eguide transfert et gouvernance des données

eGuide Mouvements et gouvernance des donnéesAider les entreprises à rester en phase avec les réglementations

2

eGuide Mouvements et gouvernance des données

Sommaire

Chapitre 1 : Principes de base 3

Chapitre 2 : La gouvernance appliquée aux mouvements de données entrants 6

Chapitre 3 : La gouvernance appliquée aux mouvements de données sortants 15

Chapitre 4 : Visibilité interne et externe des mouvements de données 17

Chapitre 5 : Personnalisation des fonctions 21

Annexe : Réglementations importantes 22

IntroductionVous pensez tout savoir des mouvements de données ? Qu’auriez-vous d’autre à savoir sur l’envoi de fichiers, opération que vous effectuez déjà tous les jours comme une routine ? Savez-vous vraiment à quel point cette opération peut être risquée ? Vous ne le saurez que lorsqu’il sera trop tard.

Un audit se révèle catastrophique. Des informations clients sont menacées. Vous être rappelé à l’ordre pour ne pas avoir satisfait à un SLA (accord de niveau de service) client majeur. Ce n’est qu’à cet instant que vous comprenez véritablement toute l’importance des transferts de fichiers pour votre entreprise, mais aussi pour votre carrière. Comment vous préparer à un tel moment ? Et surtout, comment anticiper et empêcher de tels incidents ?

Il est absolument indispensable que vous compreniez les conséquences que peuvent entraîner une surveillance, une protection ou un contrôle inadaptés lors d’un transfert de données. Des pertes d’opportunités et de revenus pourraient bien finalement n’être qu’un moindre souci. Dans certains cas, des pratiques inappropriées peuvent conduire à des actions en justice, à des amendes voire à la faillite de l’entreprise.

Ce guide électronique vous aidera à identifier les mesures qui permettront à votre organisation d’atteindre ses objectifs dans le respect de la réglementation. Il vous offrira par ailleurs la possibilité d’être plus efficace dans votre travail et de proposer des suggestions intéressantes au service Sécurité. Vous avez donc beaucoup à gagner.

Prêt à aller de l’avant ?

Une bonne maîtrise des principes concernant les mouvements et la gouvernance des données peut vous permettre d’aider votre entreprise à rester compétitive.

Chapitre 1 : Principes de baseMouvements de donnéesUn mouvement de données renvoie au déplacement de fichiers ou d’informations pouvant revêtir une importance stratégique pour l’ensemble des parties intéressées dans votre organisation : employés, fournisseurs et toutes les personnes avec lesquelles vous traitez.

Les professionnels manipulent tous les types de données. En fonction de votre rôle, vous pouvez avoir une idée bien différente de ce que cela recouvre. Par exemple, un employé travaillant à la transmission des données peut considérer le transfert d’informations comme un simple envoi par lot. Les personnes gérant l’intégration B2B peuvent, pour leur part, le considérer comme un échange de données informatisé (EDI). L’employé moyen peut, quant à lui, le considérer uniquement comme l’envoi d’énormes fichiers électroniques. Toutes ces tâches sont importantes et chacune, à un degré ou à un autre, doit faire l’objet d’une gouvernance.

Étant donné qu’un grand nombre de lecteurs de ce e-guide font régulièrement appel à des solutions de transfert de fichiers administré, ce chapitre sera bref. Pour ceux d’entre vous qui découvrent ce sujet, nous débuterons ce guide en définissant trois expressions clés :

• Mouvements de données• Transfert de fichiers administrés (ou MFT pour

Managed File Transfer)• Gouvernance

Un mouvement de données dépasse le simple envoi de fichiers ; il revêt une importance stratégique pour chaque organisation. Pour cette raison, il doit faire l’objet d’une gouvernance plus étroite.

3


Points importantsMouvements de donnéesLe mouvement de données est un point crucial pour tous les intervenants puisqu’il fait l’objet d’un nombre croissant de réglementations de la part des autorités publiques, à tous les niveaux.

MFTouTransfertdefichiersadministréLes solutions de gestion des transferts de fichiers administrés (Managed File Transfert, MFT) permettent de gérer tous les types de transferts de fichiers et aident les utilisateurs à satisfaire aux règles édictées par les autorités publiques et l’entreprise.

GouvernanceLa gouvernance renvoie à la structure, à la supervision, au processus et aux contrôles qui contribuent à une gestion adéquate des données.

GouvernanceLa gouvernance d’entreprise regroupe les règles et processus conformes à la législation et à la réglementation applicables. Elle a donc une incidence sur le mode de gestion ou de contrôle d’une organisation. Dans le domaine des technologies de l’information, la gouvernance renvoie à la structure, à la supervision, au processus et aux contrôles qui contribuent à une gestion adéquate des données.

Les réglementations nationales et étatiques portant sur la confidentialité des données des clients et sur la vérifiabilité des transferts de données incluent les textes suivants :

• Graham Leach Bliley Act (GLBA) http://www.glba-guide.com/index.htm

• Sarbanes-Oxley (SOX) http://www.soxlaw.com/

• Federal Financial Institutions Examination Council (FFIEC) http://www.ffiec.gov/

• Normes de sécurité des données de la Payment Card Industry (PCI DSS) https://www.pcisecuritystandards.org/index.shtml

• Loi sur la protection des renseignements personnels et les documents électroniques http://www.priv.gc.ca/legislation/02_06_07_e.cf

• Massachusetts Privacy Law 201 CMR 17.00 http://www.mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf

Les exigences réglementaires nationales, étatiques ou sectorielles ont un impact majeur sur la gouvernance d’entreprise … des solutions adaptées peuvent vous aider à les respecter et à réduire vos coûts.


4

http://www.glba-guide.com/index.htm

http://www.soxlaw.com/

http://www.ffiec.gov/

https://www.pcisecuritystandards.org/index.shtml

http://www.priv.gc.ca/legislation/02_06_07_e.cf

http://www.mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf

http://www.mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf

Chapitre 2 : La gouvernance appliquée aux mouvements de données entrantsCe chapitre examine les différents facteurs à prendre en compte concernant le mouvement de données entrant dans votre organisation.

Principaux thèmes abordés :

• Défense de haut niveau• Contrôles d’audit • Processus d’automatisation intelligents • Analyse antivirus • Vérification de l’intégrité • Suppression des fichiers traités • Intégration dans une structure de sécurité commune

Différents produits de sécurité peuvent être déployés pour se protéger contre toutes sortes de menaces potentielles au sein du réseau. La défense de haut niveau est également appelée « approche multiniveau ».

