Le concept d’innovation systématique développé à l’origine pour les produits est aussi pertinent pour l’industrie des services.
Les innovations récemment observées dans le domaine de la GIA cadrent parfaitement avec les principes innovants de TRIZ.
Cette présentation détaille les points clés à prendre en compte pour structurer et sécuriser une démarche BYOD au sein de l'entreprise.
Generation Y, nouveaux usages, Shadow IT font souvent référence à une tendance marquée par la volonté d'utiliser son device personnel dans un cadre professionnel.
Ce support présente une synthèse des principaux processus de l'IAM :
Les processus de gestion des identités,
Les processus de gestion des habilitations,
Les processus de gestion de la conformité.
Le contenu met en perspective la gestion d'un projet IAM, la gestion de la relation client, la gestion du périmètre avec une approche didactique visant à rendre accessible la compréhension des macro-processus de l'IAM.
Atelier IDaaS - Les assises de la sécurité - 2013Marc Rousselet
Le déploiement des applications en mode SaaS, Office 365, Yammer, Salesforce, WebEX, Box et bien d’autres…devient incontournable. Cette démarche est souvent accompagnée d'une volonté de profiter des nouveaux usages telles que la mobilité, l'utilisation des tablettes et des smartphones, le BYOD, ..
Si l'IAM (Identity & Access management) n'est pas adapté à ce nouveau contexte, le taux d'adoption des nouvelles applications accompagné par ces nouveaux usages s'en trouvera ralenti. La multiplicité des Login/Mot de passe deviendra rapidement un frein à l'adoption en même temps qu’une menace sur la sécurité globale.
C'est pourquoi une stratégie d’adoption du SaaS doit être accompagnée d’une gouvernance des Identités et des Accès cohérente.
Découvrez dans cette étude :
- État de l’art des offres IDaaS du marché : critères fonctionnels, techniques et juridiques
- De l’IAM traditionnelle à l’IDentity as a Service : contraintes, bénéfices, les scénarios possibles et les architectures
- Les offres du marché, actuelles et futures
- Les freins et les leviers : retour d’expériences clients
Étude réalisée au cours du premier semestre 2013 à partir d'un panel de clients représentatifs des grands secteurs d'activités du CAC40.
Présentée aux assises de la sécurité à Monaco le 3 Octobre 2013.
Le concept d’innovation systématique développé à l’origine pour les produits est aussi pertinent pour l’industrie des services.
Les innovations récemment observées dans le domaine de la GIA cadrent parfaitement avec les principes innovants de TRIZ.
Cette présentation détaille les points clés à prendre en compte pour structurer et sécuriser une démarche BYOD au sein de l'entreprise.
Generation Y, nouveaux usages, Shadow IT font souvent référence à une tendance marquée par la volonté d'utiliser son device personnel dans un cadre professionnel.
Ce support présente une synthèse des principaux processus de l'IAM :
Les processus de gestion des identités,
Les processus de gestion des habilitations,
Les processus de gestion de la conformité.
Le contenu met en perspective la gestion d'un projet IAM, la gestion de la relation client, la gestion du périmètre avec une approche didactique visant à rendre accessible la compréhension des macro-processus de l'IAM.
Atelier IDaaS - Les assises de la sécurité - 2013Marc Rousselet
Le déploiement des applications en mode SaaS, Office 365, Yammer, Salesforce, WebEX, Box et bien d’autres…devient incontournable. Cette démarche est souvent accompagnée d'une volonté de profiter des nouveaux usages telles que la mobilité, l'utilisation des tablettes et des smartphones, le BYOD, ..
Si l'IAM (Identity & Access management) n'est pas adapté à ce nouveau contexte, le taux d'adoption des nouvelles applications accompagné par ces nouveaux usages s'en trouvera ralenti. La multiplicité des Login/Mot de passe deviendra rapidement un frein à l'adoption en même temps qu’une menace sur la sécurité globale.
C'est pourquoi une stratégie d’adoption du SaaS doit être accompagnée d’une gouvernance des Identités et des Accès cohérente.
Découvrez dans cette étude :
- État de l’art des offres IDaaS du marché : critères fonctionnels, techniques et juridiques
- De l’IAM traditionnelle à l’IDentity as a Service : contraintes, bénéfices, les scénarios possibles et les architectures
- Les offres du marché, actuelles et futures
- Les freins et les leviers : retour d’expériences clients
Étude réalisée au cours du premier semestre 2013 à partir d'un panel de clients représentatifs des grands secteurs d'activités du CAC40.
Présentée aux assises de la sécurité à Monaco le 3 Octobre 2013.
Le déploiement des applications en mode SaaS, Office 365, Yammer, Salesforce, WebEX, Box et bien d’autres…devient incontournable. Cette démarche est souvent accompagnée d'une volonté de profiter des nouveaux usages telles que la mobilité, l'utilisation des tablettes et des smartphones, le BYOD, ..
Si l'IAM (Identity & Access management) n'est pas adapté à ce nouveau contexte, le taux d'adoption des nouvelles applications ou des nouveaux usages s'en trouvera ralenti. La multiplicité des Login/Mot de passe deviendra rapidement un frein à cette adoption en même temps qu’une menace sur la sécurité globale.
