SlideShare une entreprise Scribd logo

Event e-Xpert Solutions et Tufin - 28 mars 2019

e-Xpert Solutions SA
e-Xpert Solutions SA

Présentation de Patrice Roggeman lors de notre événement e-Xpert Solutions & Tufin, le jeudi 28 mars 2019.

Technologie
1  sur  29
Télécharger pour lire hors ligne
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E De vos applications à vos Firewall, Unifiez votre stratégie de sécurité Orchestrer ses politiques de sécurité réseau, c'est simplifier l’exploitation et améliorer la maîtrise de son infrastructure 01.04.2019 1 Patrice ROGGEMAN Senior Security Engineer Christoph GRAF Presales Engineer
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E AGENDA DE LA PRÉSENTATION 01.04.2019 2 12:00 - 12:30 **Place à l’entrée** • EXIGENCES RÉGLEMENTAIRES • Mondialisation économique, mais pas de réglementation commune ▪ Etats Unis : Cloud Act ▪ Union européenne : GDPR ▪ Suisse (Marchés financiers) FINMA 12:30 - 13:00 **Le Plat Principal** • DOCUMENTATION DE L’INFRASTRUCTURE, OPTIMISATION DES RESSOURCES ET PROCESSUS • Documenter son réseau automatiquement et en temps réel, c’est possible !!! • La cartographie applicative facilite la gestion du cycle de vie des applications • Formaliser et appliquer une politique de filtrage • Automatiser les changements firewall • Facilitation des démarches d’audit
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E AGENDA DE LA PRÉSENTATION 01.04.2019 3 13:00 – 13:30 **Un Moment sucré** • RULE RECERTIFICATION WORKFLOW • MANAGING CLOUD-NATIVE SECURITY POLICIES
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E EXIGENCES RÉGLEMENTAIRES 01.04.2019 4
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E US Cloud Act (Clarifying Lawful Overseas Use of Data) • Toute entreprise édifiée sur le sol américain doit être en mesure de fournir les informations personnelles qu’elle détient sur simple demande des autoritées américaines. • Ce principe s’applique à TOUTES les données, y compris celles hébergées hors US. Exception !!! • Les principes suivants permettent aux Service Provider de refuser cette transmission d’information : • L’individu n’est ni citoyen, ni résidant américain • ET cette démarche expose le Service Provider à des sanctions légales de la part des autorités locales • Exemple : Microsoft Case 01.04.2019 5
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E EU GDPR (Global Data Privacy Regulation) • Les personnes physiques doivent pouvoir “maîtriser” le contenu et l’utilisation de leurs données personnelles hébergées chez les fournisseurs d’accès soumis au droit européen quels que soient les lieux d’hébergement. • Ce principe s’applique à TOUTES les données personnelles collectées par des entités commerciales ou institutionnelles ayant pour “cible” de clientèle, des ressortissants européens (y compris celles hébergées hors EU : sous-traitance, Cloud Services). • Le langage proposé, ainsi que la devise de transaction, font partie des critères d’identification du périmètre d’application. Sanctions encourues !!! • Un max de 4% du CA ou 20 M d’euros 01.04.2019 6
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E FINMA - Autorité suisse de régulation des marchés financiers • Les circulaires détaillent la réglementation : • Les points concernant l’IT sont de plus en plus précis, • Il est important de démontrer une réelle maîtrise de son infrastructure. • Les rapports annuels présentent les statistiques de l’année écoulée ainsi que certaines enquêtes menées : • À noter : est sanctionné le non respect de “l’état de l’art” 01.04.2019 7
