Les normes de conformité aident les entreprises à vérifier et assurer la protection de leurs systèmes et données sensibles contre les cybermenaces. Le respect de ces normes renforce la cybersécurité d’une entreprise et étaye la confiance des clients et des partenaires. La non-conformité entraîne souvent des interruptions, des sanctions financières ou d’autres dommages (coûts de règlement, pertes de productivité, etc.) dont le montant moyen atteint plus de 14 millions de dollars.
La mise en conformité n’est plus un luxe souhaitable, mais un impératif vital. Les grands cabinets d’analystes soulignent que la mise en conformité est l’un des facteurs premiers de l’adoption rapide de solutions de gestion de l’accès privilégié. En adoptant une solution complète comme ManageEngine PAM360, votre entreprise bénéficie immédiatement d’une plateforme PAM conforme aux principales normes du secteur. Vous répondez ainsi aux impératifs de conformité réglementaire et aux exigences d’audit.
Tout comme les autres solutions de ManageEngine, PAM360 respecte un large éventail de normes de conformité et de confidentialité. Il s’agit de normes reconnues du secteur qui garantissent nos pratiques en matière de confidentialité et de sécurité.
Les fonctionnalités centrales de PAM360 permettent aux entreprises de réguler l’accès aux données sensibles, d’assurer l’intégrité des données et de respecter ainsi diverses réglementations locales ou sectorielles. Les mesures suivantes sont faciles à mettre en place et offrent des avantages tangibles en termes de conformité.
Les entreprises doivent adopter le principe du privilège minimum pour veiller à ce que les utilisateurs disposent des privilèges d’accès les plus bas qu’exige l’exécution de leurs tâches. Grâce aux contrôles d’accès basés sur le rôle et à l’élévation de privilèges juste-à-temps, on peut établir un accès à privilège minimum et réduire l’accès non autorisé pour chaque fonction de l’organisation. Les normes de conformité comme le RGPD (article 32), ISO/IEC 27001: 2013 (9.4.1) [ancienne], ISO/IEC 27001: 2022 (A 8.3) [nouvelle] et d’autres imposent cette exigence pour assurer l’intégrité et la confidentialité des données.
Le contrôle d’accès est essentiel pour en simplifier l’attribution. Le workflow de demande-octroi permet aux administrateurs d’accorder un accès au besoin à des utilisateurs autorisés pour des tâches légitimes. Il limite l’accès à des systèmes et des données stratégiques, conformément aux exigences propres au contrôle d’accès des normes et réglementations comme HIPAA (164.312(a)(1)), ISO/IEC 27001: 2013 (A.9.2) [ancienne], ISO/IEC 27001: 2022 (A 8.2) [nouvelle], GLBA (section 501 b) et PCI DSS (condition 7).
Des stratégies strictes instaurent des bonnes pratiques de mots de passe dans l’organisation. On peut établir des stratégies de mots de passe adaptées aux règles de sécurité de l’organisation et des calendriers de réinitialisation avec PAM360 pour assurer la conformité avec les normes PCI DSS (condition 8) et ISO/IEC 27001: 2013 (A.9.3), qui exigent des mesures globales de sécurité stricte des mots de passe.
Le suivi des sessions est vital pour détecter toute activité suspecte en temps réel. PAM360 offre des fonctions complètes de gestion des sessions privilégiées qui permettent aux administrateurs de déceler une activité anormale dès qu’elle se produit, d’arrêter les sessions à distance, d’enregistrer chaque opération réalisée sur les terminaux, etc.
Les entreprises assurent ainsi la conformité avec les réglementations HIPAA 164.308(a)(5)(ii)(C), SOX (section 802 et section 404), NIST SP 800-53 (AC-20(3)) et PCI DSS (condition 10.3), qui exigent des moyens adéquats de suivi et d’enregistrement des sessions.