C'est pourquoi une stratégie d’adoption du SaaS doit être accompagnée d’une stratégie de gouvernance et de sécurité des Identités et des Accès cohérente.
Découvrez dans cette étude :
- État de l’art des offres IDaaS du marché : critères fonctionnels, techniques et juridiques
- De l’IAM traditionnelle à l’IDentity as a Service : contraintes, bénéfices, les scénarios possibles et les architectures
- Les offres du marché, actuelles et futures
- Les freins et les leviers : retour d’expériences clients
Étude réalisée au cours du premier semestre 2013 à partir d'un panel de clients représentatifs des différents secteurs d'activités des sociétés du CAC40.
Synthèse de l'étude présentée aux assises de la sécurité à Monaco le 3 Octobre 2013.
La gouvernance IAM au service des stratégies métiersMarc Rousselet
Ce support présente comment la gouvernance des identités (IAG) dans le cadre de la conformité peut permettre de :
Comprendre qui a accès à quoi à tout moment, et ce que peuvent faire effectivement les utilisateurs du SI avec leurs habilitations ;
Garantir la réussite des projets de provisioning et capitaliser dessus ;
Renforcer la conformité aux diverses réglementations en vigueur , tout en économisant du temps
et, dans le cadre de l’Entreprise Étendue, faciliter l'émergence de nouveaux modèles de business
La solution de SailPoint est présentée pour démontrer comment une solution IAM de nouvelle génération peut aider une organisation à assurer sa mise en conformité de manière efficace et à la maintenir dans la durée.
Pensez-vous que vous gérez correctement les droits d’accès à vos outils informatiques ?
Vous êtes bien conscients des risques que vous font courir les accès abusifs ou intrusions dans vos outils informatiques. Ceci peut aller de la simple consultation d’informations privées ou confidentielles à l’altération des données, voire du code source, sans oublier les falsifications, détournements ou fraudes en tous genres.
Vous ne voulez pas prendre ces risques, ce document qui décrit les principes fondamentaux de la gestion des habilitations est fait pour vous aider.
Pour télécharger la dernière version, rendez vous sur la page "http://futurpartage.fr/communaute/le-processus-de-gestion-des-habilitations"
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Martin Samson (Nurun)
Déploiement d'une infrastructure à clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
MISE EN PLACE D’UNE INFRASTRUCTURE À CLÉS PUBLIQUES (ICP) ENJEUX ET CONFORMITÉ
UNE VISION PRATIQUE
par HECTOR SZABO et THOMAS PORNIN
le 31 mars 2015, ISACA-Québec
Au forum BYOD Les Affaires, mot d'ouverture du PDG de Linkbynet Canada, Julien Trassard. Présentation autour des choix de cloud et le rôle facilitateur du Cloud broker.
Le déploiement des applications en mode SaaS, Office 365, Yammer, Salesforce, WebEX, Box et bien d’autres…devient incontournable. Cette démarche est souvent accompagnée d'une volonté de profiter des nouveaux usages telles que la mobilité, l'utilisation des tablettes et des smartphones, le BYOD, ..
Si l'IAM (Identity & Access management) n'est pas adapté à ce nouveau contexte, le taux d'adoption des nouvelles applications ou des nouveaux usages s'en trouvera ralenti. La multiplicité des Login/Mot de passe deviendra rapidement un frein à cette adoption en même temps qu’une menace sur la sécurité globale.
C'est pourquoi une stratégie d’adoption du SaaS doit être accompagnée d’une stratégie de gouvernance et de sécurité des Identités et des Accès cohérente.
Découvrez dans cette étude :
- État de l’art des offres IDaaS du marché : critères fonctionnels, techniques et juridiques
- De l’IAM traditionnelle à l’IDentity as a Service : contraintes, bénéfices, les scénarios possibles et les architectures
- Les offres du marché, actuelles et futures
- Les freins et les leviers : retour d’expériences clients
Étude réalisée au cours du premier semestre 2013 à partir d'un panel de clients représentatifs des différents secteurs d'activités des sociétés du CAC40.
Synthèse de l'étude présentée aux assises de la sécurité à Monaco le 3 Octobre 2013.
La gouvernance IAM au service des stratégies métiersMarc Rousselet
Ce support présente comment la gouvernance des identités (IAG) dans le cadre de la conformité peut permettre de :
Comprendre qui a accès à quoi à tout moment, et ce que peuvent faire effectivement les utilisateurs du SI avec leurs habilitations ;
Garantir la réussite des projets de provisioning et capitaliser dessus ;
Renforcer la conformité aux diverses réglementations en vigueur , tout en économisant du temps
et, dans le cadre de l’Entreprise Étendue, faciliter l'émergence de nouveaux modèles de business
La solution de SailPoint est présentée pour démontrer comment une solution IAM de nouvelle génération peut aider une organisation à assurer sa mise en conformité de manière efficace et à la maintenir dans la durée.
Pensez-vous que vous gérez correctement les droits d’accès à vos outils informatiques ?
