Comment sécuriser votre environnement IBM i et le garder à l’épreuve du temps

Comment sécuriser votre environnement IBM i et le garder à l’épreuve du temps

15:00 19 juillet in Blogue, Modernisation d'écran vert, Stratégie des TI
0 Comments

Les projets de modernisation sur l’IBM i sont complexes. Plusieurs problèmes doivent être pris en compte lors de la modernisation. À quel point vous refondez le code en est un exemple. Un autre point à considérer est la longueur et la largeur de la modernisation de la base de données. Un problème supplémentaire est l’interface utilisateur/l’expérience utilisateur (UI/UX).

Heureusement, ce sont les problèmes typiques et communs lorsqu’il s’agit d’un projet de modernisation, et bien que compliqués, sont connus et peuvent être abordés. Ces questions sont quelques-unes des raisons pour lesquelles Fresche Solutions devrait être engagée dans un processus de modernisation.

Mais je veux parler d’un problème différent et qui peut ne pas être aussi évident. D’abord, quelques acronymes et définitions :

PII – Personally Identifiable information, ou informations personnelles identifiables

PHI – Protected Health Information, ou information protégée sur la santé

PAN – Primary Account Number, ou numéro de compte principal

HIPAA – Health Insurance Portability and Accountability Act, ou la loi sur la transférabilité et la responsabilité en matière d’assurance maladie (États-Unis)

GDPR – General Data Protection Regulation, ou règlement général sur la protection des données (Europe)

Un vraie soupe alphabet ! Mais en tant que développeurs et administrateurs dans l’industrie informatique, nous connaissons ces termes. En fait, les idées derrière ces acronymes sont essentielles au succès de l’informatique et de l’entreprise dans son ensemble. Ces concepts tournent autour de la sécurité, de la protection des données et de la responsabilité fiduciaire.

Comprendre nos données et nos processus, et protéger les données et les processus est devenu l’un des problèmes les plus importants de l’informatique. Malheureusement, nous n’avons pas besoin d’attendre longtemps pour que la prochaine violation de données apparaisse aux nouvelles du soir ou dans votre flux Twitter.

Les informations personnelles identifiables (PII) peuvent être les plus critiques des vulnérabilités de données. Des informations telles que le numéro de sécurité sociale ou le numéro d’assurance sociale, associées au numéro de permis de conduire ou à l’adresse du domicile, peuvent suffire à permettre à un pirate informatique de créer un compte de crédit au nom de quelqu’un. Avec un crédit instantané, un pirate pourrait accumuler des accusations lourdes. Ces frais pourraient-ils être supprimés ? Bien sûr, mais pensez à l’un de vos collègues (ou pire encore, un de vos clients) qui devrait tenter de résoudre ce problème. Et pensez aux oeils au beurre noir que votre entreprise recevrait si des employés ou des clients connaissaient ce type de vol.

L’information protégée sur la santé (PHI) est semblable à PII, et peut être classée dans la même catégorie. Mais l’information en matière de santé est différente. Il est possible d’avoir des cartes de crédit ouvertes à notre nom en cas de violation des renseignements personnels. Mais une violation de l’information protégée sur la santé pourrait exposer des données de santé personnelles potentiellement nuisibles. Une autre préoccupation est que l’utilisation abusive de ces informations pourrait entraîner une augmentation des primes d’assurance, ou se voir refuser un crédit, un emploi ou un logement.

Le numéro de compte principal (PAN) est le numéro de carte de crédit, un numéro 15 ou 16 chiffres que nous utilisons pour les achats. Il serait surprenant de nos jours de voir ce PAN stocké dans des fichiers et utilisé activement. Cela fût alarmant pendant de nombreuses années, même si je peux garantir que certaines entreprises le stockent encore activement. Mais même si ce n’est pas intentionnellement stocké, qu’en est-il des anciens fichiers de travail ? Ou bien, est-ce inquiétant que ces numéros soient stockés dans des fichiers où le PAN n’est pas utilisé activement ? Ou peut-être sont-ils dans des fichiers de travail créés pour être testés dans un scénario d’extraction, de test, de chargement ?

HIPAA et GDPR sont deux règlements de grande envergure qui prévoient des pénalités (à la fois financières et juridiques) pour l’abus de renseignements personnels. Ces réglementations sont englobantes, même en dehors de leurs emplacements. En d’autres termes, les entreprises du monde entier adhèrent aux dispositions de la HIPAA américaine parce que ces sociétés font affaire aux États-Unis, tandis que les entreprises américaines commencent à adopter les pratiques du GDPR parce qu’elles font affaire dans l’UE. Il est tout à fait logique que les entreprises qui exercent des activités dans le monde entier incluent ces pratiques rigoureuses plutôt que d’avoir des normes différentes pour différents domaines ou régions.

Sécurisez la montre ! (OK, une référence obscure en marine…)

Donc, il est important d’avoir un environnement informatique sécurisé. Nous devons protéger nos données clients et les données de nos employés. Un nouveau système devrait (je dis bien devrait) avoir la sécurité des données comme caractéristique. En fait, je suggérerais que si la sécurité n’est pas vantée (et vérifiée) dans un nouveau système logiciel, je prendrais un pas difficile.