Les entreprises utilisent un grand nombre de certificats SSL/TLS dans leur environnement informatique. Si on ne gère pas bien ces certificats ou ne les renouvelle pas à temps, on court un risque d’interruptions de services et de cybermenaces. PAM360 offre des fonctions de gestion du cycle de vie complet des certificats pour découvrir tous les certificats, en créer, renouveler et déployer de nouveaux, générer des alertes personnalisées à l’expiration de certificat, etc. Les entreprises peuvent ainsi s’assurer que leurs systèmes vitaux restent protégés et sûrs, maintenant la conformité avec les normes HIPAA (164.312(e)(1)), RGPD (article 32 (1 a)), ISO/IEC 27001: 2013 (10.1.1), ISO/IEC 27001: 2022 (A 8.24) [nouvelle] et FedRAMP (AC-16 et AC-17).
L’audit joue un rôle crucial dans la gestion de l’accès privilégié. L’audit en temps réel de PAM360 suit et enregistre toutes les opérations sensibles qu’effectuent les utilisateurs. Les entreprises peuvent créer un compte pour les auditeurs et l’ajouter à PAM360 pour l’audit des mots de passe.
Ces utilisateurs disposent facilement de tous les audits et les rapports sur l’accès privilégié. L’audit en temps réel permet d’assurer la conformité avec SOC 2 (CC6.2:03), ISO 27001:2013 (A.12.4.3), PCI DSS (condition 10.2) et d’autres réglementations.
Les rapports prêts à l’emploi de PAM360 affichent un aperçu de tous les actes importants effectués par des utilisateurs pour la gestion de l’accès privilégié. Les administrateurs peuvent générer des rapports dédiés aux normes de conformité PCI DSS, ISO-IEC 27001, NERC-CIP ou RGPD en quelques clics. Ils identifient ainsi les éventuelles violations pour prendre des mesures immédiates.
Outre les fonctionnalités présentées ci-dessus, PAM360 offre la détection complète des ressources et des comptes, la gestion des secrets, l’élévation de privilèges en libre-service, la gestion des identifiants d’application ou l’analyse comportementale des utilisateurs privilégiés. L’organisation répond ainsi à divers besoins de conformité et améliore son état de sécurité global.
Les fonctionnalités de PAM360 permettent d’adopter une stratégie axée sur la conformité avec de nombreuses réglementations locales. Les normes suivantes imposent aux entreprises d’établir diverses mesures de gestion de l’accès privilégié pour se mettre en conformité :
| Normes et exigences réglementaires | Sous-sections ou exigences remplies | Rôle des solutions de gestion de l’accès privilégié |
|---|---|---|
| Cyber Essentials - Royaume-Uni |
Contrôles d’accès utilisateur : une des cinq exigences de Cyber Essentials. Impose des stratégies strictes de contrôle d’accès pour réguler l’accès à des serveurs de messagerie, Web et d’applications, des postes de travail, des ordinateurs portables, des tablettes ou des téléphones mobiles afin de gérer les comptes à privilèges élevés comme ceux d’administration. |
Grâce à PAM360, les entreprises configurent des workflows de demande-octroi et des contrôles d'accès basés sur le rôle pour réguler l’accès aux terminaux sensibles. |
| Loi sur la protection des données personnelles (PDPA) - Singapour |
Section 24 : protection des données personnelles. Une organisation doit protéger les données personnelles en sa possession ou sous son contrôle en prenant des mesures de sécurité raisonnables pour éviter |
PAM360 renforce la sécurité des systèmes internes en gérant et régulant l’accès à ces systèmes, limitant l’accès non autorisé à des données personnelles. |
| Loi générale sur la protection des données (LGPD) - Brésil |
Une partie de l’Article 46 stipule : Les agents de traitement doivent adopter des mesures de sécurité, techniques et administratives pour protéger les données personnelles contre l’accès non autorisé et les cas fortuits ou illicites de destruction, perte, altération, communication ou autre type de traitement inapproprié ou illicite. |
Offrant des fonctionnalités avancées comme le contrôle d'accès basé sur le rôle ou des stratégies, le contrôle-commande et l’élévation juste-a-temps, PAM360 permet bien d’éviter un accès non autorisé à des données sensibles. |