Vous êtes bien conscients des risques que vous font courir les accès abusifs ou intrusions dans vos outils informatiques. Ceci peut aller de la simple consultation d’informations privées ou confidentielles à l’altération des données, voire du code source, sans oublier les falsifications, détournements ou fraudes en tous genres.
Vous ne voulez pas prendre ces risques, ce document qui décrit les principes fondamentaux de la gestion des habilitations est fait pour vous aider.
Pour télécharger la dernière version, rendez vous sur la page "http://futurpartage.fr/communaute/le-processus-de-gestion-des-habilitations"
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Martin Samson (Nurun)
Déploiement d'une infrastructure à clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
MISE EN PLACE D’UNE INFRASTRUCTURE À CLÉS PUBLIQUES (ICP) ENJEUX ET CONFORMITÉ
UNE VISION PRATIQUE
par HECTOR SZABO et THOMAS PORNIN
le 31 mars 2015, ISACA-Québec
Au forum BYOD Les Affaires, mot d'ouverture du PDG de Linkbynet Canada, Julien Trassard. Présentation autour des choix de cloud et le rôle facilitateur du Cloud broker.
ISACA Québec : Conférence
Nous présenterons un aperçu des dix principes qui sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous discuterons ensuite de certaines sources d’information intéressantes ainsi que de certaines observations faites dans le cadre de vérifications et d’enquêtes du Commissariat à la protection de la vie privée du Canada reliées à la protection des renseignements personnels.
Nouveau cadre de gouvernance de la sécurité de l'information présenté par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information, Direction de l’encadrement de la sécurité de l’information.
Nouveau cadre de gouvernance de la sécurité de l’information.
Présenté à ISACA-Québec par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information,
Direction de l’encadrement de la sécurité de l’information.
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
Les audits des contrôles de sociétés de services
SOC I – SOC II – SOC III
Par M. David Liberatore – Directeur vérification TI, Deloitte
le 31 mars 2015, ISACA-Québec
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Les incidents coûtent de plus en plus chers à traiter. Les organisations répondent souvent à cela par une augmentation des solutions technologiques (Cloud, Big Data, externalisation, outil de balayage, etc.) sans forcement mettre l’emphase sur le volet processus et le volet humain. Le résultat, on le connaît : beaucoup de technologies avec peu de résultat en cas d’incident, délai de traitement des incidents défoncés (SLA), etc.
Le but cette présentation est de comprendre le processus de gestion des incidents selon COBIT5 de l’ISACA. La présentation consistera à regarder la gestion des incidents de long en large (vision 365º) – volet conceptuel et volet opérationnel.
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Youssef Loudiyi
Avec la démocratisation des applications d’intelligence d’affaires (Business Intelligence ou BI), notamment l’opérationnalisation de l’intelligence d’affaires, est apparu un défi de taille à savoir comment sécuriser les environnements et les systèmes d’intelligence d’affaires. En effet les entrepôts de données et les applicatifs permettant d’y accéder sont devenus des applications accessibles à la majorité des employés de l’entreprise. L’enjeu du point de vue de la sécurité opérationnelle est donc de ne fournir à l’utilisateur que l’information pertinente compte tenu de son profil et de l’empêcher d’accéder à une information dont l’usage est restreint. Celle-ci peut être simplement un NAS, un numéro de carte de crédit ou encore le dossier d’un employé. En plus de la sécurisation des données confidentielles se pose la problématique de l’accès sécurisé au niveau granulaire (Row-Level Security ou RLS). Le RLS est quasiment devenu un standard pour les applications BI. Il reste également la problématique des environnements de développements et de tests et leur sécurisation en terme de données. L’auteur propose à travers des exemples réels, une approche et une méthodologie permettant de bâtir un modèle de sécurité robuste, efficace et évolutif pour les applications BI ainsi que des « best pratices » pour gérer les environnements BI.
Formation M2i - Génération IA : Prenez le train de l'avenirM2i Formation
« La révolution de l'IA , ce n'est pas l'année prochaine, pas le mois prochain, c'est maintenant que ça se joue », a lancé notre ministre de l'Économie Bruno Le Maire. ChatGPT, dernier outil développé par l'entreprise OpenAI (chat en langage naturel qui produit textes et réponses à la demande) est « l'équivalent de l'arrivée de la Ford-T », première voiture produite en masse au début du XXe siècle, « ou de la sortie de Windows 95, qui a donné accès à internet au plus grand nombre», a appuyé Michel Lévy Provençal, consultant en prospective stratégique. Pour lui, 2023 a été « l'année zéro d'une révolution de la productivité », et « la question n'est pas de savoir si on va adopter l'IA mais quand on va monter dans ce train ».
Les points clés :
- Explosion des IA génératives : où en sommes-nous ?
- Quels enjeux pour les entreprises ?
- Pourquoi et comment former l'entreprise à ces nouveaux outils et modes de travail ?
- Session Questions & Réponses
Formation offerte animée à distance par notre expert Florian Pittion-Rossillon
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
La Direction Générale des Entreprises vous propose d'en apprendre plus sur les menaces cyber qui concernent les petites structures ainsi que sur les solutions dont vous pouvez bénéficier.
