Gestion des données de test à des fins de sécurité et
Transcription
Gestion des données de test à des fins de sécurité et
Limiter les risques à l'ère des Big Data B L A N C L I V R E Gestion des données de test à des fins de sécurité et de conformité Le présent document contient des données confidentielles et exclusives, ainsi que des informations constituant des secrets commerciaux (« Informations confidentielles ») d'Informatica Corporation. Il ne peut être copié, distribué, dupliqué ni reproduit de quelque manière que ce soit, sans l'autorisation écrite préalable d'Informatica. Même si tout a été mis en œuvre pour garantir que les informations contenues dans ce document sont exactes et exhaustives, il est possible qu'il contienne des erreurs typographiques ou des inexactitudes techniques. Informatica ne saurait être tenu responsable des pertes résultant de l'utilisation d'informations figurant dans ce document. Les informations contenues dans le présent document sont susceptibles d'être modifiées sans préavis. L'intégration des attributs de produits étudiés dans ce document dans une quelconque version ou mise à jour d'un produit logiciel Informatica — ainsi que le calendrier de sortie de ces versions ou mises à jour — sont à la seule discrétion d'Informatica. Protégé par les brevets américains suivants : 6,032,158 ; 5,794,246 ; 6,014,670 ; 6,339,775 ; 6,044,374 ; 6,208,990 ; 6,208,990 ; 6,850,947 et 6,895,471 ; ou par les brevets américains en instance suivants : 09/644,280 ; 10/966,046 ; 10/727,700. Version publiée en septembre 2012 Livre blanc Table des matières Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Le point fort d'Informatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Informatica Data Subset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Informatica Persistent Data Masking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Valeur métier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 La solution d'Informatica en action . . . . . . . . . . . . . . . . . . . . . . . . . 8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Gestion des données de test à des fins de sécurité et de conformité 1 Introduction Selon les prévisions, les volumes d'informations gérés dans les datacenters d'entreprise vont être multipliés par 50 au cours de la prochaine décennie1, avec de nouveaux types de données arrivant en masse de sources jusqu'alors inconnues. Parallèlement, les environnements informatiques se complexifient de plus en plus, requérant plusieurs copies des volumes de données à des fins de test, de création de correctifs, de développement et de formation, mais aussi pour réaliser des sauvegardes complètes des systèmes. Au fur et à mesure de l'expansion des Big Data, pour limiter le risque de plus en plus grand d'en perdre le contrôle, vos services informatiques doivent développer de nouvelles stratégies évolutives. Dans ce livre blanc, nous allons examiner comment les phases suivantes de la gestion des données de test peuvent jouer un rôle essentiel pour préserver la confidentialité des données et garantir la conformité aux exigences réglementaires : • Définition et classification des données sensibles • Localisation des données sensibles au sein des bases de données et des applications • Création de sous-ensembles de données et application de règles de masquage des données homogènes dans les différents systèmes • Évaluation, contrôle et attestation de la sécurité des données Ce livre blanc présente les avantages de la solution de gestion des données de test d'Informatica®. Évolutive, flexible et simple d'utilisation, cette solution a été conçue pour permettre à vos services informatiques de protéger les données confidentielles sensibles, de réduire les risques d'atteinte à la sécurité des données et de répondre efficacement et rapidement aux exigences de conformité — tout en réduisant le coût des données, en améliorant leur utilité et en optimisant leur rentabilité. IDC, « The 2011 Digital Universe Study: Extracting Value from the Chaos », juin 2011. 1 2 Les Big Data et les risques pour la sécurité Simplement à cause de leur volume, de leur diversité et de leur rapidité de circulation, les Big Data cumulent les prédispositions aux failles de sécurité des données. Selon une étude de l'institut de recherche IDC, les volumes des données au sein des datacenters des entreprises devraient être multipliés par 50 d'ici 2021, en partie à cause de la multiplication des interactions via les réseaux sociaux, via l'informatique mobile et entre les objets connectés avec des données qui circulent à une vitesse folle dans le monde entier. Vos services informatiques sont confrontés à des décisions délicates concernant la sécurisation des données contre les menaces externes, notamment lorsqu'il s'agit de déterminer dans quelles applications (de front-office, de mid-office ou de back-office) les données sensibles vont résider. Mais il ne faut pas oublier les menaces internes qui peuvent se révéler tout aussi dangereuses. D'après un rapport de Forrester, 70 % des failles de sécurité des données sont d'origine interne.2 Dans un rapport publié en mai 2012 par Ponemon Institute, les entreprises ont déclaré que la moitié de ces failles sont le fruit d'utilisateurs internes disposant de suffisamment de privilèges.3 La complexité grandissante de l'environnement informatique est une source de difficulté supplémentaire en matière de confidentialité des données. La plupart des services informatiques doivent développer et gérer un grand nombre