| Protection des données personnelles (APPI) - Japon |
Article 20: Un exploitant traitant des données personnelles doit prendre les mesures nécessaires et adéquates pour prévenir la fuite, la perte ou les dommages et assurer un contrôle de sécurité des données personnelles. Article 22: Lorsqu’un exploitant traitant des données personnelles confie à un individu ou un exploitant la gestion de données personnelles en tout ou partie, il doit exercer une supervision nécessaire et appropriée sur ce dernier pour assurer le contrôle de sécurité de ces données. |
En appliquant le privilège minimum avec le contrôle d'accès basé sur le rôle et l’élévation de privilèges juste-à-temps et grâce aux moyens d’audit, de suivi et de gestion des sessions privilégiées de PAM360, les entreprises évitent un accès non autorisé à des données personnelles et vérifient chaque session lancée. |
| Essential 8 - Australie |
Contrôle des applications, restriction d’accès d’administration (trois niveaux de maturité) - Une partie du cadre Essential 8 exige les mesures suivantes : N’autoriser l’accès qu’aux applications requises sur des systèmes et limiter l’accès à leurs données sensibles. |
Dans PAM360, le contrôle-commande, le contrôle d'accès à des applications distantes et les workflows de demande-octroi permettent aux entreprises de restreindre l’accès aux comptes d’administration et de n’autoriser qu’un accès au besoin et limité aux applications de certains appareils. De plus, les entreprises peuvent imposer l’authentification multifacteur (MFA) pour accéder à PAM360 afin de sécuriser davantage les comptes sensibles. |
| Loi sur la protection des données personnelles et des documents électroniques (PIPEDA) - Canada |
(Principe 4.7.1) : Les garanties de sécurité doivent protéger les données personnelles contre la perte ou le vol, ainsi que l’accès non autorisé, l’utilisation, la divulgation, la copie ou la modification. Les organisations doivent protéger les données personnelles peu importe leur format de conservation. |
PAM360 offre des fonctions efficaces de contrôle d'accès, de contrôle-commande et d'accès à des applications distantes pour protéger les données personnelles contre l’accès non autorisé en empêchant des utilisateurs privilégiés d’exécuter des commandes illicites et en limitant l’accès global. |
| Loi sur la protection des données personnelles (POPIA) - Afrique du Sud |
Section 17: Une partie responsable doit tenir une documentation de toutes les opérations de traitement sous sa responsabilité comme indiqué dans la section 14 ou 51 de la loi Promotion of Access to Information Act. Section 19: mesures de sécurité pour l’intégrité et la confidentialité des données personnelles. La section 19 exige que les parties responsables assurent l’intégrité et la confidentialité des données personnelles en appliquant des mesures techniques et organisationnelles raisonnables. Les parties responsables doivent empêcher la perte, l’altération ou la destruction non autorisée de données personnelles, ainsi que l’accès ou le traitement illicite. Cela implique d’identifier les risques, de prendre des mesures de protection et d’en vérifier régulièrement l’efficacité et de les tenir à jour au fil de l’apparition de nouveaux risques. Les parties responsables doivent respecter les bonnes pratiques de sécurité et les procédures applicables à leur secteur ou métier. |
On peut maintenir la sécurité et l’intégrité des données personnelles en déployant un contrôle d'accès basé sur le rôle, des workflows de demande-octroi et une autorisation d'accès juste-à-temps grâce à PAM360. De plus, PAM360 permet d’analyser et d’enregistrer toute l’activité des utilisateurs privilégiés, avec un audit en temps réel qui documente toutes les opérations sensibles effectuées par des utilisateurs et des administrateurs. |
Cette liste n’est pas exhaustive. PAM360 maintient la conformité avec diverses réglementations locale ou internationales.