externalisation sécurisée vers le Cloud : cinq

Transcription

LIVRE BLANC
Externalisation sécurisée | Juillet 2012
externalisation
sécurisée vers
le Cloud : cinq
éléments clés à
prendre en compte
Russell Miller
Tyson Whitten
CA Technologies, Gestion de la sécurité
agility
made possible™
Externalisation sécurisée
table des matières
SECTION 1 : Défi
3
Évaluation de la sécurité lors du passage
au Cloud
SECTION 2 : Solution
3
Gestion des identités à forts privilèges
et protection des informations pour
une externalisation plus sécurisée
SECTION 3 : Conclusions
11
SECTION 4 : Références
11
SECTION 5 : À propos des auteurs
12
Section 1 : Défi
Évaluation de la sécurité lors du passage au Cloud
Quelle que soit leur taille ou leur activité, de plus en plus d’organisations font appel aux services Cloud
non seulement pour des fonctions métier critiques, mais aussi pour le stockage et le traitement
de leurs données les plus sensibles. Selon le Gartner, « à la fin de l’année 2016, plus de 50 % des
1 000 principales entreprises mondiales auront stocké leurs données client sensibles dans le Cloud
public ».1 D’autres continuent à résister à l’attrait des services Cloud en raison de préoccupations
relatives à la sécurité. Ces deux types d’organisations se rendent compte que la « sécurité du Cloud »
n’en est qu’à ses débuts et qu’il lui manque encore des normes de référence, voire même des normes
officieuses.
La gestion et la surveillance des données et des identités à forts privilèges en interne sont devenues
une exigence pour de nombreuses organisations. Cela réduit le risque de violations par des personnes
internes, aide à garantir la responsabilisation des administrateurs, simplifie la mise en conformité
et peut même accélérer l’adoption de nouvelles technologies.
Cependant, les mêmes organisations qui contrôlent méticuleusement leurs données et identités internes
externalisent fréquemment leurs services IT vers ce qui n’est au fond qu’une « boîte noire », abandonnant
tout contrôle direct et confiant à des sociétés d’hébergement de services Cloud la sécurisation de leurs
données. Tandis que la sécurité est régie par des accords en matière de règles et de procédures de
sécurité, les actions des différents administrateurs sont souvent dissimulées. Cela implique que les
actions des administrateurs et les droits spécifiques sont considérés d’une certaine façon comme
moins risqués lorsqu’ils sont fournis par une entité extérieure. Ce n’est malheureusement pas le cas.
De même, les données ne sont pas nécessairement mieux protégées des accès non autorisés en étant
stockées sur un réseau interne à la société ou dans le data center d’une société d’hébergement.
En optant pour l’externalisation, les organisations acquièrent une grande flexibilité. Elles peuvent
choisir de conserver un contrôle fort en préférant un environnement Cloud privé autogéré ou elles
peuvent faire appel à des tiers pour la gestion et l’hébergement de leur infrastructure, plate-forme
ou service Cloud. Chaque type de Cloud et de service possède ses propres défis en matière de sécurité ;
toutefois, pour tous les types de Cloud, la sécurité des identités et des données permet d’accroître la
transparence et de réduire les risques.
Section 2 : Solution
Gestion des identités à forts privilèges
et protection des informations pour une
externalisation plus sécurisée
L’élément clé pour maîtriser la sécurité dans un environnement Cloud est de comprendre que les
principes fondamentaux de protection de la confidentialité, de l’intégrité et de la disponibilité des
informations restent inchangés. Lorsqu’elles utilisent un environnement Cloud, les organisations
doivent être conscientes des risques auxquels peuvent être exposés leurs systèmes et leurs données.
Pour ce faire, elles doivent s’assurer du respect des meilleures pratiques de gestion des identités et
des accès (IAM), tant en interne qu’au sein des sociétés d’hébergement.
3
La migration vers un environnement Cloud hébergé implique l’abandon d’un niveau de contrôle,
mais la sécurité ne doit pas nécessairement en pâtir. De nos jours, les outils de gestion des identités
et des accès permettent aux organisations de déterminer le niveau de sécurité et de transparence que
leur société d’hébergement doit leur garantir.