Mais qu’en est-il de nos systèmes existants ? Les systèmes que nous modernisons pour répondre aux exigences d’une activité accrue, d’une flexibilité accrue … et de hackers accrus. Peut-être que la sécurité a été intégrée à partir de la fondation du système, et vous n’avez aucun risque d’exposition pour les données PII, PHI et PAN. Mais … en êtes-vous sûrs ? Êtes-vous sûr que votre plan de modernisation n’apportera pas seulement l’exposition de la sécurité dans le logiciel modernisé ? Discutons d’une stratégie que vous pourriez utiliser pour identifier et corriger les expositions de données.

La modernisation est l’objectif principal chez Fresche Solutions. Nos produits Fresche View et Fresche Advisor permettent de voir l’interaction réelle entre vos programmes, votre base de données et d’autres objets dans un environnement IBM i. Vous pouvez voir une représentation de vos magasins de données et des programmes qui ajoutent, lisent ou mettent à jour les données.

Diagrammes X-Analysis démontrant les relations entre les fichiers et programmes :

Mais Fresche Advisor (tout comme Fresche View) peut faire beaucoup plus que simplement montrer la relation entre les objets dans le système. Ces produits peuvent également être utilisés pour plonger dans un fichier ou un programme et afficher les champs réels (colonnes) dans le fichier (table). Vous pouvez également voir comment accéder au champ (lecture, écriture, mise à jour) dans les différents programmes.

Puisque vous pouvez identifier le champ (colonne), vous pouvez commencer à comprendre la signification du champ et de son contenu. Il est préférable d’attribuer de bons noms aux objets afin de pouvoir déterminer qu’un champ nommé CMCC # 1 est le premier champ de carte de crédit dans le fichier de client principal (oui, je parle selon mon expérience). Et si vous avez ce nom, vous pouvez rechercher tous les programmes pour chaque instance de ce champ. Cela vous permet de créer une liste de programmes nécessitant une attention particulière.

En ce qui concerne les données, cela est similaire. Vous pouvez effectuer une recherche de caractère générique pour * CC * pour rechercher dans tous les fichiers et programmes les champs qui ont CC dans leur nom. Vous obtiendrez des faux positifs, donc examinez la liste générée pour affiner la recherche. Imaginez être capable de trouver toutes les instances de champs qui pourraient contenir un numéro de carte de crédit ou PAN. Cette technique fonctionnera avec n’importe quel nom de champ, tel que * SS * pour le numéro de sécurité sociale ou * DL * pour le numéro de permis de conduire.

Vous pouvez avoir différents noms pour les différentes données. C’est probablement déjà le cas si vous avez eu différents développeurs et n’avez pas eu un ensemble de normes claires au cours des années. Cela nécessitera plusieurs recherches de données et de champs pour déterminer si vous avez des champs suspects. Grâce à Fresche Advisor, il est facile de générer des listes et de les affiner lorsque vous en apprendrez plus sur vos données.

Une partie importante de la modernisation consiste à convertir le storage de données d’une série de fichiers en une véritable base de données relationnelle. Les produits Fresche X-DB Modernize et X-DB Transform sont des outils qui migrent les bases de données DB2 DDS vers de nouvelles bases de données DDL DB2 relationnelles. L’outil est hautement configurable et peut exposer et gérer les défis uniques des conversions DDS et des transformations de base de données.

Vous utilisez ces outils pour transformer vos fichiers de données en une véritable base de données. Mais vous ne voulez pas convertir les données PII, PHI ou PAN stockées dans des fichiers dans votre base de données nouvellement modernisée. Prenez le temps d’analyser et d’assainir vos données avant d’effectuer une conversion DDS vers DDL.

Comment accomplissez-vous ces tâches tout en modernisant votre système existant ? Vous êtes au bon endroit – les services de dotation en personnel sont une solution. Nous disposons de développeurs et d’analystes de bases de données IBM i hautement qualifiés et expérimentés qui peuvent vous aider à analyser et à convertir vos données et vos programmes. Votre gestionnaire de compte ou votre représentant commercial peut décrire les offres de Fresche Solution pour compléter votre personnel existant.

Soyez conscient des données stockées dans votre système. Analysez et « désinfectez » avant de vous moderniser !

Documentation graphique et analyse d'impact automatisees pour RPG et COBOL sur IBM i. Demandez un essai gratuit

À propos de Michael Ryan

Michael Ryan is a well-qualified and skilled information systems professional with strong multiple platform experience. Michael specializes in systems integration with *nix, Windows, and IBM systems, particularly the IBM i System (AS/400, iSeries, System i). Specific experience in IBM i software development (RPG, CL, SQL, RDi), systems integration, payment card processing (tokenization, security), IBM i security, and system level processing (work management, administration) enable Michael to add value to Fresche modernization projects.

No Comments

Post a Comment

  • +