Solutions IBM i
Solutions de confidentialité de données IBM i
Une protection totale de la confidentialité de vos données IBM i (AS/400) est impérative pour répondre aux exigences de conformité et éviter les conséquences désastreuses que peut avoir une violation de données sur les résultats et la réputation de votre organisation
Technologie clé pour la confidentialité des données
Depuis plus de 30 ans, des systèmes IBM i (parfois toujours nommés AS/400) sont utilisés par des organisations dans tous les domaines d’activité. Considérés comme de puissantes centrales de traitement des transactions, les systèmes IBM i sont utilisés par des entreprises des secteurs du commerce de détail, du divertissement, de la fabrication industrielle, des services financiers, etc.
Partout où ils sont déployés, les serveurs IBM i permettent d’exécuter les workloads les plus critiques et de stocker les données les plus sensibles des entreprises avec une fiabilité éprouvée. Une technologie performante de confidentialité des données IBM i doit maintenir cette confidentialité même si un pirate ou un utilisateur interne non autorisé parvient à s’emparer des données après avoir percé les autres lignes de défense. Pour garantir la confidentialité des données au cas où elles viendraient à tomber entre de mauvaises mains, vous disposez de quatre outils : le chiffrement, la tokenisation, l’anonymisation et le transfert sécurisé de fichiers.
En cryptographie, le chiffrement est un procédé de brouillage visant à rendre des informations illisibles sans la clé de décodage associée. Sur des systèmes IBM i, le chiffrement est une mesure de sécurité indispensable car il ajoute une couche de protection contre la violation de données en cas d’accès au système par un utilisateur non autorisé.
Le chiffrement est imposé par la plupart des réglementations régissant la confidentialité des données personnelles ainsi que dans les secteurs stockant ou traitant des données sensibles. Le chiffrement consiste à associer un ou plusieurs algorithmes de codage disponibles dans le domaine public à un jeu secret de données appelé « clé de chiffrement ». Ensemble, l’algorithme et la clé de chiffrement transforment du texte lisible en données indéchiffrables. Seuls les utilisateurs en possession de la clé de chiffrement associée seront en mesure de rétablir les données dans leur format original lisible.
Le chiffrement peut être utilisé pour protéger des données IBM i au repos au sein de champs de base de données Db2, de fichiers IFS, de fichiers spool ou de bandes de sauvegarde. La fonctionnalité Field Procedure (FieldProc), ajoutée à Db2 pour IBM i depuis IBM i 7.1, simplifie considérablement le chiffrement et permet le chiffrement de données au repos sans modification des applications.
La solution Assure Encryption de Precisely automatise le chiffrement et le déchiffrement de vos données avec le puissant algorithme AES, homologué par le NIST (National Institute of Standards and Technology). En outre, Assure Encryption propose des fonctions de sécurité complémentaires comme le masquage, une piste d’audit ainsi qu’une intégration à des gestionnaires de clés de chiffrement conformes OASIS KMIP.
Une clé de chiffrement doit être utilisée par un algorithme de chiffrement pour transformer les données en texte chiffré. Cette clé peut être une suite de chiffres, un mot ou une chaîne de caractères aléatoires. Les clés peuvent être de différentes longueurs (128, 192 ou 256 bits). Toute personne possédant cette clé peut l’utiliser pour protéger et chiffrer des données, ou les déchiffrer pour les lire.
Le chiffrement est une technique utilisée depuis de nombreuses années, et les algorithmes les plus anciens sont désormais vulnérables aux pirates. C’est pourquoi il est important de protéger vos systèmes IBM i avec des algorithmes qui répondent aux dernières normes. Dans la mesure où les algorithmes de chiffrement sont à la disposition de tous, et que seules les clés de chiffrement sont privées, il est également essentiel de mettre en place un système fiable pour créer, distribuer et stocker ces clés. Il est aussi nécessaire de gérer leur cycle de vie, qui comprend leur création, leur activation, leur utilisation, leur rotation, leur expiration, leur retrait et enfin leur destruction après une période définie.
Certaines réglementations, telles que la norme PCI DSS, exigent des pratiques de gestion des clés de chiffrement, telles que la séparation des rôles et des contrôles croisés impliquant au minimum deux personnes dans la gestion des clés de chiffrement.
Apprenez-en davantage sur le chiffrement IBM i et sur l’importance de la gestion de clés dans l’eBook IBM i Encryption 101 de Precisely.
Une autre approche de la sécurisation des données sensibles consiste à remplacer ces données par des valeurs de substitution génériques appelées « jetons » (« tokens » en anglais). La « tokenisation » (parfois appelée « pseudonymisation ») consiste à remplacer des données sensibles telles que des numéros de comptes ou de cartes bancaires par des éléments de même format (« jetons ») qui n’ont aucune valeur ou signification exploitable une fois sortis du système. Lorsque les données originales sont extraites du coffre pour une consultation autorisée, des mesures de protection complémentaires peuvent leur être appliquées, notamment le masquage.
