Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

La CSSF du Luxembourg et Varonis

Contexte Le Commission de Surveillance du Secteur Financier (CSSF) est l’autorité luxembourgeoise de réglementation financière qui supervise les banques, établissements de crédit, compagnies d’assurance et autres sociétés financières. En 2013,...
David Gibson
3 minute de lecture
Publié 14 octobre 2014
Dernière mise à jour 28 octobre 2021

Contexte
Le Commission de Surveillance du Secteur Financier (CSSF) est l’autorité luxembourgeoise de réglementation financière qui supervise les banques, établissements de crédit, compagnies d’assurance et autres sociétés financières. En 2013, la CSSF a publié de nouvelles règles, appelées « circulaires », portant sur le contrôle des outils d’accès (par ex. Active Directory, Oracle Access Manager). Dans la Circulaire 13/554, la CSSF rappelait spécifiquement que les établissements financiers « doivent conserver le contrôle complet des ressources [informatiques] dont ils sont responsables et de l’accès à ces ressources ». En fait, cela signifie que les établissements financiers doivent se doter de moyens pour contrôler les outils d’accès sous-jacents.

L’origine de la circulaire 13/554 est une inquiétude de la CSSF quant à la capacité de sociétés internationales ayant des bureaux au Luxembourg, désignées PSF, de changer ou de contrôler depuis l’extérieur l’accès à leurs ressources informatiques (fichiers, comptes utilisateurs, imprimantes, serveurs), ce qui en vertu de la Loi de 1993 sur le Secteur financier exige l’approbation d’un professionnel du secteur financier (PSF) basé au Luxembourg.

La circulaire 13/554 stipule donc que les PSF du Luxembourg doivent d’abord faire une demande officielle auprès de la CSSF en prouvant qu’elles maîtrisent leurs ressources informatiques locales. Par ailleurs :

  • Tout PSF du Luxembourg doit être isolé en tant qu’utilisateur de tout outil d’accès.
  • La société doit s’être dotée de lignes de conduite stipulant que seul le PSF est habilité à approuver et à contrôler l’accès à ses ressources et peut procéder à la mise en œuvre technique de ses outils d’accès.
  • Toute modification apportée auxdites lignes de conduite relatives aux outils d’accès doit être approuvée par le PSF (on parle de « contrôles préventifs »).
  • Le PSF peut annuler toute modification non approuvée apportée aux lignes de conduite relatives aux outils d’accès (« contrôles préventifs »).

Établissements concernés
Les établissements financiers concernés par cette mise en conformité sont recensés dans la Loi de 1993 sur le Secteur financier et comprennent notamment :

  • Les sociétés d’investissement (conseillers en investissements, courtiers en bourse, gestionnaires de portefeuille, teneurs de marché, assureurs)
  • Les professionnels de la finance (conservateurs, cambistes, dépositaires professionnels, administrateurs de fonds communs de placement)
  • Les professionnels du support (agents de communication avec les clients, opérateurs de systèmes informatiques)

Exigences relatives au contrôle de l’outil d’accès
Les PSF doivent apporter la preuve qu’ils conservent le contrôle complet des ressources informatiques dont ils sont responsables et de l’accès à ces ressources. Cela signifie concrètement qu’ils sont tenus de mettre en œuvre des processus et des systèmes (un outil de contrôle) leur permettant de superviser les outils d’accès, de documenter leurs lignes de conduite relatives à l’outil de contrôle, d’auditer toute modification apportée à ces lignes de conduite et de surveiller les outils d’accès eux-mêmes.

Correspondance Fonctionnalité-Exigence

Exigence 13/554 Description Produit Varonis/Fonctionnalité

Prérequis de Varonis : déterminer le propriétaire des ressources informatiques concernées

Identifier et affecter des propriétaires pour les groupes de ressources afin d’alimenter le workflow

Varonis DatAdvantage recommande la révocation des autorisations d’accès aux données pour les utilisateurs qui n’en ont pas besoin pour leur travail. Ainsi, l’accès aux données par les utilisateurs est toujours garanti et déterminé selon le principe du moindre privilège. DatAdvantage génère des rapports montrant l’historique des révocations d’autorisation et le pourcentage de réduction des accès trop permissifs.

Contrôle préventif

Tout établissement financier est tenu de contrôler que toute modification apportée aux lignes de conduite relatives aux outils d’accès est autorisée avant sa mise en œuvre. Ce contrôle préventif évitera l’introduction de toute ligne de conduite non approuvée.

Varonis DataPrivilege aide les organisations non seulement à définir leurs lignes de conduite en matière d’accès et d’autorisation d’accès à des données non structurées, mais aussi à mettre en place un workflow et les mesures appropriées (c’est-à-dire autoriser, refuser, autoriser pendant une durée limitée). Cela présente un double effet sur la cohérence de la communication au sens large des lignes de conduite en matière d’accès : 1) toutes les parties responsables, notamment les propriétaires des données, auditeurs, utilisateurs des données et le service informatique sont rassemblés autour du même ensemble d’informations et 2) les organisations peuvent surveiller en permanence le cadre d’accès afin d’y apporter des modifications et de l’optimiser tant en termes de conformité que de constance de l’accès garanti.

Contrôles correctifs

Des contrôles correctifs doivent être effectués pour identifier tout éventuel accès non autorisé / changement apporté aux lignes de conduite en matière d’outils d’accès survenu durant la fenêtre de fermeture et apporter les corrections nécessaires.

L’accès à l’outil et les modifications apportées aux lignes de conduite internes y afférentes doivent être enregistrés. L’accès à ces registres doit être dûment protégé (par exemple, aucune modification ou suppression par les administrateurs de l’outil)

Varonis DatAlert envoie des alertes en temps réel sur la base de l’activité du fichier, des modifications apportées à Active Directory, des modifications d’autorisation et d’autres événements. Les critères d’alerte et les messages envoyés sont facilement configurables de manière à ce que les personnes et les systèmes concernés reçoivent les bonnes informations en temps utile et d’une façon appropriée. DatAlert améliore votre capacité à détecter les éventuelles failles de sécurité et mauvaises configurations.

DatAlert peut être configuré pour envoyer des alertes en cas de modifications apportées en dehors d’une fenêtre de temps particulière.

Varonis DatAdvantage fournit une piste de vérification complète pour le système de fichiers de gouvernance, SharePoint, Directory Services et l’activité Exchange. DataPrivilege en tant que contrôle pour les outils d’accès enregistre toute activité entraînant un changement.

The post La CSSF du Luxembourg et Varonis appeared first on Varonis Français.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).