blog-14.jpg

La mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 passe par la mise en œuvre de bonnes pratiques détaillées dans la norme ISO 27002. La norme ISO 27017 complète ces bonnes pratiques pour les services de Cloud. La sélection des mesures doit être la conclusion d’une analyse de risques, en utilisant par exemple la méthode EBIOS. Les exigences légales et réglementaires sont prises en considération en amont de l’analyse. Certaines mesures préconisées par l’ISO 27017 sont destinées aux clients et d’autres aux fournisseurs Cloud. La sécurité dans le Cloud mettant en jeu une relation client / fournisseur, y compris dans la plupart des cas des Cloud privés pour lesquels plusieurs parties interviennent, la sécurité de la chaine de sous-traitance joue un rôle important : se référer à ce sujet à la série ISO 27036 et au concept de SCRM.

Mots clés: Cloud ISO 27001 ISO27017 CCSP CCSK

Lire la suite

blog-13.jpg

Les outils de type SOAR - Security Orchestration, Automation and Response dont l’acronyme a été popularisé par le Gartner permettent d’améliorer l’efficacité du processus de réponse aux incidents en automatisant les phases de détection, de triage et de réaction. Ces outils sont de plus en plus recherchés en complément des SIEM – Security Information and Event Management utilisés par les SOC – Security Operation Center et des plateformes de CTI (Cyber Threat Intelligence). Les outils SOAR sont au programme de la certification CISSP et abordés dans le domaine 7. Le marché des outils SOAR est en forte croissance avec des acteurs comme IBM Resilient, Splunk Phantom, Demisto Palo Alto Networks, Fireye, Logrhythm ou FortiSOAR. Voici quelques exemples de tâches qu’on peut automatiser avec les outils SOAR. Ces tâches sont classées selon les fonctions du référentiel NIST CSF.

Mots clés: CISSP RéférentielNIST IncidentsSécurité IncidentResponse SOC SOAR ThreatIntelligence PDIS PRIS

Lire la suite

blog-09.jpg

L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen « Cyber Act » a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.

Mots clés: Cloud CCSP CCSK Risques ENISA

Lire la suite

blog-07.jpg

Le référentiel « CIS Controls » est régulièrement mis à jour par l’organisation Center For Internet Security qui produit aussi les guides « CIS benchmarks » massivement utilisés pour durcir les systèmes. Le référentiel CIS est un catalogue de bonnes pratiques en cyber sécurité. Il est adapté aussi bien pour les petites entreprises que pour les grands groupes. Ce référentiel est au programme du domaine 1 de la certification CISSP au même titre que d’autres documents : ISO, NIST 800-53 ou encore référentiel « NIST CSF ». Il fait partie de la même catégorie que le guide d’hygiène de l’ANSSI en France.

Mots clés: CISO CISSP Gouvernance CIS Référentiels

Lire la suite

blog-05.jpg

L’IAPP est un organisme international qui propose des certifications individuelles dans le domaine de la protection des données personnelles. La certification CIPP/E valide que les connaissances élémentaires sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire européen est maitrisé. Le programme de la certification est complet et l’examen demande un travail individuel soutenu. Comme toute certification individuelle, les thèmes abordés à l’examen sont régulièrement mis à jour. La version de l’examen en vigueur à partir du 1er juillet 2021 développe et précise de nouveaux thèmes comme les évaluations liées aux transferts de données ou « Transfert Impact Assessment » (TIA), aux actions collectives ou Class Actions et à l’intelligence artificielle ou Artificial Intelligence (AI).

Mots clés: RGPD GDPR CIPP/E IAPP Data Privacy PrivacyShield SCC CCT

Lire la suite

blog-02.jpg

Les conteneurs sont massivement utilisés par les équipes de développement. Extrêmement légers,  ils partagent le même noyau et démarrent très rapidement. Leur exécution demande peu de mémoire en comparaison avec le lancement d'un système d'exploitation. Docker est un des formats de conteneurs Open Source les plus rencontrés. La sécurité des environnements de conteneurs est au programme du CISSP en vigueur depuis le 1er mai 2021 mais aussi des certifications « sécurité du Cloud » comme le CSSP, le CCSK et le « petit nouveau » pour les auditeurs : le CCAK.

