blog-05.jpg

Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.

Mots clés: DPO RéférentielNIST ISO27701 Data Privacy

Lire la suite

blog-02.jpg

La norme ISO 27004, revue en 2016 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son SMSI (système de management de la sécurité d’information). Il s’agit d’une exigence pour être certifié ISO 27001 et HDS, issue de la clause 9.1 « surveillance, mesures, analyse et évaluation ». L’organisation doit déterminer ce qu’il est nécessaire de surveiller, les méthodes, la fréquence, les responsabilités et les conditions d’analyse et de traitement des résultats. Au-delà de la certification ISO 27001, il est fondamental de mesurer son niveau afin de prendre les décisions de pilotage adéquates et de justifier les ressources, en particulier financières allouées à la cyber sécurité. D’autres documents fournissent des recommandations intéressantes comme le NIST 800–55 (performance measurement guide for information security) et la norme ISO 15939 (processus de mesure pour l’ingénierie des systèmes et du logiciel).

Mots clés: ISO 27001 ISO 27004 HDS Indicateurs NIST800-55

Lire la suite

NCP-logo-175.png

Le NIST 800-70 est un guide destiné aux professionnels de la sécurité qui utilisent et développent des check-lists. Il s’agit de documents qui contiennent des instructions ou des procédures pour configurer un composant informatique dans son environnement opérationnel. Appelés aussi guides de durcissement, ils permettent de minimiser la surface d’attaque, réduire les vulnérabilités et limiter les impacts des attaques réussies.

Mots clés: SCAP NIST Durcissement Check-list BenchmarkCIS

Lire la suite

API.png

La sécurisation des API (interfaces) constitue un challenge important pour les équipes de développement. Dans les environnements Cloud, par construction fortement automatisés, le manque de sécurité des API est considéré comme une des principales menaces. OWASP publie son « top ten » des dix vulnérabilités de développement des API les plus critiques. Ce référentiel facilite la prise en compte de la sécurité dans le cycle de développement.

Mots clés: Cloud CCSP CCSK API OWASP

Lire la suite

blog-15.jpg

Les FSN (Fournisseurs de Service Numérique) correspondent aux entreprises de plus de 50 salariés ou qui réalisent plus de 10 millions de chiffre d’affaire et qui ont des activités dans le domaine du Cloud, des moteurs de recherches et des « market places ». Au sens de la loi européenne, le « market place » ou « place de marché en ligne » est un terme très vaste qui regroupe des activités comme le traitement de transactions, l'agrégation de données, le profilage d'utilisateurs, les magasins d'applications en ligne, la distribution numérique d'applications ou de logiciels émanant de tiers.

Mots clés: Conformité FSN Fournisseurs de Service Numérique DirectiveNIS

Lire la suite

blog-06.jpg

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018.

Mots clés: RGPD GDPR ISO27017 ISO 27018 Certifications ISO27701 Data Privacy

Lire la suite

CISSP_logo.png

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 8 qui traite de la sécurité des développements applicatifs. Il représente 10 % du programme.

Mots clés: CISSP Certification FormationCISSP

Lire la suite

HDS.jpg

La certification HDS qui a remplacé la procédure d’agrément est obligatoire en France. Son contenu est détaillé dans un précédent article. La mise en conformité peut faire peur au premier abord car son périmètre couvre plusieurs normes et bonnes pratiques en termes de sécurité, de gestion des services informatiques et de protection des données à caractère personnel. Cet article propose quelques conseils pour aborder sereinement un projet de certification.

Mots clés: RGPD GDPR Certification HDS DPO ISO27001 ISO7018

Lire la suite

DPO.png

La CNIL a initié en France la certification des DPO (Data Protection Officer ou Délégué à la Protection des Données). Cette certification est encadrée par deux délibérations publiées au journal officiel qui définissent les critères d’agrément des organises de certification, le contenu de l’examen, l’expérience requise et le référentiel des compétences. PROSICA qui propose déjà la formation de préparation à la certification CIPP/E ajoute à son catalogue la formation DPO coanimée par un ingénieur et un avocat. Cette certification, comme le CISSP en cybersécurité est soumise aux exigences de la norme ISO 17024 sur les certifications de personnes.

Mots clés: RGPD GDPR DPO Certifications CNIL

Lire la suite

ISO27018.jpg

Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.

Mots clés: RGPD DPO SécuritéCloud ISO27001 ISO27018

Lire la suite

CISSP_logo.png

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 6 qui traite de l’évaluation et des tests de sécurité. Il représente 12 % du programme.