d'applications pour accompagner les activités de chaque division opérationnelle. Chaque application de production peut requérir plusieurs copies de jeux de données à des fins de test, de développement et de formation, ainsi que pour réaliser des sauvegardes sur site ou à distance. Chaque copie peut, à son tour, impliquer un certain nombre de ressources disposant d'un accès direct à des systèmes contenant des données potentiellement sensibles ou soumises à des réglementations relatives à la confidentialité des données. Pour limiter l'envolée des coûts, les services informatiques peuvent avoir recours à des modèles de ressources à l'étranger, ou déployer des solutions SaaS (Software as a Service logiciel en tant que service) ou dans le cloud. Pour exploiter au mieux les possibilités offertes par ces types de modèle et solution, il est nécessaire de masquer les données. Forrester, « Test Data Privacy Is Critical To Meet Compliances » (Les tests de confidentialité des données, outils essentiels pour se conformer aux exigences), octobre 2009. 3 Ponemon, « Safeguarding Data in Production & Development: A Survey of IT Practitioners » (Protection des données dans les environnements de production et de développement : étude menée auprès des équipes informatiques), mai 2012. 2 Gestion des données de test à des fins de sécurité et de conformité 3 Le point fort d'Informatica Informatica offre une solution de gestion des données de test qui réduit considérablement les failles de sécurité des données et les volumes de données, tout en améliorant la conformité aux stratégies, aux réglementations et aux normes en matière de confidentialité de données. Cette solution unique s'appuie sur la plate-forme Data Integration Platform™ d'Informatica. Connue pour figurer parmi les meilleures du marché, cette plate-forme d'intégration de données d'entreprise est complète, ouverte, unifiée et économique. Elle offre à vos services informatiques une approche centralisée en matière de gestion des données, leur permettant de tirer parti de cette solution à l'échelle de différents domaines d'activité pour réaliser des audits et se conformer aux stratégies et aux règles en vigueur en matière de confidentialité des données dans l'ensemble de l'entreprise. La solution de gestion des données de test d'Informatica vient en appui au programme de gouvernance de données de votre entreprise, intégrant les meilleures pratiques et modèles pour accélérer son implémentation. Grâce à cette solution complète, vous réduisez le nombre et la portée des risques menaçant votre environnement de tests non pas de manière ponctuelle, mais dans le cadre d'un programme global en continu : • Prise en compte de l'ensembles des bases de données et applications locales et hors site le plus large du marché ; • Gestion et contrôle centralisés pour préserver la confidentialité des données et gérer les données de test de manière homogène à l'échelle de l'entreprise ; • Masquage des données pour la prise en charge de nombreuses applications, bases de données et stratégies de datacenter personnalisées et prépackagées ; • Gestion de la croissance des volumes de données — qu'elle soit organique ou qu'elle suive le déploiement des nouvelles applications dans le datacenter. Exploitant les fonctionnalités de la plate-forme d'Informatica, la solution de gestion des données de test d'Informatica apporte des solutions à chaque étape du cycle de vie des données : 1. Définition et classification des données sensibles, y compris des modèles de données et de métadonnées. 2.Localisation des données sensibles au sein des bases de données et des applications. 3.Application des stratégies de création de sous-ensembles de données de production à des fins de test et de formation. 4.Masquage des données de manière homogène dans l'ensemble des systèmes d'une entreprise pour satisfaire aux exigences des différentes normes en matière de conformité. 5.Évaluation et contrôle de la protection des données en vue de son attestation en continu. La solution de gestion des données de test d'Informatica comprend les deux options Informatica Data Subset et Informatica Persistent Data Masking. Ces options complémentaires protègent en toute transparence les données de test, quel que soit leur format — données non structurées, données semi-structurées ou données conformes aux normes SWIFT, EDI et HIPAA, par exemple. 4 Informatica Data Subset Informatica Data Subset est un logiciel évolutif et flexible pour la création, la mise à jour et la protection des sous-ensembles de données — c'est-à-dire des bases de données ciblées de plus petite taille — en relation avec des bases plus complexes et volumineuses. Ces jeux de données de production sont créés à partir de systèmes interconnectés et les références qu'ils contiennent sont intactes. Ils réduisent considérablement le temps, les efforts et l'espace disque nécessaires pour la prise en charge des systèmes hors production. Informatica Data Subset réplique et actualise rapidement les données de production à l'aide des données d'application de qualité les plus pertinentes. À l'ère des Big Data, Informatica Data Subset peut réduire considérablement le volume des données nécessaires à des fins de test et de contrôle qualité. Informatica Persistent Data Masking Grâce à Informatica Persistent Data Masking, vos équipes informatiques créent, gèrent et appliquent des stratégies de masquage des données afin de sécuriser les données sensibles dans vos environnements de test et de production et afin de les protéger