Application Traçabilité, audit et rapports de conformité
Les réglementations applicables aux applications – RGPD, HIPAA, SOX, PCI DSS – exigent davantage que de simples contrôles d'accès. Elles requièrent des preuves : un historique vérifiable indiquant qui a accédé à quoi, quand et avec quelles autorisations.
Visual Guard offre un cadre complet de journalisation et de traçabilité des applications, couvrant la journalisation des événements, la surveillance en temps réel, l'analyse des activités et la génération de rapports de conformité, le tout sans avoir à réécrire votre application.
Couverture complète
Pour se conformer à la plupart des réglementations et des exigences en matière de sécurité, ces fonctionnalités incluent :
Enregistrer les événements importants
Les activités sensibles sont enregistrées dans un référentiel sécurisé :
- Transactions commerciales importantes
- Accès à des données importantes
- Événements de sécurité (connexion de l'utilisateur, droits d'accès accordés...)
- etc.
Consolider et centraliser la trace de toutes les applications.
Les événements d'authentification — connexions des utilisateurs, démarrages de session, droits d'accès accordés ou révoqués — figurent parmi les entrées les plus critiques pour la sécurité dans tout journal d'audit. Le chapitre authentification du guide de sécurité PowerBuilder explique comment les contrôles d'authentification et la journalisation des audits fonctionnent conjointement dans le cadre d'une stratégie complète de gouvernance des accès.
Contrôler les activités en temps réel
Surveiller les activités sensibles en temps réel : accès à certaines données, exécution de certaines transactions commerciales, déclenchement de certains événements de sécurité, etc.
Sélectionnez certains événements et suivez leur évolution - par exemple, les connexions actives à votre application - ou détectez d'éventuels problèmes - par exemple, des transactions financières traitées à des heures inhabituelles...
Envoi d'alertes par e-mail en cas d'événements sensibles
Envoyer des notifications par courrier électronique lorsque certaines activités sont détectées.
Alerter les administrateurs, les contrôleurs ou les gestionnaires lorsque des événements importants ou suspects se produisent :
- Opérations commerciales (ex: utilisateurs traitant certaines données)
- Opérations de sécurité (ex: administrateurs accordant des autorisations critiques)
Analyser les activités passées
Générer des graphiques historiques pour :
Analyser les tendances de l'activité et détecter les problèmes éventuels, tel qu'un volume inhabituel d'opérations...
Analyser la présence des utilisateurs
Les graphiques de présence vous indiquent quand votre application est utilisée.
Ils affichent l'heure et le nombre de connexions réussies ou non.
Audit des activités sensibles
Examiner la sécurité des applications et les activités sensibles sous différents angles :
- Activités d'un utilisateur donné, sur une certaine période,
- Opérations effectuées via une application donnée,
- Types d'Activité particuliers (virement bancaire par exemple) pour tous les utilisateurs, dans toutes les applications,
- Certains événements de sécurité, sur une période donnée,
- Activités des utilisateurs privilégiés (admins) sur une période donnée, pour un type d'événement donné (création d'un utilisateur, octroi de droits d'accès...).
- etc.
Pour les équipes qui se préparent à un audit de sécurité formel ou à un examen de conformité, le chapitre conformité du guide de sécurité PowerBuilder détaille ce que les auditeurs s'attendent généralement à constater, et comment la traçabilité et les rapports d'accès répondent aux exigences de l'ISO 27001, du NIST, de la SOX et du RGPD.
Passer en revue les droits d'accès d'un utilisateur particulier
Liste les autorisations d'un utilisateur donné.
La même fonctionnalité est disponible pour vérifier les autorisations attribuées aux groupes d'utilisateurs et aux rôles.
Fonctionnalités indépendantes
La traçabilité et l'audit constituent le troisième groupe de fonctionnalités couvertes par Visual Guard.
En fonction de vos, vous pouvez mettre en œuvre uniquement les fonctionnalités d'audit et de traçabilité.
Les autres modules sont également optionnels et dépendent des spécifications auxquelles vous devez vous conformer (gestion des identités et des utilisateurs, contrôle d'accès / permissions à grain fin).