Défense de haut niveauComme bon nombre de termes informatiques, l’expression « Défense de haut niveau » est tirée du jargon militaire.

Également appelée « approche multiniveau », cette expression définit l’utilisation de plusieurs niveaux et de différents types de mesures de sécurité pour protéger non seulement les différents composants système mais également le système dans son ensemble.

À titre d’exemple, citons les logiciels antivirus qui sont installés sur des postes de travail déjà dotés d’une protection antivirus via les pare-feux et serveurs inclus dans le même environnement.

Dans ce chapitre, nous examinerons plus particulièrement quatre composants utilisés pour assurer une défense de haut niveau dans le cadre d’une authentification multi facteur MFT :

• Authentification multi-facteur • Zone démilitarisée (DMZ) multi-zone• Interruption de session • Vérification des protocoles

Découvrez ici en quoi un proxy peut vous aider.


6

http://www-01.ibm.com/software/commerce/managed-file-transfer/products/secure-proxy/

Authentification multi-facteurL’authentification multi-facteur permet de protéger un accès, notamment d’un compte bancaire ou d’un bâtiment, en exigeant de l’utilisateur qu’il produise plusieurs moyens d’identification. Plus les facteurs requis sont nombreux, plus l’accès est sécurisé.

Une authentification multi-facteur implique différentes méthodes d’identification d’un utilisateur. Par exemple, pour retirer de l’argent dans un distributeur automatique, l’utilisateur doit : 1) insérer sa carte et 2) saisir son code. L’utilisateur est alors authentifié de deux manières différentes.

Dans le cas d’une utilisation de système à système tel que vous pouvez le rencontrer au travail, vous trouverez d’autres exemples d’authentification : certificat, nom d’utilisateur/mot de passe et code généré par un jeton USB.

Deux des trois facteurs d’authentification reconnus et recommandés par le Federal Financial Institutions Examination Council (FFIEC) américain sont :

• les données comme un mot de passe ou un code (élément connu de l’utilisateur) ;

• les objets comme une clé ou une carte magnétique (élément détenu par l’utilisateur).le troisième type d’authentification, à savoir les caractéristiques biométriques comme les empreintes ou l’analyse rétinienne (caractéristique personnelle de l’utilisateur) n’est pas utilisé dans les applications de système à système ; nous ne le traiterons donc pas ici.

Dans une DMZ multi-zone, chacune des zones possède ses propres mesures de sécurité, notamment des informations d’identification qui sont stockées dans une autre DMZ depuis des serveurs.

Pour en savoir plus sur les DMZ, cliquez ici.

Votre organisation bénéficie-t-elle d’une protection par DMZ multi-zone ?

En termes militaires, une DMZ est une zone non protégée ou semi-protégée située entre les forces ennemies.

« Par définition, une véritable authentifi-cation multi-facteur implique l’emploi de solutions composées d’au moins deux des trois catégories de facteurs. » − Federal Financial Institutions Examination Council (FFIEC) américain

Zone démilitarisée (DMZ) multi-zoneEn termes informatiques, une zone démilitarisée (DMZ) est une zone tampon qui renforce la sécurité entre un réseau informatique sécurisé et les influences extérieures comme le piratage Internet.

À elle seule, cette zone empêche le réseau informatique interne d’être compromis par des attaques extérieures. Comme il existe plusieurs zones au sein de cette DMZ, si une zone est compromise, les autres ne le sont pas.


http://zeltser.com/multi-firewall/

Interruption de sessionPour des raisons de sécurité, une interruption de session correspond à la déconnexion automatique et volontaire entre le réseau d’un utilisateur et son agresseur. Cette méthode permet de vérifier les informations d’identification avant que le contact réel soit établi avec le serveur.

Il est possible de comparer cette méthode avec le contrôle des passeports aux points de contrôle d’un aéroport avant que les passagers n’embarquent dans leur avion.

Un grand nombre de sociétés ne déploient pas encore ce type d’application de sécurité par DMZ ; leurs sessions de transferts de données sont donc vulnérables. Les sociétés qui reconnaissent l’existence d’une menace prennent des mesures supplémentaires pour éviter avant tout qu’elle ne se produise. Pour cela, elles déploient une application proxy basée sur une zone démilitarisée qui empêche tout établissement de session avant l’authentification des informations d’identification de l’expéditeur.

À partir de quel point votre système de sécurité de réseau oblige-t-il à une interruption de session ?

autorisent à pénétrer sur le réseau dans la mesure où un respect obligatoire de la conformité aurait pour conséquence de bloquer des informations entrantes légitimes. Or, des pirates peuvent exploiter une telle situation en créant des codes malveillants comportant des caractéristiques de non-conformité typiques des données légitimes inoffensives. Une vérification efficace des protocoles permet alors de différencier les données légitimes des données malveillantes.

Votre DMZ de transfert de fichiers procède-t-elle à une vérification des protocoles ?

« Comme son nom l’indique, un protocole, indépendamment du contexte, est un ensemble de règles ou de manières de faire … Certaines applications ne sont pas conformes aux protocoles prévus par leurs concepteurs. Cette non-conformité peut être une simple erreur ou, au contraire, une tentative d’attaque du protocole aux conséquences indésirables. » — Thomas W. Shinder et Thorsten Behrens. The Best Damn Firewall

Book Period,

Un système de sécurisation du réseau informatique impose une interruption de session entre un utilisateur cible et un agresseur dès la découverte d’une tentative d’intrusion hostile.

Vérification des protocolesLa vérification des protocoles maintient la sécurité en veillant à la conformité des données avec des règles préétablies lors de leur transit vers un ordinateur ou un réseau.

Un protocole correspond au format prescrit pour des données et aux règles relatives à leur communication.

Parfois, les données ne respectent pas les règles ou le format imposés. Cet accident peut être sans conséquence. Il peut également mettre en évidence une attaque sur le réseau.

Un système de sécurité efficace vérifie la conformité du protocole des données entrantes. Comme des données inoffensives peuvent occasionnellement ne pas être conformes au protocole, de nombreux systèmes les


8

Contrôles d’auditEn matière de sécurité informatique, un audit correspond à la collecte et à l’analyse d’informations (de façon manuelle et automatisée) relative à une application ou un système dans le but de déterminer sa protection contre les menaces et attaques.

