Traçabilité : les RSSI en première ligne face à l’audit
mai 2008 par Marc Jacob
Lors de la troisième journée des 4èmes RIAM, Bernard Montel, Directeur technique de RSA et un de ses clients, un RSSI du monde de l’industrie ont soulevé le problème de la sécurité et de la traçabilité. En effet, aujourd’hui, les services d’audit souhaitent obtenir des informations de plus en plus fines sur ce qui se passe sur les SI. Face à ces demandes, les RSSI se trouvent en première ligne.
Comment tracer, quelles informations tracer et combien de temps conserver les informations ? C’est ainsi que le RSSI qui intervenait avec Bernard Montel de RSA a lancé le débat. Dans son cas, Il avait sécurisé la totalité de son entreprise et de ses filiales, en ayant recours pour partie à des solutions d’externalisation, mais en conservant dans son périmètre la sécurisation des services sensibles comme par exemple la R&D… Toutefois, il a été par « la patrouille de l’audit » sur les problèmes de fuite d’informations sensibles. Il a ainsi dans un premier choisi dans l’urgence une solution de DLP qui aujourd’hui est moins adapté à l’évolution de ses besoins. Il étudie actuellement une solution plus globale.
Ce RSSI du secteur banque assurance se pose actuellement la question du temps de conservations des données tracées. Il est, en effet, soumis à la règlementation de la CNIL, des Assurances, des banques. Il a aussi une problématique non seulement du « qui a accédé à quoi » mais aussi de la traçabilté des personnes qui ont pu avoir à modifier des fichiers sensibles.
Bernard Montel a montré que les produits de RSA pouvaient répondre à l’ensemble de ces problématiques. En effet, certaines de ses solutions permettent d’obtenir une traçabilité sur l’ensemble de la chaîne de l’authentification forte à la traçabilité de la modification de la donnée sous réserve pour cette dernière que les applications soient conçues pour le faire…
Articles connexes:
- 4èmes RIAM : l’approche par la gestion des risques est l’avenir de l’IAM
- Fuite d’informations : la responsabilité incombe aux utilisateurs !
- La gestion de rôles pour trouver un langage commun entre la sécurité et les métiers
- La sécurité de demain sera-t-elle assurée par le hardware ?
- IAM : La stratégie des objectifs modestes mais aux effets visibles est payante
- Gestion des rôles et traçabilité : de la réduction des coûts à la conformité
- Le marché de l’IAM en cours de démocratisation ?