L’efficacité du processus de réaction aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en sécurité des systèmes d’information. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes (Retrouver la première partie de l’article).

L’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité des systèmes d’information. A l’origine SAS 70 remplacé par le standard américain SSAE, et généralisé avec les certifications internationales ISAE 3402, les rapports « SOC » 1, 2 et 3 sont destinés à renforcer la confiance entre le client et son fournisseurs, sur les aspects financiers et sécurité. Ces niveaux de certification trouvent toute leur place dans le cadre des programmes de migrations massives vers les solutions de Cloud Public des groupes publics et privés. L’AICPA a mis au point un nouveau référentiel « SOC for Cybersecurity » que cet article se propose de présenter.

En cybersécurité et plus largement pour tout système de protection, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche fondamentale mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les vrais indicateurs, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un Security Operation Center, outils de centralisation et de corrélation des logs, sondes de détection des intrusions…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée et réfléchie. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est de plus en plus utilisé par les grands groupes, y compris européens. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 27000 ou le catalogue NIST 800-53 pour tous les domaines d’activités. Il est maintenant au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP par exemple.

L’efficacité du processus de réaction aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en sécurité des systèmes d’information. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes.

Le DPO (Data Protection Officer ou délégué à la protection des données) est le pilote du programme de mise en conformité GDPR (General Data Protection Regulation). Le DPO n’est pas personnellement responsable en cas de non-conformité. C’est le responsable de traitement (data controller) et le(s) sous-traitant(s) (data processor) qui doivent respecter leurs obligations légales respectives. Néanmoins, en tant que pilote, le DPO a naturellement un rôle majeur à jouer : 

• Comment s’assure-t-il du niveau de conformité ?
• Avec quelle check-list ?
• Par quoi commencer ?

La certification internationale CISSP est la plus reconnue dans le monde de la cybersécurité. Début 2018, l’ISC⁽²⁾ dénombrait environ 120 000 personnes certifiées (dont une bonne partie  aux Etats-Unis et un millier en France). Les conditions pour être certifié sont la réussite à l’examen, la justification de cinq années d’expérience professionnelle dans au moins deux des huit domaines du programme, l’adhésion au code déontologique et l’approbation d’une personne certifiée (« endorsement »). Plusieurs changements ont été récemment annoncés par l’ISC⁽²⁾ concernant le mode d’examen et le contenu du programme.

Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cache des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (deuxième partie).

Le règlement européen sur la protection des données personnelles (GDPR en anglais) prévoit des obligations et des sanctions pour renforcer le contrôle des citoyens sur leurs données. Un travail de fond, plus ou moins important en fonction du niveau de maturité, est nécessaire pour se mettre en conformité avec ce règlement. Une approche pragmatique consiste à s’appuyer sur un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 sur le périmètre « traitement de données à caractère personnel ».

Les risques de malveillance interne existent aussi bien pour les systèmes d’information traditionnels que pour les environnements de type Cloud Computing.

Quelques exemples illustrant ce type de risques :

Disponible depuis plusieurs années, le protocole SCAP (Security Content Automation Protocol) est de plus en utilisé aux Etats-Unis mais aussi en Europe. Ses spécifications visent à faciliter et automatiser les échanges d’informations entre les outils de sécurité pour tous les types d’équipements connectés au réseau : inventaire, vulnérabilités, éléments de configuration et de durcissement. Régulièrement mis à jour et amélioré, le protocole s’adapte aux nouveaux besoins. SCAP est très intéressant pour mettre en place un suivi continu et le plus exhaustif possible de la sécurité opérationnelle. Cet article donne quelques clés pour comprendre l’intérêt de ce protocole et les mises en œuvre possibles.

La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).

La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible les aspects liés à sécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

Le manque de ressources humaines en cybersécurité est une réalité qui se vérifie aux Etats-Unis comme en Europe. Le déséquilibre entre l’offre et la demande semble se creuser (voir le 8^ème Global Information Security Workforce Study publié par Booz Allen Hamilton). La majorité des professionnels du secteur estiment ne pas disposer de suffisamment de ressources. Les raisons avancées sont le manque de personnes qualifiées et disponibles, des exigences mal comprises par la direction, des budgets insuffisants, la difficulté à retenir les personnes en place et l’absence d’informations sur les évolutions de carrière.

Face à ce constat, le CISO (Chief Information Security Officer) / RSSI (Responsable Sécurité Système d’Information) qui fait face à la nécessité d’étoffer ses équipes doit travailler sur plusieurs axes.

Le choix des mesures de sécurité applicables au sein d’une organisation finalise la phase de traitement du risque. Les guides et bonnes pratiques applicables dépendent des métiers et du contexte de régulation.

La législation sur l’hébergement des données de santé a récemment évolué. L’agrément a été remplacé par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

• Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
• Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Piloté par le secrétaire général de la défense et de la sécurité nationale (SGDSN), la revue stratégique cyberdéfense, équivalent des anciens livres blancs, a été élaborée en concertation avec des représentants des acteurs publics et privés. Après un passage en conseil de défense et en conseil des ministres, une présentation publique a été organisée au sein du magnifique incubateur de startups « Station F ». Trois tables rondes animées par les rapporteurs de la revue ont mis en exergue quelques éléments clés. Le document complet est disponible sur le site du SGDSN.

Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cache des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (première partie).

Les services Cloud, décomposés suivant les modèles IaaS, PaaS et SaaS (Infrastructure, Platform and Software as a service) sont de plus en plus utilisés. L’informatique traditionnelle pour laquelle l’entreprise était propriétaire de toutes ses infrastructures et applications n’existe pratiquement plus. Elle a été remplacée par des environnements hybrides mêlant « core IT », Private IaaS, Public PaaS et applications SaaS.

Ces environnements se veulent agiles et automatisés afin de s’adapter aux besoins métiers.

Christophe JOLIVET, directeur PROSICA, a écrit l'article "Un système de management pour protéger les données personnelles" du livre collectif de l'AFCDP "Correspondant Informatique et Libertés : bien plus qu’un métier".

Un extrait de cet ouvrage, préfacé par madame Isabelle FALQUE-PIERROTIN, Présidente de la CNIL peut être consulté sur le site de l'AFCDP.