Différents types de contrôles d’audit permettent de vérifier la configuration et l’exécution adéquates d’un système. Citons ainsi :

• la génération de rapports ; • la surveillance ; • l’émission de reçus.


Génération de rapportsLa génération de rapports, également appelée « génération de rapports d’événements d’audit », est généralement effectuée sur une base ad hoc, ce qui signifie que l’utilisateur demande et reçoit des rapports spécifiques et personnalisés. Or, la génération de rapports n’est plus une activité facultative. Aujourd’hui, les sociétés sont soumises à une liste grandissante d’exigences gouvernementales.

Parallèlement à la loi Sarbanes-Oxley, les entreprises sont soumises à de nouvelles réglementations, notamment PCI, DSS et HIPPA, qui imposent la tenue de journaux d’audit. Ces obligations, qui ont toujours imposé la tenue de journaux, contraignent désormais les utilisateurs à vérifier l’activité consignée dans ces journaux et à identifier les points présentant une activité potentiellement anormale.

Comment recherchez-vous les activités anormales dans vos rapports d’événements ?

La génération de rapports est une tâche de plus en plus contraignante … qui dépasse la simple collecte des logs.

Émission de reçusUn reçu de livraison, également appelé « confirmation de livraison » ou « notification de réception de livraison », est un message automatisé qui est renvoyé au terme d’une transmission de données. Ce reçu confirme la bonne réception des données.

En matière de sécurité numérique, la non-répudiation est un outil qui permet de prouver qu’un message transféré a bien été envoyé et reçu par deux parties.

Grâce à ce système de non-répudiation, l’expéditeur d’un message ne peut plus nier l’envoi effectué et il existe une preuve de la bonne réception de ce message par son destinataire.

À l’heure actuelle, un nombre croissant de sociétés transfèrent des données au moyen du protocole Applicability Statement 2 (AS2), qui procède à l’envoi et à la réception des données via une connexion sécurisée. On peut comparer son fonctionnement à une sorte d’enveloppe qui contiendrait des informations importantes.

Aussi, si vous optez pour un autre protocole ou pour un enregistrement dans un fichier journal, vous devez mettre en place une stratégie permettant de prouver juridiquement que vous avez envoyé les données et qu’elles ont bien été reçues.

Comment pouvez-vous prouver juridiquement que les données n’ont pas été uniquement envoyées mais également reçues ?

SurveillanceLa surveillance, également appelée « surveillance continue » ou « surveillance des événements », est une fonction automatisée qui analyse et décrit les événements informatiques ou réseau. Elle a pour objectif d’informer immédiatement les utilisateurs de toute situation potentiellement risquée et de leur permettre de prendre rapidement les mesures adéquates.

L’aspect positif de la surveillance des événements est qu’elle vous oblige à traiter les exceptions importantes dans les meilleurs délais pour maintenir l’exécution des processus clés et la recherche continue de signes d’intrusion.

Cherchez constamment tout ce qui échappe à la norme.


10

Processus d’automatisation intelligentsDans le cadre de processus d’automatisation intelligents, des fonctions de flux de travail avancées sont combinées avec les meilleures pratiques de l’industrie pour assurer le déclenchement automatique de ces procédures.

Le problème, en termes de gouvernance, est que vous disposez d’une méthode standard de traitement des erreurs qui n’a pas à être codée manuellement dans un script pour chaque transfert. Les événements sont gérés par exception, et non par vérification, et les utilisateurs concernés sont alertés en temps réel en cas de problème important.

En résumé, la difficulté est de pouvoir travailler de façon plus intelligente à chaque fois. Vous trouverez ci-dessous les quatre processus automatisés les plus courants :

• Analyse antivirus • Vérification de l’intégrité • Suppression des fichiers traités • Contrôle/redémarrage

Suppression des fichiers traitésLa suppression des fichiers traités correspond à l’une des meilleures pratiques en matière de sécurité des systèmes. Un fichier peut contenir des informations importantes susceptibles d’être consultées par des utilisateurs non autorisés comme des pirates Internet. Une fois le traitement des fichiers terminés, il est donc impératif que ces derniers soient supprimés pour que les informations qu’ils contiennent ne soient plus accessibles aux tiers non autorisés.

L’objectif est simplement d’assurer une sécurité adéquate.

Quel est le niveau de fiabilité de votre système si vos fichiers traités ne sont pas automatiquement supprimés ?

Les vieux fichiers peuvent donner lieu à une kyrielle de nouveaux problèmes.

Analyse antivirusUn virus est un code informatique malveillant qui se propage de lui-même (logiciel malveillant) et compromet les performances de votre système. Comme vous le savez déjà, vous devez constamment être sur vos gardes. Parmi les méthodes de lutte disponibles, l’analyse antivirus identifie et supprime ces « envahisseurs », dans l’idéal avant que le mal ne soit fait.

Bien que les virus ne représentent qu’une menace faible pour les fichiers générés par le système, ils demeurent une menace élevée pour les transferts de personne à personne effectués notamment au moyen de courriers électroniques.

Généralement, l’analyse antivirus traite d’autres menaces émanant de logiciels malveillants comme les chevaux de Troie et les vers. La meilleure analyse antivirus n’altère pas les performances d’une application. Les analyses antivirus plus évoluées intègrent des alertes et des messages d’avertissement pour une meilleure prise de décisions. Comme les pirates informatiques inventent constamment de nouveaux virus, un outil d’analyse antivirus peut rapidement devenir obsolète : il doit donc être régulièrement mis à jour.

Si votre analyse antivirus n’est pas exécutée automatiquement, vous courez le risque d’être rapidement dépassé.


11

Checkpoint & restartLa méthode du Checkpoint/Restart (point de contrôle/redémarrage) permet de récupérer des données après un incident ou une panne système connexe. Pour le transfert de fichiers, un point de contrôle implique la création d’un enregistrement à intervalles réguliers pendant la transmission d’un fichier. En cas de défaillance, le dernier point de contrôle constitue le point de restauration à partir duquel les transferts pourront reprendre. Cela vous évite de tout recommencer depuis le début. Avec la technique Checkpoint/Restart, les erreurs ne ralentissent pas votre système.

En cas de défaillance de votre système, serez-vous capable de récupérer vos données sans avoir à recommencer le transfert ?

Un Checkpoint/Restart permet la poursuite d’un transfert malgré l’existence d’une erreur.