La gestion des actifs logiciels : enjeux et opportunitésMicrosoft Ideas
La gestion des actifs logiciels est devenue clé au sein des organisations. Cet actif est souvent vu comme un facteur de risque et non comme une formidable opportunité pour réduire ses coûts et optimiser ses investissements. Tous les métiers de l'organisation sont concernés par ce sujet (achats, finance, marketing, direction technique...) mais très souvent personne ne sait vraiment par où commencer ! Dans cette session, Mathieu Bourreau, directeur du consulting Crayon vous présentera les enjeux d'une mise en place d'une gestion des actifs logiciels efficace, les méthodologies Crayon à votre disposition mais également l'impact de ce sujet sur votre organisation et vos métiers. La session finira sur une session de questions/réponses en vue de répondre à l'ensemble de vos interrogations mais aussi vous aider à mettre en place les prochaines étapes. Session présentée par le partenaire : Crayon Consulting & Services.
Speakers : Mathieu Bourreau (Crayon Consulting & Services)
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
L’OSSIR est un Groupe de travail parisien d’experts sécurité, SecludIT et Frédéric Donnat (Co-fondateur et Dir.Technique) sont ravi d’avoir pu présente Elastic Detector, la solution de surveillance continue et adaptative. En effet la solution répond au besoin des RSSI en terme de gain de temps sur leurs tâches quotidiennes.
Brainwave GRC - Audit en continu pour ISACA MontréalBrainwave GRC
Découvrez la présentation d'Eric In, VP de Brainwave GRC en Amérique du Nord, à l'événement ISACA Montréal le 13 avril 2017.
Comment les technologies rendent-elles possible l'audit et le contrôle en continu ?
Comment retrouver, nettoyer, organiser et gérer l’information dans votre entr...Everteam
everteam.discover : la solution pour réussir votre projet de gouvernance de l'information
Pensez au nombre d’applications ou d’espaces partagés dans lesquels vous stockez de l’information au sein de votre entreprise : SharePoint, dossiers partagés, drive, mails, applications métiers, et bien d'autres.
Maintenant, posez-vous ces questions :
- Connaissez-vous de façon exhaustive tous les référentiels de votre entreprise ?
- Savez-vous réellement ce qui est stocké dans chacun de ces référentiels ?
- Pouvez-vous trouver des informations sensibles ou des documents engageants ?
- Pensez- vous savoir rapidement repéré un document doublon ou obsolète ?
- Avez-vous une idée du temps perdu par chaque collaborateur pour retrouver la bonne information, ou du risque encouru à ne pas remettre la main sur une information engageante, ou au contraire, à disposer d'une information que vous ne devriez pas avoir conservée ?
- À mesure que la quantité d'information augmente dans votre entreprise, les coûts et les risques associés augmentent également : coûts de stockage plus élevés, risques accrus de vols de données et difficultés à respecter les réglementations en vigueur, liées à la confidentialité et à la conservation ou à la destruction des informations.
Si vous cherchez à savoir comment automatiser le nettoyage et l’organisation de l’information stockée dans les différents systèmes de votre Entreprise, pour la retrouver plus facilement, et réduire les risques et les coûts liés à sa conservation, tout en assurant la conformité réglementaire (ex : RGPD - GDPR), vous n'êtes pas seul.
Assurez la confidentialité et la sécurité de vos données stratégiques - OodriveHélène Toutchkov
Les réunions de Comités de Direction, de Conseils d’Administration et de Conseils de Surveillance traitent de sujets sensibles et réunissent des participants dispersés géographiquement qui doivent tous prendre connaissance d‘informations confidentielles. Un simple envoi par email ne peut donc pas être envisagé.
Utile à toutes les étapes du cycle de vie de ces réunions, la plateforme BoardNox a été spécialement conçue pour en faciliter l’organisation, partager les documents confidentiels qui y sont liés et permettre aux participants d’interagir sur les sujets abordés.
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
Voici les présentations des intervenants présents lors de l'atelier Extr4.0rdinaire du 19 octobre 2023
Retrouvez tous les conseils de nos experts pour protéger au mieux votre entreprise contre les cyberattaques !
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
Préparer la sécurité dès la phase contractuelle lors de projets d'externalisation liés aux applications web: développement, hébergement cloud et location (SaaS)
Symposium GRI/CLUSIS sur le rôle de l'état dans la cybsécurité des entreprises suisses / 27 mai 2011
Similaire à Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau (20)
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
1. Brainwave Proprietary and Confidential Information – All Rights Reserved.
La GRC dans la GIA
Identity Analytics & Intelligence
Une approche pragmatique
29-30 Septembre 2015
2. Brainwave Proprietary and Confidential Information – All Rights Reserved.
• Introduction
• Présentation intervenants
• Constats du marché
• Un marché émergeant : IAI
• Technologie et innovation IGRC
• Démonstration en direct
• Cartographie dans les environnements Microsoft
• Contrôle dans les ERP
• Simplification des revues
• Analyse comportementale des accès
• Analyse dans le Cloud
• Témoignage client : CBC/Radio-Canada
Agenda
3. Brainwave Proprietary and Confidential Information – All Rights Reserved.
• Jacob Verret
Responsable de la pratique GIA
In Fidem
• Mathieu Roseau
Responsable Dev Commercial
Brainwave Canada
3Intervenants
4. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
Les Sociétés
5. Brainwave Proprietary and Confidential Information – All Rights Reserved.
• Cabinet de conseil informatique Québécois
• Accompagne ses nombreux clients dans les processus d’amélioration de leur sécurité et des
processus en place.