Le chiffrement et la tokenisation sont deux moyens d’assurer la sécurité de données IBM i au repos. Mais contrairement au chiffrement, la tokenisation est totalement aléatoire et aucun algorithme ne permet de rétablir les valeurs d’origine. Les jetons n’ayant aucun lien avec les données qu’ils remplacent, ils ne peuvent pas être « décodés ». Les données originales qu’ils remplacent sont stockées dans une base de données, appelée « coffre-fort » (ou « token vault ») qui doit être isolée, chiffrée et sécurisée.
Dans la mesure où la tokenisation utilise un coffre-fort pour séparer les données sensibles des bases de données de production, elle réduit leur risque d’exposition en cas de compromission de la base de données de production. Cette approche présente des avantages considérables lorsqu’il s’agit de respecter les réglementations en matière de conformité. En effet, puisque le serveur de production ne contient aucune donnée sensible, mais uniquement des données « tokénisées », il ne sera pas nécessaire de prouver sa conformité aux auditeurs.
Découvrez comment la tokenisation vous permet d’assurer votre conformité.
L’anonymisation (parfois appelée désidentification, biffure ou caviardage) est similaire à la tokenisation, si ce n’est qu’elle remplace de façon irréversible les données sensibles au repos par des valeurs de jetons, éliminant ainsi le besoin d’un coffre-fort. Ces jetons non récupérables peuvent conserver le format des données d’origine, mais ces dernières ne peuvent jamais être restaurées.
Imposée par certaines réglementations relatives à la confidentialité des données des consommateurs, telles que le California Consumer Privacy Act (CCPA) et le Règlement Général sur la Protection des Données (RGPD), l’anonymisation est un moyen efficace pour supprimer des informations personnelles dans des jeux de données partagés avec des tiers. Cette technique est également couramment utilisée au sein d’environnements de développement ou de test. L’anonymisation est en revanche rarement utilisée dans des environnements de production.
Certaines solutions d’anonymisation s’intègrent à des solutions de réplication de haute disponibilité ou de reprise après sinistre, de sorte qu’un environnement anonymisé (par exemple, un environnement de Business Intelligence) reçoive en temps réel des nouvelles données dont les champs sensibles ont été remplacés par des jetons non récupérables.
Lisez notre eBook California Consumer Privacy Act (CCPA) et réglementations similaires : quelles sont vos obligations ? pour découvrir comment l’anonymisation permet de répondre aux exigences de confidentialité des données.
Le chiffrement est une méthode reconnue pour protéger des fichiers lors de leurs transits sur des réseaux internes et externes. Des solutions de transfert sécurisé de fichiers permettent de protéger les données en les chiffrant pendant leurs échanges. Mais ce chiffrement « en transit » n’est pas toujours suffisant pour assurer une protection totale. Pour cela, il est également nécessaire que le fichier soit chiffré à ses points de départ et de destination, de sorte que son contenu ne puisse en aucun cas être consulté avant ou après son transfert par une personne non autorisée.
Dans le cas de transferts entre des partenaires commerciaux, des agences gouvernementales, des succursales ou des divisions d’une entreprise, une solution complète de transfert sécurisé offre également des fonctionnalités automatisant la gestion des transferts. Ces fonctionnalités comprennent l’automatisation des processus, l’intégration aux applications et une méthode centralisée et cohérente pour gérer chaque aspect du processus de transfert de fichiers.
Des solutions gérées de transfert sécurisé de fichiers offrent aux administrateurs l’assurance de la sécurité de leurs données et libèrent les développeurs qui peuvent consacrer leur temps et leur attention à des priorités stratégiques.
Découvrez comment Assure Secure File Transfer de Precisely peut protéger vos données contre toute consultation lors de leurs transferts entre des réseaux, automatiser les processus de transfert et intégrer ces transferts à vos workflows et applications déjà en place.
Assurez votre conformité. Et votre sécurité.
Chaque violation de données peut avoir des conséquences, notamment financières, désastreuses. Avec la multiplication des réglementations et l’explosion des coûts directs et indirects qu’entraînent les violations de données, il est impératif que votre organisation se dote d’une solution efficace pour protéger ses données et :
- Assurer et maintenir votre conformité avec les exigences de protection de données du RGPD, de la norme PCI DSS, des lois HIPAA et SOX et d’autres réglementations de l’industrie en matière de sécurité.
- Protéger votre propriété intellectuelle et les données que vous ont confiées vos clients, vos partenaires et vos employés.
- Assurer la confidentialité des données lorsqu’elles sont au repos et pendant leur transmission.
- Garantir une séparation effective des rôles.
- Mettre en place de bonnes pratiques en matière de sécurité.
Assure Security propose des fonctionnalités de chiffrement, de tokenisation, d’anonymisation et de transfert sécurisé de fichiers pour IBM i. Ces fonctionnalités peuvent faire l’objet de licences individuelles, ou être combinées dans l’offre groupée Assure Data Privacy. Assure Security vous apporte encore bien d’autres avantages, tels qu’un contrôle d’accès à l’IBM i, une gestion des autorités élevées, une authentification multifacteur, des alertes et des rapports sur l’activité du système et de la base de données, afin de prévenir toute violation de sécurité et d’assurer votre conformité.