Active Directory et Lightweight Directory Access Protocol (LDAP)Active Directory est une technologie Microsoft®.

Les sociétés utilisent Active Directory pour stocker et organiser les informations relatives aux composants réseau comme les ordinateurs, périphériques ou utilisateurs. En résumé, il facilite l’affectation de règles, le déploiement des logiciels et l’application de mises à jour critiques sur un système informatique.

Active Directory intègre le protocole LDAP. LDAP est la norme de l’industrie en matière d’accès à un répertoire. LDAP signifie que Active Directory est largement accessible aux utilisateurs qui souhaitent effectuer des fonctions comme des demandes ou des applications de gestion.

Pour en savoir plus sur Active Directory, cliquez ici. Pour en savoir plus sur LDAP, cliquez ici.

Une technologie qui vous aide à garder le cap.

Intégration dans une infrastructure de sécurité communeL’intégration dans une infrastructure de sécurité commune permet aux différents systèmes employés pour faciliter le transfert des données de partager une même base d’informations identification.

Grâce à cette zone unique de stockage des données utilisateur, il n’est plus nécessaire d’accéder aux différents serveurs sur lesquels les données d’identification utilisateur sont stockées lorsque celles-ci font l’objet d’une modification.

Cette technique simplifie considérablement la maintenance utilisateur et offre dans le même temps aux professionnels de l’informatique la gouvernance nécessaire aux audits de sécurité.

Nous étudierons plus particulièrement les deux aspects suivants :

• Active Directory• Base de certificats et de clés


12

http://www.microsoft.com/windowsserver2008/en/us/ad-main.aspx

http://msdn.microsoft.com/en-us/library/aa367008(VS.85).aspx

Base de certificats et de clésEn matière de sécurité des informations, une clé (également appelée « clé de données » ou « clé de chiffrement ») est employée pour chiffrer ou déchiffrer des données. Un certificat est un ensemble d’informations chiffrées, telles que le nom d’un utilisateur ou d’une organisation, qui définit le propriétaire d’une clé de données.

Une base de certificats est une base de données dans laquelle sont centralisés les certificats ; leur maintenance est assurée par un tiers appelé « autorité de certification ». Lorsqu’un individu tente d’accéder aux informations chiffrées, cette autorité est automatiquement contactée. Le certificat stocké dans la base de certificats est alors consulté pour vérifier la propriété de la clé de données.

En disposant d’une base de clés et de certificats commune, vous pouvez réduire la maintenance de ces importants artéfacts de sécurité, utilisés pour les protocoles chiffrés dans les transferts de fichiers.

Points importantsDéfense de haut niveau

La défense de haut niveau s’appuie sur différents niveaux et types de sécurité pour protéger le système.

Authentificationmulti-facteurL’authentification multi-facteur fait appel à au moins deux types d’authentifications comme un jeton USB (ou token) et un changement d’adresse IP, pour identifier un utilisateur.

Interruption de sessionUne interruption de session est un arrêt automatique permettant de vérifier les informations d’identification d’un utilisateur. Des applications basées sur une DMZ assurent la sécurité avant qu’un arrêt de la communication soit nécessaire.

VérificationdesprotocolesLa vérification des protocoles permet de vérifier la conformité des données par rapport aux règles édictées. Pour une sécurité optimale, vous devez déployer une solution DMZ multiprotocole.


14

Ce chapitre examine les différents facteurs à prendre en compte concernant le transfert de données sortant de votre organisation.


• Chiffrement• Prise en charge des transferts ad hoc• Analyse en prévention des pertes de données

Transfert ad hocL’expression « ad hoc » renvoie aux actions qui sont spontanées et non prédéfinies ou planifiées.

Dans le cadre de la gestion des transferts de fichiers, l’expression « ad hoc » renvoie aux transferts orientés personne et non aux transferts orientés système. Ils sont rarement planifiés, sont généralement externes à l’entreprise et impliquent des pièces jointes, des serveurs ftp, un service hébergé ou des supports physiques.

Dans ce type de transfert, vous pouvez échanger des pièces jointes volumineuses avec des tiers externes au moyen d’un portail sécurisé et sans configuration informatique.

Actuellement, les options les plus intéressantes en matière de prise en charge ad hoc sont assurées par une interface utilisateur de type webmail et fournissent des notifications sur les principales activités. Vous disposez également de fonctions de sécurité et d’audit.

Si des transferts ad hoc sont réalisés au sein de votre organisation, et il est fort à parier que ce soit le cas, quel type de gouvernance et de contrôle disposez-vous pour ces activités ?

Vos serveurs de messagerie sont saturés ? La sécurité est une préoccupation majeure ? Vous êtes contraint à réduire vos coûts ?

ChiffrementLe chiffrement (on utilise parfois l’anglicisme « encryption ») assure la confidentialité des messages en transformant les données pour qu’elles ne puissent être lisibles que par les détenteurs de la clé compatible avec le système de chiffrement.

Le recours au chiffrement, ou code, implique de déchiffrer, ou décoder, les informations chiffrées pour qu’elles puissent être de nouveau lisibles. Un large éventail de protocoles de chiffrement est à votre disposition. À vous de choisir la clé de chiffrement et le partenaire que vous souhaitez utiliser.

La plupart des professionnels de l’informatique connaissent parfaitement les différentes options de chiffrement. Pourtant, certaines organisations hésitent à appliquer les solutions disponibles.

Votre organisation dispose-t-elle d’une règle de classification et cette dernière est-elle appliquée pour le transfert de fichiers externes ?

Chapitre 3 : La gouvernance appliquée aux mouvements de données sortants


15

Prévention des pertes de données ou DLPLa prévention des pertes de données (également appelée « prévention des fuites de données » ou DLP pour Data Loss Prevention) implique l’arrêt du transfert de données stratégiques sur la base d’une correspondance avec un modèle. Par exemple cette technique peut identifier les numéros de sécurité sociale contenus dans un fichier, en s’appuyant sur le format de nombre x xx xx xx xxx xxx, et arrêter leur transmission dans une pièce jointe à un courrier électronique.

Pour cela, le logiciel de DLP est appelé dans le cadre du processus de transmission où il exécute des fonctions comme une vérification du contenu des données, un examen du contexte et une correction.

Points importantsProblématiques importantesParmi les problématiques importantes liées au transfert de données sortants, citons le chiffrement, les transferts ad hoc et la prévention des pertes de données.

