© 2011 IBM Corporation

Gouvernance et protection des données sensibles

© 2011 IBM Corporation

Agenda

• La Gouvernance

• Archivage, Test et Anonymisation

• Protection des données

• Les solutions complémentaires

© 2011 IBM Corporation

Data Governance

Information Lifecycle Mgmt•Data Retention•Data Retirement

Data Security• Prevent Access• Restrict Access• Monitor Access

Data Privacy•Mask Data•Encrypt Data

Audit •Audit Access•Audit Privileges•Audit Users

Optim Data Privacy

IBM Data Encryption for IMS and DB2

DB2 Encryption

DB2

Optim Data Growth Solution

Optim Test Data Management

Guardium

Tivoli Compliance InSight Manager

Les solutions IBM “Data Governance”

© 2011 IBM Corporation

Regulatory Compliance

� Il existe des normes sur les bonnes pratiques

� Ces normes varient en fonction de l’industrie et des pays dans lesquelles elles s’appliquent

� Les plus souvent rencontrées

– PCI

– European Personal Data Protection Directive

– Sarbanes-Oxley (SOX)

– HIPAA

– Data Breach Disclosure Laws

– Gramm-Leach-Bliley

– Basel II

© 2011 IBM Corporation

Sécurité des données sensibles

• Hackers– TJ Maxx

� >90 million credit and debit card numbers stolen � Estimated costs $1bn over five years ($117m costs in 2Q’07

alone)

• Insiders– Coca-Cola

� Secretary gained access to a new recipe and tried to sell it to Pepsi

• Physical Thieves – Accenture

� Unencrypted tape stolen� 58 taxpayers and 460 bank accounts� Litigation ongoing

Private Customer

Data

Trade Secret

Private Employee

Data

© 2011 IBM Corporation

Archivage , Test et Anonymisation avec OPTIM

© 2011 IBM Corporation

Les grandes fonctions d’OPTIM

• Archiver (Optim Data Growth)

• Gérer les données de Test (Test Data Management)

• Maquiller (Data Masking Option)

le Test et le Maquillage de données sont très souvent associés

© 2011 IBM Corporation

Solution centrale de gestion des données d’entreprise, déploiementsde règles d’extraction, de stockage et de protection des donnéesapplicatives de leur création jusqu’à leur purge définitive

© 2011 IBM Corporation

Commande

Point Fort : Objet métier complet

• Représente un ensemble cohérent de données – Commande, Client , expédition, paiement ….

• Sous-ensemble référentiellement INTACT de données et de meta-données

• Permet de créer des photos arrêtées (snapshots) d’objets métier complexes

• Objets HETEROGENES et REPARTIS (bases, applications, plateformes)

© 2011 IBM Corporation

Courant

Production Archives

Données

anciennes

• Objets Métier Complets : Référence inaltérable de données cohérentes

• Indépendant des média de stockage : stratégie ILM

• Format inaltérable pour les projets de mise aux normes d’auditabilité

Universal Access to Application Data

Application Application XML ODBC / JDBC

OPTIM – Archivage *

* Optim sur z/OS : disponible H2 2011 / sur distribué disponible avec classic federation

© 2011 IBM Corporation

Pourquoi Archiver

• Raisons

– Performances Métier / Performance des Applications

– Disponibilité

– Respect du cadre législatif (SOX, droit à l’oubli CNIL…)

– Simplification d’infrastructure

– Projets ILM

• Points de recherche de ROI

– Productivité

– Interruptions de service minimales

– Arrêt de la course aux ressources

– Stabiliser les budgets stockage et processeurs

– Stocker la bonne données au bon coût

– Eviter les pénalités

© 2011 IBM Corporation

Les 2 types de projets d’Archivage

• Applications « vivantes »: on archive et on purge les données les plus anciennes et l’application continue à être opérationnelle

• Décommissionnement: on archive tout et on arrête les systèmes

le ROI est souvent très important dans ce cas là

© 2011 IBM Corporation

OPTIM – gestion des données de test

• Créer des environnements de données de test ciblées, à leur juste taille, vite et àmoindre coût que le clonage de production.

• Maintenir, Rafraichir, Réinitialiser les environnements de test

• Comparer les données pour détecter les anomalies et les régression pour une meilleure qualité de test

• Accélérer le déploiement en raccourcissant le cycle de test.

Production ou

Clone de production

Extract

Extract Files

Dev

Test

Formation

LoadInsert / Update

Compare

© 2011 IBM Corporation

Pourquoi s’intéresser aux données de tests ?

• Qualité

– Données de test corrompues

– Cas de test mal identifiés

– Approche Tests automatisés

• Parallélisme

– Effet Tunnel

– Multi-projets

• Stockage

– Réduire les espaces disque

– Intégration à n projet de contrôle des coûts

• Contraintes légales (Masking)

– Protection des données personnelles

– … ou confidentielles ou réglementaires

• Productivité des équipes de développement

– DBAs

– Testeurs

– Indépendance vis-à-vis des experts.

