Le standard PCI DSS (Payment Card Industry Data Security Standard) est développé par PCI pour renforcer la sécurité des données de titulaires de cartes bancaires. PCI a été fondée par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Ce standard est au programme du CISSP, notamment dans le domaine 1 ainsi que des certifications de sécurité du Cloud CCSP et CCSK. Le standard PCI DSS a été revu en mars 2022 : voir les principaux changements entre PCI DSS v4 et v3.2.1.
Mots clés: Cybersécurité
CISSP
PCI DSS
ASV
QSA
Lire la suite
La norme ISO 27002 est la référence pour mettre en œuvre les mesures de traitement des risques de cybersécurité dans un système de management de la sécurité de l'information (SMSI) basé sur l’ISO 27001. Il peut aussi être utilisé comme un catalogue de mesures à l’instar du NIST 800-53, de la CCM pour les environnements Cloud ou le référentiel CIS. Les exigences de sécurité proviennent des analyses de risques, des éléments de conformité (légale, statutaire, réglementaire, clients) et des objectifs métiers. En anglais le terme « control » dans la norme ISO 27002 est défini comme une mesure qui modifie ou maintient le risque. Une politique de sécurité, par exemple, ne peut que maintenir le risque, alors que la conformité à la politique de sécurité de l'information peut modifier le risque. La norme ISO 27017 est une extension de la norme ISO 27002 pour les environnements Cloud.
Mots clés: ISO27002
Lire la suite
Le CAIQ (Consensus Assessments Initiative Questionnaire) s’aligne sur les spécifications de la CCM. Ce questionnaire permet d’aider les organisations à conduire leurs autoévaluations pour tester leur conformité vis-à-vis de la matrice de mesures CCM. Il est développé pour la certification STAR, niveau 1 de la Cloud Security Alliance. STAR 2 requiert des audits indépendants et STAR 3 des audits continus. Les fournisseurs de services Cloud certifiés STAR sont répertoriés dans le registre de la CSA. La connaissance du CAIQ fait partie du programme des certifications individuelles CCSK et CCSP.
Mots clés: CCSP
CCSK
STAR
CCM
CAIQ
Lire la suite
La certification individuel CCSP de l’ISC(2) (Certified Cloud Security Professional) fournit l’assurance qu’un professionnel de la cybersécurité possède les connaissances, les compétences et les savoir-faire pour intervenir sur des projets et des environnements de Cloud privés et publics. Pour passer l’examen, il faut maîtriser les référentiels liés à plusieurs domaines : architecture, conception, opération et orchestration. La réglementation et la conformité sont aussi des éléments indispensables à connaître. Le programme de l’examen est revu tous les trois ans. Il est articulé en six domaines : architecture et conception, sécurité des données, sécurité des infrastructures, sécurité applicative, sécurité des opérations, conformité – risques et aspects légaux. Comme le CISSP, la certification CCSP est conforme aux exigences de l’ISO 17024. Pour être certifié il faut un minimum de cinq années d’expérience professionnelle dont trois ans en cybersécurité et un an dans au moins un domaine du programme. Les titulaires de la certification CCSK peuvent s’abstenir de justifier de cette expérience d’un des six domaines.
Mots clés: Cloud
Certifications
CCSP
CCSK
Lire la suite
La norme ISO 27005 fournit des bonnes pratiques pour analyser et traiter les risques de cybersécurité. Ce guide est particulièrement utile pour mettre en œuvre un SMSI (Système de Management de Sécurité de l’Information) certifié ISO 27001 ou pour les hébergeurs de données de santé en France. ISO 27005 ne constitue pas une méthode comme EBIOS Risk Manager ou FAIR. Cette norme est plutôt un guide qui propose des lignes directrices à la gestion des cyber-risques. Chaque activité décrite dans la norme comprend les éléments d’entrée requis, la description des actions, des préconisations de mise en œuvre et les éléments de sortie.
Mots clés: ISO 27001
Risques
Cyber Risques
ISO 27005
Lire la suite
La norme ISO 27043 propose des lignes directrices pour élaborer des processus d’investigation sur incident impliquant des preuves numériques. L’investigation numérique utilise des méthodes scientifiques éprouvées pour procéder à l’identification, la collecte, le transport, le stockage, l’analyse, l’interprétation, la présentation, la distribution et éventuellement la destruction de preuves numériques. Les investigations numériques font partie du processus de réponse aux incidents de cybersécurité, pour lequel la série de normes ISO 27035 fournit des bonnes pratiques. Les investigations numériques comportent des exigences légales relatives notamment à la recevabilité des preuves devant une cour de justice. Si les exigences de recevabilité varient entre les juridictions, deux éléments fondamentaux sont la pertinence des preuves par rapport aux faits et l’authenticité, en démontrant que les preuves sont ce qu’elles sont censées être. Par exemple le juge pourra demander la garantie démontrable qu’un disque provient bien d’un serveur donné et qu’il n’a pas été modifié depuis sa collecte.
Mots clés: Réaction Incidents sécurité
ISO27043
ISO7035
Lire la suite
Le référentiel SecNumCloud est proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour qualifier les prestataires de services de Cloud. Il peut être aussi utilisé comme un guide de bonnes pratiques en dehors de tout contexte réglementaire. Pour obtenir la qualification, les prestataires doivent appliquer toutes les exigences du référentiel. Cette initiative a pour objectif de renforcer la confiance entre les clients et les fournisseurs Cloud à l’instar de FedRamp aux Etats-Unis, du catalogue allemand C5 (cloud computing compliance criteria catalogue) ou encore du schéma de certification européen. Ces aspects conformité sont largement dans les certifications Cloud CCSP et CCSK.
Mots clés: Cloud
ANSSI
CCSP
CCSK
Conformité
SecNumCloud
Lire la suite
Mots clés: CISSP
ContrôleInterne
COSO
ERM
Lire la suite
Les outils de type SOAR - Security Orchestration, Automation and Response dont l’acronyme a été popularisé par le Gartner permettent d’améliorer l’efficacité du processus de réponse aux incidents en automatisant les phases de détection, de triage et de réaction. Ces outils sont de plus en plus recherchés en complément des SIEM – Security Information and Event Management utilisés par les SOC et des plateformes de CTI . Les outils SOAR sont au programme de la certification CISSP et abordés dans le domaine 7. Le marché des outils SOAR est en forte croissance avec des acteurs comme IBM Resilient, Splunk Phantom, Demisto Palo Alto Networks, Fireye, Logrhythm ou FortiSOAR. Voici quelques exemples de tâches qu’on peut automatiser avec les outils SOAR. Ces tâches sont classées selon les fonctions du référentiel NIST CSF.
Mots clés: CISSP
RéférentielNIST
IncidentsSécurité
IncidentResponse
SOC
SOAR
ThreatIntelligence
PDIS
PRIS
Lire la suite
L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen « Cyber Act » a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.
Mots clés: Cloud
CCSP
CCSK
Risques
ENISA
Lire la suite