GouvernancePour éviter toute interruption, amende, voire pire, les organisations doivent mettre en place et appliquer des règles de gouvernance et de contrôle efficaces.


16

Ce chapitre examine les différents facteurs liés à la visibilité du transfert des données à l’intérieur et à l’extérieur de votre organisation.


• Surveillance centralisée• Provisionnement centralisé pour toute

nouvelle connexion• Choix des services d’externalisation et de gestion tiers

Serveurs de règlesCes règles fonctionnelles sont établies pour gérer les situations susceptibles de se produire. Elles contribuent à maintenir la sécurité des systèmes ou applications.

Par exemple, une règle d’entreprise type peut imposer qu’aucune information d’identification personnelle ne soit envoyée sans être chiffrée ou sans chiffrement minimal de 128 bits.

L’utilisation de serveurs de règles pour les configurations assure la cohérence et la normalisation dans un système ou un réseau. Ils bloquent les activités des individus ou fournisseurs de solutions qui, comme des électrons libres, veulent mettre en œuvre leurs propres manières de faire.

Êtes-vous certain que les principales règles d’entreprise sont mises en œuvre en matière de transfert de données ?

Surveillance centraliséeLa surveillance centralisée renvoie à une solution qui assure la surveillance des systèmes, applications et réseaux à partir d’un point centralisé. Nous étudierons plus particulièrement les quatre aspects suivants :

• Notifications• Serveurs de règles• Surveillance basée sur des SLA• Intégration dans d’autres outils de gestion système

NotificationsNous connaissons tous les alarmes, voyants clignotants et autres bips énervants qui attirent notre attention pour nous faire réagir de façon appropriée. Dans le même esprit, il n’est plus nécessaire de rester devant une console pour être informé de l’existence d’un événement ou d’une exception lors d’un transfert de fichiers importants.

Aujourd’hui, les sociétés se servent de dispositifs mobiles pour rester informées et même gérer ce type d’événement depuis n’importe quel endroit.

En cas de problème, comment êtes-vous informé ?

Chapitre 4 : Visibilité interne et externe des mouvements de données


17

Surveillance basée sur des SLAUn SLA est un contrat de service dans lequel les aspects du service, notamment la disponibilité du système ou les créneaux de livraison des fichiers, sont très précisément indiqués.

Chose plus importante, les SLA doivent préciser le mode de mesure des performances pour que les garanties de type 99,999 % ou traitement dans l’heure qui suit la réception, puissent être réalisées ou validées.

Aujourd’hui, un nombre grandissant de transferts de données stratégiques sont régis par des SLA. Pour tenir les promesses énoncées dans le respect du SLA, vous devez vous doter d’une méthode de suivi des performances du SLA et d’identification des exceptions à traiter en priorité.

De quels moyens disposez-vous pour vérifier que les niveaux de service sont atteints ?

Une surveillance efficace permet de vous assurer que les obligations énoncées dans le SLA sont satisfaites et que des amendes ont pu être évitées.


18

Intégration dans d’autres outils de gestion systèmeToutes les grandes entreprises se servent d’outils de gestion système comme HP Openview, IBM Tivoli, CA ControlM/ Patrol, etc. Ces outils, qui sont regroupés dans des centres d’opération fonctionnant 24 heures sur 24, surveillent l’intégrité des applications, des serveurs et du réseau de l’ensemble de l’entreprise.

Les transferts de fichiers doivent répondre à des obligations de surveillance spéciales. Il est donc essentiel qu’ils partagent des alertes et des notifications avec les outils de gestion système existants et vous proposent des fonctions spécialisées de notification et de gestion du SLA.

Exploitez-vous les ressources de l’entreprise et leur fournissez-vous les services standard dont vous avez besoin ?

Le provisionnement centralisé de toutes les nouvelles connexions offre un point centralisé unique à partir duquel les connexions sont configurées, testées, activées et désactivées. Il peut servir de structure et de contrôle aux processus ad hoc qui apparaissent dans l’organisation.

Un provisionnement centralisé renforce la sécurité, accroît l’efficacité des processus et accélère les opérations ; aucune connexion unique n’est créée par application ou service.

Quel niveau de contrôle appliquez-vous à votre processus de provisionnement actuel ?

Provisionnement centralisé pour toute nouvelle connexionLe provisionnement implique la configuration du système, l’octroi d’un accès aux utilisateurs, la mise en conformité avec les règles édictées, etc.

Un provisionnement centralisé renforce la sécurité, accroît l’efficacité des processus et accélère les opérations.

19


Services d’externalisation et de gestion tiersLes entreprises tendent aujourd’hui à sélectionner des fonctions informatiques, notamment celles qui ne constituent pas un facteur de différenciation, et à les déléguer à des sociétés capables d’offrir des niveaux de service supérieurs et à moindre coût. La gestion des transferts de fichiers en tant que service (MFT as-a-Service) est une possibilité qu’examinent à présent de nombreuses sociétés.

Les organisations peuvent choisir d’externaliser ces fonctions ou d’opter pour un service géré par un tiers.

Face à la rapide évolution technologique et au nombre grandissant d’obligations gouvernementales, les entreprises ne peuvent plus ignorer ces options, notamment dans des environnements B2B où les connexions sont très nombreuses.

Vous est-il possible d’externaliser certaines parties de vos opérations de transfert de données afin de vous concentrer sur des processus plus différenciateurs ?

L’externalisation peut aider à accroître les niveaux de service proposés pour un coût moindre.

Points importantsSolutions de visibilitéLes solutions de visibilité comprennent les applications de surveillance et de provisionnement centralisés.

TiersdeconfianceLes services gérés par un tiers de confiance peuvent vous aider à rester en phase avec les nouvelles technologies et obligations gouvernementales.


20

Chapitre 5 : Personnalisation des fonctionsMise en application des connaissancesAvec la complexité grandissante des infrastructures, il devient encore plus urgent que les données respectent des directives strictes lors de leurs transferts à l’intérieur et à l’extérieur de l’entreprise. À défaut, les conséquences peuvent être catastrophiques : pertes de revenus, amendes de l’administration publique, brèches de sécurité, voire faillites.

Heureusement, les outils et stratégies de contrôle et de protection des données d’entreprise commencent à se multiplier. Les personnes concernées par la gestion des transferts de fichiers ont beaucoup à gagner à rester au fait des dernières fonctionnalités proposées.

