la solution ibm pour se conformer avec la loi 09-08

© 2012 IBM Corporation

IBM Security Systems

1 © 2012 IBM Corporation

Se conformer avec la loi 09-08 avec la solution IBM

de protection des bases de données en temps réel

IBM Infosphere Guardium

Mohammed Amine MARGHICH

Responsable technique

des solutions Information Management

[email protected]

© 2012 IBM Corporation 2

Avertissement

Les clients d'IBM sont responsables d'assurer leur propre conformité aux exigences légales. Il est de la responsabilité du

client d'obtenir les conseils d'un avocat compétent quant à l'identification et à l'interprétation des lois et aux exigences

réglementaires susceptibles d'affecter l'activité du client et toutes les actions que le client peut avoir besoin de prendre

pour se conformer à ces lois.

IBM ne fournit aucun conseil juridique ou garantit que ses produits ou services veilleront à ce que le client soit

en conformité avec la loi.

Les informations contenues dans ce document sont fournies à titre informatif seulement. Bien que des efforts ont été faits

pour vérifier l'exhaustivité et l'exactitude des informations fournies, il est fourni "tel quel" sans garantie d'aucune sorte,

expresse ou implicite. IBM ne peut être tenu responsable des dommages résultant de l'utilisation de cette documentation

ou toute autre documentation. Aucune information contenue dans cette documentation n'a pour objet, ni n'aura pour effet,

de créer une quelconque garantie ou représentation de la part d'IBM (ou de ses fournisseurs ou concédants de licence) ou

de modifier les termes et conditions du contrat de licence en vigueur régissant l'utilisation des logiciels IBM.


Agenda

• Présentation d’IBM Infosphere Guardium

• Présentation de la loi 09-08

• Comment Guardium vous aide à se conformer avec la loi 09-08


Agenda





Niveau de maturité en termes de sécurité au sein des entreprises

marocaines

*Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?


Evolution constante des règlements mondiaux et d'industrie

Canada:

Personal Information Protection

& Electronics Document Act

USA:

Federal, Financial & Healthcare

Industry Regulations & State Laws

Mexico:

E-Commerce Law

Colombia:

Political Constitution –

Article 15

Brazil:

Constitution, Habeas Data &

Code of Consumer Protection &

Defense

Chile:

Protection of

Personal Data Act

Argentina:

Habeas Data Act

South Africa:

Promotion of Access

to Information Act

United Kingdom:

Data Protection

Act

EU:

Protection

Directive

Morocco:

09-08

Germany:

Federal Data Protection

Act & State Laws

Poland:

Polish

Constitution

Israel:

Protection of

Privacy Law

Pakistan:

Banking Companies

Ordinance

Russia:

Computerization & Protection of Information

/ Participation in Int’l Info Exchange

China

Commercial

Banking Law

Korea:

3 Acts for Financial

Data Privacy

Hong Kong:

Privacy Ordinance

Taiwan:

Computer- Processed

Personal Data

Protection Law Japan:

Guidelines for the

Protection of Computer

Processed Personal Data

India:

SEC Board of

India Act

Vietnam:

Banking Law

Philippines:

Secrecy of Bank

Deposit Act Australia:

Federal Privacy

Amendment Bill

Singapore:

Monetary Authority of

Singapore Act

Indonesia:

Bank Secrecy

Regulation 8

New Zealand:

Privacy Act

© 2012 IBM Corporation 7 7

Le bon outil pour le bon besoin

•L'approche traditionnelle fait un très bon travail pour la sécurité des réseaux

Les activités d'accès aux données sont invisibles aux systèmes traditionnels de sécurité réseau

IPS et Pare-feu

Deep Inspection

Sécurité des bases de données

Pare-feu

Application

Logic

Application and

Database Usage

(New Layer 8+)

Application

Layer

Network

Layer

Protocol Usage

(OSI Layer 4 – 7)

Network Access

(OSI Layer 1 – 3)

•Systèmes de gestion

de base de données

•Nombre limité de

contrôles, des problèmes

de performances,

plusieurs plates-formes…


Points forts

IBM Infosphere Guardium fourni une surveillance et une protection des

données en temps réel

Une seule appliance intégrée

Non-invasive/disruptive, architecture multi-plateforme

Evolutive

Découverte automatique des sources de données et

des données sensibles

Détecter ou bloquer toute activité non autorisée ou

suspecte

Des politiques granulaires, en temps réel ( Qui, quoi,

quand, comment)

Un suivi basé sur des politique de sécurités,

continue et en temps réel, de toutes les

activités de trafic de données, y compris les

actions des utilisateurs privilégiés.