contre toute divulgation involontaire. Offrant une évolutivité et une puissance hors pair, ainsi que des possibilités de connectivité à de très nombreuses bases de données, ce logiciel de masquage de données masque les données de production utilisées pour créer les environnements de test et de développement, quels que soient la base de données, la plate-forme ou l'emplacement. Ce logiciel offre des règles de masquage avancées et flexibles qui permettent à vos équipes informatiques d'appliquer différentes techniques de masquage aux différents types de données utilisés dans des environnements hors production dédiés aux tests, à la formation, etc. Grâce à Informatica Persistent Data Masking, les services informatiques peuvent créer des stratégies de confidentialité des données à l'échelle de l'entreprise tout en gérant la répartition des responsabilités. Les auditeurs et les responsables de la sécurité peuvent définir des stratégies, tandis que les développeurs, les testeurs et les formateurs conservent un accès à des données enrichies par des éléments contextuels, intactes sur le plan fonctionnel et d'apparence réalistes sans perdre quoi que ce soit sur le plan des fonctionnalités des applications. Gestion des données de test à des fins de sécurité et de conformité 5 Valeur métier Pour l'entreprise, l'un des nombreux avantages d'une solution de gestion des données de test est la réduction des risques d'atteinte à la sécurité des données. La valeur métier d'une solution de gestion des données de test est évaluée en fonction de plusieurs critères, sur la base de résultats réalistes et de tests sectoriels. Elle peut être mise en relation avec chacune des phases du cycle de vie des données confidentielles (voir la figure 1). • Définition de stratégies de masquage des données homogènes • Classification des types de données et affectation d'une stratégie d'atténuation des risques Évaluation et contrôle • Évaluation et localisation des données masquées • Validation des données protégées ― Attestation de la conformité 6 Définition Gouvernance de données Application • Identification rapide des données sensibles à l'échelle de l'entreprise • Identification des champs et des relations entre les tables Identification • Application et fédération des stratégies globales dans des environnements hétérogènes • Gestion de l'intégrité du référentiel et de la cohérence des données protégées PHASE BÉNÉFICES Définition Augmentation du niveau de qualité - Définition de données réalistes dans les environnements de contrôle qualité et de développement, ce qui réduit les temps d'arrêt associés aux opérations de développement, de reprogrammation et de production. Amélioration de la productivité des tests - Réduction des délais d'identification des données de test optimales, ce qui réduit le temps total consacré aux tests. Identification Réduction des risques - Identification des données sensibles et parade contre les failles de sécurité, ce qui réduit entre autres les coûts liés à la notification des victimes et les amendes connexes. Accélération de l'identification des données sensibles - Identification rapide des données sensibles dans l'ensemble des applications et des systèmes hérités et packagés, ce qui réduit les délais et les coûts. Application Amélioration de la productivité des activités de développement - Développement de règles de masquage globales de manière plus efficace via des accélérateurs (techniques de masquage prédéfinies), ce qui réduit les coûts liés au développement. Amélioration de la productivité des tests - Réduction des délais d'identification des données de test optimales, ce qui réduit le temps total consacré aux tests. Réduction des coûts liés au matériel et aux infrastructures - Création de sous-ensembles (copies de plus petite taille de la base de données de production à des fins de test), ce qui réduit le coût total du stockage. Réduction des coûts liés à la gestion de la sécurité réseau et à la gestion d'autres logiciels pour sécuriser les environnements. Économies liées à l'externalisation - Comme les données sont masquées, les entreprises peuvent externaliser le développement ou le support technique des applications. Évaluation et contrôle Amélioration de la productivité du processus de reporting de la conformité - Mise à la disposition des équipes chargées de l'audit des rapports indiquant les stratégies de masquage exécutées, la date à laquelle les données ont été masquées et les types de données masqués. Figure 1 : la valeur métier d'une solution de gestion des données de test peut être mise en relation avec chacune des phases du cycle de vie des données confidentielles. Grâce à la validation de l'approche ci-dessus auprès de clients et d'analystes du secteur, Informatica a créé une évaluation de la valeur métier de la solution de gestion des données de test d'Informatica, avec la quantification des économies qu'elle a permis de réaliser et des failles de sécurité des données qu'elle a permis d'éviter. Cette évaluation est basée sur des témoignages clients relatifs aux économies générées et sur des tests sectoriels tels que le coût moyen par enregistrement compromis. Il s'agit de comparer ce que cela coûterait pour un salarié d'implémenter manuellement une solution de gestion des données de test et ce que cela coûterait d'acheter et d'implémenter la solution d'Informatica, y compris le temps que cette dernière permet de gagner. Gestion des données de test à des fins de sécurité et de conformité 7 La solution d'Informatica en action Examinons