Mots clés: CISSP Formations Cybersécurité Certification FormationCISSP TestsSecurité

Lire la suite

CE.jpg

Christophe JOLIVET a coanimé à Bruxelles une présentation lors d'un conférence PECB sur les tendances juridiques et réglementaires dans le domaine de la cybersécurité. Directive NIS, Cyber Act, activités d'importances vitales, opérateurs de services essentiels, mécanismes de certification font partie des sujets abordés.

Retrouvez la vidéo de la conférence.

 

 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: Cybersécurité DirectiveNIS OIV CyberAct

CommonCriteria.png

Intégrer la sécurité dès la conception des logiciels, interfaces et nouveaux produits fait partie des bonnes pratiques reconnues par tous les experts. La norme ISO 19249 qui propose un catalogue de principes d’architecture et de conception est un des documents utilisables dans ce cadre. Ce référentiel est d’ailleurs cité dans le programme en vigueur de la certification individuelle CISSP.

Mots clés: CISSP ISO19249 TrustedComputingBase TCB CommonCriteria CritèresCommuns ISO15408

Lire la suite

Image1.jpg

La France contribue activement à la définition d’un droit international dans le cyberespace. L’appel de Paris du 12 novembre 2018 pour la confiance et la sécurité dans le cyberespace et la publication en octobre 2019 par le ministère des Armées d’un texte « droit international appliqué aux opérations dans le cyberespace » témoignent de cette activité. Le terme « cyberopération » a une portée très large, il regroupe les actions de lutte informatique défensive (LID), de lutte informatique
offensive (LIO) et de cyber renseignement. La définition d’un cadre international a des conséquences pour la sphère publique mais aussi pour de nombreux groupes privés avec de forts enjeux économiques et légaux. Par exemple, le contentieux entre Mondelez et son assureur dans le cas d’une attaque de type ransomware se focalise sur une clause d’exclusion liée à acte de guerre.

Mots clés: Cyberopération ManuelTallin

Lire la suite

blog-07.jpg

La CIPP/E (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres régions internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les emplois de DPO (Data Protection Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT) et sur la mise en œuvre d’un programme de protection des données personnelles (CIPM).

Mots clés: RGPD GDPR DPO Données personnelles Certifications CIPP/E Data Privacy

Lire la suite

NICE.jpg

Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.

Mots clés: ANSSI Cybersécurité Compétences NIST NICE 800-181

Lire la suite

visuel-rgpd-cheminement-cf-CNIL.jpg

La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France.

Mots clés: RGPD GDPR DPO CNIL Documentation Compliance Conformité CIPP/E IAPP

Lire la suite

CISSP_logo.png

Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)2. Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 7 qui traite de la sécurité des opérations. Il représente 13 % du programme..

Mots clés: CISSP Certification FormationCISSP

Lire la suite

PIA.png

Le RGPD (règlement européen sur la protection des données) impose dans son article 35 de réaliser un AIPD (ou Data Protection Impact Assessment) lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cet article donne des conseils pour mettre en œuvre cette activité d’une manière la plus pragmatique possible. Les référentiels et bonnes pratiques sont issus de plusieurs sources : ISO 29134 (guidance for privacy impact assessement), CNIL et les lignes directrices du WP29 (remplacé depuis l’entrée en application du règlement par le comité européen de la protection des données).

Mots clés: RGPD GDPR DPO AIPD PIA CNIL

Lire la suite

ISO27018.jpg

Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

Mots clés: RGPD DPO SécuritéCloud ISO27001 ISO27018

Lire la suite

blog-03.jpg

L’utilisation des services de Cloud (IaaS, PaaS et SaaS) est en plein essor aussi bien dans les grands groupes que dans les petites organisations. Agilité, automatisation et efficacité amènent beaucoup de souplesse pour aligner l’informatique aux besoins des métiers. Les professionnels de la sécurité doivent s’adapter pour protéger ces environnements qu’ils soient publics ou privés. Deux grands axes de montée en compétence se dégagent. Le premier consiste à acquérir les concepts et réflexes clés : ce sont les objectifs des certifications CCSP et CCSK. La deuxième possibilité est de se concentrer sur une solution en passant les certifications proposées par les grands acteurs du marché en particulier américains (AWS, Microsoft Azure, Google). Cet article donne quelques conseils pour préparer et réussir les certifications CCSK et CSSP.

Mots clés: Formations Cybersécurité CCSP CCSK SécuritéCloud Certification

Lire la suite