Facebook Twitter Newsletter Linkedin RSS

Portail de la presse

Internet Security Systems propose une démarche en cinq étapes pour simplifier la mise en conformité

Communiqué de presse

Contacts Presse
Parme Communication
Elodie CASSAR & Nathalie Weinryb        
Tél. : 01 46 10 65 44
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

INTERNET SECURITY SYSTEMS
Annelies VANOPPEN
Tél. : 01 55 38 00 88
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Internet Security Systems propose une démarche en cinq étapes pour simplifier la mise en conformité des entreprises avec les réglementations Sarbanes-Oxley en matière de sécurité

 

Saint Cloud, le 15 mai 2006 - Internet Security Systems (ISS) (NASDAQ : ISSX), acteur majeur du marché des solutions de sécurité préventive pour les entreprises, a développé une démarche pour aider les entreprises cotées en bourse à être en conformité avec les nouvelles dispositions réglementaires Sarbanes-Oxley. Cette démarche en cinq étapes, résumée par lacronyme ADDME, recouvre la totalité du cycle de vie de gestion de la sécurité, à savoir : lévaluation (Assessment), la conception (Design), le déploiement (Deployment), la gestion et le support (Management), la formation (Education).

Les contrôles internes, les procédures pour le reporting financier et la confidentialité, lintégrité et la disponibilité de linformation, sont non seulement des « bonnes pratiques » à respecter, mais ils sont devenus une nécessité pour les entreprises cotées en bourse, du fait de la loi Sarbanes-Oxley, Section 404. Celle-ci précise que les entreprises cotées doivent mettre en place une série de contrôles et procédures internes pour communiquer, stocker et protéger leurs données financières.

Ces entreprises sont aussi tenues de protéger ces données de toute menace interne et externe et des accès non autorisés, qui pourraient passer par les réseaux internes et/ou externes (internet, messagerie, téléphonie sur IP, &). Ce niveau de sécurité est nécessaire pour assurer aux entreprises le maintien de lintégrité des données pour leurs employés, clients et actionnaires.

Les problèmes que peuvent poser ces exigences sont nombreux : le manque de définition de bonnes pratiques de sécurité ; le recours à des solutions provisoires de sécurité durant la consolidation de systèmes PGI ; le manque de budget pour répondre aux besoins de sécurité ; linsuffisance dexpertise sécurité ; lincapacité à déployer et gérer facilement la technologie requise ; le court délai pour se mettre en conformité ; le manque de formation des employés en matière de sécurité.

La démarche ADDME identifie et analyse lécart entre létat actuel et les bonnes pratiques en matière de sécurité. Elle propose des solutions pour réduire cet écart et assurer la conformité dans le temps. Chacune de ces cinq étapes se résume à une action et un résultat.

Etape 1 : Évaluer lécart (Assessment)

Action : évaluation du niveau actuel de sécurité de linformation. Durant cette étape, il sagit non seulement de mesurer la vulnérabilité des systèmes et des réseaux aux failles de sécurité (correctifs, zones de protection, etc&), mais aussi la proactivité de lentreprise face aux menaces éventuelles, par lanalyse des procédures en vigueur (gestion des mots de passe et des habilitations, contrôles systématiques de sécurité, intégration de la sécurité dès les premières phases des développements applicatifs, &).

Résultat : cartographie des axes damélioration sur lesquels lentreprise doit travailler en priorité pour réduire lécart entre ses procédures actuelles et les bonnes pratiques normalisées de gestion de la sécurité.

Etape 2 : hiérarchiser les axes damélioration (Design)

Action : élaboration et documentation des stratégies, des pratiques et des outils damélioration du niveau global de sécurité. A cette étape, lADDME sappuie sur la cartographie précise des axes damélioration pour concentrer les ressources et la réflexion de lentreprise là où sa pratique de la gestion de la sécurité est la plus défaillante, ou là où le risque pour linformation financière est le plus important.

Résultat : un plan de réduction des écarts qui permet de coordonner lensemble des actions nécessaires, depuis la mise en Suvre de nouvelles technologies ou services de protection jusquà la sensibilisation des employés aux problématiques de sécurité, la formation des équipes, la restructuration des procédures de contrôle ou de gestion.