la solution de gestion des données de test d'Informatica en action. Le réseau Ochsner Health System s'appuie sur la plate-forme d'Informatica pour rationaliser les soins prodigués aux patients, améliorer les résultats pour les patients et renforcer l'utilité des données, tout en réduisant les coûts. Ce réseau d'établissements de santé est le plus important du sud-est de la Louisiane, avec huit hôpitaux et plus de 38 centres de soins de santé. Dans le cadre de son passage au système Epic pour la gestion des dossiers médicaux au format électronique, le réseau Ochsner a dû intégrer les données issues de plus de 38 systèmes cliniques, de planification et de facturation. L'une des exigences était la prise en charge de tous les types de projets basés sur de gros volumes de données et incluant le masquage des données sensibles relatives aux patients. Dans le cadre du déploiement de son nouveau système, Ochsner a eu besoin de masquer les informations des dossiers médicaux issues de l'environnement de production, afin de créer un environnement de test et de développement sécurisé conforme. La solution de gestion des données de test d'Informatica offre également une vue unique partagée des données critiques à des fins de Business Intelligence à l'échelle de l'entreprise. Elle recherche et règle aussi les problèmes relatifs à la qualité des données, et prend en charge le masquage des données dans les environnements de test et de développement. Une fois l'intégration terminée, le réseau Ochsner a pu disposer instantanément et en temps réel de chaque donnée médicale nécessaire, au sein d'un seul et même système. D'autres clients d'Informatica utilisent cette solution de gestion des données de test pour réduire les risques dans les environnements de test dédiés aux applications basées sur le cloud. Par exemple, une société souhaitant faire évoluer vers le cloud son système de ressources humaines en local a déployé la solution de gestion des données de test d'Informatica pour masquer les données sensibles relatives aux ressources humaines et aux rémunérations dans les environnements de test (voir la figure 2). Grâce au masquage des données, ce client a pu rendre les données sensibles non identifiables en deux semaines seulement, soit la moitié moins de temps que prévu. Résultat : le lancement du nouveau modèle de ressources humaines hébergé a eu lieu avec trois semaines d'avance sur le calendrier prévu. En outre, grâce au masquage et à la protection des données sensibles, ce client et d'autres ont pu réaliser des économies supplémentaires en externalisant les activités de développement et de support technique des applications, sans craindre que des personnes non autorisées puissent accéder à des informations non masquées. Production Travail Testeur d'application Utilisateur des données de production Figure 2 : la solution de gestion des données de test d'Informatica a créé un sous-ensemble de données intégralement masquées, ce qui a permis aux testeurs d'application de garantir une transition en douceur vers une application de ressources humaines basée sur le cloud, sans qu'ils puissent accéder aux données sensibles relatives aux employés. 8 Conclusion À PROPOS D'INFORMATICA Grâce à une solution de gestion des données de test qui identifie les données sensibles et qui crée des jeux de données fonctionnels et sécurisés à des fins de test, les entreprises peuvent continuer à tirer parti des avantages des Big Data tout en réduisant le risque de perdre le contrôle de ces impressionnants volumes de données. La solution de gestion des données de test d'Informatica offre ces possibilités, avec de hautes performances et une connectivité complète, tout en fournissant une trace d'audit en vue de la conformité aux exigences réglementaires. Évolutive, flexible et simple d'utilisation, cette solution a été conçue pour permettre à vos services informatiques de protéger les données confidentielles sensibles, de réduire les risques d'atteinte à la sécurité des données et de répondre efficacement et rapidement aux exigences de conformité — tout en réduisant le coût des données, en améliorant leur utilité et en optimisant leur rentabilité. Contactez Informatica dès maintenant pour de plus amples renseignements sur l'évaluation de la valeur métier de la solution de gestion des données de test au sein de votre entreprise. Informatica Corporation (NASDAQ : INFA) est le leader des fournisseurs indépendants de solutions d'intégration de données. Les sociétés du monde entier font confiance à Informatica pour optimiser le retour sur les données et répondre à leurs principaux impératifs métiers. Plus de 5 000 entreprises dans le monde s'appuient sur Informatica pour tirer pleinement profit de leurs ressources en matière d'informations hébergées sur site, dans le cloud et sur les réseaux sociaux. Gestion des données de test à des fins de sécurité et de conformité 9 Siège mondial, 100 Cardinal Way, Redwood City, CA 94063, États-Unis Téléphone : +33 1 42 04 89 00 (France) www.informatica.com/fr informatica.com linkedin.com/company/informatica twitter.com/InformaticaFr © 2012 Informatica Corporation. Tous droits réservés. Imprimé aux États-Unis. Informatica, le logo Informatica et The Data Integration Company sont des marques commerciales ou déposées appartenant à Informatica Corporation aux États-Unis et dans d'autres pays. Tous les autres noms de sociétés et de produits sont la propriété de leurs détenteurs respectifs et peuvent avoir fait l'objet d'un dépôt de marque. IN09_0912_02108FR