Sécurisez, gérez et supervisez les comptes à privilèges pour respecter les directives MAS-TRM

L’autorité monétaire de Singapour (Monetary Authority of Singapore, ou MAS) a adapté et élargi ses directives concernant la gestion des risques liés aux technologies bancaires Internet (Internet Banking Technology Risk Management, ou IBTRM). Ces directives ont été initialement publiées en 2001 pour fournir aux banques un cadre de gestion des risques pour les services bancaires sur Internet. En raison du développement des technologies de l’information et de l’évolution des menaces, la MAS a révisé, amélioré et renommé ses directives. Celles-ci sont devenues des directives de gestion des risques liés aux technologies (« Technology Risk Management », ou TRM).

Les directives MAS TRM incluent les mises à jour suivantes :

  • Directives applicables à tous les établissements financiers, pas seulement aux banques
  • Application à tous les systèmes informatiques, contrairement aux directives IBTRM qui ne s’appliquaient qu’aux systèmes fournissant des services en ligne
  • Publication d’un avis définissant les obligations légales des établissements financiers concernant la gestion des risques liés aux technologies

Les directives MAS TRM et la sécurité des comptes à privilèges

Les comptes à privilèges sont omniprésents dans les systèmes informatiques et représentent aujourd’hui l’un des principaux risques de sécurité des entreprises. Les directives MAS TRM comprennent une section dédiée à la gestion des accès à privilèges, qui inclut des mesures de contrôle telles que la restriction du nombre d’utilisateurs disposant de privilèges, la tenue d’un journal des activités de ces utilisateurs et l’interdiction de partager des comptes à privilèges.

Les solutions CyberArk répondent aux directives MAS TRM relatives à la gestion des accès à privilèges et permettent aux établissements financiers de contrôler rigoureusement la sécurité des comptes à privilèges.

Principaux avantages :

  • Journaux d’audit inaltérables et supervision des sessions pour l’intégrité des audits
  • Gestion flexible des règles de mot de passe, y compris de l’ancienneté et de la complexité des mots de passe, ainsi que des règles de gestion des versions et d’archivage
  • Workflows personnalisables de demande d’approbation de l’accès aux informations d’identification, incluant un processus de double contrôle et d’intégration avec les systèmes de ticketing du service d’assistance technique
  • Automatisation de la gestion des identités à privilèges, y compris de la découverte et du provisionnement, de la modification des mots de passe en fonction des règles définies et des contrôles d’accès
  • Supervision continue de la protection et de la conformité sans impact sur l’entreprise
  • Isolement des sessions privilégiées pour renforcer la protection contre les cyberattaques