• Baisse des coûts de maintenance àchaud

• Raccourcissement des cycles de test

• Réduction des côuts de stockage

© 2011 IBM Corporation

Anonymisation des Données

Production

Maquillage,

Fonctionnel, Cohérent

des données

confidentielles

Maquillage,

Fonctionnel, Cohérent

des données

confidentielles

EBS / Oracle

Application /

Sybase

Siebel / UDB

Test

EBS / Oracle

Application /

Sybase

Siebel / UDB

• Substitution des information confidentielles par des valeurs fictives fonctionnellement valides

• Déploiement de nombreux algorithmes de maquillage

• Cohérence entre les environnements et les phases de test et entre les environnements de test

• Permet d’envoyer des données pour les tests off-shore

• Protège les informations personnelles dans les environnements non-production

© 2011 IBM Corporation

Maquillage des données

CNI 267107814164H/F FPrénom JuliaNom RobertsNaissance 28/10/1967Rue 8942 Wilshire BlvVille VersaillesDept YvelinesCP 78000Tél (33) 0130565960(*)

Account 4442-1698-2356

Semantique

Hash Lookup

Lookup

Age

Hashed

Nouveau CNI

Julia ���� Fiona

+ 4 Jours

Address1 ���� Hash ���� Address2

0130565960 ���� 0131677370

AlgorithmeCustom

(Nais + CP) / Hash (CNI) …

© 2011 IBM Corporation

Anonymisation

• Pourquoi

– Parce que c’est prévu par les dispositifs législatifs

– Parce que les fuites de données ont des effets d’image et parfois financiers importants

• Points de ROI

– Difficile à quantifier

– Non paiement des pénalités

– Coûts de perte d’image ou de données sensibles ….

– Ce qui explique une adoption très lente par les petites entreprises.

© 2011 IBM Corporation

Sécurisation de l’environnement de production avec Guardium *

* Guardium IMS : planifié pour fin 2011

© 2011 IBM Corporation

Enjeux Majeurs sur la Protection des Données

Où sont situées les données sensibles et

qui y accède?

Comment simplifier et automatiser la mise

en conformité?

Comment puis-je mettre en œuvre des politiques d’accès

et de contrôle de changements sur les bases de données

critiques?

Comment surveiller les vulnérabilités et verrouiller

les configurations des bases de données ?

© 2011 IBM Corporation

Les raisons du monitoring des bases de données

1. Menaces Internes

� Identifier les changementsnon-autorisés

� Protéger contre les fuites de données

2. Menaces Externes

� Prévention des fraudes

3. Conformité

� Simplifier les process

� Réduction des couts

© 2011 IBM Corporation

Règlements autour de la sécurité des bases de données

DDL = Data Definition Language (DDL = Data Definition Language (changementchangement des structures de des structures de donndonnééeses))

DML = Data Manipulation Language (DML = Data Manipulation Language (changementchangement ouou accaccèèss au au contenucontenu des tables)des tables)

DCL = Data Control Language (DCL = Data Control Language (gestiongestion des des droitsdroits dd’’accaccèèss))

© 2011 IBM Corporation

Répondre Aux Différents Responsables

Responsable

Securité

� Politiques en temps-

réel

� Traçabilité sécurisé des

Audits

� Data mining &

forensics

� Séparation des tâches

� Rapports sur meilleurs

pratiques

� Contrôles automatisés

� Impact Minimal

� Change management

� Optimisation de la

Performance

Guardium: une

visibilité a 360°

Conformité & Audit Application & Base de Données

© 2011 IBM Corporation

Surveillance et sécurisation des bases de données en temps réel

• Non-invasif

• Aucun changements sur le DBMS

• Impact minimal

• Ne s’appuie pas sur les systèmes de log traditionnels des bases pouvant facilement être désactivés par les administrateurs

• Politiques Granulaires & surveillance• Qui, Quoi, Quand, Comment

• Alertes temps Réel

• Surveillance de tous les activités, incluant les accès locaux des utilisateurs privilégiés

DB2DB2 SQL Server

SQL Server

© 2011 IBM Corporation

Plateformes supportées

24

Bientôt IMS (programmé pour fin 2011)

© 2011 IBM Corporation

Guardium for z – Architecture simplifiée

z/OS

Windows-Based Policy EditorGuardium Collector

Audited

TablesAudited

TablesAudited

Tables

DB2Subsystem

S-TAP for z

Policy

Configuration

Offload DS

Distributed Environment

Centralized audit repository

© 2011 IBM Corporation

• Statement Type 143 (Change = insert, update, delete)

Exemple: Insert

© 2011 IBM Corporation

Les autres solutions

© 2011 IBM Corporation

Encryption des données

• Data Encryption Tool for DB2 & IMS :

But:

- encrypter les données sur disque pour sécuriser davantage les accès y compris hors DB2 ou IMS (accès direct sur disque)

- rendre encore plus difficile la fuite de données en clair

Complémentaire avec guardium pour z/OS

© 2011 IBM Corporation

IBM InfoSphere Guardium Data Encryption for DB2 & IMS

� Protect sensitive enterprise information and avoid production data breaches

� Centralized policy and key management

� Protect data on portable media and render it unusable if stolen or lost

Requirements

Benefits

Ensure compliance with data encryption

� Comply with government and industry regulations (for eg. PCI-DSS)

� Reduce internal and external risk and threat exposure

� Minimize impact on applications

Ensure compliance and protect enterprise data with encryption

InfoSphereGuardium Data

Encryption

� A single tool for both your IMS

and DB2 databases.