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La circulaire FINMA 2008/21 (Risques opérationnels) • 135.1 : Vue d’ensemble actualisée des principaux éléments de l’infrastructure de réseau et inventaire de toutes les applications critiques, de l’infrastructure IT liée et des interfaces avec des tiers. • 135.2 : Définition claire des rôles, tâches et responsabilités en relation avec les applications critiques. • 135.3 : Processus systématique pour l’identification et l’évaluation des risques IT. 01.04.2019 8
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La circulaire FINMA 2018/3 (Outsourcing- Banques et assureurs) • L’entreprise continue à assumer vis-à-vis de la FINMA la même responsabilité que celle qui serait la sienne si elle exerçait elle-même la fonction externalisée. Elle doit garantir à tout moment la conduite en bonne et due forme des affaires. • L’entreprise, sa société d’audit et la FINMA doivent être en mesure de vérifier le respect des dispositions prudentielles auprès du prestataire. Un droit de regard et d’examen intégral, permanent et sans entraves sur la fonction externalisée doit leur être reconnu par contrat. 01.04.2019 9
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Extraits de rapports • «La banque a soutenu dans le cadre de la présente procédure que certaines recommandations du consultant externe allaient au-delà de ce qui était strictement nécessaire au regard de la loi et que les faiblesses y relatives ne pouvaient lui être reprochées. Cet argument est infondé. La loi ne détermine en effet pas elle-même les mesures de sécurité nécessaires mais impose aux établissements bancaires de définir et de mettre en place les mesures d’organisation adaptées à la couverture des risques de leur activité spécifique.» • «Quoi qu’il en soit, (…), la considération de l’ensemble de ces faiblesses permet de constater que l’organisation informatique de la banque ne correspondait pas à une organisation informatique irréprochable selon les exigences légales et les règles de l’art (…). En effet, une organisation irréprochable du secteur informatique exigeait, au vu de l’activité de la banque, une définition uniforme et clairement documentée : des données confidentielles, de l’organisation des supports informatiques sur lesquels elles étaient conservées, des personnes qui en étaient responsables, des mesures de protection qui leur étaient applicables ainsi que des contrôles des processus de travail en matière IT.» 01.04.2019 10
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E En résumé …. • Chaque réglementation devrait faire l’objet d’une matrice de compliance spécifique • Etablir cette matrice nécessite une documentation précise. • Monitorer le respect de ces réglementations nécessite des outils spécifiques • La FINMA exige : • Une documentation précise et actualisée • Une clause d’auditabilité dans le cadre des prestations externalisée 01.04.2019 11
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E DOCUMENTATION DE L’INFRASTRUCTURE, OPTIMISATION DES RESSOURCES ET PROCESSUS 01.04.2019 12
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E • Maintien en condition opérationnelle • Agilité Business • Respect des contraintes régulatoires • La politique de sécurité • Complexité du système d’information • Hétérogénéité des composants • Budgets 01.04.2019 13 Challenge de la gestion de la sécurité des infrastructures LES ENJEUX LES COMPOSANTES
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Les piliers d’une politique de filtrage • Protéger quoi, comment ? • Identification et classification des données • Identification des applications utilisant ces données • Mapping Users / Applications / Infrastructures (RACI, Data at rest, Data in Transit) • Définition de la matrice de filtrage • L’infrastructure réseau • Quels sont ses composants ? • Lesquels participent au transport des données ? • Les modifications de configuration ? • Temps nécessaire à une modification ? • Risque d’erreur • Comment vérifier a posteriori, la pertinence d’une règle de filtrage ? • Post-implémentation • Dans le cadre d’une démarche d’audit 01.04.2019 14