Le niveau de transparence IAM dépend du type de services Cloud envisagé :
•Cloud privé (interne et externe)
•Infrastructure à la demande (IaaS, Infrastructure as a Service)
•Plate-forme à la demande (PaaS, Platform as a Service)
•Logiciels à la demande (SaaS, Software as a Service).
Chaque type de service Cloud présente ses propres défis en matière de sécurité et la manière d’y
répondre doit être adaptée en fonction tant du type de service Cloud que des exigences de sécurité des
organisations. Ce qui caractérise un environnement Cloud privé n’est pas le lieu d’hébergement, mais
l’absence de ressources partagées ou « hébergement multiclient ». Il peut aussi bien être au sein d’une
organisation avec du matériel propre ou se situer à l’extérieur en faisant appel à des systèmes et
appareils d’une société d’hébergement. Toutefois, les risques sont nettement plus grands avec un
hébergement hors site, la séparation des infrastructures devant être contrôlée.
Pour tous les types de Cloud, outre les meilleures pratiques standard de renforcement, d’architecture
de réseau, de règles et de procédures, des outils de gestion des identités et des accès sont essentiels
afin de permettre aux bonnes personnes d’accéder aux systèmes et données appropriés. Cela implique
la connaissance des identités et des accès, de la sécurité des systèmes et des données, du reporting/de
la journalisation des activités des utilisateurs.
Les 5 principales questions à poser à votre sous-traitant
Questions
Questions complémentaires
1. Où mes données sont-elles stockées ?
•Où seront stockées mes données sensibles ?
•Puis-je déterminer des emplacements de stockage
interdits ?
•Vais-je bénéficier d’une visibilité en temps réel ?
2. Qui a accès à mes serveurs et à mes
données ?
•Quels sont leurs rôles ?
•Sont-ils les seuls responsables de mon compte ?
• Comment l’accès à mes données est-il accordé ou refusé ?
3. Comment mes systèmes et mes données
sont-ils protégés ?
•Comment les droits administratifs d’hyperviseur sont-ils
gérés ?
•Comment mes données sont-elles contrôlées ?
•Êtes-vous en mesure de prouver que vos systèmes de
contrôle sont conformes avec les réglementations me
concernant ?
4
4. Quelles sont les données d’activité qui sont
consignées dans des journaux ?
•Quel est le niveau de granularité enregistré ?
•De quelle façon la responsabilisation est-elle assurée
pour les comptes partagés (p. ex. « root ») ?
• Comment les administrateurs temporaires sont-ils gérés ?
•Quelle est la procédure d’octroi d’accès d’urgence à un
compte ?
5. Comment soutenez-vous la mise en
conformité ?
•Quel type de reporting mettez-vous à disposition ?
•Les rapports seront-ils automatisés et faciles à générer
pour les auditeurs ?
Où mes données sont-elles stockées ?
L’implication du transfert de contrôle de données organisationnelles sensibles à des sous-traitants
reste une entrave importante à la migration d’entreprises vers les services Cloud. Selon le Gartner,
« la sécurité des données sensibles dans le Cloud est la principale préoccupation par rapport à
l’adoption du Cloud ».2 Les entreprises doivent avoir l’assurance que l’externalisation maintient
le risque de corruption et de non-conformité des données stable, voire le diminue.
Les entreprises doivent respecter différentes étapes au moment de la migration des données en dehors
de l’organisation et au cours de leur gestion quotidienne.
1.Comprendre votre base de données : la première étape consiste à réaliser un inventaire des
données en rapport avec ce qui est externalisé. Dans le cas de l’externalisation d’applications
métier vers un fournisseur d’hébergement géré, il s’agit de comprendre le type de données stockées
et communiquées dans le cadre de ces applications. En outre, il convient d’évaluer la sensibilité des
informations par rapport aux règles sectorielles et réglementaires. Les technologies de classement
automatisé représentent un bon point de départ pour la réalisation de cet inventaire d’informations
sensibles. Il est important de vérifier si des éléments de données d’identification personnelle (PII),
de propriété intellectuelle (IP) ou du secteur des cartes de paiement (PCI) seront transférés à un tiers.