Vous pouvez aider votre organisation à rester compétitive en découvrant mieux les fonctions de gouvernance que nous venons d’identifier, et en en favorisant la mise en œuvre.

N’attendez pas que le service Sécurité de votre entreprise vous demande ce que vous faites pour assurer la conformité des données vis-à vis des obligations gouvernementales : prenez une longueur d’avance et faites des recommandations, ou indiquez ce qu’il est possible de faire.

Maintenant que vous en savez plus sur les principaux problèmes liés au transfert et à la gouvernance des données, vous êtes mieux armé pour affronter les difficultés à venir. Si vous avez besoin d’aide, examinez les solutions IBM susceptibles de répondre à vos attentes. Nous sommes prêts à aller de l’avant avec vous.


21

Aider les services financiers à répondre aux obligations réglementaires et de l’industrie en matière de sécuritéIBM joue un rôle de premier plan dans le domaine des réglementations gouvernementales et sectorielles. La société aide, en effet, les sociétés de services financiers à répondre à leurs objectifs de conformité réglementaire en matière de sécurité, de confidentialité des données clients et de vérifiabilité des transferts de données. Pour toutes ces réglementations, les services financiers doivent mettre en place des contrôles appropriés dans l’ensemble de l’entreprise. Aucun contrôle ni aucune solution ne peut couvrir seul toutes les situations ou obligations. Les solutions IBM fournissent des fonctions de sécurité centrales aidant les entreprises de services financiers à atteindre leurs objectifs de conformité réglementaire. Elles offrent également aux institutions financières la flexibilité et l’extensibilité qui leur sont nécessaires pour intégrer leur propre politique de sécurité en amont et en aval de ce qu’impose la réglementation.

Réglementation• Sarbanes Oxley(SOX) – Vérifiabilité des transferts et

de l’accessibilité des données • Payment Card Industry Data Security Standards

(PCI DSS) – Sécurité des données • Protocole EBICS, qui remplace ETBAC pour les

échanges Banques/Entreprises • Graham Leach Bliley Act (GLBA) – Confidentialité des

données Federal Financial Institutions Examination Council (FFIEC) – Authentification bancaire en ligne

• Loi sur la protection des renseignements personnels et les documents électroniques (Canada) – Confidentialité des données

• Audit de l’activité de transfert des fichiers et de l’accès système lors du transfert des données d’un système à un autre, en interne ou avec des partenaires et clients externes

• Solution de transfert de fichiers de pair à pair qui réduit le risque de propagation des données en limitant le transfert des données au producteur et au consommateur Absence d’infrastructure intermédiaire pour le stockage et l’acheminement des données, d’où limitation d’un point d’accès aux données et suppression d’un emplacement d’archivage des données dans l’infrastructure

Les solutions IBM assurent les fonctions suivantes:Chiffrement des données en mouvement et statiques en interne ou en externe

• Accès aux données et fonctions système basé sur des rôles

• Authentification multi-facteur • Architecture et fonctions de sécurisation du périmètre

(meilleures pratiques) • Fonctions permettant de satisfaire à 7 des

12 exigences des normes de sécurité PCI-DSS • Consignation détaillée des activités d’audit et base

de données d’activités consolidée

La solution Sterling MFT permet d’aller au-delà des exigences de sécurité par les biais suivants :

• Meilleurs pratiques en matière d’authentification : prise en charge de l’authentification multi-facteur, vérification CRL, mappage des ID utilisateurs, graduation de la sécurité, intégration LDAP, et octroi de flexibilité et de l’extensibilité nécessaires aux institutions financières pour mettre en place des contrôles organisationnels internes supplémentaires

• Meilleures pratiques en matière de confidentialité des données au moyen de fonctions protégeant les données clients comme le chiffrement des données en mouvement et statiques Accès aux données et fonctions système basé sur des rôles, authentification multi-facteur et fonctions de sécurisation du périmètre pour bloquer tout accès non autorisé à l’environnement

Annexe : Réglementations importantes


22

Avec une architecture de transfert de fichiers de point à point (par exemple, Connect:Direct), les données ne sont pas stockées dans des systèmes de fichiers intermédiaires : elles ne sont donc pas susceptibles d’être consultées ou manipulées par le personnel de l’infrastructure ou opérationnel.

ç Exigences PCI 3, 7 et 9 (en n’imposant pas une infrastructure qui obligerait à une conformité avec les normes PCI)

Les passerelles de fichiers externes utilisent une architecture « enregistrement/transmission » et ouvrent donc la voie à un accès non autorisé.

a) Sterling File Gateway permet le chiffrement des données statiques et leur accès basé sur des rôles pour permettre aux composants de sécurité de répondre aux exigences PCI.

ç Exigences PCI 3, 7 et 9

b) Sterling File Gateway prend en charge des ID utilisateurs uniques et offre une fonction étendue de consignation des activités pour permettre de surveiller les activités d’accès aux fichiers et de déplacement des fichiers au moyen de ses pistes d’audit et de ses fonctions de génération de rapports.

ç Exigences PCI 8 et 10

Normes de sécurité des données de la Payment Card Industry (PCI DSS) :

Création et gestion d’un réseau sécurisé

Exigence 1 Installer et gérer une configuration de pare-feu pour protéger les données de titulaire de carte

Exigence 2 Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur ç

Protection des données de titulaire de carte de crédit

Exigence 3 Protéger les données de titulaire de carte stockées

Exigence 4 Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts ç

Gestion d’un programme de gestion des vulnérabilités ç

Exigence 5 Utiliser des logiciels antivirus et les mettre à jour régulièrement

Exigence 6 Développer et gérer des systèmes et des applications sécurisés

Mise en œuvre de mesures de contrôle d’accès strictes

Exigence 7 Restreindre l’accès aux données de titulaire de carte aux seuls individus qui doivent les connaître ç

Exigence 8 Affecter un ID unique à chaque utilisateur d’ordinateur ç

Exigence 9 Restreindre l’accès physique aux données du titulaire de carte ç

Surveillance et test réguliers des réseaux

Exigence 10 Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte ç

Exigence 11 Tester régulièrement les processus et les systèmes de sécurité

Gestion d’une politique de sécurité des informations

Exigence 12 Gérer une politique de sécurité des informations


23

La navigation sécurisée derrière un pare-feu est également exigée. Sterling Secure Proxy offre un certain nombre de fonctionnalités permettant de satisfaire aux exigences PCI.

