Sélectionner une page

IDENTITY GRC BOOSTER FOR DATA GOVERNANCE

GOUVERNANCE DES DONNÉES ET GDPR

__
__

Les Boosters Brainwave

Ce sont des modules complets qui permettent d’étendre facilement et économiquement le spectre fonctionnel de Brainwave Identity GRC. Les Boosters sont validés, certifiés et supportés par Brainwave

Retrouvez à travers ces 15 cas d’usage, l’illustration des meilleures pratiques de gestion et de protection de vos données non-structurées.

3 parcours possibles : Administrateur IT/SEC, RSSI et Manager Fonctionnel

« DATA PROTECTION by DESIGN and by DEFAULT »

COMMENT ET POURQUOI GARANTIR LA SÉCURITÉ DES DONNÉES NON STRUCTURÉES

Le degré de sensibilité conduit actuellement les dirigeants à s’interroger sur la sécurité de ces données. On aurait effectivement du mal à comprendre qu’un plan de fusion/acquisition tombe entre des mains non compétentes ou qu’un plan de restructuration soit exploité par des tiers.

De plus, le GDPR, ou  »General Data Protection Regulation », le nouveau règlement européen décidé en décembre 2015 s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles. Il implique que toute entreprise veillera à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

Contrairement aux données structurées dont l’accès est lié aux droits d’accès aux applications, les moyens d’accès aux données non structurées sont nettement moins bien contrôlés.

Les accidents de sécurité qui défrayent régulièrement la chronique ces derniers mois (Lux Leaks, Panama Papers, etc) renforcent l’attention des dirigeants sur la sécurité de l’information à l’intérieur de l’écosystème de l’entreprise.

Or selon les statistiques et ce que nous constatons, ces données non structurées se révèlent accessibles par un nombre bien supérieur que ce qu’il devrait. En moyenne plus de la moitié des collaborateurs ont accès à des informations qu’ils ne devraient pas voir.

Pour relever ce nouveau défi lié aux données non structurées, il est crucial de procéder parallèlement selon 6 axes :

  1. Recenser l’ensemble des répertoires partagés.
  2. Identifier les propriétaires métier de ces répertoires.
  3. Classer les données contenues au sein des répertoires en fonction de leur sensibilité.
  4. Se focaliser sur les répertoires qui relèvent d’un niveau de sensibilité critique
  5. Analyser les droits d’accès des collaborateurs et les rendre légitimes.
  6. Auditer les droits et les accès en continu afin de faire respecter les politiques de sécurité
  7. Répertorier et auditer tous les utilisateurs du SI qui accèdent aux données grâce à la journalisation (Logs)

Vos besoins, nos solutions

Fonctionnalités

Identification

Brainwave extrait les informations issues du SIRH, des Active Directory, des baies de stockage et des fichiers de log pour consolider les informations relatives aux droits d’accès aux données non structurées (répertoires partagés et fichiers).

Classification des données

La classification des données permet d’identifier les données qui doivent faire l’objet de protection et permet d’évaluer la sensibilité des répertoires.

La visualisation des zones à risques est immédiate et permet de se focaliser sur les zones critiques. Ce niveau de sensibilité est agrégé aux méta-données de chaque répertoire et fichier, et est instantanément héritée par le répertoire contenant ces données. Ceci permet d’établir un référentiel unique à l’entreprise, servant de point de repère à la fois aux utilisateurs, aux propriétaires des données et à la DSI.

Contrôle continu automatisé

Pour vous aider à vérifier la mise en application scrupuleuse de vos politiques de sécurité, Brainwave automatise le contrôle continu des droits et des accès aux fichiers sur l’ensemble des répertoires partagés audités. Vous avez ainsi l’assurance que vos actifs sont protégés.

Ses algorithmes d’analyse des relations entre les utilisateurs, les répertoires et les fichiers, permettent la mise en évidence instantanée de tout défaut ou anomalie. Il est ainsi possible de remédier simplement et de façon proactive à toute exception.

Analyse et modification des droits

L’analyse des permissions aide à répondre instantanément à des questions telles que : Qui a accès a tel répertoire ?, Quels sont les accès de M. Doe ?. L’analyse consolide l’ensemble des changements et permet ainsi de détecter par exemple les partages passés en accès public par erreur ou encore les comptes d’accès de collaborateurs qui ont quitté l’entreprise.

Pour plus d’efficacité, les utilisateurs et managers peuvent demander directement des modifications (ajouts et révocations) en mode ‘‘self-service’’. Les opérations techniques correspondantes peuvent être relayées via l’ITSM afin de s’interfacer finement avec l’IT.