2.Déterminer ce qui peut être migré : l’étape suivante est la détermination de ce que vous pouvez
transférer. L’entreprise doit décider sur la base des risques ce dont il est acceptable de confier
la gestion à un tiers. Indépendamment des contrôles effectués, certaines informations peuvent
simplement être trop sensibles pour être externalisées. Il s’agit d’un point important avant de
poursuivre le processus d’externalisation.
3.Exiger la visibilité : une fois identifié ce qui peut être externalisé, vous devez déterminer comment
avoir la garantie que les données seront stockées à un emplacement spécifique. Les exigences
réglementaires en termes de stockage et de sécurisation de certains éléments de données varient à
l’échelle locale et mondiale. Si la loi exige que des types de données spécifiques soient stockés dans
une région précise, vous devez vous assurer qu’il en sera ainsi durant toute la durée d’exécution du
contrat. La négociation de dispositions contractuelles spécifiant que les données seront stockées
dans une certaine région ne suffit cependant plus comme seule assurance. Les entreprises
commencent à exiger une visibilité en temps réel sur l’emplacement des informations sensibles
qu’elles ont externalisées. Les fournisseurs quant à eux répondent à cette demande en permettant
une visibilité en temps réel sur l’emplacement des données comme outil de démarcation.
La possibilité de connaître l’emplacement de vos informations au cours de l’externalisation vous
permet de continuer à prendre des décisions en connaissance de cause sur base des risques,
même lorsque les données sont hors de votre contrôle, tout en facilitant grandement les tâches
associées aux obligations de conformité au moment de votre audit annuel.
5
Qui a accès à mes serveurs et à mes données ?
Une fois la question de la visibilité sur l’emplacement des données sensibles réglée avec le fournisseur,
l’étape suivante vise à déterminer comment sera géré l’accès aux systèmes accueillant les informations
sensibles. Pour ce faire, il est crucial de comprendre le mode d’utilisation des identités de la société
d’hébergement ainsi que son modèle de sécurité. Une société d’hébergement doit être à même de
démontrer qu¹elle maîtrise et applique divers principes de sécurité de base concernant la gestion des
identités :
•Droits minimaux : toutes les identités, et en particulier les administrateurs, ne doivent disposer
que des droits d’accès minimum nécessaires à leurs fonctions.
•Séparation des fonctions : le principe de séparation des fonctions implique que plus d’une personne
soit nécessaire pour exécuter une tâche (p. ex. une personne ne peut pas initier ET approuver une
transaction).
Une société d’hébergement doit être en mesure de décrire ses rôles administratifs et leur gestion.
Par exemple, la gestion de la sécurité de systèmes et applications critiques (telles que les bases de
données) doit être séparée de la gestion des systèmes. Aucun administrateur ne doit être en charge
à la fois des opérations quotidiennes et de la sécurité d’un système ou d’une application. Idéalement,
les administrateurs de la société d’hébergement nécessitant un accès important aux données les plus
sensibles d’une entreprise devraient être dédiés au client en question et ne pas avoir accès aux données
de la concurrence.
Les organisations doivent également recevoir des informations de leur société d’hébergement quant
aux personnes ayant accès à leurs systèmes et à leurs données. Outre la vérification des antécédents,
le pays dans lequel un employé est localisé peut avoir des conséquences non négligeables, dont
l’existence de lois susceptibles de restreindre les possibilités de contrôle de leurs actions par une
entreprise.
Comment mes systèmes et mes données sont-ils protégés ?
Les sociétés d’hébergement doivent également disposer d’une procédure documentée pour la gestion
des droits d’accès, y compris concernant les employés rejoignant ou quittant la société, et les
changements de rôles. Ces procédures doivent impliquer la révocation immédiate des droits d’accès
dès qu’ils ne sont plus nécessaires. Des audits réguliers doivent être effectués afin de s’assurer que
tous les droits correspondent aux rôles et besoins actuels.
