Gestion des données de test à des fins de sécurité et

Limiter les risques à l'ère des Big Data
B L A N C
L I V R E
Gestion des données de test à des
fins de sécurité et de conformité
Le présent document contient des données confidentielles et exclusives, ainsi que des informations
constituant des secrets commerciaux (« Informations confidentielles ») d'Informatica Corporation. Il ne
peut être copié, distribué, dupliqué ni reproduit de quelque manière que ce soit, sans l'autorisation
écrite préalable d'Informatica.
Même si tout a été mis en œuvre pour garantir que les informations contenues dans ce document sont
exactes et exhaustives, il est possible qu'il contienne des erreurs typographiques ou des inexactitudes
techniques. Informatica ne saurait être tenu responsable des pertes résultant de l'utilisation
d'informations figurant dans ce document. Les informations contenues dans le présent document sont
susceptibles d'être modifiées sans préavis.
L'intégration des attributs de produits étudiés dans ce document dans une quelconque version ou mise
à jour d'un produit logiciel Informatica — ainsi que le calendrier de sortie de ces versions ou mises à
jour — sont à la seule discrétion d'Informatica.
Protégé par les brevets américains suivants : 6,032,158 ; 5,794,246 ; 6,014,670 ; 6,339,775 ; 6,044,374 ;
6,208,990 ; 6,208,990 ; 6,850,947 et 6,895,471 ; ou par les brevets américains en instance suivants :
09/644,280 ; 10/966,046 ; 10/727,700.
Version publiée en septembre 2012
Livre blanc
Table des matières
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Le point fort d'Informatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Informatica Data Subset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Informatica Persistent Data Masking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Valeur métier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
La solution d'Informatica en action . . . . . . . . . . . . . . . . . . . . . . . . . 8
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Gestion des données de test à des fins de sécurité et de conformité
1
Introduction
Selon les prévisions, les volumes d'informations gérés dans les datacenters d'entreprise vont être multipliés
par 50 au cours de la prochaine décennie1, avec de nouveaux types de données arrivant en masse de
sources jusqu'alors inconnues. Parallèlement, les environnements informatiques se complexifient de plus en
plus, requérant plusieurs copies des volumes de données à des fins de test, de création de correctifs, de
développement et de formation, mais aussi pour réaliser des sauvegardes complètes des systèmes.
Au fur et à mesure de l'expansion des Big Data, pour limiter le risque de plus en plus grand d'en perdre le
contrôle, vos services informatiques doivent développer de nouvelles stratégies évolutives. Dans ce livre
blanc, nous allons examiner comment les phases suivantes de la gestion des données de test peuvent
jouer un rôle essentiel pour préserver la confidentialité des données et garantir la conformité aux exigences
réglementaires :
• Définition et classification des données sensibles
• Localisation des données sensibles au sein des bases de données et des applications
• Création de sous-ensembles de données et application de règles de masquage des données homogènes
dans les différents systèmes
• Évaluation, contrôle et attestation de la sécurité des données
Ce livre blanc présente les avantages de la solution de gestion des données de test d'Informatica®. Évolutive,
flexible et simple d'utilisation, cette solution a été conçue pour permettre à vos services informatiques de
protéger les données confidentielles sensibles, de réduire les risques d'atteinte à la sécurité des données
et de répondre efficacement et rapidement aux exigences de conformité — tout en réduisant le coût des
données, en améliorant leur utilité et en optimisant leur rentabilité.
IDC, « The 2011 Digital Universe Study: Extracting Value from the Chaos », juin 2011.
1
2
Les Big Data et les risques pour la sécurité
Simplement à cause de leur volume, de leur diversité et de leur rapidité de circulation, les Big Data cumulent
les prédispositions aux failles de sécurité des données. Selon une étude de l'institut de recherche IDC, les
volumes des données au sein des datacenters des entreprises devraient être multipliés par 50 d'ici 2021, en
partie à cause de la multiplication des interactions via les réseaux sociaux, via l'informatique mobile et entre
les objets connectés avec des données qui circulent à une vitesse folle dans le monde entier. Vos services
informatiques sont confrontés à des décisions délicates concernant la sécurisation des données contre les
menaces externes, notamment lorsqu'il s'agit de déterminer dans quelles applications (de front-office, de
mid-office ou de back-office) les données sensibles vont résider.
