PRÉSENTATION DE LA SOLUTION
Simplifiez les audits de conformité avec le cadre GRC adéquat
Les écarts aux normes de gouvernance, risque et conformité peuvent s’avérer onéreux. Entre août et octobre 2020, un bureau du département américain du trésor a imposé 625 millions de dollars d’amendes à des institutions financières majeures.
Simplifier votre processus d’audit
Vous ne savez jamais quand le prochain audit va commencer. Lorsque cela arrive, vous risquez de perdre le temps et les efforts d’un ingénieur à plein temps pendant une période pouvant aller jusqu’à six mois, au cours de laquelle il devra effectuer les recherches et le travail de preuve de conformité nécessaires.
Malheureusement, il existe de nombreux cas concrets pour lesquels l’OCC impose des amendes à des organisations, par exemple récemment à une grande banque américaine pour un montant de 85 millions de dollars. Leurs conclusions ont mentionné :
- La banque n’a pas réussi à mettre en œuvre et à maintenir un programme efficace de gestion du risque de conformité et un programme efficace de gouvernance du risque lié aux technologies de l’information, adaptés à sa taille, sa complexité et son profil de risque.
Respecter les normes de gouvernance, risque et conformité n’est pas toujours aisé, mais cela ne doit pas vous empêcher d’atteindre vos objectifs commerciaux essentiels. Avec F5, vous pouvez rationaliser le processus d’audit, en commençant par une cybersécurité mature.
Figure 1 : ce diagramme met en évidence les éléments essentiels pour atteindre une cybersécurité mature, un ingrédient clé de la conformité.
Caractéristiques principales
Visibilité détaillée sur les vecteurs de risque d’audit
Les problèmes mineurs peuvent rester cachés jusqu’à ce qu’il soit trop tard. Et lorsque cela se produit, vos auditeurs vous ont d’ores et déjà imposé des amendes et des travaux de preuve de conformité. En visualisant vos applications dans leur ensemble, vous pouvez rapidement trouver et isoler ou résoudre les problèmes avant qu’ils ne prennent de l’ampleur, quel que soit l’endroit où le problème se cache.
Le support F5, éprouvée par l’industrie
Le support F5, qui a fait ses preuves dans le secteur, peut vous guider pour créer les normes et procédures essentielles nécessaires pour préparer au mieux votre organisation aux audits de tous types. Nous pouvons également être à vos côtés lors des réunions avec les auditeurs pour vous aider à approfondir les sujets de conformité.
Des solutions prêtes à l’emploi et conformes à la réglementation
Les auditeurs attendent un degré plus élevé de maturité cybernétique de la part des institutions de services financiers. Souvent, il ne suffit pas de cocher les cases de conformité. Les solutions F5 sont spécialement conçues pour atteindre un niveau élevé de cybermaturité, impressionner les auditeurs et, par conséquent, minimiser les frictions et le stress générés par les audits.
La conformité est plus qu’une simple case à cocher
Pour simplifier efficacement le processus d’audit, vous devez être proactif. La bonne approche et les bonnes solutions applicatives sont essentielles. F5 dispose d’une large gamme de produits et de services à même de vous aider.
Produits |
Utilité |
| BIG-IP Access Policy Manager | Contrôle d’accès, VPN SSL |
| BIG-IP Advanced Firewall Manager | Contrôle des pare-feu, segmentation, accès |
| BIG-IP Application Security Manager/Advanced WAF® | Sécurité applicative, vulnérabilités (le WAF est obligatoire pour la conformité PCI DSS) |
| BIG-IQ Centralized Management | Plateforme de gestion, gestion de la configuration, télémétrie, journalisation |
| Cloud Services | DNS, DNS Load Balancer, Essential App Protect — fournissent des contrôles de sécurité, des analyses et une visibilité pour les régulateurs et les auditeurs, l’expérience et le support. |
| BIG-IP DNS | Sécurité du DNS (sujet à des attaques) |
| NGINX Controller | Une solution de gestion du trafic de premier ordre pour les applications natives cloud dans Kubernetes et les environnements conteneurisés. |
| NGINX Plus | Accès, journalisation, WAF |
| Shape | Prévention de la fraude, protection contre les robots, options deny/deceive |
| Silverline | SOCS, atténuation DDoS, sécurité des applications, protection contre les robots, gestion de configuration (le WAF est obligatoire pour la conformité PCI DSS) |
| SSL Orchestrator | Visibilité, décryptage SSL à l’échelle |
| Secure Web Gateway | Passerelle Web, accès externe, fuite de données |
Création et gouvernance des normes et procédures
Les experts de F5, qui ont fait leurs preuves dans le secteur, peuvent vous guider pour créer les normes et procédures essentielles nécessaires pour préparer au mieux votre organisation aux audits de tous types. Sans une concentration étroite sur la conformité, assortie d’une vigilance constante, de nombreuses organisations risquent de se trouver en défaut concernant certaines réglementations et normes de conformité essentielles, comme les processus de validation de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).
Une méthodologie applicative évoluée est essentielle
Tenter de créer et de fournir des applications modernes et pratiques en utilisant l’infrastructure existante présente des difficultés et des contraintes, en particulier lorsqu’il s’agit de respecter les exigences de conformité. Pour accompagner le progrès des institutions dans leur transformation numérique, une architecture d’application d’entreprise (EAA) flexible et extensible peut aider à assurer la cohérence et l’alignement nécessaires pour permettre d’atteindre les objectifs résultats à grande échelle — une exigence clé pour répondre aux attentes en matière de sécurité, de performance et de fiabilité des applications.