Une fois la question des accès sécurisés clarifiée, il est important de déterminer la façon dont les
systèmes hébergeant vos informations les plus sensibles seront sécurisés et les données elles-mêmes
contrôlées. La virtualisation est la véritable essence de tout environnement Cloud. Elle permet la
création de charges de travail mobiles, qui peuvent fonctionner dans un environnement dynamique.
C’est pourquoi une virtualisation sécurisée est cruciale pour la sécurité d’un environnement Cloud.
Les organisations doivent également implémenter la gestion des identités à forts privilèges au niveau
de l’hyperviseur.
Cependant, le contrôle des accès au conteneur n’est qu’une partie de la solution. Les fournisseurs doivent
avoir une approche de sécurité centrée sur les données afin de protéger les informations quelle que soit
la manière dont l’accès aux applications et aux systèmes est contrôlé. En outre, une fois l’accès aux
données accordé, il faut surveiller l’utilisation qui est faite de ces dernières.
6
Sécurisation des environnements virtuels
Les outils de contrôle d’accès peuvent être configurés afin de restreindre l’accès à certaines machines
virtuelles spécifiques sur la base des droits de chaque identité d’administrateur de l’hyperviseur.
De la sorte, même dans un environnement partagé, seuls les administrateurs appropriés ont accès aux
machines virtuelles d’une organisation.
Les contrôles de sécurité automatisés sont nécessaires au niveau de l’hyperviseur en vue de la protection
des différentes machines virtuelles. La nature flexible et dynamique d’un environnement virtuel permet
le déplacement, la suppression, la copie ou la modification de paramètres clés des machines, presque
sans effort. Les contrôles de sécurité de l’hyperviseur sont dès lors indispensables pour éviter la violation
des exigences sécuritaires des différentes machines virtuelles lors de leur gestion. Par exemple, les
machines virtuelles contenant des données PCI doivent être « étiquetées » afin que les administrateurs
ne puissent pas les déplacer dans un environnement réseau non conforme. Pour le changement de
paramètres de sécurité clés d’une machine virtuelle, les étiquettes ou les règles d’étiquettes doivent
être modifiées. Cette étape supplémentaire réduit les risques d’erreurs administratives dans la gestion
des machines virtuelles.
Sécurisation d’environnements d’hébergement multiclient
Les services Cloud publics possèdent leurs propres défis en matière de sécurité et la manière d’y
répondre doit être adaptée en fonction tant du type de service Cloud que des exigences de sécurité des
organisations. Toutefois, dans tous les cas de figure, une organisation doit prendre des mesures afin
d’assurer la sécurité de ses données vis-à-vis des tiers partageant les mêmes services :
Illustration A.
Représentation d’un
environnement
d’hébergement
multiclient.

7
Dans un environnement Cloud d’hébergement multiclient, les exigences
en matière de sécurité sont déterminées en fonction du type de Cloud :
Type de Cloud
Description
Niveau de sécurité
Infrastructure à la
demande (IaaS,
Infrastructure as
a Service)
Les ressources
d’infrastructure sont
partagées, y compris
les serveurs physiques,
les périphériques réseau
et les bases de données
(p. ex. Amazon EC2,
RackSpace Cloud)
Chaque client hébergé est généralement séparé au niveau
de la machine virtuelle. Une société d’hébergement peut
utiliser un seul hyperviseur pour la gestion des machines
virtuelles appartenant à différentes organisations.
Plate-forme à la
demande (PaaS,
Platform as a Service)
Les services de plate-forme
sont partagés (p. ex. Google
App Engine, Microsoft®
Windows AzureTM,
Force.com)
Chaque client hébergé partage des ressources à un niveau
de plate-forme logicielle. Outre la sécurité de la virtualisation,
les organisations doivent veiller à ce que leur société
d’hébergement suive les meilleures techniques éprouvées
de gestion des identités à forts privilèges pour les
utilisateurs administrant la plate-forme logicielle.
Logiciels à la demande
(SaaS, Software as a
Service)
Services d’applications
partagées (p. ex.
Salesforce.com)
La transparence étant souvent limitée dans un
environnement SaaS, une organisation envisageant
de recourir aux services d’un fournisseur SaaS ne doit
pas uniquement prendre en considération la couche
de services d’applications, mais aller plus loin afin de
comprendre comment les outils de gestion des identités et
des accès sont utilisés à chaque couche de l’infrastructure,
du matériel physique aux machines virtuelles, en passant
par les plates-formes et les codes de sécurité.
