Lorsqu'une grande entreprise pétrolière et gazière du sud-est de l'Europe a entrepris de migrer ses données et applications sur site vers l'infrastructure publique cloud , elle s'est tournée vers Lookout pour l'aider à relever la myriade de défis de sécurité qui se présentaient. La solution Lookout Cloud Access Security Broker (CASB), dotée d'un système avancé de prévention des pertes de données (DLP), a fourni l'ensemble des fonctionnalités intégrées nécessaires pour garantir le respect de toutes les considérations relatives à la sécurité et à la conformité des données, tout en permettant une interaction ouverte entre les données cloud .
Le défi
La migration vers le site cloud peut être un processus difficile, en particulier dans les secteurs hautement réglementés. Pour cette grande entreprise pétrolière et gazière comptant plus de 11 000 employés, la transition vers le site cloud a été accélérée lorsque SAP a signalé qu'elle prévoyait de mettre fin au support de sa solution de gestion du capital humain (HCM) sur site. Au lieu de cela, ils ont encouragé les clients à migrer vers la suite HCM SAP SuccessFactors cloud-based HCM. Étant donné la forte dépendance de cette organisation à l'égard de SAP pour tous ses processus liés aux RH, ainsi que la nécessité d'adhérer à des réglementations strictes en matière de confidentialité des données relatives aux employés, l'équipe informatique devait devenir rapidement experte en matière de migration sécurisée vers cloud .
S'agissant de son premier projet de transition vers cloud , l'équipe a fait appel à un consultant en services professionnels pour évaluer tous les risques de migration possibles. Quatre défis majeurs ont été identifiés :
- Intégration aux solutions de sécurité existantes, notamment SAP Identity Authentication Service (IAS) pour l'authentification unique (SSO), la classification des données Titus et ArcSight pour la gestion des informations et des événements de sécurité (SIEM).
- Mise en place de politiques de contrôle granulaire permettant aux seuls utilisateurs autorisés d'accéder aux données RH sensibles.
- S'aligner sur les lois relatives à la confidentialité des données, notamment le règlement général sur la protection des données (RGPD) de l'Union européenne.
- Protection des données sensibles et réduction du risque de téléchargement de logiciels malveillants, tels que les rançongiciels, sur l'infrastructure.
La solution
L'équipe s'est rapidement rendu compte qu'elle avait besoin d'une solution CASB (Access Security Broker)Cloud dotée d'un système avancé de prévention des pertes de données (DLP) pour résoudre ces problèmes immédiats, ainsi que les défis futurs susceptibles de se présenter au fur et à mesure de la migration des données et des applications vers le site cloud. Après une comparaison approfondie des fournisseurs, elle a choisi Lookout CASB avec DLP pour assurer la transition de sa plate-forme HCM vers le site cloud en toute confiance et en toute sécurité.
Principaux avantages de Lookout
Permet un déploiement efficace grâce à des intégrations avec des tiers
La facilité d'intégration avec les outils de sécurité existants, notamment SAP Identity Authentication Service (IAS) pour l'authentification unique (SSO), la classification des données Titus et ArcSight pour la gestion des informations et des événements de sécurité (SIEM), était un critère de sélection essentiel. Cela a permis de réduire la complexité globale du projet en éliminant les activités, les dépenses et même les produits inutiles.
Définir et faire respecter l'accès par un contrôle granulaire
L'étape suivante a consisté à mettre en place des contrôles de sécurité granulaires basés sur le rôle de l'utilisateur, la position de l'appareil, le lieu et le type de données demandées. Les privilèges devaient être limités de manière à ce qu'aucun employé n'ait le contrôle total du système, tout en permettant aux utilisateurs individuels d'accéder aux outils dont ils ont besoin pour être productifs, quel que soit l'appareil ou le lieu.
Le mouvement des données (à la fois en amont et en aval) devait également être contrôlé par des étiquettes de classification des données gérées par Titus. En termes simples, la classification des données est le processus qui consiste à étiqueter les données en fonction de leur type, de leur sensibilité et de leur valeur commerciale, afin de pouvoir faire des choix éclairés sur la manière dont elles sont gérées, protégées et partagées, tant à l'intérieur qu'à l'extérieur de l'organisation.