Mais il ne faut pas oublier les menaces internes qui peuvent se révéler tout aussi dangereuses. D'après
un rapport de Forrester, 70 % des failles de sécurité des données sont d'origine interne.2 Dans un rapport
publié en mai 2012 par Ponemon Institute, les entreprises ont déclaré que la moitié de ces failles sont le fruit
d'utilisateurs internes disposant de suffisamment de privilèges.3
La complexité grandissante de l'environnement informatique est une source de difficulté supplémentaire
en matière de confidentialité des données. La plupart des services informatiques doivent développer et
gérer un grand nombre d'applications pour accompagner les activités de chaque division opérationnelle.
Chaque application de production peut requérir plusieurs copies de jeux de données à des fins de test, de
développement et de formation, ainsi que pour réaliser des sauvegardes sur site ou à distance. Chaque
copie peut, à son tour, impliquer un certain nombre de ressources disposant d'un accès direct à des
systèmes contenant des données potentiellement sensibles ou soumises à des réglementations relatives
à la confidentialité des données. Pour limiter l'envolée des coûts, les services informatiques peuvent avoir
recours à des modèles de ressources à l'étranger, ou déployer des solutions SaaS (Software as a Service logiciel en tant que service) ou dans le cloud. Pour exploiter au mieux les possibilités offertes par ces types
de modèle et solution, il est nécessaire de masquer les données.
Forrester, « Test Data Privacy Is Critical To Meet Compliances » (Les tests de confidentialité des données, outils essentiels
pour se conformer aux exigences), octobre 2009.
3
Ponemon, « Safeguarding Data in Production & Development: A Survey of IT Practitioners » (Protection des données dans
les environnements de production et de développement : étude menée auprès des équipes informatiques), mai 2012.
2
Gestion des données de test à des fins de sécurité et de conformité
3
Le point fort d'Informatica
Informatica offre une solution de gestion des données de test qui réduit considérablement les failles de
sécurité des données et les volumes de données, tout en améliorant la conformité aux stratégies, aux
réglementations et aux normes en matière de confidentialité de données. Cette solution unique s'appuie sur
la plate-forme Data Integration Platform™ d'Informatica. Connue pour figurer parmi les meilleures du marché,
cette plate-forme d'intégration de données d'entreprise est complète, ouverte, unifiée et économique.
Elle offre à vos services informatiques une approche centralisée en matière de gestion des données, leur
permettant de tirer parti de cette solution à l'échelle de différents domaines d'activité pour réaliser des
audits et se conformer aux stratégies et aux règles en vigueur en matière de confidentialité des données
dans l'ensemble de l'entreprise. La solution de gestion des données de test d'Informatica vient en appui au
programme de gouvernance de données de votre entreprise, intégrant les meilleures pratiques et modèles
pour accélérer son implémentation.
Grâce à cette solution complète, vous réduisez le nombre et la portée des risques menaçant votre
environnement de tests non pas de manière ponctuelle, mais dans le cadre d'un programme global en
continu :
• Prise en compte de l'ensembles des bases de données et applications locales et hors site le plus large du
marché ;
• Gestion et contrôle centralisés pour préserver la confidentialité des données et gérer les données de test
de manière homogène à l'échelle de l'entreprise ;
• Masquage des données pour la prise en charge de nombreuses applications, bases de données et
stratégies de datacenter personnalisées et prépackagées ;
• Gestion de la croissance des volumes de données — qu'elle soit organique ou qu'elle suive le
déploiement des nouvelles applications dans le datacenter.