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation : Creation et mise à jour • LA DOCUMENTATION APPLICATIVE • Application Owner • Les données • Les serveurs • Les clients • Les exploitants • Les flux • Les contraintes réglementaires • L’INFRASTRUCTURE RÉSEAU • Les composants • Les configurations en production 01.04.2019 15
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation applicative • PROCESSUS ET OUTILS DE CREATION DOCUMENTAIRE • Rien, Word /Excel……Mieux ???? • PROCESSUS DE MAJ DOCUMENTAIRE ET DE DIFFUSION DES MAJ ? • Réactivité de ces mises à jour ? • Validation de ces mises à jour ? • Prise en compte de ces mises à jour par les autres équipes opérationnelles (network / firewall notamment) ? • Traçabilité de ces mises à jour ? 01.04.2019 16
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation applicative - suite 01.04.2019 17
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation applicative - suite 01.04.2019 18
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La formalisation des politiques de filtrage 01.04.2019 19
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation de l’infrastructure réseau • PROCESSUS ET OUTILS DE CREATION DOCUMENTAIRE • Rien, Visio……Mieux ???? • Règles de routage ? • Règles de filtrage ? • PROCESSUS DE MAJ DOCUMENTAIRE ET DE DIFFUSION DES MAJ ? • Réactivité de ces mises à jour ? • Prise en compte de ces mises à jour par les autres équipes opérationnelles (network / firewall notamment) ? • Traçabilité de ces mises à jour ? 01.04.2019 20
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation de l’infrastructure réseau 01.04.2019 21
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation de l’infrastructure réseau 01.04.2019 22
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La gestion du changement firewall • PROCESSUS D’UPDATE FIREWALL  un workflow formalisé ou non • Comment soumettre et formaliser la demande de changement • Validation de la demande • Réalisation technique • Vérification post-implémentation 01.04.2019 23
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La gestion du changement firewall 01.04.2019 24
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Calcul des modification à apportées 01.04.2019 25
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Le monitoring et l’audit • PROCESSUS D’AUDIT DES RÈGLES DE FILTRAGE • Confronter la documentation à la réalité des configurations et des demandes de changement • Quelle fréquence chez vous ? • Quel coût (en temps homme) ? 01.04.2019 26
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Monitoring “temps réel” 01.04.2019 27
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Et si l’automatisation était possible ? • Quand la MAJ documentaire permet la MAJ automatique des configurations de production • Server Decommissioning • Application Flows Updates • Rule recertification (cf C.Graf présentation) • Cloud visibility (cf C.Graf présentation) 01.04.2019 28
V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E En conclusion • La documentation implique des côuts mais…. • Permet d’accroitre la réactivité (change, audit) • Devient une obligation légale (risque d’amendes et/ou perte de license d’exploitation) => Documenter c’est investir • Surtout si on capitalise sur la documentation afin d’améliorer les processus d’exploitation • Changement automatisé = diminution du risque d’erreur • Reporting automatisé = Optimisation des contrôles internes • Clarté et facilité d’accès à la documentation = Démonstration de maitrise de l’infrastructure et confort pour vos auditeurs externes….. 01.04.2019 29