Tests l'infrastructure des bases de données

pour les patches manquants, privilèges mal

configurés et d'autres vulnérabilités Guardium

Appliance

Agents logiciel

(S-TAPs)

Visibilité de 100% y compris l'accès DBA locale

Impact minimal sur les performances

Ne repose pas sur les logs natives qui peuvent

facilement être effacés par les attaquants

malveillants,

Aucun changement sur l'environnement

Base de connaissances des vulnérabilité et des

rapports de conformité de SOX, PCI, etc intégrés

Serveurs de

données (bases de données,

warehouses, fichiers

partagés, Big Data)


Choisi par les plus grandes organisations du monde entier afin de sécuriser leurs

données les plus critiques

Organismes gouvernementaux

8 des 10 premiers opérateurs de télécommunications du monde

2 des 3 premiers détaillants mondiaux

5 des 6 premiers assureurs mondiaux

5 sur les 5 premières banques mondiales

4 des 4 plus grands fournisseurs des services de santé

Protégeant l'accès à plus de 10.869.929.241$ en actifs financiers

Protégeant l'accès aux informations privées de 136 millions patients

Préserver l'intégrité des information de 2,5 milliards des cartes de crédit

Protégeant plus de 100.000 bases de données avec des informations personnelles et privées

Préserver l'intégrité de l'information gouvernementale et du défense du monde


Agenda





Initiatives des entreprises marocaines orientées vers la loi 09-08

*Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?


Loi 09-08: Protection des personnes physique à l’égard du traitement

des données à caractère personnel: 8 Chapitres

Dispositions Générales

Des droits de la personne concernée

Des obligations des responsables du

traitement

De la commission de contrôle de la protection des

données à caractère personnel

Du transfert de données vers un

pays étranger

Du registre de la protection des

données

Des sanctions Dispositions transitoires


Chapitre III, Section 3, Articles 23 et 24: Des obligations de

confidentialité et de sécurité des traitements et de secret professionnel


Agenda





# 1:Protection des données à caractère personnel

Guardium S-GATE est un agent logiciel léger installé sur le serveur de données. S-GATE a

des politiques de sécurité granulaires qui fournissent d’une manière automatisés et en

temps réel des contrôles qui empêchent les utilisateurs privilégiés d'exécuter des actions

non autorisées telles que:

# Exécution des requêtes sur des données sensibles « à caractère personnel »

#Modification des données sensibles

#Ajout ou suppression des tables critiques (modifications de schéma) à l'extérieur des

horaires de changement.

#Création de nouveaux comptes utilisateurs et modification des privilèges

S-GATE est absolument non-intrusif, et ne aucune modification sur la base de données. En

conséquence, il est mis en œuvre rapidement sans perturber les applications critiques.

Guardium permet aussi de maquiller des données sensibles lors de l’affichage

de celles-ci dans une requête. Ces données ne sont pas modifiées dans la base de

données, mais maquillées lorsque la requête renvoie son résultat.


S-GATE

Hold SQL

Connection coupée

Violation: Connection coupée

DBA

Issue SQL

Vérification de la règle sur l’appliance

Oracle, DB2, MySQL, Sybase, etc.

Session terminée

SQL (No Latency) Serveurs d’application

Outsourced DBA

Aucun changement de bases de

données ou de l'application

Sans risque d’appliance en ligne

qui peuvent interférer avec le

trafic des applications critiques

Empêche les attaques externes

ainsi que les violations de

politiques par les utilisateurs

privilégiés (DBA, développeurs,

personnel sous-traitance)



masquage

Utilisateur non authorisé

Issue SQL

Oracle, DB2, MySQL, Sybase, etc.

