Professional Documents
Culture Documents
Se conformer avec la loi 09-08 avec la solution IBM de protection des bases de donnes en temps rel IBM Infosphere Guardium
Mohammed Amine MARGHICH Responsable technique des solutions Information Management Amine.marghich@ma.ibm.com
1 2012 IBM Corporation 2012 IBM Corporation
Avertissement
Les clients d'IBM sont responsables d'assurer leur propre conformit aux exigences lgales. Il est de la responsabilit du client d'obtenir les conseils d'un avocat comptent quant l'identification et l'interprtation des lois et aux exigences rglementaires susceptibles d'affecter l'activit du client et toutes les actions que le client peut avoir besoin de prendre pour se conformer ces lois. IBM ne fournit aucun conseil juridique ou garantit que ses produits ou services veilleront ce que le client soit en conformit avec la loi. Les informations contenues dans ce document sont fournies titre informatif seulement. Bien que des efforts ont t faits pour vrifier l'exhaustivit et l'exactitude des informations fournies, il est fourni "tel quel" sans garantie d'aucune sorte, expresse ou implicite. IBM ne peut tre tenu responsable des dommages rsultant de l'utilisation de cette documentation ou toute autre documentation. Aucune information contenue dans cette documentation n'a pour objet, ni n'aura pour effet, de crer une quelconque garantie ou reprsentation de la part d'IBM (ou de ses fournisseurs ou concdants de licence) ou de modifier les termes et conditions du contrat de licence en vigueur rgissant l'utilisation des logiciels IBM.
Agenda
Agenda
*Livre blanc AUSIM: Donnes caractre personnel :Quels enjeux et comment se prparer la loi 09-08 ?
5
2012 IBM Corporation
Philippines: New Zealand: Privacy Act Secrecy of Bank Deposit Act Australia: Federal Privacy Amendment Bill China Commercial Banking Law
USA: Federal, Financial & Healthcare Industry Regulations & State Laws
Pakistan: Banking Companies Ordinance Israel: Protection of India: Privacy Law SEC Board of India Act Indonesia: Bank Secrecy Regulation 8
Brazil: Constitution, Habeas Data & Code of Consumer Protection & Defense Chile: Colombia: Protection of Political Constitution Personal Data Act Article 15
2012 IBM Corporation
Les activits d'accs aux donnes sont invisibles aux systmes traditionnels de scurit rseau
Application Logic Application Layer
Protocol Usage (OSI Layer 4 7)
Network Layer
Systmes de gestion
de base de donnes Nombre limit de
contrles, des problmes de performances, plusieurs plates-formes
7
IBM Infosphere Guardium fourni une surveillance et une protection des donnes en temps rel Serveurs de
donnes
Un suivi bas sur des politique de scurits,
continue et en temps rel, de toutes les activits de trafic de donnes, y compris les actions des utilisateurs privilgis. Tests l'infrastructure des bases de donnes pour les patches manquants, privilges mal configurs et d'autres vulnrabilits
Guardium Appliance
Points forts
Une seule appliance intgre Non-invasive/disruptive, architecture multi-plateforme Evolutive Dcouverte automatique des sources de donnes et des donnes sensibles Dtecter ou bloquer toute activit non autorise ou suspecte Des politiques granulaires, en temps rel ( Qui, quoi, quand, comment)
8
Visibilit de 100% y compris l'accs DBA locale Impact minimal sur les performances Ne repose pas sur les logs natives qui peuvent facilement tre effacs par les attaquants malveillants, Aucun changement sur l'environnement Base de connaissances des vulnrabilit et des rapports de conformit de SOX, PCI, etc intgrs
Choisi par les plus grandes organisations du monde entier afin de scuriser leurs donnes les plus critiques
5 sur les 5 premires banques mondiales
Protgeant l'accs plus de 10.869.929.241$ en actifs financiers
Organismes gouvernementaux
Prserver l'intgrit des information de 2,5 milliards des cartes de crdit Prserver l'intgrit de l'information gouvernementale et du dfense du monde
Agenda
10
*Livre blanc AUSIM: Donnes caractre personnel :Quels enjeux et comment se prparer la loi 09-08 ?