Recommandé

Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
e-Xpert Solutions SA
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
PRONETIS
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Eim360 Dématérialisation et Archivage électronique
Eim360 Dématérialisation et Archivage électroniqueEim360 Dématérialisation et Archivage électronique
Eim360 Dématérialisation et Archivage électronique
Sollan France
 
Innorpi
InnorpiInnorpi
Innorpi
MarouaChetmi
 

Recommandé

Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018 Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
Présentation d'e-Xpert Solutions et F5 Networks - Event Oct 2018
e-Xpert Solutions SA
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
PRONETIS
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Eim360 Dématérialisation et Archivage électronique
Eim360 Dématérialisation et Archivage électroniqueEim360 Dématérialisation et Archivage électronique
Eim360 Dématérialisation et Archivage électronique
Sollan France
 
Innorpi
InnorpiInnorpi
Innorpi
MarouaChetmi
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
NourAkka1
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
Tactika inc.
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
Soft Computing
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
Gaetan Karre
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
ISACA Chapitre de Québec
 
La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...
La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...
La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...
Seifeddine Dridi
 
Competitic guide comment faire : achat IT
Competitic guide comment faire : achat ITCompetitic guide comment faire : achat IT
Competitic guide comment faire : achat IT
COMPETITIC
 
Conduire un appel d'offres sur un systeme informatique
Conduire un appel d'offres sur un systeme informatique Conduire un appel d'offres sur un systeme informatique
Conduire un appel d'offres sur un systeme informatique
Echecs et Stratégie
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
Kiwi Backup
 
Mise en place d'une stucture d'IE
Mise en place d'une stucture d'IEMise en place d'une stucture d'IE
Mise en place d'une stucture d'IE
OumaimaChouanine
 
TCII_STEP2_FP_35
TCII_STEP2_FP_35TCII_STEP2_FP_35
TCII_STEP2_FP_35
Giovanni Paolo de Pinto
 
Données Personnelles
Données PersonnellesDonnées Personnelles
Données Personnelles
Soft Computing
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
Agence West
 
Exposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseauExposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseau
Abdel Ali El Mahjoub
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational_France
 
web application security
web application securityweb application security
web application security
Marcel TCHOULEGHEU
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
Micropole Group
 
resume-theorique-m108-v2-2206-62b30edcd953e (1).pdf
resume-theorique-m108-v2-2206-62b30edcd953e (1).pdfresume-theorique-m108-v2-2206-62b30edcd953e (1).pdf
resume-theorique-m108-v2-2206-62b30edcd953e (1).pdf
FootballLovers9
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
Obtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur PetrobrasObtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur Petrobras
Alter-Pro Consulting Services
 
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
e-Xpert Solutions SA
 
Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18
e-Xpert Solutions SA
 

Contenu connexe

Similaire à Event e-Xpert Solutions et Tufin - 28 mars 2019

27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
Soft Computing
 
Données Personnelles
Données PersonnellesDonnées Personnelles
Données Personnelles
Soft Computing
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational_France
 

Similaire à Event e-Xpert Solutions et Tufin - 28 mars 2019 (20)

ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...
La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...
La mise en place d’un tableau de bord de veille commerciale : Les opérateurs ...
 
Competitic guide comment faire : achat IT
Competitic guide comment faire : achat ITCompetitic guide comment faire : achat IT
Competitic guide comment faire : achat IT
 
Conduire un appel d'offres sur un systeme informatique
Conduire un appel d'offres sur un systeme informatique Conduire un appel d'offres sur un systeme informatique
Conduire un appel d'offres sur un systeme informatique
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Mise en place d'une stucture d'IE
Mise en place d'une stucture d'IEMise en place d'une stucture d'IE
Mise en place d'une stucture d'IE
 
TCII_STEP2_FP_35
TCII_STEP2_FP_35TCII_STEP2_FP_35
TCII_STEP2_FP_35
 
Données Personnelles
Données PersonnellesDonnées Personnelles
Données Personnelles
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Exposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseauExposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseau
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
 
web application security
web application securityweb application security
web application security
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
resume-theorique-m108-v2-2206-62b30edcd953e (1).pdf
resume-theorique-m108-v2-2206-62b30edcd953e (1).pdfresume-theorique-m108-v2-2206-62b30edcd953e (1).pdf
resume-theorique-m108-v2-2206-62b30edcd953e (1).pdf
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Obtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur PetrobrasObtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur Petrobras
 

Plus de e-Xpert Solutions SA

Plus de e-Xpert Solutions SA (20)

Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...
 
Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18Présentation de nos MVP - F5 devCentral - Event 09-10-18
Présentation de nos MVP - F5 devCentral - Event 09-10-18
 
2018-08_Présentation Corporate
2018-08_Présentation Corporate2018-08_Présentation Corporate
2018-08_Présentation Corporate
 
2018 06 Presentation Cloudguard IaaS de Checkpoint
2018 06 Presentation Cloudguard IaaS de Checkpoint2018 06 Presentation Cloudguard IaaS de Checkpoint
2018 06 Presentation Cloudguard IaaS de Checkpoint
 
2018 06 Presentation Cloudguard SaaS de Checkpoint
2018 06 Presentation Cloudguard SaaS de Checkpoint 2018 06 Presentation Cloudguard SaaS de Checkpoint
2018 06 Presentation Cloudguard SaaS de Checkpoint
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions
 
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutions2018 06 Demo Checkpoint et Splunk e-Xpert solutions
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
 
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...
 