SQL Serveurs d’application

Outsourced DBA

S-TAP

Données sur la DB

Données vues par l’utilisateur



#2 : Empêcher l’introduction non autorisée à travers les systèmes de

traitement automatisés

• Guardium prend en charge l’identification des utilisateurs applicatifs pour les principales

applications d'entreprise et même pour d’autre applications, y compris les développements

spécifique.

• Toutes les transactions de bases de données sont constamment surveillés et analysés en

temps réel, utilisant à la fois des politiques centralisées et des processus de détection des

anomalies afin d'identifier les activités non autorisées ou suspectes. En même temps,

toutes les transactions sont stockées dans un journal d'audit structuré pour l'analyse de

corrélation en temps réel, création des rapports de conformité, l’audit, et la criminalistique.

• Les attaques par injections SQL peuvent être détectées grâce aux rapports sur les erreurs

SQL.

Les hackers tentant d’attaquer un système par injection SQL le font par tatons jusqu’à

trouver la faille. Les rapports fournis par Guardium permettent d’identifier ces tentatives

d’intrusion.


Application Server

Database Server

Joe Marc

User

#2 : Empêcher l’introduction non autorisée à travers les systèmes de

traitement automatisés


#3: Garantir qu’il soit possible de vérifier à posteriori, le détail sur les

accès et les manipulations effectué sur les données

• Guardium surveille en permanence toutes les opérations de base de données en temps

réel, afin de détecter des actions non autorisées basées sur des informations contextuelles

détaillées- le «qui, quoi, où, quand et comment» de chaque transaction SQL. Cette

approche unique offre un niveau de contrôle sans précédent, à la différence des approches

traditionnelles qui ne cherchent que les patterns prédéfinis ou des signatures.

• Ces informations sont stockées dans une base de données normalisée permettant de

construire des rapports sur les activités en rapport aux bases de données. Guardium

simplifie et vulgarise pour des non experts en bases de données, la construction des

rapports permet de vulgariser les informations pour les personnels non techniques.

• Les alertes par corrélation de Guardium permettent de faire la corrélation des événements

sur une période donnée de temps afin de détecter toute activité inhabituelle. Par exemple,

on peut détecter des événements tels qu’un grand nombre d'erreurs SQL ou des échecs de

connexion. Les alertes par corrélation utilisé des requêtes qui permettent de détecter si un

seuil spécifié a été dépassée.


#3: Garantir qu’il soit possible de vérifier à posteriori, le détail sur les

accès et les manipulations effectué sur les données


#4 : Autorisation temporaire pour un sous traitant

• Prévoir des accès temporaires à des

moments bien déterminés “pour un sous-

traitant par exemple”

• Autorise un utilisateur spécifique, un

accès spécifique à un serveur spécifique

jusqu’à une date déterminée

Opposé de la quarantaine

• Cas pratique: Autoriser l’accès

temporaire à un sous-traitant à la DB de

l’application de facturation pour une mise

à jour ou une modification pendant un

laps de temps bien déterminé

Simplifie la création de contrôles pour des usages appropriés et

élimine les interventions manuelles qui sont source d’erreurs

Guardium Firecall ID


October 26, 2007: Guardium

named a Leader in Forrester

Wave: Enterprise Auditing and

Real-Time Protection

2007 - 2011

InfoSphere Guardium continue de démontrer son leadership …

Source: The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based

on best available resources. Opinions reflect judgment at the time and are subject to change.

© 2012 IBM Corporation

IBM Security Systems

29 © 2012 IBM Corporation

Se conformer avec la loi 09-08 avec la solution IBM

de protection des bases de données en temps réel

IBM Infosphere Guardium

la solution ibm pour se conformer avec la loi 09-08

Documents

solution ibm de protection

logiciels ibm

protection act eu

computerization protection

the protection

protection law japan

act argentina

protection directive