions à la politique ne sont

pas suivies et exposent un

risque

“

”Le reporting de

conformité est stocké dans des feuilles

Excel et ne représente qu’un moment précis

“

”

Construire votre programme d’IT-GRC

14

Policy Management Incident Management

Réglementations

ObjectifsBusiness

Frameworks

Lois

Gérer Centralement les

politiques, les rapprocher des

objectifs et feuilles de route, et

promouvoir leur connaissance

pour encourager une culture de

gouvernance d’entreprise

PCI

SOLVENCY II

PHI

Rapporter les incidents et les

violations d’éthique, gérer leur

escalade, suivre leurs

investigations et analyser leurs

résolutions.

Comment nous procédons – Solutions RSA Archer IT-GRC

15

Rapprocher des sources qui font autorité

Exploiter les standards de Best-Practice de Contrôle

Créer les politiques

Documenter les Procédures de contrôle

Communiquer aux Employés Traquer les demandes d’Exception

RSA Archer Policy Management Gérer Centralement les politiques, les rapprocher des objectifs et feuilles de route, et

promouvoir leur connaissance pour encourager une culture de gouvernance d’entreprise.

“”

La solution [RSA] Archer Policy Management nous fournit un outil encore plus complet pour gérer efficacement les standards et réglementations pendant que nous continuons à maintenir le plus haut niveau de conformité de notre entreprise et pour nos clients.

Senior VP of Information Security, Financial Services Client

Comment nous procédons – Solutions RSA Archer IT-GRC

16

Résoudre les Incidents Produire des rapports sur les tendances d’Incident

Identifier les Incidents Evaluer les IncidentsGérer les

Investigations

Traquer les Procédures de réponse

“”

Nous sommes maintenant capables de traquer automatiquement tous les incidents relatifs à la

confidentialité et toute information qui pourrait être mal utilisée. Notre équipe de confidentialité peut aisément

rechercher, traquer le statut et produire des rapport avec la solution RSA Archer incident tracking solution.

Information Security Consultant, Insurance Client

RSA Archer Incident Management Report Rapporter les incidents et les violations d’éthique, gérer leur escalade, suivre leurs

investigations et analyser leurs résolutions.

Cas d’utilisation RSA Incident Management

Context Policy

SIEM / DLPDonnées Formatées XML sortant de enVision Task Triage – détails

sur les Incident avec notes associées

Integration Framework Alimentation temps – vers

Archerdes incidents pour le suivi de la

conformité

Incident Dashboards and Workflow

Les Incidents sont assignés à des files d’attente, un workflow

automatise le processus de gestion du case. Des métriques

sont remontées dan un Tableaux de bord dirigeants

“Nous avons économisé 1,500Heures par mois grâce à

l’intégration.”Source: EMC CIRC

Enterprise and Policy MgrLes alertes enVision sont mises

en contexte avec les actifs, risques, processus, équipes, etc.

de l’entreprise

Employee

Business Continuity & Incident Management Use Case #3 Critical Application Crash Recovery

Help Desk

Manual Incident Creation

Communication to all employees

Business ContinuityTeam

Qualify severity, Provide recovery procedure Staff

Close Incident

IT

Auto Incident Creation

Request Business Continuity Support

Major Site Crash

Auto detection

Notificationof application problem

Communicationto all employees

Get Procedure from ArcherExecute Procedure

Recover CrashNotify

Major Site Up Again

PCI-DSS Réduire les coûts, réduire le périmètre

Le Cycle de vie de la conformité PCI

Objectif : définir le périmètre

Impact : évaluer l’impact

Dommages : perte ou fuite de

données sensibles

Pertes : Image

avantages compétifis

Effort: Audit réguliers

Cout : élevé et

difficile à maintenir

Etre conformeà la norme

Sécuriser les Données sensibles

Maintenir le niveau de sécurité

Maintenir la sécurité et

gouverner la mise en

Conformité

Données bancaires et

associées PCI

21

Améliorer la sécurité des données des cartes de paiement

Quelle solution pour réduire le périmètre PCI-DSS ? RSA Data Protection Manager

Protection de la donnée de bout-en-bout

Augmenter la sécurité de la donnée

Réduire le coût opérationnel

Données sensible et

séquestre des clés

Permissions d’accès

Le cycle de vie des clés et des tokens “alias”