Mots clés: Cloud CISSP Certifications SécuritéCloud Conteneur Docker Container

Lire la suite

blog-08.jpg

La certification CCAK est destinée aux auditeurs des environnements Cloud publics et privés. Cette certification est proposée conjointement par l’ISACA et la CSA. L’ISACA est à l’origine du CISA, certification bien connue des auditeurs IT et du COBIT, référentiel de gouvernance IT qui peut aussi être utilisé pour la gouvernance de la cybersécurité et déployer le NIST CSF. La Cloud Security Alliance propose depuis plusieurs années la certification CCSK. La CSA est aussi à l’origine des certifications de fournisseurs Cloud STAR. Le programme du CCAK complète les compétences des auditeurs IT développés pour d’autres domaines comme le PCI-DSS QSA (Qualified Security Auditor) pour la sécurité de l’industrie des cartes de paiement, le FedRamp 3PAO Assessor pour les régulations Cloud américaines ou encore la certification européenne préparée dans le cadre de l’application de la régulation « Cyber Act ».

Mots clés: Cloud Certifications SécuritéCloud CCAK audit

Lire la suite

blog-12.jpg

Les plans de continuité d’activité traitent des risques dont les impacts peuvent être potentiellement très élevés mais dont la probabilité est faible. Pour concilier ces deux extrêmes, il faut mettre au point des plans, qui comportent des volets métiers et techniques. Pour le « business », il s’agit d’identifier les activités les plus critiques pour les maintenir, généralement dans un état dégradé. C’est l’objet du BIA. Le volet technique se concentre sur les aspects logistiques et les plans de continuité informatique.

Les sinistres liés aux problèmes de cybersécurité font partie de ces risques, du fait notamment des nombreux cas de ransomware (rançongiciel) qui touchent des entreprises de toute taille. Les impacts peuvent être très élevés pour l’entreprise (coûts financiers, image de marque…) et dans certains cas avoir des conséquences sur la sécurité des personnes (cas des hôpitaux ou des entreprises industriels sensibles par exemple). Les mesures de sécurité préventives sont bien entendu fondamentales. De nombreux référentiels fixent les bonnes pratiques organisationnels et techniques : NIST 800-53, guides de durcissement (CIS, ANSSI…), CSF. Nul n’étant à l’abri d’un incident majeur voire d’une crise, il est important de travailler le volet réponse et planifier régulièrement des exercices d’entrainement.

Mots clés: IncidentResponse ISO27035 RéponseIncidents Cybercrises Exercices Incidents Ransomware

Lire la suite

blog-05.jpg

En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402.  Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS.

Mots clés: CISSP CCSP Cyber Risques ISO27001 ISAE3402 SCRM SupplyChain Sous-traitance C-SCRM ISO27036

Lire la suite

blog-14.jpg

Les vulnérabilités logicielles font partie des risques les plus élevés en cyber sécurité. Le référentiel BSIMM – Buiding Security in Maturity Model est un outil intéressant pour comparer ses activités de sécurisation du cycle de développement avec les bonnes pratiques du domaine. Une étude annuelle, mise à jour depuis 2008 est menée auprès d’une centaine de grands groupes nord-américains. Cette enquête est suffisamment précise pour quantifier les activités. Le Secure SDLC fait partie du domaine 8 de la certification CISSP. Il est aussi abordé dans les certifications de sécurité Cloud. Cela rejoint aussi les bonnes pratiques C-SCRM en termes de sécurité de la sous-traitance.

Mots clés: DevSecOps BSIMM SecureSDLC Développements

Lire la suite

blog-10.jpg

Les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) sont un des mécanismes juridiques de transferts internationaux de données à caractère personnel en dehors de l’espace économique européen. Elles font partie des connaissances à maitriser pour réussir la certification CIPPE/E de l’IAPP. L’entrée en vigueur des nouvelles clauses de la Commission Européenne a été fixée à septembre 2021. Les importateurs et les exportateurs de données peuvent continuer à invoquer les anciennes CCT jusqu’au 27 décembre 2022. Les CCT intègrent la jurisprudence de la Cour de Justice de l’Union Européenne de l’affaire « Schrems II » qui a par ailleurs abouti à l’invalidation d’un autre mécanisme de transfert, le « Privacy Shield ».