ç Exigence 1

L’intégralité de l’architecture Sterling MFT assure le chiffrement des transmissions internes ou externes des données d’une organisation.

ç Exigence 4

Sarbanes Oxley (SOX) :Pour se conformer à la loi SOX, la meilleure pratique consiste à appliquer les recommandations du COSO (Committee Of Sponsoring Organizations of the Treadway Commission) ainsi que les pratiques informatiques énoncées dans COBIT (Objectifs de Contrôle de l’Information et des Technologies associées). La suite logicielle Sterling MFT aide les organisations à atteindre leurs objectifs de mise en conformité. Vous trouverez les principaux points dans le tableau ci-dessous.

COBIT Description Suite Sterling MFT

DS1.5 Surveillance et génération de rapports

Sterling Control Centre regroupe dans d’une base de données centralisée les fichiers journaux des différentes solutions de transfert de fichiers utilisées dans l’entreprise et propose plus de 50 rapports standard ainsi que des rapports personnalisés via Crystal Reports.

Solution de pointe, Sterling Integrator/Sterling File Gateway offre également une surveillance en ligne et des fonctions de génération de rapports aux utilisateurs opérationnels et internes, et aux partenaires commerciaux externes. Le protocole SNMP (Simple Network Management Protocol) peut être employé pour l’intégration aux systèmes de surveillance d’entreprise.

Sterling Secure Proxy, le composant de sécurité de la solution basé dans la DMZ fournit un journal consolidé de l’activité de toutes les sessions ainsi que des journaux séparés. Les messages consignés peuvent également être transmis à un démon syslog qui les achemine à son tour aux parties intéressées pour leur permettre de prendre les mesures appropriées.

DS5.1 Gestion à distance

Sterling Control Centre fournit des fonctions complètes de surveillance, de notification et de gestion des SLA pour l’ensemble de l’activité de transfert de fichiers, et ce à partir de n’importe quel endroit.

Via l’interface web MyFileGateway, les utilisateurs de Sterling Integrator/Sterling File Gateway (internes ou externes) peuvent disposer de fonctions à distance en libre-service pour connaître un état, exécuter des rapports, télécharger des fichiers et s’abonner à des alertes par courrier électronique.

Les administrateurs peuvent accéder au composant de sécurité de la sécurité basé dans la DMZ, Sterling Secure Proxy, via une interface utilisateur de type navigateur. Sterling Secure Proxy est accessible depuis la zone sécurisée via HTTPS pour la configuration et la gestion des opérations.

DS5.3 Gestion des identités

IBM permet à l’utilisateur de se servir d’un système d’exploitation intégré ou d’une authentification externe (par exemple, LDAP). Sterling Integrator/Sterling File Gateway prend également en charge l’authentification unique (Single Sign-On).

Le composant de sécurité de la sécurité basé dans la DMZ, Sterling Secure Proxy, prend en charge l’authentification des utilisateurs en interrogeant un ou plusieurs serveurs LDAP. Les certificats sont validés au moyen d’une vérification CRL. Sterling Secure Proxy prend également en charge l’authentification multi-facteur. Sterling Secure Proxy met fin aux sessions avec Sterling Integrator/Sterling File Gateway en cas d’échec de l’authentification.


24

COBIT Description Sterling MFT Suite

DS5.4 Gestion des comptes utilisateurs

IBM fournit des fonctions complètes de définition et de gestion des comptes utilisateur, notamment une interface adaptée à la plate-forme. Ces fonctions incluent la définition d’ID et de mots de passe utilisateur, la capacité d’activer et de désactiver l’accès ainsi que la possibilité de définir des autorisations et des droits d’accès basés sur des rôles.

DS5.5 Détection des activités anormales

Sterling Control Centre assure un blocage après un certain nombre de tentatives de connexions infructueuses. Sterling Integrator/Sterling File Gateway propose une fonction de journalisation détaillée pour suivre les activités de transmission et des utilisateurs.

Le composant de la solution basé dans la DMZ, Sterling Secure Proxy, consigne toutes les occurrences des erreurs. Il vérifie également l’exactitude du protocole Connect:Direct et recherche le contenu approprié dans les messages de contrôle Connect:Direct. Si Sterling Secure Proxy détecte des anomalies, il met fin à la connexion s’il est configuré dans ce sens ou consigne un message d’avertissement. Pour les protocoles FTP (File Transfer Protocol) et HTTP, Sterling Secure Proxy peut être configuré pour interdire différentes commandes et opérations possibles dans ces protocoles.

DS5.7 Protection de la technologie de sécurité

Les fonctions de contrôle d’accès et de journalisation détaillée de Sterling Integrator/Sterling File Gateway restreignent l’accès aux zones sécurisées du système et assurent la consignation des modifications apportées.

Le composant de la solution basé dans la DMZ, Sterling Secure Proxy, sécurise les connexions au moyen des protocoles SSL et TLS. Il a essentiellement pour fonction d’opposer une barrière sécurisée aux connexions entrantes pour que seules les connexions autorisées soient admises au sein du réseau interne. Aucune information d’identification utilisateur n’est stockée dans la DMZ et seuls les ports sortants sont ouverts sur les pare-feux pour protéger la zone sécurisée.

DS5.8 Gestion des clés cryptographiques

IBM s’intègre à votre système de gestion des clés et des certificats standard.

Sterling Secure Proxy assure la gestion des certificats et des clés dans les différents formats nécessaires pour mettre en oeuvre ses fonctions de sécurité.

DS5.10 Sécurité du réseau

Les solutions IBM assurent le chiffrement des transmissions pour protéger les données lors de leur transit sur le réseau. Aucun composant de sécurité réseau n’est nécessaire (par exemple, IPSEC).

Le composant de la solution basé dans la DMZ, Sterling Secure Proxy, propose des services de proxy d’application, notamment des interruptions de session SSL, la validation des partenaires commerciaux, la validation des protocoles et des certificats, les limites de session et l’authentification multi-facteur. Grâce à une sécurisation de pointe du périmètre, vous pouvez utiliser Internet en toute sécurité et ainsi effectuer des transferts de fichiers fiables, économiques, haut débit, basés sur des normes. Ce composant n’active également que les ports entrants des pare-feux pour assurer une navigation sécurisée d’une zone à l’autre de la DMZ.