Une fois la classification effectuée, le système peut garantir que les données sans rapport avec les RH, telles que les informations financières et de recherche et développement, ne peuvent pas être téléchargées vers SuccessFactors. L'équipe devait également s'assurer que les données sensibles déjà stockées dans SuccessFactors ne puissent pas être téléchargées vers des appareils non fiables ou des emplacements non approuvés.
Enfin, en déployant Lookout en "mode proxy inverse", le client peut appliquer des politiques DLP qui bloquent, limitent ou autorisent l'accès aux données sensibles des RH à partir de dispositifs fiables ou non. Lorsque la DLP est utilisée conjointement avec Titus, une politique de tolérance zéro peut être mise en œuvre pour bloquer le téléchargement de toute donnée identifiée comme sensible. "Lorsqu'un utilisateur essaie de télécharger des données sensibles, il doit se voir refuser l'accès par défaut à l'aide de nos politiques de sécurité", note l'architecte de la sécurité informatique.
Se conformer aux lois sur la confidentialité des données
Une présence multinationale a également posé des défis en matière de confidentialité des données - en particulier lorsque les candidats soumettent des données sensibles dans le cadre du processus de candidature. "Nous avons beaucoup de données sensibles", a déclaré le responsable des opérations du centre de données, "notamment des numéros d'identification nationaux, des informations médicales et d'autres informations personnelles identifiables (PII) qui doivent être protégées." Ces données vont directement dans SuccessFactors.
Pour se conformer à une myriade de lois nationales sur la confidentialité des données, les informations personnellement identifiables (PII) stockées dans SuccessFactors devaient être cryptées, ce qui a soulevé la question de la gestion des clés. La gestion des clés de cryptage est l'administration des politiques et procédures de protection, de stockage, d'organisation et de distribution des clés de cryptage. Dans ce cas, le client voulait conserver la garde des clés de cryptage, y compris la possibilité de les stocker sur place.
Lookout a pu résoudre le problème du cryptage des données sensibles tout en assurant au client la garde sur place des clés de cryptage grâce au système de gestion des clés (KMS) Lookout . Le KMS de Lookout garantit que seuls les employés autorisés peuvent accéder aux données sensibles PII.
Empêcher les logiciels malveillants d'être téléchargés dans SuccessFactors
Cloud-Les applications basées sur le Web, comme SuccessFactors, prennent en charge les téléchargements de fichiers qui comportent leur propre série de vulnérabilités en matière de sécurité. Par exemple, les candidats qui postulent à un emploi peuvent télécharger un CV dans le cadre de leur demande d'emploi. Tous les documents téléchargés devaient faire l'objet d'une vérification de l'absence de logiciels malveillants pouvant permettre à des acteurs malveillants d'ouvrir des portes dérobées, d'acquérir une authentification pour les systèmes internes, de voler des données ou, plus généralement, de perturber l'activité. "Nous n'autorisons pas le téléchargement vers SuccessFactors de documents qui n'ont pas été vérifiés et scannés par Lookout ", a déclaré le responsable des opérations du centre de données.
Poursuite du voyage vers le site cloud avec Lookout
Après la migration en toute sécurité de son système HCM, Lookout continue d'impliquer ce client dans l'élaboration d'un plan de migration cloud pour d'autres charges applicatives, notamment les plateformes de collaboration et de communication basées sur cloud.
Selon le responsable des opérations du centre de données, "au fur et à mesure que nous étendons notre utilisation de SuccessFactors avec des modules supplémentaires et que nous continuons à transférer des données vers le site cloud, nous utiliserons certainement Lookout CASB pour assurer la sécurité de nos données".
Pour en savoir plus sur la façon dont le CASB Lookout est conçu de manière unique pour sécuriser votre SAP SuccessFactors, regardez cette vidéo.