Mots clés: RGPD GDPR CIPP/E SCC CCT Contrats Sous-traitants Transfert

Lire la suite

blog-08.jpg

Le terme « Zero Trust »  - ZT symbolise un changement de paradigme important en cybersécurité. Le principe est de se focaliser sur les utilisateurs, les assets et les ressources avec des protections dynamiques et adaptées au risque plutôt qu’une défense statique et périmétrique. Les architectures Zero-Trust (ZTA) ont été ajoutées aux connaissances du nouveau programme du CISSP. Le NIST a publié son SP 800-207 qu’il est intéressant de consulter pour aller au-delà des définitions et comprendre comment les concepts peuvent être mis en œuvre sur les systèmes d’information actuel. Ces concepts sont étroitement liés aux aspects IAM que le NIST a par ailleurs largement détaillé dans la série SP 800-63. Le DoD américain publie le document « Zero Trust Reference Architecture » qui détaille les composants à mettre en œuvre.

Mots clés: CISSP ZeroTrust ZeroTrustArchitecture DLP ZTA

Lire la suite

blog-06.jpg

Le guide de référence d’architecture d’entreprise dans le Cloud est un document maintenu par la Cloud Security Alliance (CSA). Il est au programme des certifications CCSK et CCSP. Il est basé sur l’utilisation de quatre modèles : TOGAF, ITIL, SABSA et JERICHO. Il complète la Cloud Control Matrix (CCM) qui est un catalogue de mesures de sécurité utilisée en particulier pour les certifications STAR. Ce guide d’architecture ou Entreprise Architecture Reference Guide (EARG) peut être utilisé aussi bien par les fournisseurs que par les clients de solutions Cloud. Il peut servir de guide de cybersécurité dans le Cloud pour un plan d’amélioration, une feuille de route, une évaluation de différents fournisseurs ou pour identifier les services à mettre en place.

Mots clés: CCSP CCSK SABSA CCM

Lire la suite

blog-04.jpg

Le programme du CISSP en vigueur depuis le 1er mai 2021 aborde dans le domaine 1 plusieurs concepts fondamentaux qui font partie des basiques de la fonction du CISO (voir les 10 conseils pour bien démarrer dans cette fonction, parties 1 et 2). Il s’agit notamment des aspects gouvernance, conformité, régulation, documentation, gestion des sous-traitants et programmes de sensibilisation. La norme ISO 27014 fournit une série de bonnes pratiques pour mettre en place une gouvernance en cybersécurité. D’autres référentiels font partie du programme du CISSP comme COBIT, SABSA, la norme ISO 38500 (gouvernance IT), le NIST CSF et le référentiel CIS.

Mots clés: CISSP Certifications SABSA ISO27001 COBIT Gouvernance ISO27014

Lire la suite

blog-01.jpg

L’agence européenne de la sécurité, ENISA a vu son rôle renforcé par le règlement européen « Cyberact ». Ce même règlement prévoit la mise en place d’une certification européenne. L’ENISA a initié un groupe de travail pour la mise en place de cette certification. De nombreuses initiatives, locales ou internationales existent déjà. Les certifications Cloud sont abordées aussi bien dans les programmes du CCSK, du CCSP que du CCAK. L’ENISA a abouti à une première version du schéma de certification : « European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS). Cette initiative s’inspire naturellement de schémas nationaux comme SecnumCloud en France ou le catalogue C5 en Allemagne. Deux directions sont jusqu’ici suivies par ces initiatives pour évaluer la sécurité des fournisseurs de Cloud. L’approche du monde ISO (ISO 27001, ISO 27017, ISO 27018…), par exemple en France pour la certification des hébergeurs de données de santé. L’approche des auditeurs internationaux, notamment avec les attestations ISAE 3402.

Mots clés: Cloud Certifications SécuritéCloud CyberAct ENISA

Lire la suite

blog-03.jpg

Depuis une dizaine d’années, les réseaux SDN sont de plus en plus utilisés en particulier dans les datacenters des fournisseurs de Cloud mais aussi par les opérateurs sur leur WAN et au sein des infrastructures réseaux des grandes entreprises. Google par exemple a été à la pointe en connectant ses data centers avec des commutateurs et des contrôleurs mettant en œuvre le protocole OpenFlow. D’autres groupes ont aussi annoncé utiliser OpenFlow comme Amazon, Microsoft et AT&T. Le SDN est au programme de la certification CCSP depuis son lancement et a aussi été intégré plus récemment au nouveau programme du CISSP. Les réseaux SDN facilitent la gestion des réseaux en environnements Cloud en permettant automatisation, évolution rapide, redondance et segmentation virtuelle des clients en optimisant les coûts d’infrastructure.