25

COBIT Description Sterling MFT Suite

DS5.11 Échange de données stratégiques

Sterling Integrator/Sterling File Gateway propose un certain nombre de protocoles sécurisés et de technologies de chiffrement pour protéger les échanges de données stratégiques (notamment TLS, SSL, SSH et PGP). Par ailleurs, Sterling Secure Proxy peut s’appuyer sur la fonction Sterling Secure+ pour échanger des informations en toute sécurité avec Connect:Direct et protéger le périmètre du réseau d’une organisation.

DS11.5 Sauvegarde et restauration

Les données de toutes les solutions IBM sont stockées dans des fichiers de configuration et une base de données standard. La meilleure pratique de base inclut des processus de sauvegarde réguliers et des processus de récupération documentés. Une fonction d’archivage intégrée peut être programmée régulièrement.

DS11.6 Sécurité des données

Sterling File Gateway ne stocke aucune donnée dans la DMZ et assure le chiffrement des données statiques ainsi qu’un accès basé sur des rôles pour que seules les personnes disposant d’un accès approprié puissent y accéder.

Le composant de sécurité de la sécurité basé dans la DMZ, Sterling Secure Proxy, ne stocke pas les données utilisateur échangées via les protocoles Connect:Direct, FTP ou HTTP. Après validation, les informations sont transmises de l’entité expéditrice à leur destinataire.

DS13.2 Programmation des tâches

Sterling Integrator/Sterling File Gateway est doté d’un programmateur qui permet d’automatiser les processus de transfert des fichiers.

Federal Financial Institutions Examination Council (FFIEC) :La solution Sterling MFT aide les institutions financières à répondre aux exigences définies par le FFIEC concernant les meilleures pratiques en matière d’authentification. Pour cela, elle prend en charge l’authentification multi-facteur, propose une sécurisation graduée, une intégration LDAP, et offre la flexibilité et l’extensibilité nécessaires à une institution financière pour mettre en place d’autres contrôles. Pour plus d’informations, reportez-vous au tableau de conformité à la loi SOX ci-dessus.

Graham Leach Bliley Act (GLBA)La solution IBM MFT (qui se compose de plusieurs produits) aide une institution financière à répondre aux obligations définies par le GLBA concernant la protection des informations personnelles de ses clients en proposant des fonctions de meilleures pratiques protégeant les données des clients comme le chiffrement des données en mouvement et statiques. Accès aux données et fonctions système basé sur des rôles, authentification multi-facteur et fonctions de sécurisation du périmètre pour bloquer tout accès non autorisé à l’environnement Pour plus d’informations, reportez-vous au tableau précédent, sous Conformité à la loi SOX.


Normes de sécurité d’entreprisePour toutes les réglementations, les sociétés doivent mettre en place des contrôles appropriés dans l’ensemble de l’entreprise. Aucun contrôle ne peut à lui seul couvrir toutes les situations. Les solutions IBM peuvent favoriser la sécurité des données via le chiffrement des données en mouvement et statiques. Nous pouvons vous aider dans vos activités d’audit et d’accès, et sécuriser le périmètre de votre entreprise pour que seuls les clients et systèmes autorisés puissent s’y connecter, et pour maintenir les données sous surveillance et contrôle pendant qu’elles résident dans la solution.

IBM est à la pointe des réglementations gouvernementales et sectorielles, et s’assure que les sociétés pourront s’y conformer. Notre solution offre également aux institutions financières la flexibilité et l’extensibilité nécessaires pour intégrer leurs propres mesures de sécurité en amont et en aval de ce qu’impose la réglementation. Ainsi, il est possible de configurer des règles de mot de passe pour votre stratégie de sécurité. La solution peut également s’intégrer à vos propres fonctions de sécurité au sein du processus de transfert de fichiers. La solution de sécurité par DMZ IBM assure une navigation sécurisée derrière un pare-feu et propose des schémas de déploiement souples pour répondre aux exigences des architectes réseau et de sécurité.


Veuillez recycler

ZZM12345-FRFR-01

IBM France 17 Avenue de l'Europe 92275 Bois Colombes Cedex France

IBM, le logo IBM et ibm.com sont des marques d'International Business Machines Corporation aux États-Unis et/ou dans d'autres pays. L'association d'un symbole de marque déposée (® ou ™) avec des termes protégés par IBM, lors de leur première apparition dans le document, indique qu'il s'agit, au moment de la publication de ces informations, de marques déposées ou de fait aux États-Unis. Ces marques peuvent également être des marques déposées ou de fait dans d’autres pays. Une liste actualisée des marques IBM est accessible sur le web sous la mention « Copyright and trademark information » à l’adresse www.ibm.com/legal/copytrade.shtml.

Sterling Commerce, Sterling Integrator et Connect:Direct sont des marques ou des marques déposées d’IBM International Group B.V., une société IBM.

Les informations contenues dans le présent document sont fournies à titre d’information uniquement. Malgré tous les efforts déployés pour vérifier l'exhaustivité et l'exactitude des informations contenues dans ce document, ce dernier est fourni EN L’ÉTAT sans garantie aucune, expresse ou implicite. Par ailleurs, les informations fournies ici sont basées sur la stratégie et les plans de produits actuels d'IBM, lesquels sont susceptibles d’être modifiés par IBM sans avis préalable.

IBM ne peut être tenu pour responsable de dommages qui résultent de l’utilisation du présent document ou de tout autre document, ou qui leur sont liés. Aucune information contenue dans ce document n'a pour objet, ou ne peut avoir pour effet de donner lieu à des garanties ou assurances d'IBM (ou de ses fournisseurs ou détenteurs de licences), ou de modifier les conditions générales du contrat de licence applicable régissant l'utilisation des logiciels IBM.

Ces informations concernent les produits, programmes ou services commercialisés par IBM et n’impliquent aucunement leur disponibilité dans l’ensemble des pays dans lesquels IBM est présent. Les dates de commercialisation des produits et/ou fonctionnalités mentionnées dans le présent document peuvent être modifiées à tout moment à la seule discrétion d’IBM en fonction des opportunités du marché ou d’autres facteurs, et ne constituent donc aucunement un engagement concernant la disponibilité future d’un produit ou d’une fonction. Aucune des informations contenues dans ces documents ne tend à énoncer ou impliquer, ni à avoir pour conséquence, que les activités engagées par vos soins donneront lieu à des ventes spécifiques, une hausse de vos revenus, des économies ou quelque autre résultat.

© Copyright IBM Corporation 2012


http://www.ibm.com/legal/copytrade.shtml

eguide transfert et gouvernance des données

Technology