Une approche EAA évoluée aligne les efforts d’innovation sur la stratégie de l’entreprise et facilite l’intégration des technologies émergentes pour aider les organisations à rester agiles. Lorsqu’une EAA adaptée est mise en place, les développeurs sont mieux à même de fournir rapidement des applications modernes, sécurisées, indépendantes du lieu ou de l’appareil, et conformes aux normes et réglementations.
Étape 1 : aligner les objectifs de l’EAA et de l’entreprise, et déterminer l’équilibre approprié entre innovation, agilité et risque.
Étape 2 : faire l’inventaire des applications, incluant toutes les applications du portefeuille de l’entreprise.
Étape 3 : évaluer le risque de sécurité pour chaque application du portefeuille et attribuer la solution appropriée. Voici quelques exemples :
- Certification FIPS du matériel et des logiciels, selon les besoins, pour répondre aux normes et aux réglementations
- Protection des applications Web et des API contre les menaces existantes et émergentes de l’OWASP
- Orchestration SSL avec déchiffrement, chiffrement et pilotage du trafic en mode dynamique, basés sur des politiques, avec plusieurs dispositifs d’inspection
Étape 4 : définir des catégories d’applications et préciser les services applicatifs requis pour chacune d’elles.
Étape 5 : définir des paramètres de déploiement et de gestion des applications. Cela comprend :
- Comprendre les options de déploiement
- Évaluer les coûts associés, les modèles de consommation et les profils de conformité/certification
Étape 6 : attribuer les rôles et les responsabilités. Vous voudrez :
- Clarifier qui est responsable de chaque composant de l’EAA, y compris la sécurité.
- Reconnaitre que la responsabilité peut incomber à des contributeurs individuels, à des départements ou à des comités interfonctionnels.
Étape 7 : appliquer l’approche EAA dans toute l’organisation pour optimiser la sécurité. Cela comprend :
- Tirer parti de mécanismes automatisés tels que les contrôles d’accès d’utilisateurs ou les analyses de vulnérabilité du code
- Obtenir l’adhésion de l’organisation par la formation des employés et la communication
Étape 8 : travailler avec les experts de F5 pour vous assurer d’atteindre une cybermaturité continue.
Rôles critiques à attribuer dans la création d’une gouvernance des normes et procédures
Responsable de l’équipe de conformité de la configuration
La gestion de la configuration peut être difficile à mettre en œuvre, c’est pourquoi il est impératif de désigner un responsable. Parmi les outils d’automatisation qui permettent de maintenir les normes de configuration et de minimiser les dérives de configuration, on peut citer :
- Intégration déclarative
- AS3
- Telemetry Streaming
- Modèles de formation en cloud
Responsable de l’équipe d’architecture des applications d’entreprise
Si personne ne supervise la progression et la priorisation de cette initiative, cette fonction essentielle s’essoufflera et les normes globales de l’organisation finiront par vaciller.
Propriétaire de l’audit
Une visibilité permanente sur les principaux sujets d’audit est essentielle pour chaque audit. Chaque équipe a besoin d’un chef d’équipe qui connaît les solutions F5 et la manière dont elles exploitent les données profondes des applications et du réseau afin de fournir les informations nécessaires à une résolution rapide de tout problème lié à l’audit.
Les tableaux de bord partagés centrés sur les applications de F5 permettent à vos équipes de réseau, de développement et de sécurité d’accéder aux données dont elles ont besoin tout en favorisant une résolution collaborative des problèmes.
Simplifier le processus d’audit
Lorsqu’un audit se produit, et cela se produira au pire moment, F5 peut être à vos côtés pour vous aider à simplifier le processus. Nos dizaines d’années d’expérience, nos analyses et télémétries détaillées, ainsi que nos solutions prêtes à l’emploi et adaptées à la conformité, ont été spécialement conçues pour minimiser les frictions et le stress causés par les audits.
Tout commence par des analyses détaillées.Vérifiez l’état de santé et la posture de sécurité, et utilisez les informations exploitables des tableaux de bord personnalisables pour répondre à vos nombreuses demandes de conformité, le tout dans un modèle SaaS simple et facile à utiliser.
Lorsque votre auditeur fait une demande, il peut obtenir exactement ce qu’il cherche en quelques minutes.
Figure 2 : les détails des applications en un coup d’œil — visualisez immédiatement la topologie, la santé, les informations et les événements spécifiques à chaque application.
Avec F5, vous ne serez pas seul lors de votre prochain processus d’audit. Demandez à nos experts de vous aider à approfondir les sujets de conformité, quels que soient les résultats de vos prochaines réunions d’audit.
F5 peut vous aider à :
- Révéler les menaces cryptées
- Fournir des détails sur les contrôles d’accès afin de mieux gérer les accès des utilisateurs privilégiés
- Personnaliser des rapports exportables pour répondre à des exigences d’audit spécifiques
- Fournir des mises en garde concernant les contrôles de sécurité
Conclusion
Les processus d’audit peuvent prendre beaucoup de temps et générer beaucoup de stress. Les employés des services financiers ne savent jamais quand le prochain audit commencera et le travail associé nécessite souvent un emploi à temps plein, qui est rarement financé. Si des solutions et un soutien adéquats ne sont pas en place, les audits peuvent durer jusqu’à six mois, et entraîner des tâches de remédiation suivies d’un autre audit.
F5 a fait ses preuves en matière de rationalisation du processus d’audit pour les institutions de services financiers. Nos solutions sont spécialement conçues pour minimiser les frictions et le stress causés par les audits.
Pour en savoir plus, explorez les solutions F5 pour les services bancaires et financiers ou contactez votre représentant F5.
Étapes suivantes
Commencez un essai
Découvrez le fonctionnement des produits F5 grâce à un essai gratuit.
Nous contacter
Découvrez comment les produits et solutions de F5 peuvent vous permettre d’atteindre vos objectifs.