• Partenaire Platinum Brainwave
• Editeur Français de solutions de sécurité informatique, implanté au Québec depuis 2014.
• Près de 40 clients à travers 9 pays
• De nombreuses récompenses du marché (Cool Vendor Gartner, Carré Magique GIA Gartner,
etc…)
5Les sociétés In Fidem et Brainwave
6. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Historique
2010
3 fondateurs
2011 2012 2013 2014
30 collaborateurs
+ de 40 clients
Europe et Canada
2015
8. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
Le marché, constats
9. Brainwave Proprietary and Confidential Information – All Rights Reserved.
La situation aujourd’hui
Risques financiers
Risques d’image
Risques de conformité
10. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Et cela s’accélère!
PwC, Global Information Security Survey
2009 2010 2011 2012 2013 2014
Milliond’incidentsdesécurité
Le nombre d’incidents de sécurité déclaré a
augmenté de 48% entre 2013 et 2014
11. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Problèmes de sécurité des actifs immatériels
Top 3 des écarts d’audits
Deloitte, DTTL Global Financial Services Industry Security Study
Droits d’accès excessifs
Combinaisons toxiques de droits
Droits d’accès résiduels
12. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Problèmes de sécurité des actifs immatériels
La fraude interne
55% des entreprises ont été victimes d’une fraude au cours des 24 derniers mois
56% des fraudeurs sont internes. Ce sont les fraudes aux plus gros impacts
PwC, Global Economic Crime Survey PwC, Global Information Security Survey
13. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Tendance sur l’infonuagique en 2015
• 93% des entreprises utilisent des solutions en mode
infonuagique
• 82% des entreprises ont une stratégie d’infonuagique
hybride, soit une augmentation de 74% par rapport à 2014
• 88% des entreprises utilisant une solution en mode
infonuagique utilisent ceux-ci en mode publique
*Données provenant de l’étude de RightScale effectuée en janvier 2015 auprès de 930
professionnels des technologies de l’information
14. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Idées erronées autour de l’infonuagique
• Les fournisseurs d’application en mode infonuagique sont
responsable de la gestion des utilisateurs pour garantir la
sécurité
• L’utilisateur final / l’entreprise n’a pas de contrôle face à la
sécurité des applications et services en mode infonuagique
• Les applications et solutions en mode infonuagique
présentent un risque face aux données qui peuvent se
retrouver hors de mon pays, n’importe où dans le monde
14
15. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Les tendances du marché face à la GIA
15
• Déploiement de solution de fédération des identités pour gérer les
multiples référentiel d’identités, notamment dans le nuage
• Déploiement de solution de GIA pour faciliter le cycle de vie d’une
identité et ses accès au seins d’un de l’entreprise, ainsi qu’offrir un
guichet libre service pour les demandes
• Les exigences de conformité face à la gestion des accès attribués
aux utilisateurs sont de plus en plus élevés (SOX, 52-109, PCI-DSS)
Il existe des solutions pour faciliter ces initiatives et donc :
– Exercer un contrôle des droits accordés aux utilisateurs
– Cartographier, rationnaliser et nettoyer les référentiels
16. Brainwave Proprietary and Confidential Information – All Rights Reserved.
16
« le problème est entre la chaise et le clavier »
17. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
Une nouvelle approche, l’Analyse et
l’Intelligence des Accès
18. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Terminologie Gartner
•Pilotage, Contrôles, Audits, Analyses
IAI
Identity Analytics and
Intelligence
•Gestion de Rôles et Revues
IAG
Identity and Access
Governance
•Gestion des comptes et des mots de passe
IAM
Identity & Access
Management
Métier
IT
IGA
IdentityGovernanceandAdministration
19. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Principales Fonctionnalités
•Analyse des habilitations et droits fins
•Plan de contrôle d’audit (y compris SoD)
•Suivi historique des changements
•Reporting et Tableaux de bord
IAI
Identity Analytics and
Intelligence
•Workflows de revues des droits
•Workflows de demandes d’accès
•Modélisation de Rôles
•Provisionnement des droits
IAG
Identity and Access
Governance
•Workflows d’entrée / sortie
•Provisionnement des comptes
•Synchronisation d’annuaires
•Password reset (questions challenge)
IAM
Identity and Access
Management
Métier
IT
20. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Positionnement Brainwave en IAI
21. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Le contrôle des droits d’accès uniquement n’est plus suffisant
Configuration technique
Configuration logique
Analyse comportementale
Firewall
Antivirus
Patch Management
…
Authentification
Gestion des personnes
Gestion des droits
Comptes techniques
Analyse des logs applicatives
Comparaison par groupe de référence
Comparaison par baselining
APT, 0 days,
Botnets, DDOS,
…
Conformité,
risques de
fraude / vol /
erreurs / …
Collusion,
fraude, vol de
données,
compromission
de comptes
22. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
La technologie
23. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Quelques questions auxquelles il est difficile
de répondre sans outillage
23
Qui peut accéder à
:NASsecretverysecretdocument.xls ?
