L’efficacité du processus de réponse aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en cybersécurité. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC ou d'outils SOAR, qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes.

Le choix des mesures de sécurité applicables au sein d’une organisation finalise la phase de traitement du risque. Les guides et bonnes pratiques applicables dépendent des métiers et du contexte de régulation.

Le DPO (Data Protection Officer ou délégué à la protection des données) est le pilote du programme de mise en conformité GDPR (General Data Protection Regulation) ou RGPD (règlement général de protection des données). Le DPO n’est pas personnellement responsable en cas de non-conformité. C’est le responsable de traitement (data controller) et le(s) sous-traitant(s) (data processor) qui doivent respecter leurs obligations légales respectives. Néanmoins, en tant que pilote, le DPO a naturellement un rôle majeur à jouer : 

• Comment s’assure-t-il du niveau de conformité ?
• Avec quelle check-list ?
• Par quoi commencer ?

La législation sur l’hébergement des données de santé a remplacé l'ancien agrément par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

• Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
• Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

La certification internationale CISSP est la plus reconnue dans le monde de la cybersécurité. L’ISC⁽²⁾ dénombre environ 130 000 personnes certifiées (dont une bonne partie  aux Etats-Unis et un millier en France). Les conditions pour être certifié sont la réussite à l’examen, la justification de cinq années d’expérience professionnelle dans au moins deux des huit domaines du programme, l’adhésion au code déontologique et l’approbation d’une personne certifiée (« endorsement »). Plusieurs changements ont été mis en place par l’ISC⁽²⁾ concernant le mode d’examen et le contenu du programme.

Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cache des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (deuxième partie).

Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cachent des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (première partie).

Le règlement européen sur la protection des données personnelles (GDPR en anglais) prévoit des obligations et des sanctions pour renforcer le contrôle des citoyens sur leurs données. Un travail de fond, plus ou moins important en fonction du niveau de maturité, est nécessaire pour se mettre en conformité avec ce règlement. Une approche pragmatique consiste à s’appuyer sur un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 sur le périmètre « traitement de données à caractère personnel ».

Les services Cloud, décomposés suivant les modèles IaaS, PaaS et SaaS (Infrastructure, Platform and Software as a service) sont de plus en plus utilisés. L’informatique traditionnelle pour laquelle l’entreprise était propriétaire de toutes ses infrastructures et applications n’existe pratiquement plus. Elle a été remplacée par des environnements hybrides mêlant « core IT », Private IaaS, Public PaaS et applications SaaS.

Ces environnements se veulent agiles et automatisés afin de s’adapter aux besoins métiers.

Christophe JOLIVET, directeur PROSICA, a écrit l'article "Un système de management pour protéger les données personnelles" du livre collectif de l'AFCDP "Correspondant Informatique et Libertés : bien plus qu’un métier".

Un extrait de cet ouvrage, préfacé par madame Isabelle FALQUE-PIERROTIN, alors Présidente de la CNIL peut être consulté sur le site de l'AFCDP.

Le COBIT® est un référentiel de l’ISACA (www.isaca.org) sur la gouvernance et la gestion des systèmes d’information. L’ISACA a publié « COBIT® for information security ». Il est au programme de la certification CISSP.