Perspectives McAfee sur la sécurité

Perspectives McAfee sur la sécurité

Guide pratique sur la conformité

Aujourd'hui, pour pouvoir observer les réglementations actuelles telles que les lois HIPAA (Health Insurance Portability and Accountability Act), Sarbanes-Oxley et GLBA (Gramm-Leach-Bliley Act), les sociétés de services financiers doivent impérativement s'appuyer sur des technologies de sécurité et des produits de sécurisation de contenu. Dans ce secteur, citons par exemple les sociétés d'investissement, les banques de dépôt et commerciales ou encore les compagnies d'assurance  : toutes doivent se conformer à ces dispositions réglementaires. Et il en va de même pour les entreprises qui fournissent à celles-ci des services tels que l'hébergement.

Chaque réglementation se rapporte à un sujet distinct et impose des critères de conformité spécifiques sans toutefois préciser les mesures à mettre en oeuvre pour répondre à ces exigences.

Confidentialité-intégrité-disponibilité

Les réglementations actuelles se concentrent sur trois aspects fondamentaux — confidentialité, intégrité et disponibilité (CID) — souvent représentés sous la forme d'un triangle à trois zones. Par exemple, la loi Sarbanes-Oxley, votée par le Congrès américain en 2002, tient les présidents-directeurs généraux et les directeurs financiers des entreprises personnellement responsables de l'exactitude des rapports financiers.

« La loi Sarbanes-Oxley veille à l'intégrité en garantissant que les rapports financiers soient complets et exacts, ou du moins en veillant à la précision des contrôles à l'origine de ces rapports », explique Peter Schawacker, responsable de la diffusion des informations pour McAfee Security.

La loi Gramm-Leach-Bliley, signée en 1999, réglemente l'usage que peuvent faire les sociétés de services financiers des informations personnelles confidentielles recueillies dans le cadre de leurs activités de conseil en investissement. « Il s'agit ici de préserver la confidentialité, puisque les entreprises sont censées garantir la séparation des services de fusion-acquisition et des services de courtage, par exemple », fait remarquer M. Schawacker.

La loi HIPAA, adoptée en 1996, se concentre sur la protection des données de patients et couvre les trois zones du triangle CID. Elle concerne en particulier les assureurs et les autres organisations qui traitent les dossiers médicaux de patients. Et M. Schawacker d'observer : « Même si l'on entend essentiellement parler de cette loi en termes de confidentialité, elle aborde également des aspects tels que l'intégrité et la disponibilité ». « Il est essentiel, par exemple, de prévenir les erreurs dans l'administration de médicaments. De même, tout patient devant subir une intervention d'urgence doit pouvoir obtenir l'ensemble des paramètres le concernant. »

La loi HIPAA ne s'adresse pas uniquement aux fournisseurs de soins de santé et aux assureurs. En fait, la législation précise que toute organisation traitant des informations de patients est tenue de respecter la réglementation HIPAA en matière de confidentialité. Sont concernées les entreprises qui offrent des prestations de soins de santé à leurs employés, ou encore les institutions financières amenées à servir de chambres de compensation pour les transactions (par exemple, pour la conversion de transactions non conventionnelles en transactions standard, et inversement).

La sécurité d'abord, la conformité ensuite

De nombreuses sociétés de services financiers n'ont pas attendu la promulgation des lois pour prendre les mesures nécessaires. Selon M. Schawacker, les plus responsables d'entre elles ont d'abord mis en place un programme de sécurité performant, laissant à plus tard la vérification de la conformité. « Les réglementations indiquent simplement aux entreprises ce qu'elles auraient dû entreprendre depuis des années. Les sociétés de services financiers n'éprouvent donc pratiquement aucune difficulté à les respecter. »

Ces lois restent vagues quant aux mesures à mettre en oeuvre pour atteindre la conformité. « Certaines de ces réglementations sont floues parce qu'elles doivent s'appliquer à de très nombreux types d'entreprises », explique M. Schawacker. « Les lois HIPAA et GLBA sont plus spécifiques parce qu'elles s'adressent toutes deux à un marché vertical. Plus le secteur est spécifique, plus les exigences le sont aussi. En bref, les entreprises doivent faire preuve de la diligence qui s'impose et se conformer à l'esprit de la loi. »

Les réglementations actuelles, si elles ne partagent pas les mêmes objectifs et exigences en termes de conformité, ont cependant un point commun : les entreprises qui souhaitent s'y conformer ont indéniablement besoin de systèmes sécurisés.