Fédération d'identité, séminaire du 27 novembre 2014
Fédération d'identité, séminaire du 27 novembre 2014Fédération d'identité, séminaire du 27 novembre 2014
Fédération d'identité, séminaire du 27 novembre 2014
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
 
Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?Plus de mobilité ! Moins de sécurité ?
Plus de mobilité ! Moins de sécurité ?
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
Evolution du paysage sécurité
Evolution du paysage sécuritéEvolution du paysage sécurité
Evolution du paysage sécurité
 
Partie III – APM Application Policy Manager
Partie III – APM Application Policy ManagerPartie III – APM Application Policy Manager
Partie III – APM Application Policy Manager
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
Partie I – Décodage technologie ADN
Partie I – Décodage technologie ADNPartie I – Décodage technologie ADN
Partie I – Décodage technologie ADN
 
Séminaire Web Services
Séminaire Web ServicesSéminaire Web Services
Séminaire Web Services
 
Séminaire Sécurisation de la messagerie
Séminaire Sécurisation de la messagerieSéminaire Sécurisation de la messagerie
Séminaire Sécurisation de la messagerie
 

Event e-Xpert Solutions et Tufin - 28 mars 2019

  • 1. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E De vos applications à vos Firewall, Unifiez votre stratégie de sécurité Orchestrer ses politiques de sécurité réseau, c'est simplifier l’exploitation et améliorer la maîtrise de son infrastructure 01.04.2019 1 Patrice ROGGEMAN Senior Security Engineer Christoph GRAF Presales Engineer
  • 2. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E AGENDA DE LA PRÉSENTATION 01.04.2019 2 12:00 - 12:30 **Place à l’entrée** • EXIGENCES RÉGLEMENTAIRES • Mondialisation économique, mais pas de réglementation commune ▪ Etats Unis : Cloud Act ▪ Union européenne : GDPR ▪ Suisse (Marchés financiers) FINMA 12:30 - 13:00 **Le Plat Principal** • DOCUMENTATION DE L’INFRASTRUCTURE, OPTIMISATION DES RESSOURCES ET PROCESSUS • Documenter son réseau automatiquement et en temps réel, c’est possible !!! • La cartographie applicative facilite la gestion du cycle de vie des applications • Formaliser et appliquer une politique de filtrage • Automatiser les changements firewall • Facilitation des démarches d’audit
  • 3. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E AGENDA DE LA PRÉSENTATION 01.04.2019 3 13:00 – 13:30 **Un Moment sucré** • RULE RECERTIFICATION WORKFLOW • MANAGING CLOUD-NATIVE SECURITY POLICIES
  • 4. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E EXIGENCES RÉGLEMENTAIRES 01.04.2019 4
  • 5. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E US Cloud Act (Clarifying Lawful Overseas Use of Data) • Toute entreprise édifiée sur le sol américain doit être en mesure de fournir les informations personnelles qu’elle détient sur simple demande des autoritées américaines. • Ce principe s’applique à TOUTES les données, y compris celles hébergées hors US. Exception !!! • Les principes suivants permettent aux Service Provider de refuser cette transmission d’information : • L’individu n’est ni citoyen, ni résidant américain • ET cette démarche expose le Service Provider à des sanctions légales de la part des autorités locales • Exemple : Microsoft Case 01.04.2019 5
  • 6. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E EU GDPR (Global Data Privacy Regulation) • Les personnes physiques doivent pouvoir “maîtriser” le contenu et l’utilisation de leurs données personnelles hébergées chez les fournisseurs d’accès soumis au droit européen quels que soient les lieux d’hébergement. • Ce principe s’applique à TOUTES les données personnelles collectées par des entités commerciales ou institutionnelles ayant pour “cible” de clientèle, des ressortissants européens (y compris celles hébergées hors EU : sous-traitance, Cloud Services). • Le langage proposé, ainsi que la devise de transaction, font partie des critères d’identification du périmètre d’application. Sanctions encourues !!! • Un max de 4% du CA ou 20 M d’euros 01.04.2019 6