Exploitant les fonctionnalités de la plate-forme d'Informatica, la solution de gestion des données de test
d'Informatica apporte des solutions à chaque étape du cycle de vie des données :
1. Définition et classification des données sensibles, y compris des modèles de données et de métadonnées.
2.Localisation des données sensibles au sein des bases de données et des applications.
3.Application des stratégies de création de sous-ensembles de données de production à des fins de test et
de formation.
4.Masquage des données de manière homogène dans l'ensemble des systèmes d'une entreprise pour
satisfaire aux exigences des différentes normes en matière de conformité.
5.Évaluation et contrôle de la protection des données en vue de son attestation en continu.
La solution de gestion des données de test d'Informatica comprend les deux options Informatica Data Subset
et Informatica Persistent Data Masking. Ces options complémentaires protègent en toute transparence
les données de test, quel que soit leur format — données non structurées, données semi-structurées ou
données conformes aux normes SWIFT, EDI et HIPAA, par exemple.
4
Informatica Data Subset
Informatica Data Subset est un logiciel évolutif et flexible pour la création, la mise à jour et la protection des
sous-ensembles de données — c'est-à-dire des bases de données ciblées de plus petite taille — en relation
avec des bases plus complexes et volumineuses. Ces jeux de données de production sont créés à partir de
systèmes interconnectés et les références qu'ils contiennent sont intactes. Ils réduisent considérablement le
temps, les efforts et l'espace disque nécessaires pour la prise en charge des systèmes hors production.
Informatica Data Subset réplique et actualise rapidement les données de production à l'aide des données
d'application de qualité les plus pertinentes. À l'ère des Big Data, Informatica Data Subset peut réduire
considérablement le volume des données nécessaires à des fins de test et de contrôle qualité.
Informatica Persistent Data Masking
Grâce à Informatica Persistent Data Masking, vos équipes informatiques créent, gèrent et appliquent des
stratégies de masquage des données afin de sécuriser les données sensibles dans vos environnements
de test et de production et afin de les protéger contre toute divulgation involontaire. Offrant une évolutivité
et une puissance hors pair, ainsi que des possibilités de connectivité à de très nombreuses bases de
données, ce logiciel de masquage de données masque les données de production utilisées pour créer
les environnements de test et de développement, quels que soient la base de données, la plate-forme ou
l'emplacement.
Ce logiciel offre des règles de masquage avancées et flexibles qui permettent à vos équipes informatiques
d'appliquer différentes techniques de masquage aux différents types de données utilisés dans des
environnements hors production dédiés aux tests, à la formation, etc. Grâce à Informatica Persistent
Data Masking, les services informatiques peuvent créer des stratégies de confidentialité des données à
l'échelle de l'entreprise tout en gérant la répartition des responsabilités. Les auditeurs et les responsables
de la sécurité peuvent définir des stratégies, tandis que les développeurs, les testeurs et les formateurs
conservent un accès à des données enrichies par des éléments contextuels, intactes sur le plan fonctionnel
et d'apparence réalistes sans perdre quoi que ce soit sur le plan des fonctionnalités des applications.
Gestion des données de test à des fins de sécurité et de conformité
5
Valeur métier
Pour l'entreprise, l'un des nombreux avantages d'une solution de gestion des données de test est la réduction
des risques d'atteinte à la sécurité des données. La valeur métier d'une solution de gestion des données de
test est évaluée en fonction de plusieurs critères, sur la base de résultats réalistes et de tests sectoriels.
Elle peut être mise en relation avec chacune des phases du cycle de vie des données confidentielles (voir la
figure 1).
• Définition de stratégies de
masquage des données
homogènes
• Classification des types de
données et affectation d'une
stratégie d'atténuation
des risques
Évaluation
et contrôle
• Évaluation et localisation
des données masquées
• Validation des données
protégées ― Attestation de
la conformité
6
Définition
Gouvernance
de données
Application
• Identification rapide des
données sensibles à l'échelle
de l'entreprise
• Identification des champs et
des relations entre les tables
Identification
• Application et fédération
des stratégies globales dans
des environnements hétérogènes
• Gestion de l'intégrité du
référentiel et de la
cohérence des données
protégées
PHASE
BÉNÉFICES
Définition
Augmentation du niveau de qualité - Définition de données réalistes dans les environnements de
contrôle qualité et de développement, ce qui réduit les temps d'arrêt associés aux opérations de
développement, de reprogrammation et de production.
