JupiterOne Inc., fournisseur de plateforme de gestion des risques liés à l'intelligence artificielle, a annoncé aujourd'hui le lancement de JupiterOne Continuous Controls Monitoring, un nouveau produit qui teste si les contrôles de sécurité et de conformité fonctionnent réellement dans les environnements cloud, logiciels en tant que service et hybrides.
L'entreprise présente le CCM, comme elle appelle son offre, comme une solution à une lacune laissée par les outils d'automatisation de la conformité existants. Ces outils ont accéléré la préparation des audits, mais se limitent généralement à prouver qu'un contrôle existe sur papier plutôt qu'à confirmer qu'il fonctionne comme prévu après sa mise en œuvre.
CCM évalue les contrôles par rapport aux données d'actifs en direct au lieu de captures d'écran, de feuilles de calcul et d'examens ponctuels. Le produit est conçu pour signaler les dérives de contrôle au fur et à mesure qu'elles se produisent, générer des preuves prêtes à être auditées à partir des sources de données actuelles et cartographier une définition de contrôle unique dans tous les cadres, notamment System and Organization Controls 2, l'Organisation internationale de normalisation 27001, le National Institute of Standards and Technology Cybersecurity Framework, le programme fédéral de gestion des risques et des autorisations et la loi sur la portabilité et la responsabilité de l'assurance maladie.
Le produit s'appuie sur le modèle de données graphique de JupiterOne et sur la bibliothèque de plus de 200 intégrations de l'entreprise. Plutôt que de vérifier les réponses isolées des interfaces de programmation d'applications de chaque outil connecté, CCM évalue les contrôles sur les relations entre les actifs, les identités, les ressources cloud, les applications SaaS et les résultats de sécurité. Chaque test expose la requête sous-jacente, la source d'intégration et la logique de test, qui, selon JupiterOne, sont nécessaires pour que les auditeurs puissent faire confiance au résultat.
La couche IA de l'entreprise est également intégrée au produit, permettant aux utilisateurs de poser des questions de conformité en langage naturel et d'obtenir des réponses sur l'état du contrôle, les preuves, la dérive et l'alignement du cadre.
« La plupart des organisations peuvent démontrer qu'une politique existe. Beaucoup moins peuvent prouver, à tout moment, que le contrôle derrière cette politique fonctionne réellement », a déclaré Kevin Tonkin, directeur des produits. « Les outils GRC ont été conçus pour gérer le flux de travail de conformité. Les équipes de sécurité ont besoin de quelque chose de différent, d'un moyen de prouver que les contrôles techniques derrière chaque politique fonctionnent réellement, dans des environnements qui changent d'heure en heure. JupiterOne CCM apporte une perspective de sécurité à GRC. »
La surveillance continue des contrôles gagne du terrain à mesure que les équipes de sécurité et de conformité s'éloignent de l'attestation périodique pour se tourner vers l'assurance en temps réel, un changement qui a attiré à la fois des fournisseurs établis en matière de gouvernance, de risque et de conformité et une vague de startups plus récentes. L'argumentaire de JupiterOne s'appuie sur le modèle de données graphiques autour duquel il a construit le reste de sa plateforme, arguant que les contrôles ne peuvent pas être évalués de manière significative indépendamment des actifs et des identités qu'ils régissent.
Ce lancement fait suite au déploiement par JupiterOne en mai de la gestion des surfaces d'attaque par l'IA et de la gestion unifiée des vulnérabilités. La société présentera CCM au salon Infosecurity Europe à Londres du 2 au 4 juin.