  • 7. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E FINMA - Autorité suisse de régulation des marchés financiers • Les circulaires détaillent la réglementation : • Les points concernant l’IT sont de plus en plus précis, • Il est important de démontrer une réelle maîtrise de son infrastructure. • Les rapports annuels présentent les statistiques de l’année écoulée ainsi que certaines enquêtes menées : • À noter : est sanctionné le non respect de “l’état de l’art” 01.04.2019 7
  • 8. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La circulaire FINMA 2008/21 (Risques opérationnels) • 135.1 : Vue d’ensemble actualisée des principaux éléments de l’infrastructure de réseau et inventaire de toutes les applications critiques, de l’infrastructure IT liée et des interfaces avec des tiers. • 135.2 : Définition claire des rôles, tâches et responsabilités en relation avec les applications critiques. • 135.3 : Processus systématique pour l’identification et l’évaluation des risques IT. 01.04.2019 8
  • 9. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La circulaire FINMA 2018/3 (Outsourcing- Banques et assureurs) • L’entreprise continue à assumer vis-à-vis de la FINMA la même responsabilité que celle qui serait la sienne si elle exerçait elle-même la fonction externalisée. Elle doit garantir à tout moment la conduite en bonne et due forme des affaires. • L’entreprise, sa société d’audit et la FINMA doivent être en mesure de vérifier le respect des dispositions prudentielles auprès du prestataire. Un droit de regard et d’examen intégral, permanent et sans entraves sur la fonction externalisée doit leur être reconnu par contrat. 01.04.2019 9
  • 10. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Extraits de rapports • «La banque a soutenu dans le cadre de la présente procédure que certaines recommandations du consultant externe allaient au-delà de ce qui était strictement nécessaire au regard de la loi et que les faiblesses y relatives ne pouvaient lui être reprochées. Cet argument est infondé. La loi ne détermine en effet pas elle-même les mesures de sécurité nécessaires mais impose aux établissements bancaires de définir et de mettre en place les mesures d’organisation adaptées à la couverture des risques de leur activité spécifique.» • «Quoi qu’il en soit, (…), la considération de l’ensemble de ces faiblesses permet de constater que l’organisation informatique de la banque ne correspondait pas à une organisation informatique irréprochable selon les exigences légales et les règles de l’art (…). En effet, une organisation irréprochable du secteur informatique exigeait, au vu de l’activité de la banque, une définition uniforme et clairement documentée : des données confidentielles, de l’organisation des supports informatiques sur lesquels elles étaient conservées, des personnes qui en étaient responsables, des mesures de protection qui leur étaient applicables ainsi que des contrôles des processus de travail en matière IT.» 01.04.2019 10
  • 11. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E En résumé …. • Chaque réglementation devrait faire l’objet d’une matrice de compliance spécifique • Etablir cette matrice nécessite une documentation précise. • Monitorer le respect de ces réglementations nécessite des outils spécifiques • La FINMA exige : • Une documentation précise et actualisée • Une clause d’auditabilité dans le cadre des prestations externalisée 01.04.2019 11
  • 12. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E DOCUMENTATION DE L’INFRASTRUCTURE, OPTIMISATION DES RESSOURCES ET PROCESSUS 01.04.2019 12
  • 13. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E • Maintien en condition opérationnelle • Agilité Business • Respect des contraintes régulatoires • La politique de sécurité • Complexité du système d’information • Hétérogénéité des composants • Budgets 01.04.2019 13 Challenge de la gestion de la sécurité des infrastructures LES ENJEUX LES COMPOSANTES