Bénéfices métiers

Cartographier les droits d'accès aux données

Brainwave permet de cartographier précisément la totalité des accès aux ressources et actifs de l’entreprise. Sans cette cartographie, l’entreprise s’expose à des failles de sécurité et donc à des risques de fraudes et de pertes ou vols de données.

La solution permet de catalyser le management et les collaborateurs autour du RSSI pour, entre autres, mener les opérations de revue. En orchestrant le processus, le RSSI donne les moyens aux managers opérationnels et correspondants sécurité de répondre aux questions en se basant sur les rapports produits par la solution.

Brainwave instrumente, facilite et automatise le processus de cartographie et en supprime les obstacles à la fois techniques et organisationnels ainsi que les contraintes que toutes les entreprises rencontrent à l’heure actuelle.

Faciliter les procédures d'audit et de reporting

Qu’il s’agisse d’une investigation ponctuelle (forensic) ou d’un audit récurrent, la solution donne la possibilité de naviguer dans les données dans le temps de façon simple et conviviale afin de mettre en évidence toute anomalie ou activité suspecte.

Elle met aussi à disposition des rapports et données pour les audits de conformité réglementaire (Sarbanes-Oxley, HIPPA, ISAE 3402, CRBF 9702 ou tout autre type d’obligation réglementaire actuelle ou à venir).

Identifier les propriétaires métiers des données

L’identification des propriétaires des données est réalisée grâce aux algorithmes statistiques basés sur l’analyse des données et des accès pour découvrir qui sont les propriétaires des répertoires et des fichiers.

Une validation peut aussi être lancée par l’intermédiaire du workflow intégré. Les changements de propriétaire sont aussi gérés tout au long du cycle de vie de l’information.

RETROUVEZ VOS SECTEURS ET VOS PROFILS METIERS

Retrouvez votre secteur d'activité

Assurances et mutuelles

TRANSFORMATION DIGITALE – CONFORMITÉ RÉGLEMENTAIRE – LUTTE CONTRE LA FRAUDE

Le secteur des Assurances et mutuelles se métamorphose à grande vitesse. Avec une pression réglementaire toujours plus forte, les assureurs doivent faire face à de nombreux défis sectoriels tels que la conduite de leur transformation digitale, la gestion de leurs processus métiers sensibles ou encore la lutte contre les cyber attaques.

Assurance

Allez sur la page secteur Assurances  

Banque

CONFORMITE REGLEMENTAIRE – SENSIBILITE DES DONNEES – DIGITALISATION

Le secteur bancaire doit  faire face à de nombreux enjeux à l’heure actuelle : intensification des exigences réglementaires, digitalisation en interne et à l’externe de l’organisation, protection des actifs sensibles ou encore lutte contre la fuite de données.

Banque

Allez sur la page secteur Banque  

Energie

LUTTE CONTRE LES CYBER ATTAQUES – CYBER SÉCURITÉ – SENSIBILISATION

Le secteur de l’énergie est devenu en peu de temps l’une des cibles privilégiées des hackers, en particulier les industries pétrolières et gazières. Ces attaques externes se multiplient et peuvent rapidement impacter tout ou partie d’un pays entier en paralysant le réseau d’électricité, à l’image des hackings en Ukraine et en Israël par exemple.

Energie

Allez sur la page secteur Energie  

Industrie

OUVERTURE DU SI – SECURISATION CHAÎNE LOGISTIQUE – TRANSFORMATION NUMERIQUE

Le secteur industriel, aujourd’hui en pleine mutation, se trouve confronté à de nombreux enjeux stratégiques, à la fois circonstanciels et structurels. La multiplication des données non structurées, la sensibilité des chaînes logistique notamment au risque de fraude, la taille des organisations et l’importance de la protection des systèmes d’information sont toutes des défis à relever pour les acteurs du secteur.

Industrie

Allez sur la page secteur Industrie  

Santé

CYBER ATTAQUES – PROBLÉMATIQUE DE LÉGISLATION – TRANSFORMATION

La multiplication des cyber attaques visant les hôpitaux et les établissements de santé en général, à l’image du hacking du Hollywood presbyterian medical center, implique pour l’ensemble du secteur une intensification des risques de fraude, de fuite de données et d’attaques externes sans pour autant que les acteurs puissent mieux se protéger.

Allez sur la page secteur Santé  

Trading

CYBER ATTAQUES – DONNÉES ET PROCESSUS SENSIBLES – RÉPUTATION

A l’heure actuelle, l’activité trading doit faire face à des risques de cyber sécurité de plus en plus nombreux, à la hauteur des enjeux financiers et économiques qui s’y rattachent. Les conséquences financières et l’impact d’une cyber attaque sur la réputation des entreprises concernées représentent des risques de plus en plus importants face auxquels les acteurs commencent à prendre des mesures.

