la solution ibm pour se conformer avec la loi 09-08
DESCRIPTION
Ce document explique comment la solution IBM de protection des données "Infosphere Guardium", peut aider les entreprise marocaines à se conformer avec la loi 09-08TRANSCRIPT
© 2012 IBM Corporation
IBM Security Systems
1 © 2012 IBM Corporation
Se conformer avec la loi 09-08 avec la solution IBM
de protection des bases de données en temps réel
IBM Infosphere Guardium
Mohammed Amine MARGHICH
Responsable technique
des solutions Information Management
© 2012 IBM Corporation 2
Avertissement
Les clients d'IBM sont responsables d'assurer leur propre conformité aux exigences légales. Il est de la responsabilité du
client d'obtenir les conseils d'un avocat compétent quant à l'identification et à l'interprétation des lois et aux exigences
réglementaires susceptibles d'affecter l'activité du client et toutes les actions que le client peut avoir besoin de prendre
pour se conformer à ces lois.
IBM ne fournit aucun conseil juridique ou garantit que ses produits ou services veilleront à ce que le client soit
en conformité avec la loi.
Les informations contenues dans ce document sont fournies à titre informatif seulement. Bien que des efforts ont été faits
pour vérifier l'exhaustivité et l'exactitude des informations fournies, il est fourni "tel quel" sans garantie d'aucune sorte,
expresse ou implicite. IBM ne peut être tenu responsable des dommages résultant de l'utilisation de cette documentation
ou toute autre documentation. Aucune information contenue dans cette documentation n'a pour objet, ni n'aura pour effet,
de créer une quelconque garantie ou représentation de la part d'IBM (ou de ses fournisseurs ou concédants de licence) ou
de modifier les termes et conditions du contrat de licence en vigueur régissant l'utilisation des logiciels IBM.
© 2012 IBM Corporation 3
Agenda
• Présentation d’IBM Infosphere Guardium
• Présentation de la loi 09-08
• Comment Guardium vous aide à se conformer avec la loi 09-08
© 2012 IBM Corporation 4
Agenda
• Présentation d’IBM Infosphere Guardium
• Présentation de la loi 09-08
• Comment Guardium vous aide à se conformer avec la loi 09-08
© 2012 IBM Corporation 5
Niveau de maturité en termes de sécurité au sein des entreprises
marocaines
*Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?
© 2012 IBM Corporation 6
Evolution constante des règlements mondiaux et d'industrie
Canada:
Personal Information Protection
& Electronics Document Act
USA:
Federal, Financial & Healthcare
Industry Regulations & State Laws
Mexico:
E-Commerce Law
Colombia:
Political Constitution –
Article 15
Brazil:
Constitution, Habeas Data &
Code of Consumer Protection &
Defense
Chile:
Protection of
Personal Data Act
Argentina:
Habeas Data Act
South Africa:
Promotion of Access
to Information Act
United Kingdom:
Data Protection
Act
EU:
Protection
Directive
Morocco:
09-08
Germany:
Federal Data Protection
Act & State Laws
Poland:
Polish
Constitution
Israel:
Protection of
Privacy Law
Pakistan:
Banking Companies
Ordinance
Russia:
Computerization & Protection of Information
/ Participation in Int’l Info Exchange
China
Commercial
Banking Law
Korea:
3 Acts for Financial
Data Privacy
Hong Kong:
Privacy Ordinance
Taiwan:
Computer- Processed
Personal Data
Protection Law Japan:
Guidelines for the
Protection of Computer
Processed Personal Data
India:
SEC Board of
India Act
Vietnam:
Banking Law
Philippines:
Secrecy of Bank
Deposit Act Australia:
Federal Privacy
Amendment Bill
Singapore:
Monetary Authority of
Singapore Act
Indonesia:
Bank Secrecy
Regulation 8
New Zealand:
Privacy Act
© 2012 IBM Corporation 7 7
Le bon outil pour le bon besoin
•L'approche traditionnelle fait un très bon travail pour la sécurité des réseaux
Les activités d'accès aux données sont invisibles aux systèmes traditionnels de sécurité réseau
IPS et Pare-feu
Deep Inspection
Sécurité des bases de données
Pare-feu
Application
Logic
Application and
Database Usage
(New Layer 8+)
Application
Layer
Network
Layer
Protocol Usage
(OSI Layer 4 – 7)
Network Access
(OSI Layer 1 – 3)
•Systèmes de gestion
de base de données
•Nombre limité de
contrôles, des problèmes
de performances,
plusieurs plates-formes…
© 2012 IBM Corporation 8
Points forts
IBM Infosphere Guardium fourni une surveillance et une protection des
données en temps réel
Une seule appliance intégrée
Non-invasive/disruptive, architecture multi-plateforme
Evolutive
Découverte automatique des sources de données et
des données sensibles
Détecter ou bloquer toute activité non autorisée ou
suspecte
Des politiques granulaires, en temps réel ( Qui, quoi,
quand, comment)
Un suivi basé sur des politique de sécurités,
continue et en temps réel, de toutes les
activités de trafic de données, y compris les
actions des utilisateurs privilégiés.
