IBM Security Systems

Se conformer avec la loi 09-08 avec la solution IBM de protection des bases de donnes en temps rel IBM Infosphere Guardium

Mohammed Amine MARGHICH Responsable technique des solutions Information Management Amine.marghich@ma.ibm.com
1 2012 IBM Corporation 2012 IBM Corporation

Avertissement
Les clients d'IBM sont responsables d'assurer leur propre conformit aux exigences lgales. Il est de la responsabilit du client d'obtenir les conseils d'un avocat comptent quant l'identification et l'interprtation des lois et aux exigences rglementaires susceptibles d'affecter l'activit du client et toutes les actions que le client peut avoir besoin de prendre pour se conformer ces lois. IBM ne fournit aucun conseil juridique ou garantit que ses produits ou services veilleront ce que le client soit en conformit avec la loi. Les informations contenues dans ce document sont fournies titre informatif seulement. Bien que des efforts ont t faits pour vrifier l'exhaustivit et l'exactitude des informations fournies, il est fourni "tel quel" sans garantie d'aucune sorte, expresse ou implicite. IBM ne peut tre tenu responsable des dommages rsultant de l'utilisation de cette documentation ou toute autre documentation. Aucune information contenue dans cette documentation n'a pour objet, ni n'aura pour effet, de crer une quelconque garantie ou reprsentation de la part d'IBM (ou de ses fournisseurs ou concdants de licence) ou de modifier les termes et conditions du contrat de licence en vigueur rgissant l'utilisation des logiciels IBM.

2012 IBM Corporation

Agenda

Prsentation dIBM Infosphere Guardium

Prsentation de la loi 09-08

Comment Guardium vous aide se conformer avec la loi 09-08

2012 IBM Corporation

Agenda

Prsentation dIBM Infosphere Guardium

Prsentation de la loi 09-08

Comment Guardium vous aide se conformer avec la loi 09-08

2012 IBM Corporation

Niveau de maturit en termes de scurit au sein des entreprises marocaines

*Livre blanc AUSIM: Donnes caractre personnel :Quels enjeux et comment se prparer la loi 09-08 ?
5
2012 IBM Corporation

Evolution constante des rglements mondiaux et d'industrie

Russia: Computerization & Protection of Information / Participation in Intl Info Exchange Korea: 3 Acts for Financial Data Privacy Taiwan: Singapore: Computer- Processed Monetary Authority of Personal Data Singapore Act Protection Law Vietnam: Banking Law Hong Kong: Privacy Ordinance

Japan: Guidelines for the Protection of Computer Processed Personal Data

United Kingdom: Data Protection Act

Poland: Polish Constitution

Philippines: New Zealand: Privacy Act Secrecy of Bank Deposit Act Australia: Federal Privacy Amendment Bill China Commercial Banking Law

Canada: Personal Information Protection & Electronics Document Act

EU: Protection Directive Morocco: 09-08

Germany: Federal Data Protection Act & State Laws

USA: Federal, Financial & Healthcare Industry Regulations & State Laws

Pakistan: Banking Companies Ordinance Israel: Protection of India: Privacy Law SEC Board of India Act Indonesia: Bank Secrecy Regulation 8

Mexico: E-Commerce Law

South Africa: Promotion of Access to Information Act

6

Argentina: Habeas Data Act

Brazil: Constitution, Habeas Data & Code of Consumer Protection & Defense Chile: Colombia: Protection of Political Constitution Personal Data Act Article 15
2012 IBM Corporation

Le bon outil pour le bon besoin

L'approche traditionnelle fait un trs bon travail pour la scurit des rseaux

Les activits d'accs aux donnes sont invisibles aux systmes traditionnels de scurit rseau
Application Logic Application Layer
Protocol Usage (OSI Layer 4 7)

Network Layer

Application and Database Usage (New Layer 8+)

Network Access (OSI Layer 1 3)

Pare-feu IPS et Pare-feu Deep Inspection

Systmes de gestion
de base de donnes Nombre limit de
contrles, des problmes de performances, plusieurs plates-formes
7

Scurit des bases de donnes 7

2012 IBM Corporation

IBM Infosphere Guardium fourni une surveillance et une protection des donnes en temps rel Serveurs de
donnes
Un suivi bas sur des politique de scurits,

continue et en temps rel, de toutes les activits de trafic de donnes, y compris les actions des utilisateurs privilgis. Tests l'infrastructure des bases de donnes pour les patches manquants, privilges mal configurs et d'autres vulnrabilits