Quel que soit le secteur d'activité, les entreprises doivent d'abord mettre en place des contrôles de sécurité performants. Il leur suffira ensuite de documenter ces contrôles pour répondre aux exigences des réglementations axées sur l'audit, telles que les lois Sarbanes-Oxley et GLBA. En ce qui concerne la loi HIPAA, les choses ne sont pas aussi simples car il ne s'agit pas d'un problème de conformité axé sur l'audit. Dans ce cas précis, les entreprises sont tenues de définir leur sécurité de façon opérationnelle.

Quelles que soient les mesures prises pour atteindre et maintenir la conformité, les entreprises doivent pouvoir justifier leurs efforts par une documentation précise, des rapports fiables et un suivi d'audit de contenu performant. « La conformité à la loi HIPAA se résume en trois mots : documentation, documentation et documentation », ironise M. Schawacker. « Il peut s'agir d'archiver les messages, de créer des rapports sur l'utilisation ou d'être en mesure de générer un type de documentation quelconque sur l'état de la configuration des contrôles à très brève échéance. »

Les entreprises doivent également mettre au point des stratégies de gestion des risques de façon à concentrer leurs ressources sur les menaces les plus dangereuses pour leurs activités. Pour mesurer l'importance du risque, les équipes chargées de la sécurité peuvent se pencher sur la valeur des actifs informatiques, sur leur vulnérabilité et sur la réalité de la menace pour ceux-ci.

Selon Mark Harris, Directeur de l'ingénierie chez McAfee, l'essentiel est de prouver que toutes les mesures ont été prises pour respecter les exigences de conformité. « McAfee® ePolicy Orchestrator® (ePO™) est à même d'afficher des rapports de couverture permettant de vérifier que tous les postes de travail sont à jour. Le module System Compliance Profiler (SCP), qui fait partie intégrante d'ePO, peut même rechercher la dernière version des patchs installés », précise-t-il. « Une fois encore, il s'agit de pouvoir prouver que toutes les mesures nécessaires ont été prises pour assurer la conformité des ordinateurs et de la salle de contrôle, et de présenter les données qui le prouvent. »

D'après M. Harris, l'un des aspects de la conformité réside dans la traçabilité et la capacité de surveiller les transmissions de données. « Nous proposons une gamme complète de produits de sécurisation de la messagerie. Tous nos produits partagent une fonctionnalité commune capable d'examiner le contenu des e-mails, des pièces jointes, des documents Word et des feuilles de calcul, ainsi que d'extraire du texte et de rechercher des mots clés », fait remarquer M. Harris.

« Vous pouvez définir des règles qui bloquent la sortie de telle information de l'entreprise, ou consigner tous les e-mails sortants contenant des mots ou des expressions clés dans le corps du message ou la pièce jointe », poursuit-il. « Ce type de règle peut s'appliquer à l'ensemble d'une entreprise ou à des personnes clés en son sein. »

Peter Schawacker ajoute que toute technologie capable de produire des rapports de configuration complets permet aux sociétés de services financiers d'atteindre des niveaux plus élevés de responsabilité, de transparence et de mesurabilité, trois éléments clés pour la conformité. « Chaque réglementation oblige les entreprises à mettre en place une sorte de matrice des actifs. La protection des systèmes non fiables, qui fait partie intégrante d'ePO, est parfaitement adaptée à cette tâche », explique-t-il.

Egalement proposée par McAfee, la solution de gestion des vulnérabilités McAfee® Foundstone® Enterprise apporte une contribution non négligeable aux efforts fournis par les sociétés de services financiers pour répondre aux exigences réglementaires. Conçue pour gérer et réduire les risques liés aux vulnérabilités des technologies numériques, cette solution de sécurité destinée aux grandes entreprises assure la protection de l'infrastructure réseau : elle découvre les actifs, en dresse l'inventaire et les classe par priorité ; ensuite, elle analyse les menaces et les met en corrélation, avant de rechercher une mesure corrective appropriée et de générer un rapport. Le module Foundstone Enterprise Threat Correlation permet aux clients de suivre les progrès réalisés à terme en matière de protection contre des menaces spécifiques, et de s'assurer qu'ils répondent aux exigences de conformité internes et réglementaires.

Depuis la rédaction de cet article, McAfee a introduit de nouveaux produits qui offrent des fonctionnalités similaires. Consultez la section relative aux produits pour en savoir plus.

Pour en savoir plus

Découvrez comment les solutions de gestion des vulnérabilités McAfee Foundstone Enterprise peuvent vous aider à répondre aux exigences de conformité.