Sur l’ensemble du périmètre

PROTEGER RENFORCER GERER ETENDRE

Quelle solution ? RSA Data Protection Manager

RSA Data Protection Manager

Chiffrement applicatif

Protection de bout-en-bout

Performances reconnues (RSA BSAFE)

Support de nombreux algorithmes

Tokenization

Protection de bout-en-bout

Format de donnée préservé

Format de token “alias” paramétrable

Chiffrement données résidentes

Gestion de clés mutualisée dans

l’entreprise

Replication automatique

Sequestre des clés

Protéger Réduction du périmètre PCI par tokenisation

6011-2548-5246-7563

Valeur originale 6011-5872-6325-5564

Tokenization

KJaSA^)(#E&HLghrS$Lja(*&gf

be$%634Hdc

ChiffrementRSA Data Protection Manager

Capacité d’offrir une solution “hybride” pour des deploiements ayant besoin de chiffrement et de tokenisation : RSA Data Protection Manager

Gérer Le cycle de vie des clés et des tokens “alias”

Data Protection Manager prend en compte la génération, distribution, et l’ensemble de la gestion du cycle de vie des clés et

tokens

RSA DPM

Génération de clés et token sécurisée

Distribution sécurisée aux applications

La rotation des clés et des tokens n’est pas seulement nécessaire pour la mise en conformité, mais augmente également la sécurité en réduisant l’exposition des données

Actif

désactivé

compromis

suprrimé

Tokenization versus chiffrement avec RSA DPMOu : comment réduire le périmètre de sensibilité

Tokenization Chiffrement

Performance Modèle centralisé – plus d’effort u niveau serveur

Modème distribué - certaines commandes de protection peuvent être executée au niveau du client

Utilisation “Off-line”

Necessite une connection établie avec le serveur

Peut être executé sans connection au serveur pour une courte durée

Opération fléxible Le format des tokens peut être facilement paramétrable

Les utilisateurs n’ont pas le contrôle du format de la donnée chiffrée

Impact sur le déploiement

Préservation du format de la donnée. Pas d’impact sur la structure des bases de données

Le format des données chiffrées change et doit être manipulé avec attention

Utilisation de la donnée protégée

D’autres applications peuvent utiliser une partie de la donnée du token

Les utilisateurs n’ont pas le contrôle du format de la donnée chiffrée

Protéger les données financières de ses clients résidentes dans le DataCenter

Conformité A Payment Card Industry Data Security Standard (PCI DSS)

OBJECTIFS: SOLUTION: RESULTATS:

Une société Internationale de Transport de colis et lettres a choisit RSA Data Protection Manager pour protéger les données sensibles et réduire le coût de mise en conformité

Référence

RSA Data Protection Manager avec Tokenization

Gérer et réduire the le risque et le coût de mise en conformité vis-à-vis d’un client dans le monde de la finance (plus de $420 Milliards d’actifs)

Déploiement rapide with avec une mise en production en 6 mois

La solution RSA a permis de mettre en conformité ce client et d’appréhender de nouveaux clients

Les solutions RSA pour une meilleure gestion de la conformité à PCI DSS

Governance, Compliance & Risk (GRC) Platform

Manage policies, audits, processes and more

Data Loss Prevention

Identify sensitive data & prevent

leakage

Security Incident & Event Management

Simplify Security operations

Policy Exception Use Case: Archer and DLP

By selecting one of these exception requests, we can see a description and additional detailsand by selecting the details

Thank you!