  • 14. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Les piliers d’une politique de filtrage • Protéger quoi, comment ? • Identification et classification des données • Identification des applications utilisant ces données • Mapping Users / Applications / Infrastructures (RACI, Data at rest, Data in Transit) • Définition de la matrice de filtrage • L’infrastructure réseau • Quels sont ses composants ? • Lesquels participent au transport des données ? • Les modifications de configuration ? • Temps nécessaire à une modification ? • Risque d’erreur • Comment vérifier a posteriori, la pertinence d’une règle de filtrage ? • Post-implémentation • Dans le cadre d’une démarche d’audit 01.04.2019 14
  • 15. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation : Creation et mise à jour • LA DOCUMENTATION APPLICATIVE • Application Owner • Les données • Les serveurs • Les clients • Les exploitants • Les flux • Les contraintes réglementaires • L’INFRASTRUCTURE RÉSEAU • Les composants • Les configurations en production 01.04.2019 15
  • 16. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation applicative • PROCESSUS ET OUTILS DE CREATION DOCUMENTAIRE • Rien, Word /Excel……Mieux ???? • PROCESSUS DE MAJ DOCUMENTAIRE ET DE DIFFUSION DES MAJ ? • Réactivité de ces mises à jour ? • Validation de ces mises à jour ? • Prise en compte de ces mises à jour par les autres équipes opérationnelles (network / firewall notamment) ? • Traçabilité de ces mises à jour ? 01.04.2019 16
  • 17. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation applicative - suite 01.04.2019 17
  • 18. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation applicative - suite 01.04.2019 18
  • 19. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La formalisation des politiques de filtrage 01.04.2019 19
  • 20. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation de l’infrastructure réseau • PROCESSUS ET OUTILS DE CREATION DOCUMENTAIRE • Rien, Visio……Mieux ???? • Règles de routage ? • Règles de filtrage ? • PROCESSUS DE MAJ DOCUMENTAIRE ET DE DIFFUSION DES MAJ ? • Réactivité de ces mises à jour ? • Prise en compte de ces mises à jour par les autres équipes opérationnelles (network / firewall notamment) ? • Traçabilité de ces mises à jour ? 01.04.2019 20
  • 21. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation de l’infrastructure réseau 01.04.2019 21
  • 22. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La documentation de l’infrastructure réseau 01.04.2019 22
  • 23. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La gestion du changement firewall • PROCESSUS D’UPDATE FIREWALL  un workflow formalisé ou non • Comment soumettre et formaliser la demande de changement • Validation de la demande • Réalisation technique • Vérification post-implémentation 01.04.2019 23
  • 24. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E La gestion du changement firewall 01.04.2019 24
  • 25. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Calcul des modification à apportées 01.04.2019 25
  • 26. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Le monitoring et l’audit • PROCESSUS D’AUDIT DES RÈGLES DE FILTRAGE • Confronter la documentation à la réalité des configurations et des demandes de changement • Quelle fréquence chez vous ? • Quel coût (en temps homme) ? 01.04.2019 26
  • 27. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Monitoring “temps réel” 01.04.2019 27
  • 28. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E Et si l’automatisation était possible ? • Quand la MAJ documentaire permet la MAJ automatique des configurations de production • Server Decommissioning • Application Flows Updates • Rule recertification (cf C.Graf présentation) • Cloud visibility (cf C.Graf présentation) 01.04.2019 28
  • 29. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E En conclusion • La documentation implique des côuts mais…. • Permet d’accroitre la réactivité (change, audit) • Devient une obligation légale (risque d’amendes et/ou perte de license d’exploitation) => Documenter c’est investir • Surtout si on capitalise sur la documentation afin d’améliorer les processus d’exploitation • Changement automatisé = diminution du risque d’erreur • Reporting automatisé = Optimisation des contrôles internes • Clarté et facilité d’accès à la documentation = Démonstration de maitrise de l’infrastructure et confort pour vos auditeurs externes….. 01.04.2019 29