(bases de donnes, warehouses, fichiers partags, Big Data)

Agents logiciel (S-TAPs)

Guardium Appliance

Points forts
Une seule appliance intgre Non-invasive/disruptive, architecture multi-plateforme Evolutive Dcouverte automatique des sources de donnes et des donnes sensibles Dtecter ou bloquer toute activit non autorise ou suspecte Des politiques granulaires, en temps rel ( Qui, quoi, quand, comment)
8

Visibilit de 100% y compris l'accs DBA locale Impact minimal sur les performances Ne repose pas sur les logs natives qui peuvent facilement tre effacs par les attaquants malveillants, Aucun changement sur l'environnement Base de connaissances des vulnrabilit et des rapports de conformit de SOX, PCI, etc intgrs

2012 IBM Corporation

Choisi par les plus grandes organisations du monde entier afin de scuriser leurs donnes les plus critiques
5 sur les 5 premires banques mondiales
Protgeant l'accs plus de 10.869.929.241$ en actifs financiers

4 des 4 plus grands fournisseurs des services de sant

Protgeant l'accs aux informations prives de 136 millions patients

2 des 3 premiers dtaillants mondiaux

Organismes gouvernementaux
Prserver l'intgrit des information de 2,5 milliards des cartes de crdit Prserver l'intgrit de l'information gouvernementale et du dfense du monde

5 des 6 premiers assureurs mondiaux

Protgeant plus de 100.000 bases de donnes avec des informations personnelles et prives

8 des 10 premiers oprateurs de tlcommunications du monde

2012 IBM Corporation

Agenda

Prsentation dIBM Infosphere Guardium

Prsentation de la loi 09-08

Comment Guardium vous aide se conformer avec la loi 09-08

10

2012 IBM Corporation

Initiatives des entreprises marocaines orientes vers la loi 09-08

*Livre blanc AUSIM: Donnes caractre personnel :Quels enjeux et comment se prparer la loi 09-08 ?
11
2012 IBM Corporation

Loi 09-08: Protection des personnes physique lgard du traitement des donnes caractre personnel: 8 Chapitres
Des obligations des responsables du traitement

Dispositions Gnrales

Des droits de la personne concerne

De la commission de contrle de la protection des donnes caractre personnel

Du transfert de donnes vers un pays tranger

Du registre de la protection des donnes

Des sanctions

Dispositions transitoires

12

2012 IBM Corporation

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel

13

2012 IBM Corporation

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel

14

2012 IBM Corporation

Agenda

Prsentation dIBM Infosphere Guardium

Prsentation de la loi 09-08

Comment Guardium vous aide se conformer avec la loi 09-08

15

2012 IBM Corporation

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel

16

2012 IBM Corporation

# 1:Protection des donnes caractre personnel

Guardium S-GATE est un agent logiciel lger install sur le serveur de donnes. S-GATE a des politiques de scurit granulaires qui fournissent dune manire automatiss et en temps rel des contrles qui empchent les utilisateurs privilgis d'excuter des actions non autorises telles que: # Excution des requtes sur des donnes sensibles caractre personnel #Modification des donnes sensibles #Ajout ou suppression des tables critiques (modifications de schma) l'extrieur des horaires de changement. #Cration de nouveaux comptes utilisateurs et modification des privilges S-GATE est absolument non-intrusif, et ne aucune modification sur la base de donnes. En consquence, il est mis en uvre rapidement sans perturber les applications critiques. Guardium permet aussi de maquiller des donnes sensibles lors de laffichage de celles-ci dans une requte. Ces donnes ne sont pas modifies dans la base de donnes, mais maquilles lorsque la requte renvoie son rsultat.

17

2012 IBM Corporation

# 1:Protection des donnes caractre personnel

Aucun changement de bases de donnes ou de l'application Sans risque dappliance en ligne qui peuvent interfrer avec le trafic des applications critiques
Serveurs dapplication

SQL (No Latency)

Oracle, DB2, MySQL, Sybase, etc. Hold SQL

Empche les attaques externes Issue SQL ainsi que les violations de politiques par les utilisateurs privilgis (DBA, dveloppeurs, personnel sous-traitance) Connection coupe Outsourced DBA

DBA

S-GATE

Violation: Connection coupe

Vrification de la rgle sur lappliance

Session termine
18
2012 IBM Corporation

# 1:Protection des donnes caractre personnel

Serveurs dapplication

SQL
Oracle, DB2, MySQL, Sybase, etc.

