expert de la s curit des si n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Expert de la sécurité des SI PowerPoint Presentation
Download Presentation
Expert de la sécurité des SI

Loading in 2 Seconds...

play fullscreen
1 / 20

Expert de la sécurité des SI - PowerPoint PPT Presentation


  • 140 Views
  • Uploaded on

Expert de la sécurité des SI. Traçabilité / Conformité / Protection Le tryptique du schéma de vente Guardium. Juillet 2014. Le(s) utilisateurs potentiel(s) de Guardium dans l’Entreprise. Le métier: Traçabilité, Protection des bases de données,

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Expert de la sécurité des SI' - allie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
expert de la s curit des si

Expert de la sécurité des SI

Traçabilité / Conformité/ Protection

Le tryptique du schéma de venteGuardium

Juillet2014

slide2

Le(s) utilisateurs potentiel(s) de Guardium dans l’Entreprise

  • Le métier:
    • Traçabilité,
    • Protection des bases de données,
    • Homogénéité de la solution (agnostique du type de Base de Données)
  • Le RSSI (régulation)
    • Atteinte et preuve de la Conformité,
    • Les rapports à vocation managériale
  • Les opérationnels (bases de Données, sécurité)
slide3

Positionnement du Produit…

  • Aujourd’hui,
  • protection des silos de données abstraction faite des moyens et technologies d’accès
  • ------------
slide4

Le contexte : l’information est un actif clé dans l’entreprise

  • Les données les plus précieuses
    • Donnéesfinancières (prêts, virements, …)
    • Informations, souscriptions clients (contrats, …)
    • Informations de carte de crédit et autres informations de compte,
    • Informationsd'identificationpersonnelle
  • Disponibilité d'importants volumes de données structurées
  • Multiples accès à l’information
slide5

… qui - comme tout actif - doit être protégé des risques potentiels auxquels il estsoumis…

3 catégoriesprincipalesde risques

  • Menaces internes
      • Changements non autorisés (gouvernance)
      • Fuitesd’information
  • Menaces externes
      • Vol,
      • Corruption de données
  • Conformité
      • Simplification des processus
      • Réduction des coûts
slide6

… tout en prenant en compte le renforcement des contraintes imposées par le marché ou les régulateurs

  • L'explosion des violations réussies a entraîné une réglementation plus stricte des données sensibles en Amérique du Nord
    • SOX
    • HIPAA
    • PCI DSS
    • 46 lois étatiques relatives à la confidentialité des données
    • Gramm-Leach-Bliley
  • De nombreux pays d'Europe et d'Asie ont déployé des réglementations similaires
    • Directive européenne sur la confidentialité des données et législations locales sous-jacentes
    • C-SOX
    • FIEL
    • PCI DSS
    • LCEN
    • etc.
slide7

Constat

Les défenses périmétriques ne suffisent plus

« L'approche de type forteresse ne fonctionne pas dans le cyberespace. Il est impossible

de se retrancher derrière une ligne Maginot de pare-feu. »

- William J. Lynn III, Secrétaire adjoint à la défense américaine

Collaborateurs internes (administrateurs de BD, développeurs, prestataires de services, etc.)

Externalisation

Vol d'informations d'identification (Zeus, etc.)

WebFacing des applications

Intégration des applis natives/SOA

Fonctions en libre-service pour les employés ; partenaires et fournisseurs

slide8

Pour protéger ces données, l’entreprise doit être capable de répondre aux questions :

  • Où sont situées mes données sensibles et qui y accède ?
  • Comment puis je renforcer l’accès à mes données et garder un œil sur la modification des politiques d’accès ?
  • Comment auditer les vulnérabilités d’accès à mes données et superviser les changements de configurations ?
  • Comment puis je simplifier et automatiser la mise en conformité des règles d’accès en usage dans le périmètre dont j’ai la charge ?
slide9