Tests l'infrastructure des bases de données
pour les patches manquants, privilèges mal
configurés et d'autres vulnérabilités Guardium
Appliance
Agents logiciel
(S-TAPs)
Visibilité de 100% y compris l'accès DBA locale
Impact minimal sur les performances
Ne repose pas sur les logs natives qui peuvent
facilement être effacés par les attaquants
malveillants,
Aucun changement sur l'environnement
Base de connaissances des vulnérabilité et des
rapports de conformité de SOX, PCI, etc intégrés
Serveurs de
données (bases de données,
warehouses, fichiers
partagés, Big Data)
© 2012 IBM Corporation 9
Choisi par les plus grandes organisations du monde entier afin de sécuriser leurs
données les plus critiques
Organismes gouvernementaux
8 des 10 premiers opérateurs de télécommunications du monde
2 des 3 premiers détaillants mondiaux
5 des 6 premiers assureurs mondiaux
5 sur les 5 premières banques mondiales
4 des 4 plus grands fournisseurs des services de santé
Protégeant l'accès à plus de 10.869.929.241$ en actifs financiers
Protégeant l'accès aux informations privées de 136 millions patients
Préserver l'intégrité des information de 2,5 milliards des cartes de crédit
Protégeant plus de 100.000 bases de données avec des informations personnelles et privées
Préserver l'intégrité de l'information gouvernementale et du défense du monde
© 2012 IBM Corporation 10
Agenda
• Présentation d’IBM Infosphere Guardium
• Présentation de la loi 09-08
• Comment Guardium vous aide à se conformer avec la loi 09-08
© 2012 IBM Corporation 11
Initiatives des entreprises marocaines orientées vers la loi 09-08
*Livre blanc AUSIM: Données à caractère personnel :Quels enjeux et comment se préparer à la loi 09-08 ?
© 2012 IBM Corporation 12
Loi 09-08: Protection des personnes physique à l’égard du traitement
des données à caractère personnel: 8 Chapitres
Dispositions Générales
Des droits de la personne concernée
Des obligations des responsables du
traitement
De la commission de contrôle de la protection des
données à caractère personnel
Du transfert de données vers un
pays étranger
Du registre de la protection des
données
Des sanctions Dispositions transitoires
© 2012 IBM Corporation 13
Chapitre III, Section 3, Articles 23 et 24: Des obligations de
confidentialité et de sécurité des traitements et de secret professionnel
© 2012 IBM Corporation 14
Chapitre III, Section 3, Articles 23 et 24: Des obligations de
confidentialité et de sécurité des traitements et de secret professionnel
© 2012 IBM Corporation 15
Agenda
• Présentation d’IBM Infosphere Guardium
• Présentation de la loi 09-08
• Comment Guardium vous aide à se conformer avec la loi 09-08
© 2012 IBM Corporation 16
Chapitre III, Section 3, Articles 23 et 24: Des obligations de
confidentialité et de sécurité des traitements et de secret professionnel
© 2012 IBM Corporation 17
# 1:Protection des données à caractère personnel
Guardium S-GATE est un agent logiciel léger installé sur le serveur de données. S-GATE a
des politiques de sécurité granulaires qui fournissent d’une manière automatisés et en
temps réel des contrôles qui empêchent les utilisateurs privilégiés d'exécuter des actions
non autorisées telles que:
# Exécution des requêtes sur des données sensibles « à caractère personnel »
#Modification des données sensibles
#Ajout ou suppression des tables critiques (modifications de schéma) à l'extérieur des
horaires de changement.
#Création de nouveaux comptes utilisateurs et modification des privilèges
S-GATE est absolument non-intrusif, et ne aucune modification sur la base de données. En
conséquence, il est mis en œuvre rapidement sans perturber les applications critiques.
Guardium permet aussi de maquiller des données sensibles lors de l’affichage
de celles-ci dans une requête. Ces données ne sont pas modifiées dans la base de
données, mais maquillées lorsque la requête renvoie son résultat.
© 2012 IBM Corporation 18
S-GATE
Hold SQL
Connection coupée
Violation: Connection coupée
DBA
Issue SQL
Vérification de la règle sur l’appliance
Oracle, DB2, MySQL, Sybase, etc.