Y-a-t-il des utilisateurs pouvant se connecter à
distance pour émettre des virements ?
Qui a quitté la DAF dans les six derniers mois et a
toujours des accès actifs sur le Back Office ?
Suis je conforme à ma réglementation sectorielle
(ITGC, SOX , SOLVENCY, BALE3, COBIT, ISO27001,
ISAE3402, EMIR, FINMA, FATCA)?
24. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre les cyber-attaques
Lutte contre la fuite de donnéesConformité réglementaire
Lutte contre les usages frauduleux
Baisser les risques dans les TI
Actifs de
l’entreprise
25. Brainwave Proprietary and Confidential Information – All Rights Reserved.
qui a accès ?
Au cœur du Grand Livre des Identités
identités
pourquoi ?
organisations
métiers
responsabilités
comment ? à quoi ? pour faire quoi ?
comptes permissions
d’accès
usage
26. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Approche de contrôle continu avec Brainwave
#1 Collecte #2 Agrégation
#3 Analyses et
rapports
#4 Corrections
« Grand Livre des
identités »
28. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE
Apporter rapidement de la visibilité
sur l’environnement Microsoft
Fileshare, SharePoint, Exchange
29. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Environnement Microsoft : qui fait quoi et comment?
?
Puis-je savoir
rapidement et
sans effort ce
qu’il se passe
dans mes
environnements
?
Reprenez la main en un temps minime sur vos données !
30. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE
Contrôler les transactions sensibles
sur les ERP
SAP, Oracle eBusiness Suite, Coda, …
31. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Pourquoi outiller le contrôle sur les ERP
Réduire les risques de fraude
Répondre aux enjeux de conformité
Améliorer l’efficacité lors des audits
Présence incontournable dans
les activités
32. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
Effectuer des revues régulières :
le challenge
33. Brainwave Proprietary and Confidential Information – All Rights Reserved.
A quoi ressemble la recertification pour les
chargés de conformité
33
34. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Comment les responsables voient la
recertification
34
« Merci de mettre vos initiales en bas de page et de
signer sur la page 1389 »
35. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
L’intelligence de l’analyse : UBA
36. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Brainwave User Behavior Analytics
• Analyse des logs d’accès
• Mise en évidence des situations
anormales
– Par rapport à des groupes de référence
– Dans le temps
• Détection des signaux faibles
– Vol de données
– Collusion
– Fraude
– Comptes compromis
• A destination des analystes sécurité
– Analyse à forte valeur ajoutée des
données du SIEM
37. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Brainwave UBA
Pourquoi est-ce unique sur le marché?
Algorithmes dédiés de modélisation comportementale et d’analyse
graphique
Capitalisation sur la notion de « Timeslot » pour réaliser le baselining
Capitalisation sur le « business context » pour identifier les groupes de
référence
38. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Cas d’application
Monitoring des données et des transactions sensibles
• Vol de sensibles sur les partages disques sensibles (RH, Finance)
– Accès par un « curieux »
– Récupération des données avant un départ d’un collaborateur…
• Collusion sur l’ERP
Comptable A émet des factures + Comptable B règles les factures
– Identification de comportements anormaux dans la même échelle de temps
• Rogue admin
– Un administrateur technique a un usage anormal du PAM (trop de demandes,
demandes en dehors des périodes habituelles, demandes sans trace dans l’outil de
ticketing associé…)
39. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE
L’analyse des droits dans les nuages
CRM, Google Drive, …
40. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Pourquoi en est-on arrivé la?
Sécurité périmétrique ???
Transformation
digitale
Cloud, BYOD,
shadow IT
Les données sont partout
Le focus doit être fait sur la donnée et les gens qui peuvent y accèder
41. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE
Retour d’expérience client
42. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE & INFIDEM
Le produit
La parole est à Michel Arredondo, Directeur
sécurité de l’information, Services
technologiques d’entreprise et aux médias
CBC/Radio-Canada
43. Brainwave Proprietary and Confidential Information – All Rights Reserved.
43
Objectif
Identifier les risques sur les partages de documents sous Google Drive
Assurer les revues en ligne au travers du module Workflow et du portail
utilisateur
Automatiser et assurer l’exhaustivité des contrôles
Améliorer la visibilité sur les mouvements de personnes et sur l’évolution
de leurs droits
Centraliser la revue des accès sur une plateforme
Éviter l’utilisation de connecteurs pour l’extraction des données
Éléments clés
~ 9500 identités
Implémentation de 5 d’applications
(comprenant Google Drive et SAP)
Automatisation des contrôles CGTI
Rapidité d’intégration
Contrôler les permissions / droits
Mission
Construction d’une vision centralisée des identités, utilisateurs et de leurs autorisations
Meilleure préparation et proactivité pour les missions de vérification
Confrontation des résultats avec les gestionnaires impliqués et définition de plans d‘actions
44. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Merci et n’hésitez pas à
venir nous discuter
avec nous !
46. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Secteur Assurances (1/2)
• 3400 utilisateurs
• Brainwave en production depuis 2011
• Contrôles automatisés
– Qualité de données
– Accès aux ressources sensibles
– Suivi des mouvements de
personnel et des comptes
techniques
• Recertification des droits
– Applications sensibles
– Mise en évidence des écarts de
contrôle et des mouvements de
personnel
47. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Secteur Assurances (2/2)
• Démarche de mise en œuvre :
– 2011-12
• bilan de maturité (COBIT)
• qualité des données
• nettoyage des référentiels (comptes
orphelins, nommage, nomenclatures de
données)
– 2012-13
• plan de contrôles
• alignement (nettoyage) des droits
• préparation du déploiement IAM
– 2014-15 : revues des droits d’accès…
48. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Secteur Trading (1/2)
• Environ 2500 utilisateurs
• Brainwave en production depuis 2012
• Automatisation des contrôles de sécurité et
de conformité (hebdomadaire)
– 480 applications contrôlées
– 72000 comptes d’accès
– 1500 contrôles SoD
– 2300 contrôles de droits périmétriques
• Revues pilotées des comptes et des droits
– 50 revues par an
49. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Secteur Trading (2/2)
• Démarche de mise en œuvre :
– 2012-13
• alignement des référentiels RH (qualité de
données)
• inventaire des comptes applicatifs
• nettoyage de données
– 2013-14
• extension du périmètre applicatif
• contrôles SoD sur 18 applications critiques
(avec PwC)
– 2014-15
• revue des droits applicatifs
(réglementation CRBF 9702)
• pilotage des corrections via ITSM
Fréquence Description du
contrôle
Responsable
du contrôle
Hebdo Comptes
orphelins
(départs)
Sécurité
Hebdo Application
trading
Sécurité
Hebdo SoD (risques de
fraude
seulement)
Sécurité et
Contrôle
interne /
compliance
Mensuelle Token RSA Sécurité
Annuelle Identités
Comptes
Habilitations
Managers
50. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Brainwave Identity GRC
Cas d’usage
fraude fuite de données cyber-espionnage conformité
54. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fraude
Combinaison toxique de droits :
Ambre a conserver ses
habilitations de lorsqu’elle était
à la direction financière
55. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fraude
Constat:
Ambre a quitté la division financière pour rejoindre la division
commerciale,
Ses habilitations n’ont pas été revues,
Ambre peut par exemple:
Modifier un RIB et mettre son compte personnel,
Puis émettre un virement,
Et enfin remettre l’ancien RIB
écart: combinaison toxique de droit
56. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fuite de données
Analyse comportementale des accès
à des serveurs de fichiers, par métier
57. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fuite de données
Personne en situation anormale
58. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fuite de données
59. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fuite de données
60. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre la fuite de données
Constat:
Antoine fait parti de l’équipe R&D et est développeur
accède à l’ensemble des répertoires partagés (finance, business, IT, audit…)
l’activité enregistrée suggère une récupération massive des
données entre le 20/02 et le 20/03
Contexte:
Antoine est en mauvais terme avec sa hiérarchie
a donné sa démission et quitte la société avant la fin du mois
écart: droit d’accès excessif
61. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
62. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
63. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
64. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
65. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
66. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
67. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
68. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
69. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
70. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
71. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Lutte contre le cyber espionnage
Constat:
Cecilia et Nonce étaient externes au sein de DCOM et DFIN
ont quitté l’entreprise au 01/01/2015
ont toujours accès aux applications Sage, Elyxo et SugarCRM
se sont connectées après leur départ
Contexte:
Cecilia et Nonce ont été récemment embauchées par le concurrent
direct
écart: droit d’accès résiduels
72. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Conformité réglementaire
72
73. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Conformité réglementaire
Campagne de revue des permissions pour:
- Direction commerciale
- Application SAP
74. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Conformité réglementaire
74
Les personnes responsables sont
informées par email
75. Brainwave Proprietary and Confidential Information – All Rights Reserved.
75
Conformité réglementaire
76. Brainwave Proprietary and Confidential Information – All Rights Reserved.
76
les incohrences sont
mises en évidence
les défauts de contrôle
sont identifiés et
peuvent être détaillés
Conformité réglementaire
77. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Les actions correctrices sont suivies et peuvent être
automatisées
77
78. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Conformité réglementaire
78
Répondre aux contraintes de conformité
SoX section 404 – Access review
ISO 27001 A.11.2.2 Privilege management
ISO 27001 A.11.2.4 Review of user access rights
ISAE 3402 …
Réduire les risques
Clôturer les comptes et droits inutiles
S’assurer du respect de la séparation des tâches
Mettre en evidence les situations atypiques
Tracer les dérogations
Rationaliser les droits
Demander aux « sachants » de se positionner sur le bienfondé
des droits d’accès accordés
Améliorer la qualité des données
79. Brainwave Proprietary and Confidential Information – All Rights Reserved.
En savoir plus ?