Mots clés: Cloud CCSP CCSK SécuritéCloud SDN

Lire la suite

blog-06.jpg

Le DLP (Data Loss Prevention ou Data Leakage Prevention) n’est pas nouveau en cybersécurité. Mise en œuvre en milieu bancaire depuis longtemps, cette protection s’est généralisée ces dernières années à d’autres secteurs en particulier du fait du développement des services Cloud. L’idée est de détecter et de prévenir les fuites de données sensibles. A l’origine de ces fuites, des erreurs humaines (par exemple l’envoi d’une pièce jointe non chiffrée ou le stockage dans le Cloud public de fichiers accessibles par tous) mais aussi des malveillances internes (par exemple un employé qui quitte sa société et copie sur une clé USB des fichiers clients). Le DLP est au programme du CISSP et du CCSP. Ces projets transverses nécessitent des outils efficaces et une organisation solide. Le DLP est cité dans les mesures de cybersécurité de la  catégorie 3 du référentiel CIS.

Mots clés: RGPD GDPR CISSP CCSP DLP

Lire la suite

blog-07.jpg

Les risques de cybersécurité liés à la sous-traitance et à la gestion de la chaîne d'approvisionnement sont nombreux et difficiles à traiter. Les impacts peuvent être importants, par exemple des attaques ciblées au travers d'équipements compromis puis connectés au système d'information ou des modifications du code source d'applications.  Le nouveau programme du CISSP détaille les notions liées au SCRM (Supply Chain Risk Management) dans le premier domaine consacré à la gouvernance.  Si les méthodes classiques d'analyse de risques peuvent être utilisées (Ebios Risk Manager, FAIR...), plusieurs référentiels spécifiques du NIST (par exemple le NISTIR 8276) , de l'ISO, de SAFECode ou d'OpenGroup fournissent des bonnes pratiques pour analyser et traiter les risques liées à la chaine d'approvisonnement.

Retrouvez notre vidéo de présentation du SCRM.

Mots clés: Cyberdéfense CISSP Cyber Risques SCRM SupplyChain Sous-traitance

Lire la suite

blog-10.jpg

Les certifications des fournisseurs Cloud sont requises par les clients dans le cadre de la phase de due diligence, préalable important à toute contractualisation. Ces mécanismes de certification sont encouragés par le RGPD. L’article 28 sur les sous-traitants stipule « L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article ». Adopté en 2019, le règlement européen Cybersecurity Act prévoit la définition d’un cadre européen de certification de cybersécurité, en particulier dans le domaine du Cloud, au niveau substantiel. Le niveau élémentaire étant réservé pour les applications de type IoT - Internet des Objets et le niveau élevé pour les dispositifs médicaux ou les véhicules connectés. La certification américaine STAR est très répandue parmi les acteurs majeurs de Cloud public. Elle comprend trois niveaux et se base sur des mesures de sécurité standardisées par la Cloud Control Matrix (CCM). Ce standard est au programme des certifications individuelles CCSP et CCSK (Certified Cloud Security Professional et Certificate of Cloud Security Knowledge).

Mots clés: Cloud CCSP CCSK CSA CCAK

Lire la suite

blog-02.jpg

La norme ISO 27035 et le référentiel du NIS 800-61 traitent de la gestion des incidents de cybersécurité. Le processus comprend cinq phases. La première phase, planification et préparation et la dernière, amélioration font l’objet du document ISO 27035-2. Les trois autres phases : détection, évaluation et décision et réponses sont couverts par la norme ISO 27035-3. Ce document fixe des bonnes pratiques pour mettre en place une capacité de réponse aux incidents efficace. PROSICA propose une formation intensive de deux jours sur ce sujet. La réponse aux incidents fait l'objet de 9 mesures de la catégorie 17 du référentiel CIS.

Mots clés: ISO 27035 IncidentResponse RéponseIncidents CERT CTI CSIRT

Lire la suite