11
2012 IBM Corporation
Loi 09-08: Protection des personnes physique lgard du traitement des donnes caractre personnel: 8 Chapitres
Des obligations des responsables du traitement
Dispositions Gnrales
Des sanctions
Dispositions transitoires
12
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel
13
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel
14
Agenda
15
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel
16
Guardium S-GATE est un agent logiciel lger install sur le serveur de donnes. S-GATE a des politiques de scurit granulaires qui fournissent dune manire automatiss et en temps rel des contrles qui empchent les utilisateurs privilgis d'excuter des actions non autorises telles que: # Excution des requtes sur des donnes sensibles caractre personnel #Modification des donnes sensibles #Ajout ou suppression des tables critiques (modifications de schma) l'extrieur des horaires de changement. #Cration de nouveaux comptes utilisateurs et modification des privilges S-GATE est absolument non-intrusif, et ne aucune modification sur la base de donnes. En consquence, il est mis en uvre rapidement sans perturber les applications critiques. Guardium permet aussi de maquiller des donnes sensibles lors de laffichage de celles-ci dans une requte. Ces donnes ne sont pas modifies dans la base de donnes, mais maquilles lorsque la requte renvoie son rsultat.
17
Empche les attaques externes Issue SQL ainsi que les violations de politiques par les utilisateurs privilgis (DBA, dveloppeurs, personnel sous-traitance) Connection coupe Outsourced DBA
DBA
S-GATE
Session termine
18
2012 IBM Corporation
SQL
Oracle, DB2, MySQL, Sybase, etc.
Donnes sur la DB
Outsourced DBA
masquage
19
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel
20
Toutes les transactions de bases de donnes sont constamment surveills et analyss en temps rel, utilisant la fois des politiques centralises et des processus de dtection des anomalies afin d'identifier les activits non autorises ou suspectes. En mme temps, toutes les transactions sont stockes dans un journal d'audit structur pour l'analyse de corrlation en temps rel, cration des rapports de conformit, laudit, et la criminalistique. Les attaques par injections SQL peuvent tre dtectes grce aux rapports sur les erreurs SQL. Les hackers tentant dattaquer un systme par injection SQL le font par tatons jusqu trouver la faille. Les rapports fournis par Guardium permettent didentifier ces tentatives dintrusion.
21
Joe
Marc
User
Application Server
Database Server
22
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel
23
#3: Garantir quil soit possible de vrifier posteriori, le dtail sur les accs et les manipulations effectu sur les donnes
Guardium surveille en permanence toutes les oprations de base de donnes en temps rel, afin de dtecter des actions non autorises bases sur des informations contextuelles dtailles- le qui, quoi, o, quand et comment de chaque transaction SQL. Cette approche unique offre un niveau de contrle sans prcdent, la diffrence des approches traditionnelles qui ne cherchent que les patterns prdfinis ou des signatures. Ces informations sont stockes dans une base de donnes normalise permettant de construire des rapports sur les activits en rapport aux bases de donnes. Guardium simplifie et vulgarise pour des non experts en bases de donnes, la construction des rapports permet de vulgariser les informations pour les personnels non techniques. Les alertes par corrlation de Guardium permettent de faire la corrlation des vnements sur une priode donne de temps afin de dtecter toute activit inhabituelle. Par exemple, on peut dtecter des vnements tels quun grand nombre d'erreurs SQL ou des checs de connexion. Les alertes par corrlation utilis des requtes qui permettent de dtecter si un seuil spcifi a t dpasse.
24
#3: Garantir quil soit possible de vrifier posteriori, le dtail sur les accs et les manipulations effectu sur les donnes
25
Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel
26
Cas pratique: Autoriser laccs temporaire un sous-traitant la DB de lapplication de facturation pour une mise jour ou une modification pendant un laps de temps bien dtermin
Simplifie la cration de contrles pour des usages appropris et limine les interventions manuelles qui sont source derreurs
27
October 26, 2007: Guardium named a Leader in Forrester Wave: Enterprise Auditing and Real-Time Protection
2007 - 2011
28
Source: The Forrester Wave: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. 2012 IBM Corporation
Se conformer avec la loi 09-08 avec la solution IBM de protection des bases de donnes en temps rel IBM Infosphere Guardium