514 699 68 34
mathieu.roseau@brainwaveidentitygrc.com
www.brainwaveidentitygrc.com
80. Brainwave Proprietary and Confidential Information – All Rights Reserved.
BRAINWAVE
Annexes technique
86. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Extraction de données
• Prise en charge de l’extraction et
du rapatriement automatique
des données
• Stratégie modulable par
application
• Intégration des phases
d’extraction et de rapatriement
des données dans le plan
d’exécution
• Support du standard opensource
OpenICF
• Extraction locale ou distante
• Mise au point en mode pas à pas
• Nombreux extracteurs disponibles
• Microsoft, SAP, Google Apps, SQL,
LDAP, Powershell, Javascript, Java, …
• Compatible avec les connecteurs tiers
87. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Découverte de données
• Analyse rapide de tous les fichiers de
données
• Csv, Excel, LDIF
• Logs, Tabulé, Scripté
• Identification des problèmes de
qualité
• Fichiers de rejets
• Préparation des données pour le
chargement
• Création, transformation
d’attributs
• Macros appliquées
systématiquement sur les données
• Utilisé comme source de données
par le moteur de collecte
• Nombreux modèles de fichiers
disponibles en standard
• SAP, RACF, Microsoft, …
88. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Moteur de collecte
• Nombreuses applications pré-
configurées
• Prise en charge des
applications « in-house »
• Approche ETL: extraction,
transformation, jointure,
filtrage, …
• Puissant, rapide, multi-coeur
• Prise en charge d’une nouvelle
application en moins de 1 heure
• 100% configurable, pas de
développement
• Système de mise au point intégré
89. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Réconciliation des comptes
• Rapprochement
automatique des comptes
avec leurs propriétaires
• Identification et qualification
des comptes à privilèges
• Réconciliation persistante
dans le temps
• Règles élaborées de réconciliation
• Par attribut
• Par combinaison d’attributs
• Par approximation phonétique
• Par rebond entre les concepts du Grand
Livre
• Indice de confiance
• Réconciliation manuelle via le
portail web
90. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Moteur de règles
• Requêtage en langage
naturel dans les données
• Analyses croisées entre les
personnes, leurs droits, leurs
mandats, et les accès
effectués
• Prise en compte de
l’historique
• Bibliothèques de règles pré-
configurées pour de nombreux
verticaux
• Exploitation du cube de données
• Moteur d’analyse breveté
91. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Contrôles
• Paramétrage simple des
différentes familles de contrôle
• Qualité de données
• Séparation des tâches
• Juridiction des droits
• Droits théoriques
• Tableaux de bords, tendances,
KPIs
• Suivi des remédiations, des
exceptions
• Historisation des résultats
• Chargement des contrôles depuis
des sources externes
• Nombreux contrôles fournis en
standard
92. Brainwave Proprietary and Confidential Information – All Rights Reserved.
• Fonctionnalités avancées de B.I.
• Cube OLAP
• Fonctions statistiques
• Analyse graphique
• Multi format (pdf, office, open-
office)
• Editeur graphique intégré
• Modèles des 200 rapports
standards fournis et
particularisables
Reporting
• Plus de 200 rapports fournis
en standard dans le portail
• Navigation
• Recherche
• Analyse
• Revue
• Mining
• Rapports générés
dynamiquement, en fonction
du contexte et des droits de
l’utilisateur
93. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Portail web
• Analytics pour les utilisateurs
des métiers
• Tableaux de bords
• Navigation
• Revues de comptes
• Remédiations
• 200+ rapports en standard • Expérience utilisateur avancée
• Compatible Mobile
• Gestion fine des droits
• Complètement particularisable
par simple configuration, pas de
développement !
94. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Exports pdf, xls, …
• Tous les rapports du
portail peuvent être
exportés dans de
nombreux formats
• Pdf
• Excel
• Word
• Open-office
• Export WYSIWYG
• Export Excel avancé:
onglets, volets figés,
images, …
95. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Moteur de Workflow
• Le pilier pour
– les demandes d’accès,
– les demandes de correction,
– les revues de comptes,
– Le bouclage des
remédiations
• Fournit avec un ensemble
de processus pré-
configurés
Parfaitement intégré avec le
portail web pour fournir une
expérience utilisateur riche et
intuitive
Gestionnaire de tâches intégré
Complètement particularisable,
pas de développement !
Conforme BPMN 2.0
96. Brainwave Proprietary and Confidential Information – All Rights Reserved.
Push mail
• Notifications automatique
par email
• En sortie de chargement
• Via les activités du Workflow
• Contenu riche et
dynamique
• Pièces jointes dynamiques
• Mailing via les adresses du Grand
Livre
• Editeur WYSIWYG
• Simulateur d’envoi
• SMTP/SMTPS
97. Brainwave Proprietary and Confidential Information – All Rights Reserved.
WebServices
• Exploitation des données
du Grand Livre via des
appels REST/JSON
• Conforme avec les bonnes
pratiques SOA
• Fourniture d’Identity
Context aux applications
tierces
• Services configurables
graphiquement via le moteur de
vues
• S’appuie sur la couche de
sécurité de la solution
• Filtrage protocolaire des
requêtes
• Périmètre de données
renvoyées fonction du compte
de connexion utilisé
98. Brainwave Proprietary and Confidential Information – All Rights Reserved.
En savoir plus ?
514 699 68 34
mathieu.roseau@brainwaveidentitygrc.com
www.brainwaveidentitygrc.com