Amélioration de la productivité des tests - Réduction des délais d'identification des données de test
optimales, ce qui réduit le temps total consacré aux tests.
Identification
Réduction des risques - Identification des données sensibles et parade contre les failles de sécurité, ce
qui réduit entre autres les coûts liés à la notification des victimes et les amendes connexes.
Accélération de l'identification des données sensibles - Identification rapide des données sensibles
dans l'ensemble des applications et des systèmes hérités et packagés, ce qui réduit les délais et les
coûts.
Application
Amélioration de la productivité des activités de développement - Développement de règles de
masquage globales de manière plus efficace via des accélérateurs (techniques de masquage
prédéfinies), ce qui réduit les coûts liés au développement.
Amélioration de la productivité des tests - Réduction des délais d'identification des données de test
optimales, ce qui réduit le temps total consacré aux tests.
Réduction des coûts liés au matériel et aux infrastructures - Création de sous-ensembles (copies de
plus petite taille de la base de données de production à des fins de test), ce qui réduit le coût total du
stockage. Réduction des coûts liés à la gestion de la sécurité réseau et à la gestion d'autres logiciels
pour sécuriser les environnements.
Économies liées à l'externalisation - Comme les données sont masquées, les entreprises peuvent
externaliser le développement ou le support technique des applications.
Évaluation et contrôle
Amélioration de la productivité du processus de reporting de la conformité - Mise à la disposition des
équipes chargées de l'audit des rapports indiquant les stratégies de masquage exécutées, la date à
laquelle les données ont été masquées et les types de données masqués.
Figure 1 : la valeur métier d'une solution de gestion des données de test peut être mise en relation avec
chacune des phases du cycle de vie des données confidentielles.
Grâce à la validation de l'approche ci-dessus auprès de clients et d'analystes du secteur, Informatica a créé
une évaluation de la valeur métier de la solution de gestion des données de test d'Informatica, avec la
quantification des économies qu'elle a permis de réaliser et des failles de sécurité des données qu'elle a
permis d'éviter. Cette évaluation est basée sur des témoignages clients relatifs aux économies générées et
sur des tests sectoriels tels que le coût moyen par enregistrement compromis.
Il s'agit de comparer ce que cela coûterait pour un salarié d'implémenter manuellement une solution de
gestion des données de test et ce que cela coûterait d'acheter et d'implémenter la solution d'Informatica, y
compris le temps que cette dernière permet de gagner.
Gestion des données de test à des fins de sécurité et de conformité
7
La solution d'Informatica en action
Examinons la solution de gestion des données de test d'Informatica en action.
Le réseau Ochsner Health System s'appuie sur la plate-forme d'Informatica pour rationaliser les soins
prodigués aux patients, améliorer les résultats pour les patients et renforcer l'utilité des données, tout en
réduisant les coûts. Ce réseau d'établissements de santé est le plus important du sud-est de la Louisiane,
avec huit hôpitaux et plus de 38 centres de soins de santé.
Dans le cadre de son passage au système Epic pour la gestion des dossiers médicaux au format
électronique, le réseau Ochsner a dû intégrer les données issues de plus de 38 systèmes cliniques, de
planification et de facturation. L'une des exigences était la prise en charge de tous les types de projets basés
sur de gros volumes de données et incluant le masquage des données sensibles relatives aux patients. Dans
le cadre du déploiement de son nouveau système, Ochsner a eu besoin de masquer les informations des
dossiers médicaux issues de l'environnement de production, afin de créer un environnement de test et de
développement sécurisé conforme.