Afin de garantir la sécurité de ses machines virtuelles, une
organisation doit implémenter la gestion des identités et
des accès au niveau de l’hyperviseur. Tout comme dans un
Cloud privé, les outils de gestion des identités et des accès
peuvent être configurés afin de restreindre l’accès aux
différentes machines virtuelles sur la base des paramètres
de sécurité associés à chaque identité d’hyperviseur afin
que, même dans un environnement partagé, seuls les
administrateurs appropriés aient accès aux machines
virtuelles d’une organisation.
Dans tous les types de Cloud, les fournisseurs d’hébergement ont désormais la possibilité de mettre
des données d’activité utilisateur à la disposition de leurs clients en tant que service, en vue de leur
téléchargement dans les outils de sécurité internes du client. Cela aide les organisations ayant recours
à l’externalisation à comprendre qui accède à leurs données, tout en conservant des journaux d’activité
utilisateur afin de satisfaire les exigences d’audit.
Sécurisation des données
Bien que le contrôle des identités et de l’accès aux données sensibles soit capital, cette seule mesure
ne suffit pas. La sensibilité des données se trouve au coeur des données elles-mêmes, quel que soit
leur emplacement. De ce fait, même si le contrôle des données au niveau du conteneur offre une
certaine sécurité, cela est insuffisant si les données quittent l’enceinte de l’entreprise ou du data
center. Votre fournisseur doit vous proposer une approche de la sécurité incluant un aspect centré sur
les données pour protéger efficacement les actifs sensibles d’entreprise que vous externalisez. Vous
réduisez de cette manière les risques liés à l’externalisation et augmentez la mobilité de vos données
tout en en conservant le contrôle au sein de l’organisation. Les composants d’une solution complète de
sécurité centrée sur les données comprennent la classification, la prévention de la perte de données,
le chiffrement et la gestion des droits relatifs à l’information (IRM).
8
Vous devez aussi savoir comment la sécurité centrée sur les données est appliquée aux données
au repos, en cours d’accès, en cours d’utilisation et en mouvement. Voici des exemples :
•Au repos : une fois les données migrées et stockées dans le réseau et les référentiels du fournisseur,
elles doivent être dans la mesure du possible chiffrées. Certaines informations telles que les données
PCI doivent obligatoirement être chiffrées tandis que d’autres doivent l’être en fonction de leur
sensibilité pour la société.
•En cours d’accès : lorsque des administrateurs ou des employés tentent d’accéder à des informations
sensibles, la sensibilité des données doit être prise en compte. L’évaluation de la sensibilité des
informations avant l’octroi de l’accès permet de prendre des décisions de contrôles d’accès plus affinés.
Par ailleurs, le chiffrement d’informations protège l’organisation contre les accès inappropriés dus
à un contrôle des règles de conteneur inefficace.
•En cours d’utilisation : lorsqu’un utilisateur obtient l’accès à des données, elles doivent être contrôlées
sur le terminal. Des administrateurs accédant à des informations client sensibles ne doivent pas être
en mesure de les copier sur une unité amovible ou de les imprimer sans autorisation.
•En mouvement : la manipulation des informations au sein du réseau doit également être contrôlée.
Les rôles ayant accès aux données doivent être contrôlés de manière sélective sur la base de la
sensibilité des données et du rôle. La possibilité d’avertir, de bloquer ou de chiffrer des informations
envoyées sur le réseau aide à surveiller de manière efficace la manipulation des informations.
Quelles sont les données d’activité qui sont consignées dans des journaux ?
Comme souvent en matière de sécurité, le choix du niveau correct d’informations d’activité à exiger
de votre société d’hébergement doit être soupesé minutieusement.