Dans l’objectif de couvrir tous les cycles de la sécurité et de la conformité …

Piloter

&

Contrôler

Auditer

&

Reporter

Information

Critique

Evaluer

&

Durcir

Découvrir

&

Hiérarchiser

slide10

…Ce à quoi répond précisément Guardium

  • Connaître les composantes « Quoi » et « Où » des données d'entreprise
  • Protéger les données à l'échelle de toute l'entreprise, tant contre les menaces externes qu'internes
  • Savoir qui accède à vos données, quand, comment et dans quel but
  • Surveiller et générer des rapports sur l'accès aux données, à des fins d'audit

Découvrir et définir

Surveiller et auditer

Sécuriser et protéger

slide11

Agnostique du type de base de données, intégrédansl’entreprise

DATA

Big Data Environments

NEW

InfoSphere BigInsights

Integration with LDAP, IAM, SIEM, TSM, Remedy, …

slide12

Surveillance de bases de données en temps réel

Sondes hébergées sur l'hôte (S-TAP)

Collecteur

Collecteur

  • Architecture non invasive
    • Extérieure à la base de données
    • Répercussions minimes sur les performances (2-3 %)
    • Aucune modification sur le SGBD ou les applications
  • Solution compatible multi-SGBD
  • Visibilité intégrale, y compris sur les accès des administrateurs de bases de données
  • Assure la séparation des tâches
  • Ne s'appuie pas sur des fichiers journaux rattachés au SGBD, qui peuvent être aisément effacés par les pirates ou des collaborateurs internes malintentionnés
  • Politiques et audits granulaires, en temps réel
    • Qui, quoi, quand, comment
  • Génération automatisée de rapports de conformité, des approbations et des escalades (SOX, PCI, NIST, etc.)
slide15

Détection des vulnérabilités et évaluation de la configuration

  • S'appuie sur des normes de l'industrie (DISA STIG et benchmark CIS)
  • Personnalisable
    • Via des scripts personnalisés, des requêtes SQL, des variables d'environnement, etc.
  • Série de tests garantissant une couverture exhaustive :
    • Paramètres des bases de données
    • Systèmed'exploitation
    • Comportementobservé
  • Tests
  • Autorisations
  • Rôles
  • Configurations
  • Versions
  • Tests personnalisés

1

Niveau BD

(Oracle, SQL Server, DB2, Informix, Sybase, MySQL)

Activité de l'utilisateur des bases de données

  • Fichiers de configuration
  • Variables d'environnement
  • Paramètres du registre
  • Tests personnalisés

Niveau OS

(Windows, Solaris, AIX, HP-UX, Linux)

3

2

slide16

Exemple de détection de vulnérabilités

Historique indiquant une progression ou une régression

Note globale

Matrice de notation détaillée

Contrôle du filtrage pour un usage aisé

slide17

Contrôle des accès par niveau de données : assurer un blocage sans équipements en ligne

« Les SGBD ne protègent pas les données contre les administrateurs. Ceux-ci peuvent donc aujourd'hui consulter ou dérober des données confidentielles stockées dans une base de données. » Cabinet Forrester, « Database Security: MarketOverview », Fév. 2009

Trafic de production

Utilisateurs avec droits d'accès

Serveurs d’applications

1

2

Émission de

requête SQL

Contrôle des

accès par

niveau de données

Mise en

attente

de la requête

SQL

Oracle, DB2, SQL Server, etc.

Connexion annulée

Ex: Administrateur de BD en sous-traitance

4

Contrôle des politiques

sur l'équipement

3

Infraction à unepolitique :

connexion coupée (ou utilisateur placé en quarantaine)

Session clôturée

slide18

Jean

Identification des fraudes au niveau de la couche Application

Marc

  • Problème : le serveur d'applications utilise un compte de service générique pour accéder à la base de données
    • La personne ayant initié la transaction n'est pas identifiée (pools de connexions)
  • Solution : Guardium assure le suivi des accès des utilisateurs des applications, en se basant sur des commandes SQL spécifiques
    • Prise en charge en standard de toutes les grandes applications d'entreprise (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos…) et des applications personnalisées (WebSphere...)

utilisateur

Serveur d'applications

Serveur de bases de données

slide19

Des politiques affinées avec des alertes en temps réel

Serveur de bases de données

10.10.9.56

Serveur d'application

10.10.9.244