Trading

Allez sur la page secteur trading  

Retrouvez votre métier

RSSI et RSI

POLITIQUE DE SÉCURITÉ – CARTOGRAPHIE DES RISQUES – EFFICACITÉ OPÉRATIONNELLE

Le sujet de « sécurité » dans l’entreprise est souvent assuré par la collaboration entre RSI et RSSI, lorsque les deux acteurs sont présents dans l’organisation. La définition de la politique de sécurité et la cartographie des risques, menés par le Responsable de la Sécurité des Systèmes d’Information (RSSI), impulsent la direction à suivre pour la mise en place de cette politique de sécurité par le Responsable de la Sécurité Informatique (RSI).
RSSI

Allez sur la page profil RSSI et RSI  

DSI

EFFICACITÉ OPÉRATIONNELLE – PERFORMANCE – OBJECTIFS

L’efficacité sur le plan opérationnel et la performance de la fonction informatique sont des priorités absolues pour tout Directeur des Systèmes d’Information (DSI). Dans ce contexte, la sécurité informatique est souvent perçue comme une contrainte. Cependant, un manque d’attention aux problématiques de sécurité peut compromettre rapidement la performance opérationnelle de la direction.

CIO

Allez sur la page DSI  

Responsable d'infrastructure et d'application

ASSURER LE FONCTIONNEMENT OPÉRATIONNEL ET LA SÉCURITÉ DE SON PÉRIMÈTRE

Chaque responsable d’infrastructure et d’application au sein d’une organisation se doit d’assurer la maintenance opérationnelle de son périmètre mais également d’opérer les contrôles de niveau 1 dans le cadre des plans de contrôle interne, et de répondre aux sollicitations éventuelles des auditeurs.

Responsable-Infra

Allez sur la page profil responsable d'infrastructure et d'application  

Auditeur

EXIGENCES DE CONFORMITÉ, ANALYSES, RAPPORTS ET GOUVERNANCE DES RISQUES

Les enjeux actuels de l’audit informatique sont multiples : vérification de l’intégrité des données et des systèmes, vérification du respect des politiques internes et de la réglementation, détection des dérives… L’audit, en plus de sa mission de contrôle de la conformité réglementaire, a de plus en plus un rôle complémentaire à celui de la sécurité informatique : les ressources et données de l’organisation sont-elles utilisées à bon escient et par des utilisateurs légitimes ?

Auditeur

Allez sur la page profil auditeur  

Contrôleur interne

CONFORMITÉ – MAÎTRISE DES RISQUES ET DES ACTIVITÉS – RESSOURCES – PROCESSUS

Le contrôle interne est aujourd’hui en charge d’un vaste périmètre : contrôles de mise en conformité, la définition et la bonne application des matrices de séparation des tâches (SoD), la mise en oeuvre des plans de contrôles et des KPIs qui en résultent, la conduite de processus de remédiation, etc

Allez sur la page profil contrôleur interne  

Manager fonctionnel

PERFORMANCE – EFFICACITÉ OPÉRATIONNELLE – SÉCURITÉ DU DÉPARTEMENT

Tout responsable de département ou d’unités métiers est avant tout chargé d’assurer l’efficacité organisationnelle et d’atteindre les objectifs fixés. La revue des droits d’accès de ses équipes, le respect des exigences de conformité réglementaire ainsi qu’une conscience des risques de sécurité tels que la fraude sont parmi les défis métiers actuels auxquels vous devez faire face.

Manager

Allez sur la page profil manager  

Directeur Financier DAF et CRO

LUTTER CONTRE LA FRAUDE – ASSURER L’EFFICACITÉ OPÉRATIONNELLE ET FINANCIÈRE

Fuite de données sensibles, vol d’informations, fraude interne… Jamais les directions financières n’ont eu autant à se préoccuper du détournement de l’usage des ressources informatiques. Ces détournement font peser des risques avérés sur la profitabilité et l’image des organisations.  Les Commissaires aux Comptes sont de plus en plus exigeants dans leurs vérifications et pointent du doigt des manquements aux obligations de contrôle qu’il devient de plus en plus compliqué d’ignorer.

Directeur-Financier

Allez sur la page profil Directeur Financier  

Direction générale

CROISSANCE – RISQUES POUR L’ORGANISATION – TRANSFORMATION DIGITALE

Vol d’informations, fuite de documents confidentiels, fraude interne… Jamais les directions financières n’ont eu autant à se préoccuper du détournement de l’usage des ressources informatiques. Ces détournement font peser des risques avérés sur la profitabilité et l’image des organisations. Les Commissaires aux Comptes sont de plus en plus exigeants dans leurs vérifications et pointent du doigt des manquements aux obligations de contrôle qu’il devient de plus en plus compliqué d’ignorer.

Inspection-DG

Allez sur la page profil direction générale  

Share This