Granularité : la transparence par rapport au coût
Les identités peuvent être gérées et suivies dans une société d’hébergement comme le feraient des
employés internes dans un environnement Cloud privé. Il existe toutefois des avantages et des frais
propres à chaque niveau de granularité :
Niveau de granularité
Description
Transparence
Groupes administratifs
Tous les droits et journaux d’audit peuvent être surveillés
au niveau du groupe par l’organisation ayant recours à
l’externalisation. Des utilisateurs peuvent être ajoutés ou
supprimés dans ces groupes par la société d’hébergement
à l’insu de ses organisations clientes.
Le moins
granulaire
L’utilisateur associé à cette identité peut être modifié en cas
de déplacement des ressources par le sous-traitant. La société
d’hébergement doit suivre le rôle de tous les utilisateurs
à tout moment.
Plus granulaire
Chaque utilisateur spécifique est associé à une seule identité.
Les enregistrements des droits et des activités sont transmis
par la société d’hébergement à l’organisation ayant recours
à l’externalisation.
Le plus granulaire
(p. ex. « Groupe
d’administration Linux »)
Rôles uniques
(p. ex. « Administrateur
Linux 1 »)
Identités uniques
(p. ex. « Tiers_ID15624 » ou
« Tiers_JohnSmith »)
9
Le niveau de transparence doit être défini afin de répondre aux besoins tant du fournisseur de services
Cloud que du client. Plus le fournisseur de services Cloud fournit d’informations, plus la transparence et
l’auditabilité sont importantes, mais cela entraîne également une augmentation des efforts et des frais.
Lorsque les organisations choisissent de se contenter de la transparence au niveau du groupe, elles
doivent s’assurer que la société d’hébergement suit en interne les différents utilisateurs pour permettre
la responsabilisation en cas de violation.
Comment soutenez-vous la mise en conformité ?
La dernière question, et selon la société ou le secteur parfois la plus importante, est celle de la
conformité. Les organisations attendent de leurs sous-traitants qu’ils leur fournissent des outils et des
rapports leur permettant d’atteindre leurs objectifs de conformité. Outre les rapports disponibles et
nécessitant un traitement spécifique, des rapports de conformité clés doivent être fournis immédiatement
et contenir des informations en temps réel.
Le fournisseur de services Cloud doit vous aider à rencontrer vos besoins réglementaires et doit dès lors
mettre à disposition des fonctionnalités équivalentes à celles implémentées dans vos propres contrôles
de conformité. Si vos contrôles sont matures et fonctionnent efficacement, vos exigences peuvent être
plus facilement précisées à votre fournisseur de services Cloud. Si vos contrôles ne sont pas matures et
sont sources de problèmes durant vos propres audits de conformité, le fournisseur de services Cloud
dispose d’une base moins forte concernant les exigences à respecter.
Même si les données d’activité sont collectées et si les données sont contrôlées de manière efficace,
le reporting doit être assuré d’une manière vous permettant d’atteindre vos objectifs. Ces rapports
doivent contenir des informations très sommaires pour les cadres supérieurs, mais aussi des
informations détaillées à destination des auditeurs techniques.
Bien que les exigences spécifiques puissent varier, une société d’hébergement doit être à même de
fournir des rapports sur les éléments suivants :
•L’endroit où les données sont stockées (pays, ville, etc.)
•Le nom des personnes accédant aux données et les heures correspondantes (traçage des accès des
identités spécifiques, pas seulement de comptes d’administration partagés)
•Les données consultées (dont le type : informations de carte bancaire, informations médicales
personnelles, etc.)
•Les modifications apportées aux données consultées (ont-elles été exportées hors du système
ou traitées par une application ?)
Les sociétés d’hébergement offrent de plus en plus des rapports répondant directement à certaines
exigences spécifiques. De cette façon, les organisations ayant recours à l’externalisation peuvent plus
facilement retrouver des données dans les rapports et fournir des informations plus claires pour le
contrôle de la conformité. En ayant des rapports spécifiquement adaptés aux différentes exigences et
ayant été approuvés par des auditeurs, une organisation peut éliminer un niveau d’interprétation laissé
ouvert aux différents évaluateurs, réduisant ainsi les risques liés à la conformité.