Session terminée
SQL (No Latency) Serveurs d’application
Outsourced DBA
Aucun changement de bases de
données ou de l'application
Sans risque d’appliance en ligne
qui peuvent interférer avec le
trafic des applications critiques
Empêche les attaques externes
ainsi que les violations de
politiques par les utilisateurs
privilégiés (DBA, développeurs,
personnel sous-traitance)
# 1:Protection des données à caractère personnel
© 2012 IBM Corporation 19
masquage
Utilisateur non authorisé
Issue SQL
Oracle, DB2, MySQL, Sybase, etc.
SQL Serveurs d’application
Outsourced DBA
S-TAP
Données sur la DB
Données vues par l’utilisateur
# 1:Protection des données à caractère personnel
© 2012 IBM Corporation 20
Chapitre III, Section 3, Articles 23 et 24: Des obligations de
confidentialité et de sécurité des traitements et de secret professionnel
© 2012 IBM Corporation 21
#2 : Empêcher l’introduction non autorisée à travers les systèmes de
traitement automatisés
• Guardium prend en charge l’identification des utilisateurs applicatifs pour les principales
applications d'entreprise et même pour d’autre applications, y compris les développements
spécifique.
• Toutes les transactions de bases de données sont constamment surveillés et analysés en
temps réel, utilisant à la fois des politiques centralisées et des processus de détection des
anomalies afin d'identifier les activités non autorisées ou suspectes. En même temps,
toutes les transactions sont stockées dans un journal d'audit structuré pour l'analyse de
corrélation en temps réel, création des rapports de conformité, l’audit, et la criminalistique.
• Les attaques par injections SQL peuvent être détectées grâce aux rapports sur les erreurs
SQL.
Les hackers tentant d’attaquer un système par injection SQL le font par tatons jusqu’à
trouver la faille. Les rapports fournis par Guardium permettent d’identifier ces tentatives
d’intrusion.
© 2012 IBM Corporation 22
Application Server
Database Server
Joe Marc
User
#2 : Empêcher l’introduction non autorisée à travers les systèmes de
traitement automatisés
© 2012 IBM Corporation 23
Chapitre III, Section 3, Articles 23 et 24: Des obligations de
confidentialité et de sécurité des traitements et de secret professionnel
© 2012 IBM Corporation 24
#3: Garantir qu’il soit possible de vérifier à posteriori, le détail sur les
accès et les manipulations effectué sur les données
• Guardium surveille en permanence toutes les opérations de base de données en temps
réel, afin de détecter des actions non autorisées basées sur des informations contextuelles
détaillées- le «qui, quoi, où, quand et comment» de chaque transaction SQL. Cette
approche unique offre un niveau de contrôle sans précédent, à la différence des approches
traditionnelles qui ne cherchent que les patterns prédéfinis ou des signatures.
• Ces informations sont stockées dans une base de données normalisée permettant de
construire des rapports sur les activités en rapport aux bases de données. Guardium
simplifie et vulgarise pour des non experts en bases de données, la construction des
rapports permet de vulgariser les informations pour les personnels non techniques.
• Les alertes par corrélation de Guardium permettent de faire la corrélation des événements
sur une période donnée de temps afin de détecter toute activité inhabituelle. Par exemple,
on peut détecter des événements tels qu’un grand nombre d'erreurs SQL ou des échecs de
connexion. Les alertes par corrélation utilisé des requêtes qui permettent de détecter si un
seuil spécifié a été dépassée.
© 2012 IBM Corporation 25
#3: Garantir qu’il soit possible de vérifier à posteriori, le détail sur les
accès et les manipulations effectué sur les données
© 2012 IBM Corporation 26
Chapitre III, Section 3, Articles 23 et 24: Des obligations de
confidentialité et de sécurité des traitements et de secret professionnel
© 2012 IBM Corporation 27
#4 : Autorisation temporaire pour un sous traitant
• Prévoir des accès temporaires à des
moments bien déterminés “pour un sous-
traitant par exemple”
• Autorise un utilisateur spécifique, un
accès spécifique à un serveur spécifique
jusqu’à une date déterminée
Opposé de la quarantaine
• Cas pratique: Autoriser l’accès
temporaire à un sous-traitant à la DB de
l’application de facturation pour une mise
à jour ou une modification pendant un
laps de temps bien déterminé
Simplifie la création de contrôles pour des usages appropriés et
élimine les interventions manuelles qui sont source d’erreurs
Guardium Firecall ID
© 2012 IBM Corporation 28
October 26, 2007: Guardium
named a Leader in Forrester
Wave: Enterprise Auditing and
Real-Time Protection
2007 - 2011
InfoSphere Guardium continue de démontrer son leadership …
Source: The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based
on best available resources. Opinions reflect judgment at the time and are subject to change.
© 2012 IBM Corporation
IBM Security Systems
29 © 2012 IBM Corporation
Se conformer avec la loi 09-08 avec la solution IBM
de protection des bases de données en temps réel
IBM Infosphere Guardium