Utilisateur non authoris

Issue SQL
S-TAP

Donnes sur la DB
Outsourced DBA

masquage

Donnes vues par lutilisateur

19

2012 IBM Corporation

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel

20

2012 IBM Corporation

#2 : Empcher lintroduction non autorise travers les systmes de traitement automatiss

Guardium prend en charge lidentification des utilisateurs applicatifs pour les principales applications d'entreprise et mme pour dautre applications, y compris les dveloppements spcifique.

Toutes les transactions de bases de donnes sont constamment surveills et analyss en temps rel, utilisant la fois des politiques centralises et des processus de dtection des anomalies afin d'identifier les activits non autorises ou suspectes. En mme temps, toutes les transactions sont stockes dans un journal d'audit structur pour l'analyse de corrlation en temps rel, cration des rapports de conformit, laudit, et la criminalistique. Les attaques par injections SQL peuvent tre dtectes grce aux rapports sur les erreurs SQL. Les hackers tentant dattaquer un systme par injection SQL le font par tatons jusqu trouver la faille. Les rapports fournis par Guardium permettent didentifier ces tentatives dintrusion.

21

2012 IBM Corporation

#2 : Empcher lintroduction non autorise travers les systmes de traitement automatiss

Joe

Marc

User

Application Server

Database Server

22

2012 IBM Corporation

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel

23

2012 IBM Corporation

#3: Garantir quil soit possible de vrifier posteriori, le dtail sur les accs et les manipulations effectu sur les donnes
Guardium surveille en permanence toutes les oprations de base de donnes en temps rel, afin de dtecter des actions non autorises bases sur des informations contextuelles dtailles- le qui, quoi, o, quand et comment de chaque transaction SQL. Cette approche unique offre un niveau de contrle sans prcdent, la diffrence des approches traditionnelles qui ne cherchent que les patterns prdfinis ou des signatures. Ces informations sont stockes dans une base de donnes normalise permettant de construire des rapports sur les activits en rapport aux bases de donnes. Guardium simplifie et vulgarise pour des non experts en bases de donnes, la construction des rapports permet de vulgariser les informations pour les personnels non techniques. Les alertes par corrlation de Guardium permettent de faire la corrlation des vnements sur une priode donne de temps afin de dtecter toute activit inhabituelle. Par exemple, on peut dtecter des vnements tels quun grand nombre d'erreurs SQL ou des checs de connexion. Les alertes par corrlation utilis des requtes qui permettent de dtecter si un seuil spcifi a t dpasse.

24

2012 IBM Corporation

#3: Garantir quil soit possible de vrifier posteriori, le dtail sur les accs et les manipulations effectu sur les donnes

25

2012 IBM Corporation

Chapitre III, Section 3, Articles 23 et 24: Des obligations de confidentialit et de scurit des traitements et de secret professionnel

26

2012 IBM Corporation

#4 : Autorisation temporaire pour un sous traitant

Guardium Firecall ID
Prvoir des accs temporaires des moments bien dtermins pour un soustraitant par exemple Autorise un utilisateur spcifique, un accs spcifique un serveur spcifique jusqu une date dtermine
Oppos de la quarantaine

Cas pratique: Autoriser laccs temporaire un sous-traitant la DB de lapplication de facturation pour une mise jour ou une modification pendant un laps de temps bien dtermin

Simplifie la cration de contrles pour des usages appropris et limine les interventions manuelles qui sont source derreurs

27

2012 IBM Corporation

InfoSphere Guardium continue de dmontrer son leadership

October 26, 2007: Guardium named a Leader in Forrester Wave: Enterprise Auditing and Real-Time Protection

2007 - 2011

28

Source: The Forrester Wave: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. 2012 IBM Corporation

IBM Security Systems

Se conformer avec la loi 09-08 avec la solution IBM de protection des bases de donnes en temps rel IBM Infosphere Guardium

292012 IBM Corporation

2012 IBM Corporation