10
Section 3 :
Conclusions
La demande de transparence dans les environnements Cloud hébergés se transforme rapidement
en exigence du marché. Les organisations songeant à migrer vers un environnement Cloud doivent
aujourd’hui demander un niveau sans précédent de transparence dans leurs services Cloud et ne
peuvent plus pour la sécurité se reposer uniquement sur des contrats et sur les certifications de leurs
fournisseurs de services. En bref, il convient de faire confiance, tout en vérifiant. Lorsque la visibilité
dans l’environnement d’une société d’hébergement est limitée, l’examen de leur infrastructure IAM
n’est pas nécessaire. Au moment de choisir un fournisseur de services Cloud, les organisations ne
doivent plus accepter des assurances en matières de pratiques de sécurité, mais bien exiger d’obtenir
une vue d’ensemble de l’utilisation des identités au sein de la société d’hébergement pour s’assurer de
la séparation adéquate des fonctions et des restrictions d’accès à tous les niveaux de leur infrastructure.
Les organisations réfractaires au risque peuvent vérifier que leurs sociétés d’hébergement utilisent
les outils actuels de gestion des identités et des accès pour permettre le Cloud Computing de façon
cohérente avec leurs exigences de sécurité.
Section 4 :
Références
1 Gartner, Inc. ; Gartner’s Top Predictions for IT Organizations and Users, 2012 and Beyond:
Control Slips Away ; Darryl C. Plummer et al, 23 novembre 2011
2 Gartner, Inc. ; 2012 Planning Guide: Security and Risk Management ; Dan Blum et al;
1er novembre 2011
11
Section 5 :
À propos des auteurs
Russell Miller travaille depuis plus de cinq ans dans le domaine de la sécurité des réseaux, et ce
à différentes fonctions allant du piratage contrôlé au marketing produits. Il gère actuellement le
marketing pour les produits de gestion des identités à forts privilèges et de sécurité de la virtualisation
de CA ControlMinder. Russell est licencié en informatique du Middlebury College et titulaire d’une
maîtrise en administration des affaires de la MIT Sloan School of Management.
Tyson Whitten possède un certificat de professionnel en sécurité des systèmes d’information et plus de
10 années d’expérience dans la sécurité des informations, la gestion d’applications, les réseaux et les
produits et services basés sur le risque. Il est actuellement en charge de la solution de protection des
données et de la mobilité au sein de l’unité Solutions de sécurité client de CA Technologies. Tyson a
travaillé pour Genuity, Guardent, VeriSign et SecureWorks avant de rejoindre CA Technologies. Il est
licencié en systèmes d’information et titulaire d’une maîtrise en gestion générale et de produits du
Boston College.
CA Technologies est un éditeur de logiciels et de solutions intégrées
de gestion des systèmes d’information dont l’expertise couvre tous les
environnements informatiques, du mainframe au Cloud et des systèmes
distribués aux infrastructures virtuelles. CA Technologies gère et sécurise
les environnements informatiques et permet à ses clients de fournir des
services informatiques plus flexibles. Grâce aux produits et aux services
innovants de CA Technologies, les organisations informatiques disposent
de la connaissance et des contrôles nécessaires pour renforcer l’agilité
métier. La majorité des sociétés du classement « Fortune 500 » s’appuient
sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution.
Pour plus d’informations, suivez l’actualité de CA Technologies sur ca.com.
Copyright © 2012 CA. Tous droits réservés. Microsoft et Microsoft Windows Azure sont des marques commerciales ou déposées de Microsoft Corporation
aux États-Unis et/ou dans d’autres pays. Linux® est la marque déposée de Linus Torvalds aux États-Unis et dans d’autres pays. Tous les noms et
marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs
détenteurs respectifs. Ce document est uniquement fourni à titre d’information. CA décline toute responsabilité quant à l’exactitude ou l’exhaustivité
des informations qu’il contient. Dans les limites permises par la loi applicable, CA fournit le présent document « tel quel », sans garantie d’aucune
sorte, expresse ou tacite, notamment concernant la qualité marchande, l’adéquation à un besoin particulier ou l’absence de contrefaçon. En aucun
cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l’utilisation de ce document, notamment
la perte de profits, l’interruption de l’activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l’hypothèse où CA aurait
été expressément informé de la survenance possible de tels dommages.
CS2579_0712