La solution de gestion des données de test d'Informatica offre également une vue unique partagée des
données critiques à des fins de Business Intelligence à l'échelle de l'entreprise. Elle recherche et règle aussi
les problèmes relatifs à la qualité des données, et prend en charge le masquage des données dans les
environnements de test et de développement. Une fois l'intégration terminée, le réseau Ochsner a pu disposer
instantanément et en temps réel de chaque donnée médicale nécessaire, au sein d'un seul et même système.
D'autres clients d'Informatica utilisent cette solution de gestion des données de test pour réduire les risques
dans les environnements de test dédiés aux applications basées sur le cloud.
Par exemple, une société souhaitant faire évoluer vers le cloud son système de ressources humaines en local a
déployé la solution de gestion des données de test d'Informatica pour masquer les données sensibles relatives
aux ressources humaines et aux rémunérations dans les environnements de test (voir la figure 2). Grâce au
masquage des données, ce client a pu rendre les données sensibles non identifiables en deux semaines
seulement, soit la moitié moins de temps que prévu. Résultat : le lancement du nouveau modèle de ressources
humaines hébergé a eu lieu avec trois semaines d'avance sur le calendrier prévu. En outre, grâce au masquage
et à la protection des données sensibles, ce client et d'autres ont pu réaliser des économies supplémentaires en
externalisant les activités de développement et de support technique des applications, sans craindre que des
personnes non autorisées puissent accéder à des informations non masquées.
Production
Travail
Testeur d'application Utilisateur des données de production
Figure 2 : la solution de gestion des données de test d'Informatica a créé un sous-ensemble de données
intégralement masquées, ce qui a permis aux testeurs d'application de garantir une transition en douceur
vers une application de ressources humaines basée sur le cloud, sans qu'ils puissent accéder aux données
sensibles relatives aux employés.
8
Conclusion
À PROPOS D'INFORMATICA
Grâce à une solution de gestion des données de test qui identifie les données sensibles
et qui crée des jeux de données fonctionnels et sécurisés à des fins de test, les
entreprises peuvent continuer à tirer parti des avantages des Big Data tout en réduisant
le risque de perdre le contrôle de ces impressionnants volumes de données.
La solution de gestion des données de test d'Informatica offre ces possibilités, avec de
hautes performances et une connectivité complète, tout en fournissant une trace d'audit
en vue de la conformité aux exigences réglementaires. Évolutive, flexible et simple
d'utilisation, cette solution a été conçue pour permettre à vos services informatiques
de protéger les données confidentielles sensibles, de réduire les risques d'atteinte à
la sécurité des données et de répondre efficacement et rapidement aux exigences
de conformité — tout en réduisant le coût des données, en améliorant leur utilité et en
optimisant leur rentabilité.
Contactez Informatica dès maintenant pour de plus amples renseignements sur l'évaluation
de la valeur métier de la solution de gestion des données de test au sein de votre entreprise.
Informatica Corporation
(NASDAQ : INFA) est le leader
des fournisseurs indépendants
de solutions d'intégration de
données. Les sociétés du
monde entier font confiance
à Informatica pour optimiser
le retour sur les données et
répondre à leurs principaux
impératifs métiers. Plus de
5 000 entreprises dans
le monde s'appuient sur
Informatica pour tirer pleinement
profit de leurs ressources
en matière d'informations
hébergées sur site, dans le
cloud et sur les réseaux sociaux.
Gestion des données de test à des fins de sécurité et de conformité
9
Siège mondial, 100 Cardinal Way, Redwood City, CA 94063, États-Unis
Téléphone : +33 1 42 04 89 00 (France) www.informatica.com/fr
informatica.com linkedin.com/company/informatica twitter.com/InformaticaFr
© 2012 Informatica Corporation. Tous droits réservés. Imprimé aux États-Unis. Informatica, le logo Informatica et The Data Integration Company sont des
marques commerciales ou déposées appartenant à Informatica Corporation aux États-Unis et dans d'autres pays. Tous les autres noms de sociétés et de
produits sont la propriété de leurs détenteurs respectifs et peuvent avoir fait l'objet d'un dépôt de marque.
IN09_0912_02108FR