Etape 3 : organiser et conduire le changement (Deployment)

Action : exécution du plan de réduction des écarts par le déploiement des technologies et des services de protection adéquats. Sur ce point, la méthode ADDME aide à réduire le risque durant les phases de consolidation des technologies ou des services de protection, grâce à une gestion rigoureuse du changement, subdivisant le plan de réduction des écarts en projets distincts mais cohérents.

Résultat : lamélioration de la sécurité seffectue sans risque de régression ou de perturbation de la continuité dactivité et des performances du SI. La conduite de changement et une documentation rigoureuse permettent délaborer une stratégie de sécurité pérenne et évolutive.

Etape 4 : pérenniser le résultat (Management)

Action : audit continu, maintenance et évolutions des stratégies, des procédures et des technologies de sécurité. Basées sur les meilleures pratiques de lindustrie, les procédures de contrôle, daudit et de maintenance de la méthode ADDME aident les entreprises à maintenir un niveau de sécurité optimal et en cohérence avec les objectifs métiers (profils dutilisateurs, changements de lorganisation, &).

Résultat : par une gestion et un reporting transparent, la méthode ADDME facilite également la tenue daudits internes ou externes, satisfaisant ainsi totalement aux obligations des lois Sarbanes Oxley.

Etape 5 : intégrer la sécurité aux processus métiers (Education)

Action : formation des personnels aux bonnes pratiques de sécurité qui restent de leur responsabilité (non divulgation des mots de passe, sécurisation des postes de travail, politiques daccès à internet, &). Composant crucial dune stratégie de sécurité pleinement efficace, la formation des personnels vise à intégrer pleinement les bonnes pratiques de sécurité et les technologies associées aux procédures métiers et aux habitudes des utilisateurs. Outre la formation, cette étape comprend également la recherche et la mise en Suvre des technologies dautomatisation de la sécurité les mieux adaptées aux besoins métiers de lentreprise.

Résultat : entièrement intégrée aux processus métiers de traitement et de gestion des informations financières, la sécurité devient une préoccupation permanente pour lensemble des personnes concernées, réduisant ainsi le coût global de protection du système dinformation tout en pérennisant la conformité aux lois Sarbanes Oxley.

Grâce à cette méthodologie, Internet Security Systems a permis à de nombreuses sociétés cotées en bourse datteindre rapidement et simplement le niveau de sécurité requis par Sarbanes-Oxley (entre autres en Europe, le Groupe Crédit Suisse).

En offrant laccompagnement, lexpertise et la technologie pour les aider à se mettre en conformité avec Sarbanes-Oxley, Internet Security Systems permet ainsi aux entreprises de se recentrer sur leur cSur de métier.

Pour plus dinformation : http://www.iss.net/products_services/market_solutions/sarbanesoxleyAddme.php

 

A propos dInternet Security Systems

Créé en 1994 et coté au Nasdaq depuis mars 1998 (ISSX), Internet Security Systems (ISS) propose une offre de produits et de services permettant aux entreprises de se protéger pro activement contre les menaces liées à Internet.

Considéré comme lexpert de référence sur le marché de la sécurité depuis sa création, ses solutions permettent aux entreprises du monde entier - privées ou publiques - doptimiser leurs investissements de sécurité et de minimiser leurs risques juridiques et commerciaux. À lorigine de nombreuses innovations dans son domaine, Internet Security Systems a été le précurseur en matière de technologies pour lévaluation des vulnérabilités et la détection/prévention des intrusions (IDS/IPS).

Les produits et services d'Internet Security Systems s'appuient sur les recherches de la X-Force", autorité mondialement reconnue pour ses recherches sur les vulnérabilités, les failles de sécurité ainsi que les menaces émergentes. La X-Force est le conseiller privilégié pour la sécurité auprès du Département de la Sécurité Nationale des Etats-Unis ainsi quauprès de multiples organisations fédérales, nationales ou locales. Elle assiste le gouvernement américain dans ses initiatives pour le renforcement de la sécurité et la mise en Suvre de standards.

En 2005, Internet Security Systems a réalisé un chiffre daffaires de 330 millions de dollars. Internet Security Systems emploie 1 200 personnes et est implanté en Amérique, Asie, Australie, Europe et au Moyen-Orient (35 bureaux dans 20 pays). Son siège social est basé aux Etats-Unis, à Atlanta en Géorgie.

www.iss.net

Internet Security Systems et Proventia sont des marques et X-Force est une marque déposée dInternet Security Systems, Inc. Tous les autres noms de sociétés et/ou de produits appartiennent à leurs propriétaires respectifs.